2EASY 发表于 2004-11-29 13:42

本次论坛遇袭非官方报告

:D 首先告诉大家我们很幸运,尚未发现有数据丢失.

     关于论坛bug的事情,我在11月21号左右和解坛主通电话的时候就和他说过,当时我请他安排个升级时间,本计划初步定于12月31日升级.

      我11月20日例行访问phpbb.com获取支持信息时,发现网站18日已经发布了漏洞补丁,由于我实在很忙啊,所以没有及时调整程序装上补丁.

      今天早上坛主来电话说,论坛可能有漏洞,有人利用漏洞给论坛装了木马.

      然后经过我的鬼斧神工~~~(此处省略形容词约10000汉字:lol:)搞定了.

下面总结一下:
1. 数据没有丢失(尚未发现丢失)
2. 修正很快,官方有解决方案
3. 中了木马的朋友要杀一下毒
4. 我的机子还在带毒工作,一会重启一下
______________________

木马病毒: Trojan.PSW.Linage.b
      初步估计是用于获取口令文件的木马,可能是键盘记录器,用于窃取某个网络游戏(应该就是天堂2,天堂2游戏的英文就是linage)的密码.

建议:
1. 断开网络
2. 彻底清除浏览器缓冲后重启PC.
3. 用最新杀毒程序打开智能深度杀毒.

     关于这个木马病毒:
通过google搜索,可以查到病毒作者"冰狐浪子"的信息 https://www.xfocus.net/bbs/index.php?lang=cn&act=Profile&do=03&MID=32635

      从上载的木马文件和时间等来看,攻击者是一个天文爱好者(不是天文爱好者的话,那看来我们的宣传已经很到位了),并且不懂hack技术,利用phpbb2.0.10已知的一个变量二次解析漏洞,提交了一串由国外某bugtrack网站发布的测试代码,添加了一个超级管理员ze3lock,并没有做进一步破坏.
      同时根据上载的文件发现这些都不是针对phpbb的程序,更有意思的是,作者基本上不懂linux结构(猜测).


_______以下内容与11月30日补充__________
木马利用的mhtml漏洞,即"mk:@MSITStore:"协议

弥补漏洞防止木马

修改本地安全属性,相应的注册表键值为:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
下的1004项的值由原来的0改为十六进制的3

或者去掉mhtml协议,相应的注册表键值为:
HKEY_CLASSES_ROOT\PROTOCOLS\Handler
把下面的“mhtml”删除或改名!

当然最好的办法是下载并安装相对应的IE补丁!

望天 发表于 2004-11-29 13:55

可是,我的机器还那样子啊~!

那个带毒文件 icyfox.js  还是出现在我的临时文件夹里,而且只要进主页就给我的机器按装一个叫“mk:@MSIT...”的插件,被上网助手屏蔽了。。

2EASY 发表于 2004-11-29 14:04

可是,我的机器还那样子啊~!

那个带毒文件 icyfox.js  还是出现在我的临时文件夹里,而且只要进主页就给我的机器按装一个叫“mk:@MSIT...”的插件,被上网助手屏蔽了。。
看我的建议,帖子刚修改过.

望天 发表于 2004-11-29 16:37

Re: 本次论坛遇袭非官方报告

:D

建议:
1. 断开网络
2. 彻底清除浏览器缓冲后重启PC.
3. 用最新杀毒程序打开智能深度杀毒.



照着做了,现在没事了呵呵






      添加了一个超级管理员ze3lock



嘿嘿。。他刚注册就当上管理员咧 ,还是“超级管理员”^^

pcet 发表于 2004-11-29 16:54

我今天一大早就挂坛子上了
但是没提示我有病毒呀?
用诺顿查了一遍也没找到
怎么回事?

望天 发表于 2004-11-29 17:12

不总发作可能

你再用木马专杀工具查查有没有木马

wlbx 发表于 2004-11-29 17:27

什么时候的事?昨天我正好忙,加上有台电脑坏了,几个月来就这么一天没上论坛。

望天 发表于 2004-11-29 17:31

就今天早晨的事,你的运气真好 。我一大早就开始又杀病毒又杀木马的折腾,折腾我一天了都

rjxie 发表于 2004-11-29 17:35

什么时候的事?昨天我正好忙,加上有台电脑坏了,几个月来就这么一天没上论坛。

:lol: 真是幸运的男孩 ^^

光谱 发表于 2004-11-29 17:38

我是早上8点发现的,给老大信息后才知道nngs早已经觉察了。

rjxie 发表于 2004-11-29 17:42

nngs兄就是厉害, ^^ 警觉地发现了黑客,就和时刻警视着恒星的光度变化一样 :lol:

光谱 发表于 2004-11-29 17:47

值得表彰,建议授勋 ^^

jupiter1186 发表于 2004-11-29 18:45

啊!什么时候有的病毒啊???我今天早晨没上,但昨天晚上上了~~~

2EASY 发表于 2004-11-29 18:51

建议11月28日中午到11月29日中午访问过论坛的朋友都杀一下木马.

mygod 发表于 2004-11-29 19:04

:shock:
去查~~~~

不过上网助手好像也是用了木马的技术的哦~~

jupiter1186 发表于 2004-11-29 20:10

我昨天晚上来过,但好象没有查出什么东西!

jupiter1186 发表于 2004-11-29 20:26

这个木马怎样体现出来的呢?比如在进程管理器中或哪个文件夹下?或者修改注册表?

禁止心跳 发表于 2004-11-29 20:28

不知道啊~!

:mrgreen: 今天查了`!什么也没有~!

光谱 发表于 2004-11-29 20:31

被发现时一般都在C:\Documents and Settings\USER\Local Settings\Temporary Internet FILES下。

我的对策是,马上用DOS启动,进入上述文件夹来个“DEL *.* ” :)

jiaobon 发表于 2004-11-29 22:44

我用FIREFOX 没有遭遇病毒骚扰 8)
页: [1] 2
查看完整版本: 本次论坛遇袭非官方报告