您好,
我们在虚拟机上运行了一个自托管的 Discourse 实例,在应用了最新的 Discourse 更新 v3.4.0.beta3 +431 后,收到了 Microsoft Defender 关于 Wacatac 恶意软件的警报:
我们已删除该文件,重启了虚拟机,现在正在等待另一次扫描运行。这种情况在 2024 年 12 月我们更新 Discourse 时也发生过。
似乎 Wacatac 是通过 Discourse 更新传播的,或者也可能是一个误报……
是否还有其他人遇到此问题?
1 个赞
请告知我们它检测到的文件的完整路径?
4 个赞
var/lib/docker/overlay2/d5d34d6148be507180106dc3b39b8b3d266b5e221fd5df48ce023df57186d4ef/diff/home/discourse/.local/share/pnpm/store/v3/files
(我们总是在这里找到它)
2 个赞
.../pnpm/store/v3/files 是一个目录。您是否知道具体文件的名称?
1 个赞
/var/lib/docker/overlay2/93cd7bbb9de06047b645e0b7e3fd788546257d0b2d980e21df3cb0c5c802e80f/diff/home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
还有2024年12月的那个:
/var/lib/docker/overlay2/d5d34d6148be507180106dc3b39b8b3d266b5e221fd5df48ce023df57186d4ef/diff/home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
2 个赞
感谢您提供额外信息!
@mwaniki 帮助我对此进行了一些检查。您共享的第一个文件是 lefthook 二进制文件的缓存:
$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
8bfaa34901d5a7b34090b3a862793f90 /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
$ find /var/www/discourse/node_modules/ -type f -exec md5sum {} + | grep '^8bfaa34901d5a7b34090b3a862793f90'
8bfaa34901d5a7b34090b3a862793f90 node_modules/.pnpm/lefthook-linux-x64@1.10.8/node_modules/lefthook-linux-x64/bin/lefthook
第二个是 esbuild:
$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
25b47c7a561185d07c8c3d98ade527af /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
$ find node_modules/ -type f -exec md5sum {} + | grep '^25b47c7a561185d07c8c3d98ade527af'
25b47c7a561185d07c8c3d98ade527af node_modules/.pnpm/@esbuild+linux-x64@0.24.2/node_modules/@esbuild/linux-x64/bin/esbuild
25b47c7a561185d07c8c3d98ade527af node_modules/.pnpm/esbuild@0.24.2/node_modules/esbuild/bin/esbuild
这些 md5 哈希值与 npm 上的已发布版本相对应,因此我们可以确信它们在注册表和您的安装之间没有被篡改:
$ curl -s https://registry.npmjs.org/@esbuild/linux-x64/-/linux-x64-0.24.2.tgz | tar -Oxzf - package/bin/esbuild | md5sum
25b47c7a561185d07c8c3d98ade527af -
$ curl -s https://registry.npmjs.org/lefthook-linux-x64/-/lefthook-linux-x64-1.10.8.tgz | tar -Oxzf - package/bin/lefthook | md5sum
8bfaa34901d5a7b34090b3a862793f90 -
所以我认为这一定是 Microsoft Defender 的误报。删除 Discourse 安装中的 esbuild 会导致问题,因此我不建议这样做。
在网上搜索,似乎 Microsoft Defender 误报 npm 包的情况相当普遍。这里有一个例子,说明过去曾误报 esbuild。
9 个赞
正如承诺的那样,这是来自 Microsoft 支持的当前反馈:
- 在 Microsoft Defender for Cloud 中将文件标记为“干净”以解决警报 → 我们已执行此操作,但我们不认为这有助于解决问题,因为每次都会错误地报告不同的文件。
- 在 Microsoft Defender for Cloud 中抑制整个警报 → 我们不想这样做,以免将来错过可能的实际威胁。
- 提交改进 Defender 扫描算法和/或内部数据库的建议 → 我们已执行此操作,正在等待反馈:Community
2 个赞