2005-12-15 18:20:36 by: h4x0r
国内最大的统计系统-51啦-被入侵,被挂马
转自:Neeao's blog
转载请注明!谢谢!
国内最大的统计系统-51啦-被入侵,统计系统被挂马,现统计系统已停止服务!来自新浪网消息:
金山毒霸官网成病毒传播源 公安部门已介入
江民2006版却提示网站有病毒
该统计网站上的脚本包含恶意代码
【eNet硅谷动力消息】12月15日,记者接到有网友举报,他在进入金山毒霸网站首页时,杀毒软件竟然报出毒霸网站带有病毒。记者随后拨通了这位网友的电话。
该网友称,他在一家医药公司工作,是一个名副其实的防病毒爱好者。自己有时间
就会上几家安全厂商的网站了解新闻动态。今天八点半到单位后他照例打开了金山杀毒的网站,可是他新安装的江民2006版却提示网站有病毒。
他本以为这只是个意外,但重新进入多次后都出现了这一情况。他立即将这一“奇怪”的现象通过金山在线服务提交。同时与江民公司联系是否江民2006出现了问题,在经过江民工程师的检验之后,对病毒进行了“确诊”。
据悉,被直接种植病毒的不是金山毒霸网站,而是网站首页引用的访问计数统计网站51.la。该统计网站上的脚本包含恶意代码,利用IE浏览器的MHT漏洞种植CHM木马。如果用户使用的浏览器存在漏洞,在访问毒霸首页时就会感染一个传奇木马,感染后可能威胁到用户传奇游戏的帐号和密码。
PS:哈哈,我早就预料到了.没想到此人动作非常快..在此之前我就发现2ting.net和多家音乐网站被人挂了盗传奇号的木马,也是通过CHM木马传播的.大家要小心喔.......至于是谁挂的马,我就不说了,免得惹一身骚!
Comments Feed: http://www.4evil.org/feed.asp?q=comment&id=371
转载请注明!谢谢!
国内最大的统计系统-51啦-被入侵,统计系统被挂马,现统计系统已停止服务!
Quote
引用至 阿江
昨天晚上处理2号服务器的时候,意外发现有的服务器上可能安装有Radmin
现象是,任务栏有一个透明投标,鼠标指上去后显示IP,这是RA的特点
当时侵入者并没有恶意活动,一时又找不到RA安装在哪里,所以我想只要封闭了RA端口即可。
当时怀疑是以前解雇的机房值班人员干的(因为他们都知道服务器密码)
因为昨天处理了15、18、2号服务器,累得很,并不是所有的服务器都搞了。
大约半小时前,电话响起来,说被放马了,
立即起来,这时候我弟弟已经开始着手重传被修改的 S.ASP 了。我也立即加入这个行列。
处理过程中发现哪怕是昨天刚刚重装上架的2号服务器,S.ASP也被修改了。
从S.ASP的日期看,修改速度相当的快,所以我现在估计是入侵者已经掌握了FTP信息(所有的服务器FTP密码是一样的)。
因为怀疑服务器已经被掌握在入侵者手中,甚至程序中已经被植入了木马,
所以现在打算的解决方法是所有服务器系统重做,程序重传,JS文件重生。
如果侵入者不是仅仅知道了密码,而是掌握了一种我尚不知道的入侵方法,
也许上述方法会让他窃喜,不过现在只能暂时这样。
另外,所有统计服务器均将指向到临时服务器,原服务器全部关闭处理,计数将中止,同时统计数据将无法查看。
补充
还有另两种可能:
1、今天出现的病毒,我使用的诺顿并没有提示,也就是说我可能很早以前就中了入侵者的套,他们通过这个病毒来获取我所有服务器的登录信息也很有可能。
2、因为论坛服务器和统计服务器密码一样(3389和FTP密码都一样),所以估计他们通过论坛上传ASP木马,再用论坛空间的ASP权限获得论坛服务器信息,然后设法获得更多信息。
补充
通过论坛服务器入侵目前怀疑为最大可能。
昨天晚上处理2号服务器的时候,意外发现有的服务器上可能安装有Radmin
现象是,任务栏有一个透明投标,鼠标指上去后显示IP,这是RA的特点
当时侵入者并没有恶意活动,一时又找不到RA安装在哪里,所以我想只要封闭了RA端口即可。
当时怀疑是以前解雇的机房值班人员干的(因为他们都知道服务器密码)
因为昨天处理了15、18、2号服务器,累得很,并不是所有的服务器都搞了。
大约半小时前,电话响起来,说被放马了,
立即起来,这时候我弟弟已经开始着手重传被修改的 S.ASP 了。我也立即加入这个行列。
处理过程中发现哪怕是昨天刚刚重装上架的2号服务器,S.ASP也被修改了。
从S.ASP的日期看,修改速度相当的快,所以我现在估计是入侵者已经掌握了FTP信息(所有的服务器FTP密码是一样的)。
因为怀疑服务器已经被掌握在入侵者手中,甚至程序中已经被植入了木马,
所以现在打算的解决方法是所有服务器系统重做,程序重传,JS文件重生。
如果侵入者不是仅仅知道了密码,而是掌握了一种我尚不知道的入侵方法,
也许上述方法会让他窃喜,不过现在只能暂时这样。
另外,所有统计服务器均将指向到临时服务器,原服务器全部关闭处理,计数将中止,同时统计数据将无法查看。
补充
还有另两种可能:
1、今天出现的病毒,我使用的诺顿并没有提示,也就是说我可能很早以前就中了入侵者的套,他们通过这个病毒来获取我所有服务器的登录信息也很有可能。
2、因为论坛服务器和统计服务器密码一样(3389和FTP密码都一样),所以估计他们通过论坛上传ASP木马,再用论坛空间的ASP权限获得论坛服务器信息,然后设法获得更多信息。
补充
通过论坛服务器入侵目前怀疑为最大可能。
金山毒霸官网成病毒传播源 公安部门已介入
江民2006版却提示网站有病毒
该统计网站上的脚本包含恶意代码
【eNet硅谷动力消息】12月15日,记者接到有网友举报,他在进入金山毒霸网站首页时,杀毒软件竟然报出毒霸网站带有病毒。记者随后拨通了这位网友的电话。
该网友称,他在一家医药公司工作,是一个名副其实的防病毒爱好者。自己有时间
就会上几家安全厂商的网站了解新闻动态。今天八点半到单位后他照例打开了金山杀毒的网站,可是他新安装的江民2006版却提示网站有病毒。
他本以为这只是个意外,但重新进入多次后都出现了这一情况。他立即将这一“奇怪”的现象通过金山在线服务提交。同时与江民公司联系是否江民2006出现了问题,在经过江民工程师的检验之后,对病毒进行了“确诊”。
据悉,被直接种植病毒的不是金山毒霸网站,而是网站首页引用的访问计数统计网站51.la。该统计网站上的脚本包含恶意代码,利用IE浏览器的MHT漏洞种植CHM木马。如果用户使用的浏览器存在漏洞,在访问毒霸首页时就会感染一个传奇木马,感染后可能威胁到用户传奇游戏的帐号和密码。
PS:哈哈,我早就预料到了.没想到此人动作非常快..在此之前我就发现2ting.net和多家音乐网站被人挂了盗传奇号的木马,也是通过CHM木马传播的.大家要小心喔.......至于是谁挂的马,我就不说了,免得惹一身骚!
[Last Modified By h4x0r, at 2007-02-19 21:17:36]
Comments Feed: http://www.4evil.org/feed.asp?q=comment&id=371
不过我看不懂的了。。
Powered by (狼Ъèi
DZ开源啊。51用的DZ啊。。。哦。。。。诶。。。汗