首先告诉大家我们很幸运,尚未发现有数据丢失.
关于论坛bug的事情,我在11月21号左右和解坛主通电话的时候就和他说过,当时我请他安排个升级时间,本计划初步定于12月31日升级.
我11月20日例行访问phpbb.com获取支持信息时,发现网站18日已经发布了漏洞补丁,由于我实在很忙啊,所以没有及时调整程序装上补丁.
今天早上坛主来电话说,论坛可能有漏洞,有人利用漏洞给论坛装了木马.
然后经过我的鬼斧神工~~~(此处省略形容词约10000汉字搞定了.
下面总结一下:
1. 数据没有丢失(尚未发现丢失)
2. 修正很快,官方有解决方案
3. 中了木马的朋友要杀一下毒
4. 我的机子还在带毒工作,一会重启一下
______________________
木马病毒: Trojan.PSW.Linage.b
初步估计是用于获取口令文件的木马,可能是键盘记录器,用于窃取某个网络游戏(应该就是天堂2,天堂2游戏的英文就是linage)的密码.
建议:
1. 断开网络
2. 彻底清除浏览器缓冲后重启PC.
3. 用最新杀毒程序打开智能深度杀毒.
关于这个木马病毒:
通过google搜索,可以查到病毒作者"冰狐浪子"的信息 https://www.xfocus.net/bbs/index.php?lang=cn&act=Profile&do=03&MID=32635
从上载的木马文件和时间等来看,攻击者是一个天文爱好者(不是天文爱好者的话,那看来我们的宣传已经很到位了),并且不懂hack技术,利用phpbb2.0.10已知的一个变量二次解析漏洞,提交了一串由国外某bugtrack网站发布的测试代码,添加了一个超级管理员ze3lock,并没有做进一步破坏.
同时根据上载的文件发现这些都不是针对phpbb的程序,更有意思的是,作者基本上不懂linux结构(猜测).
_______以下内容与11月30日补充__________
木马利用的mhtml漏洞,即"mkMSITStore:"协议
弥补漏洞防止木马
修改本地安全属性,相应的注册表键值为:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
下的1004项的值由原来的0改为十六进制的3
或者去掉mhtml协议,相应的注册表键值为:
HKEY_CLASSES_ROOT\PROTOCOLS\Handler
把下面的“mhtml”删除或改名!
当然最好的办法是下载并安装相对应的IE补丁! |
|