2023-09-24 00:47發布更新：添加 FDM 團隊更新后的更新詭藍調查結果。上次更新時間為：2023-09-16 12:35

2023-09-16 12:35發布更新：添加 FDM 團隊更新后的知名調查結果。原文發布時間為：2023-09-15 00:18

更新 1：據 FDM 團隊更新后的免費昆明西山區找外圍（外圍主播）[微信1662+044-1662][提供外圍女上門服務快速安排面到付款不收定金調查結果，黑客利用 FDM 網站腳本中的下載漏洞引入了惡意文件，用于修改 Linux 版的被黑下載頁面。溯源后發現，年多這個修改過的才被頁面可以追溯到 2020 年 FDM 的項目備份數據，其中包含一種算法用來對用戶訪問進行過濾。發現

這個例外列表包括 Bing 和 Google 相關的到尾都吊點網子域，也就是更新詭藍說通過 Bing 和 Google 搜索 FDM 進入 FDM 官網下載的用戶，安裝包不會被篡改。知名昆明西山區找外圍（外圍主播）[微信1662+044-1662][提供外圍女上門服務快速安排面到付款不收定金相反，免費如果直接通過網址訪問 FDM 則有可能被重定向到釣魚網站。下載

更新 2：FDM 被黑事件后續：開發團隊發布腳本可以檢測后門 建議 Linux 用戶下載檢測

流行的被黑免費下載器 Free Download Manager 日前被卡巴斯基實驗室發現安全問題，FDM 官網網站遭到入侵。年多比較搞笑的是黑客在 2020 年就已經拿下 FDM 官網，但 FDM 團隊直到現在收到卡巴斯基通報后才發現這個問題，而且這件事從頭到尾都是莫名其妙的。

一次有些吊詭的入侵事情：

卡巴斯基實驗室在研究中發現，一個老牌的惡意軟件大約在 2020 年利用 FDM 服務器的漏洞成功入侵，隨后攻擊者篡改了 FDM for Linux版的下載地址，將 Linux 用戶重定向到 deb [.] fdmpkg [.] org 網站，從這里下載帶有后門的 FDM。

由于多數 Linux 用戶并不會安裝殺毒軟件，因此這個惡意軟件包一直沒有被發現，直到 2022 年某個時候 FDM 對自己的服務器進行了一次例行維護，在完全不知情的情況下解決了漏洞。

被摧毀后黑客也沒進一步動作，按理說只要黑客愿意，積極發掘肯定還能找到漏洞，但黑客沒有這么做，然后這件事就這么過去了。

要不是卡巴斯基實驗室發現了這種情況，FDM 團隊至今都蒙在鼓里，由于漏洞早就被動修復了，所以 FDM 唯一能做的就是發個安全公告通知那些在 2020 年～2022 年之間下載過 FDM for Linux 的用戶。

黑客的目的是什么？

一般來說，拿下一個知名軟件的服務器，不去給 Windows 投毒，而是給 Linux 用戶投毒，那說明黑客目的肯定不簡單，畢竟就用戶體量來說 Windows 用戶數要遠遠高于 Linux。

而攜帶后門的 FDM for Linux 具有多種功能，包括收集系統信息、瀏覽歷史記錄、竊取保存的密碼、竊取加密貨幣錢包文件、竊取各類云服務包括 AWS/GCP/Oracle Cloud/Azure 的各類憑證等。

至少從卡巴斯基的分析來看，黑客目標就是收集數據，但要竊取這些數據顯然也應該瞄準 Windows 用戶。

藍點網猜測黑客是不是認為使用 Linux 的用戶都是 IT 管理員或者高級用戶之類的，竊取他們的加密貨幣錢包可以直接偷錢，竊取云服務憑證可以拿來挖礦？不得不說這個猜測還是太牽強了，我們實在是想不到黑客到底是什么目的。

還有一種猜測是黑客故意設置了某些過濾條件，僅當用戶觸發條件后才會被成為目標然后被重定向到釣魚站點下載后門版 FDM。

但無論是哪種猜測都說明黑客目的絕對不簡單，不然拿下 FDM 感染個幾萬到十幾萬臺設備應該是很輕松的。

卡巴斯基這件事也說明了一些問題：

這件事從頭到尾來看都非常莫名其妙，別的不說，黑客為什么會放棄繼續攻擊呢？從黑客構建的 bash 來看，黑客使用俄語和烏克蘭語，而且在攻擊期間比較活躍，從代碼注釋來看三天就更新了三個版本，沒加注釋的版本估計很多。

反正這件事在 2022 年某個時候也稀里糊涂的結束了，只不過卡巴斯基認為這種情況并不好，因為一個流行的 Linux 軟件被黑這么久竟然都沒人發現。

最關鍵的是什么呢？在 Reddit 論壇，其實有不少 Linux 用戶發現了貓膩，這些用戶發現了后門版 FDM 攜帶的惡意腳本，也有用戶把腳本內容貼出來了，甚至還有用戶指出這個腳本是惡意的。

但最終這件事也就止步于十幾個帖子的討論，不知道是這些用戶沒有聯系過 FDM 反饋問題還是聯系了 FDM 并沒有得到回應。

所以卡巴斯基才會覺得這種情況并不好：用肉眼檢測 Linux 計算機上正在進行的網絡攻擊可能相當困難，因此 Linux 機器無論是 PC 還是服務器，都應該安裝可靠的安全軟件。

也有中國用戶中招：

本次發現的病毒樣本實際上是個老牌病毒了，這個名為 Crond 的病毒活躍時間至少可以追溯到 2013 年，Crond 屬于 Bew 后門的變種版本。

卡巴斯基的遙測數據顯示，Crond 受害者遍布全球，包括中國、俄羅斯、巴西、沙特等都有不少中招的用戶。

但矛盾的是為什么 FDM 被感染了三年都沒發現問題呢？卡巴斯基認為主要應該還是 Linux 惡意軟件不太容易被發現、中招的用戶也太少，如果是大面積中招，那安全軟件應該能監測到短時間內出現的大量異常流量。

(責任編輯：知識)