QQ登录

只需一步,快速开始

本次论坛遇袭非官方报告

[复制链接]
2EASY 发表于 2004-11-29 13:42 | 显示全部楼层 |阅读模式 来自: 中国–湖北–武汉 鹏博士宽带

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?加入牧夫(请注明天文爱好者,否则无法通过审核,请勿使用gmail/outlook/aol/icloud邮箱注册)

×
首先告诉大家我们很幸运,尚未发现有数据丢失.

     关于论坛bug的事情,我在11月21号左右和解坛主通电话的时候就和他说过,当时我请他安排个升级时间,本计划初步定于12月31日升级.

      我11月20日例行访问phpbb.com获取支持信息时,发现网站18日已经发布了漏洞补丁,由于我实在很忙啊,所以没有及时调整程序装上补丁.

      今天早上坛主来电话说,论坛可能有漏洞,有人利用漏洞给论坛装了木马.

      然后经过我的鬼斧神工~~~(此处省略形容词约10000汉字搞定了.

下面总结一下:
1. 数据没有丢失(尚未发现丢失)
2. 修正很快,官方有解决方案
3. 中了木马的朋友要杀一下毒
4. 我的机子还在带毒工作,一会重启一下
______________________

木马病毒: Trojan.PSW.Linage.b
      初步估计是用于获取口令文件的木马,可能是键盘记录器,用于窃取某个网络游戏(应该就是天堂2,天堂2游戏的英文就是linage)的密码.

建议:
1. 断开网络
2. 彻底清除浏览器缓冲后重启PC.
3. 用最新杀毒程序打开智能深度杀毒.

     关于这个木马病毒:
通过google搜索,可以查到病毒作者"冰狐浪子"的信息 https://www.xfocus.net/bbs/index.php?lang=cn&act=Profile&do=03&MID=32635

      从上载的木马文件和时间等来看,攻击者是一个天文爱好者(不是天文爱好者的话,那看来我们的宣传已经很到位了),并且不懂hack技术,利用phpbb2.0.10已知的一个变量二次解析漏洞,提交了一串由国外某bugtrack网站发布的测试代码,添加了一个超级管理员ze3lock,并没有做进一步破坏.
      同时根据上载的文件发现这些都不是针对phpbb的程序,更有意思的是,作者基本上不懂linux结构(猜测).


_______以下内容与11月30日补充__________
木马利用的mhtml漏洞,即"mkMSITStore:"协议

弥补漏洞防止木马

修改本地安全属性,相应的注册表键值为:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
下的1004项的值由原来的0改为十六进制的3

或者去掉mhtml协议,相应的注册表键值为:
HKEY_CLASSES_ROOT\PROTOCOLS\Handler
把下面的“mhtml”删除或改名!

当然最好的办法是下载并安装相对应的IE补丁!
望天 发表于 2004-11-29 13:55 | 显示全部楼层 来自: 中国–内蒙古–通辽 中移铁通
可是,我的机器还那样子啊~!

那个带毒文件 icyfox.js  还是出现在我的临时文件夹里,而且只要进主页就给我的机器按装一个叫“mkMSIT...”的插件,被上网助手屏蔽了。。
回复 顶~ 砸~

使用道具 举报

 楼主| 2EASY 发表于 2004-11-29 14:04 | 显示全部楼层 来自: 中国–湖北–武汉 鹏博士宽带
[quote:57896d5b2c="望天"]可是,我的机器还那样子啊~!

那个带毒文件 icyfox.js  还是出现在我的临时文件夹里,而且只要进主页就给我的机器按装一个叫“mkMSIT...”的插件,被上网助手屏蔽了。。[/quote]
看我的建议,帖子刚修改过.
回复 顶~ 砸~

使用道具 举报

望天 发表于 2004-11-29 16:37 | 显示全部楼层 来自: 中国–内蒙古–通辽 中移铁通

Re: 本次论坛遇袭非官方报告

[quote:9d65a0ec88="2EASY"]

建议:
1. 断开网络
2. 彻底清除浏览器缓冲后重启PC.
3. 用最新杀毒程序打开智能深度杀毒.

[/quote]

照着做了,现在没事了呵呵




[quote:9d65a0ec88="2EASY"]

      添加了一个超级管理员ze3lock

[/quote]

嘿嘿。。他刚注册就当上管理员咧 ,还是“超级管理员”^^ [/quote]
回复 顶~ 砸~

使用道具 举报

pcet 发表于 2004-11-29 16:54 | 显示全部楼层 来自: 中国–广东–湛江 电信/(吴川/霞山)
我今天一大早就挂坛子上了
但是没提示我有病毒呀?
用诺顿查了一遍也没找到
怎么回事?
回复 顶~ 砸~

使用道具 举报

望天 发表于 2004-11-29 17:12 | 显示全部楼层 来自: 中国–内蒙古–通辽 中移铁通
不总发作可能

你再用木马专杀工具查查有没有木马
回复 顶~ 砸~

使用道具 举报

wlbx 发表于 2004-11-29 17:27 | 显示全部楼层 来自: 中国–广西–柳州–柳北区 电信
什么时候的事?昨天我正好忙,加上有台电脑坏了,几个月来就这么一天没上论坛。
回复 顶~ 砸~

使用道具 举报

望天 发表于 2004-11-29 17:31 | 显示全部楼层 来自: 中国–内蒙古–通辽 中移铁通
就今天早晨的事,你的运气真好 。我一大早就开始又杀病毒又杀木马的折腾,折腾我一天了都
回复 顶~ 砸~

使用道具 举报

rjxie 发表于 2004-11-29 17:35 | 显示全部楼层 来自: 中国–辽宁–大连 联通/华为公司
[quote:8acbcdf2a7="wlbx"]什么时候的事?昨天我正好忙,加上有台电脑坏了,几个月来就这么一天没上论坛。[/quote]

: 真是幸运的男孩 ^^
回复 顶~ 砸~

使用道具 举报

光谱 发表于 2004-11-29 17:38 | 显示全部楼层 来自: 中国–河北–保定 联通
我是早上8点发现的,给老大信息后才知道nngs早已经觉察了。
回复 顶~ 砸~

使用道具 举报

rjxie 发表于 2004-11-29 17:42 | 显示全部楼层 来自: 中国–辽宁–大连 联通/华为公司
nngs兄就是厉害, ^^ 警觉地发现了黑客,就和时刻警视着恒星的光度变化一样 :
回复 顶~ 砸~

使用道具 举报

光谱 发表于 2004-11-29 17:47 | 显示全部楼层 来自: 中国–河北–保定 联通
值得表彰,建议授勋 ^^
回复 顶~ 砸~

使用道具 举报

jupiter1186 发表于 2004-11-29 18:45 | 显示全部楼层 来自: 中国–天津–天津–南开区 联通
啊!什么时候有的病毒啊???我今天早晨没上,但昨天晚上上了~~~
回复 顶~ 砸~

使用道具 举报

 楼主| 2EASY 发表于 2004-11-29 18:51 | 显示全部楼层 来自: 中国–湖北–武汉 鹏博士宽带
建议11月28日中午到11月29日中午访问过论坛的朋友都杀一下木马.
回复 顶~ 砸~

使用道具 举报

mygod 发表于 2004-11-29 19:04 | 显示全部楼层 来自: 中国–广东–广州–番禺区 电信
:shock:
去查~~~~

不过上网助手好像也是用了木马的技术的哦~~
回复 顶~ 砸~

使用道具 举报

jupiter1186 发表于 2004-11-29 20:10 | 显示全部楼层 来自: 中国–天津–天津–南开区 联通
我昨天晚上来过,但好象没有查出什么东西!
回复 顶~ 砸~

使用道具 举报

jupiter1186 发表于 2004-11-29 20:26 | 显示全部楼层 来自: 中国–天津–天津–南开区 联通
这个木马怎样体现出来的呢?比如在进程管理器中或哪个文件夹下?或者修改注册表?
回复 顶~ 砸~

使用道具 举报

禁止心跳 发表于 2004-11-29 20:28 | 显示全部楼层 来自: 中国–辽宁–辽阳 电信
不知道啊~!

:mrgreen: 今天查了`!什么也没有~!
回复 顶~ 砸~

使用道具 举报

光谱 发表于 2004-11-29 20:31 | 显示全部楼层 来自: 中国–河北–保定 联通
被发现时一般都在C:\Documents and Settings\USER\Local Settings\Temporary Internet FILES下。

我的对策是,马上用DOS启动,进入上述文件夹来个“DEL *.* ”
回复 顶~ 砸~

使用道具 举报

jiaobon 发表于 2004-11-29 22:44 | 显示全部楼层 来自: 中国–天津–天津–河西区 联通
我用FIREFOX 没有遭遇病毒骚扰 8)
回复 顶~ 砸~

使用道具 举报

本版积分规则

APP下載|手机版|爱牧夫天文淘宝店|牧夫天文网 ( 公安备案号21021102000967 )|网站地图|辽ICP备19018387号

GMT+8, 2024-12-23 14:43 , Processed in 0.094888 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表