一名志愿者如何阻止恶意后门暴露全球Linux系统

Linux是世界上使用最广泛的开放源代码操作系统，它在复活节周末勉强躲过了一次大规模的网络攻击，这一切都要归功于一名志愿者。这个后门被植入了最近发布的一个名为XZUtils的Linux压缩格式中，这个工具在Linux世界之外鲜为人知，但几乎每个Linux发行版都使用它来压缩大文件，使其更易于传输。如果它的传播范围更广，可能会有数不清的系统被入侵数年之久。2lD品论天涯网

正如ArsTechnica在其详尽的回顾中所指出的，罪犯一直在公开进行该项目，潜伏时间已两年有余。2lD品论天涯网

这个被植入Linux远程登录的漏洞只暴露了自己的一个密钥，因此可以躲过公共计算机的扫描。正如本-汤普森（BenThompson）在《战略》（Stratechery）杂志上写道："世界上绝大多数电脑都存在漏洞，却无人知晓"。2lD品论天涯网

XZ后门被发现的故事始于3月29日凌晨旧金山的微软开发人员安德烈斯-弗罗因德在Mastodon上发帖并向OpenWall的安全邮件列表发送了一封电子邮件，标题为"上游xz/liblzma中的后门导致ssh服务器被入侵"2lD品论天涯网

Freund是PostgreSQL（一种基于Linux的数据库）的"维护者"，他在过去几周的测试中发现了一些奇怪的现象。XZ压缩库的一部分liblzma的加密登录占用了大量CPU。弗罗因德在Mastodon上写道，他使用的所有性能工具都没有发现任何问题。这立刻让他产生了怀疑，他想起了几周前一位Postgres用户对Valgrind（Linux检查内存错误的程序）的"奇怪抱怨"。2lD品论天涯网

2lD品论天涯网

经过一番调查，Freund最终发现了问题所在。弗罗因德在邮件中指出："上游xz代码库和xz压缩包都被做了后门。恶意代码存在于5.6.0和5.6.1版本的xz工具和库中。"2lD品论天涯网

不久之后，企业级开源软件公司红帽（RedHat）向FedoraRawhide和FedoraLinux40的用户发出了紧急安全警报。最终，该公司得出结论，FedoraLinux40测试版包含两个受影响的xz库版本。FedoraRawhide版本很可能也收到了5.6.0或5.6.1版本。2lD品论天涯网

请立即停止在工作或个人活动中使用任何FedoraRawhide实例。FedoraRawhide将很快恢复到xz-5.4.x，一旦恢复完成，FedoraRawhide实例就可以安全地重新部署了。2lD品论天涯网

尽管免费Linux发行版Debian的一个测试版包含了被破解的软件包，但其安全团队还是迅速采取了行动，将其恢复了原样。"Debian的SalvatoreBonaccorso在周五晚上向用户发出的安全警报中写道："目前还没有Debian稳定版本受到影响。2lD品论天涯网

弗罗因德后来确认，提交恶意代码的人是两名主要xzUtils开发人员之一，即JiaT75或JiaTan。"鉴于几周来的活动，提交者要么是直接参与其中，要么是他们的系统受到了相当严重的破坏。"弗罗因德在分析中写道："不幸的是，后者看起来不太可能，因为他们在各种列表上交流了上述'修复'方法。"2lD品论天涯网

JiaT75是一个耳熟能详的名字：他们曾与.xz文件格式的原始开发者LasseCollin并肩工作过一段时间。程序员拉斯-考克斯（RussCox）在他的事件时间轴页面中指出，2021年10月，JiaT75开始向XZ邮件列表发送看似合法的补丁。2lD品论天涯网

几个月后，该计划的其他部分开始展开，另外两个身份，JigarKumar和DennisEns，开始通过电子邮件向科林抱怨漏洞和项目发展缓慢。然而，正如EvanBoehs等人在报告中指出的，"Kumar"和"Ens"从未在XZ社区之外出现过，这让调查人员相信这两个人都是假冒的，他们的存在只是为了帮助贾炭就位，以交付被破解的代码。2lD品论天涯网