第 1 頁 (共 1 頁)
[求助]被入侵@@ [已解決~]
發表於 : 2005-03-17 19:27
由 zuoxin
●架設主機作業系統:Windows 2000 Serve + PHP4.x.多少忘了
●您的上網方式:固定IP專線
●您安裝的程式:IIS + php + MySql
●您的 phpBB2 版本:phpBB 2.0.11
是這樣的..小弟之前使用 2.0.8版本..
因為 viewtopic.php 的 bug..被入侵
並被入侵者取得"管理者"的帳號..
小弟也更換到 2.0.11了..
"管理者"密碼也更改過..
但還是每天照三餐被放木馬連結..
誇張的是..入侵者用"管理者"的帳號進入..
我都有更改過密碼了..@@
這幾天我有嘗試新開一個帳號..用另一台電腦登入..
並把 [自動登入] 打勾..再用管理者權限更改該帳號的密碼..
卻發現..那個帳號不受影響照樣可以在論壇中趴趴走...
請問要怎麼解決這個惱人的問題呢..
要把該帳號刪除嗎??
感謝各位大大指教..
發表於 : 2005-03-17 19:33
由 bebe2803
你的論壇可以的話應把 DB, phpBB 所有檔案也刪掉 = = 因為真的不知當那人有了 ADMIN 權限會做什麼事 如果他懂一些 php 寫一個 php 在你的論壇執行來改東西 就真的很危險\r
那好像是 2.0.13 的 bug 令一些人有 admin 權限 其實 ofstar 這個也是用 php 寫 (我懷疑是 phpBB 再個人化的 = =) 也有這問題(用 bug 開 admin 權限的帳號) 但早在 1 個月前就修好了 @@
Re: [求助]被入侵@@
發表於 : 2005-03-17 22:06
由 Mac
zuoxin 寫:●您的 phpBB2 版本:phpBB 2.0.11
最新版是 2.0.13
~Mac
發表於 : 2005-03-17 22:59
由 design
請檢查妳的
1.
administrator 是否有設密碼, 並且開機必須輸入administrator 密碼才能進入\r
2. 你的IIS版本\r
3. 你的防火牆是否有擋住一些危險的PORT, 如 NETBIOS 等等 port 135-139,445 的防火牆規則是否擋住
請不用 "勾選" 自動登入\r
因為這麼做對方可以偷取你的cookie到自己的電腦, 不用輸入密碼就可以管理你的論壇
僅供參考.
發表於 : 2005-03-18 01:52
由 fish206452
這是phpbb的漏洞
跟作業系統無關吧
發表於 : 2005-03-18 02:46
由 zuoxin
感謝以上四位大大的回應
不好意思..小弟沒敘述清楚..
所以讓大大的解答有點偏離了方向..
小弟剛架設phpbb時..
第一個帳號名稱為"管理員"...(其他應該都用Admin,SYSOP之類的)
再用該帳號"管理員"設定phpbb的名稱..版面..等等資料..
小弟的主機電腦沒有被入侵..
但我不知道入侵者是如何拿到"管理員"這個論壇帳號的密碼進入論壇的..
(因為就算被入侵MySQL..密碼欄位也編碼過..應該是無法得知)
剛才1:30..又被進入了@@|||...
有某位大大要我把"管理員"的帳號刪掉就可以解決...
但不知道除了這個方法以外還有沒有辦法呢..
再次請教....感謝賜教....
發表於 : 2005-03-18 02:50
由 design
如果對方已經從妳的電腦取得 "自動登入" 的 cookie 並安裝到自己的cookie目錄內, 使用ie 觀看你的網頁不用輸入密碼就是登入狀態.. 所以我才建議你檢查系統..
不用刪掉"管理員", 用 phpmyadmin 修改一下帳號名稱及可.
發表於 : 2005-03-18 10:14
由 zuoxin
design 寫:如果對方已經從妳的電腦取得 "自動登入" 的 cookie 並安裝到自己的cookie目錄內, 使用ie 觀看你的網頁不用輸入密碼就是登入狀態.. 所以我才建議你檢查系統..
不用刪掉"管理員", 用 phpmyadmin 修改一下帳號名稱及可.
感謝design大大的回應
讓小弟有另一個思考方向...
小弟的解決方法如下..
有關Cookie的部份..
小弟進入[系統管理控制台]->一般管理->[基本組態]->Cookie 設定->[Cookie 名稱]..更改一下名稱...
經測試結果..成功!!..
之前有勾"自動登入"的全部失效了..
再次感謝各位大大的幫忙..
發表於 : 2005-03-20 00:43
由 design
取得 cookie 的方法不是入侵系統
而是, 這篇文章有提到.
攻擊方式是修改自動登入的 cookie 裡的 user ID
http://www.nsfocus.net/index.php?act=se ... 4&keyword=
所以最根本的辦法才是更新吧.