FBI着手从被攻击的Exchange服务器清理WebShell

美国休斯敦的一家法院日前授权FBI从美国数百台提供企业级电子邮件服务的Microsoft Exchange服务器中删除后门。

2021年01月至02月，有黑客组织利用Microsoft Exchange邮件服务器软件中的0day漏洞利用链来访问电子邮件账户。

该黑客组织甚至还在服务器放置WebShell进行远程权限管理，黑客利用四个未被发现的漏洞攻击了美国数千个网络。

2021年3月2日，Microsoft宣布一个黑客组织使用多个零日漏洞来定位运行Microsoft Exchange Server软件的计算机。

Microsoft第一时间修复这些漏洞，但补丁并未关闭已经遭入侵的服务器的后门，其他黑客组织几天后纷纷开始效仿。

尽管数千台计算机受感染的设备已经成功地从服务器删除了WebShell，但还是有数百个台服务器上运行着WebShell。

因此，美国司法部于2021年04月13日宣布一项由美国休斯敦法院授权的行动，从被攻击Exchange服务器清理后门。

司法部称随着补丁应用，受感染的服务器数量有所下降，但数百台Exchange服务器仍然脆弱，后门很难找到并消除。

FBI需要先收集大量被攻陷的服务器，再将这些服务器上的WebShell进行拷贝，然后删除服务器上的恶意WebShell。

此次行动删除一个早期黑客组织剩余的网络外壳，外壳可能被用来维持和升级对美国网络的持续、未经授权的访问。

由于FBI需要删除的WebShell每个都有唯一的文件路径和名称，因此检测和清理这些WebShell非常具有很大挑战性。

据说FBI是通过WebShell向服务器发出删除命令，该命令旨在使服务器只删除wWebShell(由其唯一的文件路径识别)。

FBI表示，它试图通过电子邮件向所有删除了黑客组织Webshell的计算机的所有者或运营商提供法院授权操作的通知。

对于拥有公开联系信息的受害者，，联邦调查局将从官方FBI电子邮件帐户(@ FBI.gov)发送电子邮件，以通知受害人。

对于那些无法公开获得联系信息的受害者，FBI则通过官方电子邮件帐户向ISP提供商发送邮件要求他们通知受害者。

表面看来FBI的这项行动不仅获得了法院授权，也清除了被入侵服务器上的后门，你细品，这事儿很符合FBI的风格！

美国不是标榜公民人权和民权受到宪法及各种法律保护，风能进雨能进国王不能进私有财产神圣不可侵犯是扯淡吗？

美国鬼子一直打着保护人权的幌子干着脏心烂肺的事儿，屡屡自诩灯塔肆意批评别国，却总照不亮自身种种灯下黑。