1 頁 (共 1 頁)

[已解決] 再度被植入隱碼...找到了!~

發表於 : 2005-05-11 22:45
jhung
●架設主機作業系統:Unix
●快速架站程式:
Apache 版本 1.3.33 (Unix)
MySQL 版本 4.0.22-standard-log
PHP 版本 4.3.9
●您的上網方式:-SO-NET-ADSL 2M/512K
●您的 phpBB2 版本:phpBB 2.0.13

問題
昨天突然登不進自己的討論區,一直顯示密碼錯誤
清了COOKIE也一樣無法登入
今天直接從資料庫去改自己系統管理員的密碼才順利登入\r
查了一下個人資料,發現自己的顯示狀態被改成隱藏了!
確定有人用了某種方法改了系統管理元帳號密碼!
將上線隱藏!

今天就出現使用者的回報\r
我也中毒了 只要開香蕉就會出現 香蕉被種了病毒了!!
這是我其中一個防毒軟體 掃出來的
現在正在開第2種防毒軟體在掃掃看!!!
^^ 一共有4個防毒軟體在電腦裡~~ 因為 中毒多了 哈哈哈
繼續掃... 希望大家沒事情

掃出的訊息
C:\DOCUME~1\harold\LOCALS~1\Temp\Script_000ad90c.html
Virus Name: HTML.MHTMLRedir!exploit
使用者反應參考網址:
http://www.gamejo.com/bbs/viewtopic.php?t=371
http://www.gamejo.com/bbs/viewtopic.php?t=364
http://www.gamejo.com/bbs/viewtopic.php?t=365

我做過的事情
我先上FTP線去查檔案的修改日期,看看哪些檔案被改過
發現沒有這幾天被改過的檔案
在竹貓做完功課,然後去資料庫查,也找不到怪異的地方\r

現在使用者仍然反映有木馬...我該怎麼辦...

需要管理員權限帳密
請PM告知

裝過的外掛:
CashMod222
eXtreme Styles mod 2.1.0
虛擬銀行
匿名者無法觀看已註冊會員的資料
主題類型分區劃(資料庫版)
跑馬燈公告條
mowdSTAT來訪統計
推薦網站 (進階版)
防止重覆發表相同文章

發表於 : 2005-05-11 23:13
Mowd
看你的phpBB版本是2.0.13,請更新到2.0.15。
木馬通常藏在版面敘述或版面名稱的欄位後面,在一堆空白之後。到控制台每個欄位拉到最後應該能發現。

發表於 : 2005-05-12 01:08
jhung
我盡快更新~

不過我真的找不到被植入的編碼... :cry:

附上 版面敘述或版面名稱的欄位 的 DB資料


http://www.gamejo.com/phpbb_forums.zip

發表於 : 2005-05-12 01:30
Mowd
找到了!就在網站描述後面。

網路蕉農的聚集地
後面應該有一串奇怪的iframe標籤

發表於 : 2005-05-12 01:42
jhung
Mowd 寫:找到了!就在網站描述後面。

網路蕉農的聚集地
後面應該有一串奇怪的iframe標籤

哇靠!!!

真的!!! 我已經移除了!~


看來不只有在版面編輯的地方會出現\r

只要是後台任何可以編輯文字的地方\r

都有可能!!


----------------------------------------------

感謝!! Mowd 大哥的幫忙!!

----------------------------------------------

發表於 : 2005-05-12 02:07
wu2017
建議更新伺服器軟體 appserv
php 4.3.9 似乎有些漏洞