病毒

假若各位使用者對於E-Offoce網站有"任何意見、問題"時,皆可在此發表.例如:申請版主、開立新板、功能測試、提供技術文章等等

版主: E-Office小組

分享到: Facebook

病毒

文章benwu » 週三 8月 15, 2012 11:06 am

進首頁時一直有病毒的警告....
我不是大吳老師,也不是小吳老師,我是Ben老師
我的部落格
http://eportfolio.fju.edu.tw/053792
頭像
benwu
資管系教師
 
文章: 645
註冊時間: 週二 4月 20, 2004 4:17 pm
來自: 輔大資管系

Re:病毒

文章Paddy » 週一 8月 20, 2012 8:04 am

老師,
是瀏覽器的警告,還是本機防毒軟體的警告?

我瀏覽eOffice 都沒出現類似的警告耶?
請問有其他人有看到類似的訊息嗎?
頭像
Paddy
總版主
 
文章: 891
註冊時間: 週一 3月 01, 2004 7:20 pm
來自: NewOrleans

Re:病毒

文章albert.chen » 週三 8月 29, 2012 10:42 pm

老師,
我檢查過後發現index.php被植入了以下片段程式碼:
代碼: 選擇全部
<?php eval(base64_decode('JGlwPn0=...中間省略'));?>

我經驗不太足夠,不知道該從哪裡下手
目前已先將上面程式碼移除,並在主機加裝防毒軟體,再繼續觀察看看
頭像
albert.chen
漸有心得的高中生
 
文章: 155
註冊時間: 週五 6月 10, 2011 12:17 pm

Re:病毒

文章benwu » 週日 9月 02, 2012 9:32 pm

目前看來ok....
我不是大吳老師,也不是小吳老師,我是Ben老師
我的部落格
http://eportfolio.fju.edu.tw/053792
頭像
benwu
資管系教師
 
文章: 645
註冊時間: 週二 4月 20, 2004 4:17 pm
來自: 輔大資管系

Re:病毒

文章XO » 週二 10月 16, 2012 5:42 pm

昨天進來時還好好的... 剛剛下午再進來 EO 時,又面臨上回這個狀況...
稍作了下功課... PhpBB 的首頁 index.php 的第一行被植入如下內容:

代碼: 選擇全部
<?php eval(gzinflate(base64_decode('AJ4GYflpZi ... (餘恕刪)


移除該行後,恢復正常。

網路上這篇文章可以參考一下:

Cannot modify header information error

若不是有該機器管理者權限進入編輯該檔案的話,就是系統已經被入侵!
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5307
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章XO » 週三 10月 17, 2012 10:28 am

昨晚回到家又發現相同的異樣... index.php 被植入相同那一行...

檢視 檔案修改時間 還是停留在 之前六點多 我編輯該檔案那會兒...

觀看事件檢視器 發現 光賢 6/25 重灌 Win2008 Server 之後沒多久 6/30 起,
一直有一台自稱 a 的機器幾乎每隔十來秒,就會嘗試登入,總是失敗就是...

應該不是人為入侵登入竄改的。

該不會是論壇 或是 Apache 伺服器被植入了一些破壞性的病毒腳本?!
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5307
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章albert.chen » 週四 10月 18, 2012 11:37 am

老師:
經過base64 code解碼後,他大概長得像這個樣子:
代碼: 選擇全部
aif (!isset($ftl)){ global $ftl;$ftl=1;
      error_reporting(0);
      if(!preg_match('#bot|spider|crawl|slurp|yandex#i', $_SERVER['HTTP_USER_AGENT'])){
      print(gzinflate(base64_decode(又是另一段code')));
      }
}

只是又包在裡面的code再解碼一次會變成亂碼解不出來 :shock:
目前index.php和viewtopic.php已設為readonly
後來發現phpmyadmin內的index,php也受到感染
還不知道是透過哪種方式感染這些檔案
但他應該是自動化的程序
會再找看看有沒有工具能對所有PHP程式碼掃描比對
找看看有沒有留下後門或其他感染檔案

另外,非常抱歉之前答應要幫老師升級PHPBB到現在還沒有進一步的動作@@
會再抽出時間幫老師完成升級
頭像
albert.chen
漸有心得的高中生
 
文章: 155
註冊時間: 週五 6月 10, 2011 12:17 pm

Re:病毒

文章XO » 週四 10月 18, 2012 3:52 pm

光賢呀!不要有壓力!課業為先!
很感謝有你這義工... (老站長 Paddy 遠赴米國學英語去了... 就不知道連回來方便否?)

我還沒讓兒子進場... (他現在比我還忙 ^o^)
曾經考慮過要不要乾脆換成 Discuss 系統,這樣與 Micro Duo (微剋多) 以兒子在維護的幾個站
都用一樣的系統好維護。

可是擔心本站多年精華會付之一炬...

BTW, 前幾天我也是只想出暫時把 index.php 設成唯讀,這幾天就沒再發生問題了!
咱們且走且瞧囉~~~ E-Office 成員裡還有誰有這熱血願意擔任志工的呀? ^o^
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5307
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章benwu » 週三 1月 02, 2013 8:47 am

eoffice居然被firefox標為有害網站....
http://safebrowsing.clients.google.com/ ... /index.php
我不是大吳老師,也不是小吳老師,我是Ben老師
我的部落格
http://eportfolio.fju.edu.tw/053792
頭像
benwu
資管系教師
 
文章: 645
註冊時間: 週二 4月 20, 2004 4:17 pm
來自: 輔大資管系

Re:病毒

文章albert.chen » 週四 1月 03, 2013 12:00 am

使用Google的網站管理工具查詢發現有幾筆回報為惡意的網址
但我目前還找不出有那裡不對勁
已經先將之前備份的乾淨檔案覆蓋上去並向Google重新申請審查
圖檔
附加檔案
499401516_0102_1.JPG
(67.56 KiB) 被下載 13 次
頭像
albert.chen
漸有心得的高中生
 
文章: 155
註冊時間: 週五 6月 10, 2011 12:17 pm

Re:病毒

文章albert.chen » 週四 1月 03, 2013 12:04 pm

已通過Google檢查,沒有再偵測到惡意軟體
圖檔
附加檔案
499401516_0103_1.JPG
(37.43 KiB) 被下載 13 次
頭像
albert.chen
漸有心得的高中生
 
文章: 155
註冊時間: 週五 6月 10, 2011 12:17 pm

Re:病毒

文章Paddy » 週四 1月 03, 2013 4:22 pm

albert.chen 寫:已通過Google檢查,沒有再偵測到惡意軟體
圖檔


我現在才發現原來後續還有這麼多問題@@
目前我應該有時間來幫忙處理 ^_^
頭像
Paddy
總版主
 
文章: 891
註冊時間: 週一 3月 01, 2004 7:20 pm
來自: NewOrleans

Re:病毒

文章thunderlight » 週四 1月 03, 2013 5:21 pm

使用norton防毒進入時也被阻擋,被標示為惡意
thunderlight
懷疑的國中生
 
文章: 39
註冊時間: 週二 9月 11, 2012 1:30 pm
來自: TW

Re:病毒

文章korprulu » 週五 1月 04, 2013 1:33 am

我也遇到了,albert.chen辛苦了,不過要導正一下不正確的觀念,server上裝一般的防毒軟體(如大家熟悉的小紅傘、卡巴、norton)是一點用都沒有的,那只是純粹消耗記憶體而已。一般的防毒軟體是設計給個人電腦用,也沒有聽過有給server用的防毒軟體,因為個人電腦的運作模式與server不同。

個人電腦運作模式是主動的,就如我正在敲鍵盤打這篇文章,你使用滑鼠瀏覽這篇文章,所有的行為都是由使用者自主操作產生,防毒軟體被設計成幫使用者把關,當使用者操作電腦時,一分析到有可疑的事件發生,就進行阻擋或警告,例如有惡意軟體被安裝、使用者進入惡意網頁、或者開啟惡意郵件等,所以注意到一點的就是,這所有都是由使用者的行為產生,所以中毒是由於沒有養成良好的資訊安全使用習慣導致,電腦擺在那邊什麼都沒有做是幾乎不會中毒的(當然要養成良好的資訊安全習慣並不容易,所以防毒的市場才這麼大)。這邊說"幾乎",是因為也還是有可能中毒,這就跟server的模式有關了,是被入侵所導致。

server的行為模式是被動的,正如你架了一個網站,要有人來拜訪這網頁,也就是向server要求資源時才會處理工作,server本身並不會自己主動連上網去做些什麼你不知道的事情,除非管理員拿server來上網,當然這也是非常不安全的行為。因此在這情況下,防毒軟體是無用武之地,因為防毒軟體不可能去監視一個已被允許的程序,用另一個例子來說,就像你在電腦上打開LOL,防毒就問允不允許執行,你按允許後,防毒就將LOL這條程序就被視為安全的。所以在server上裝防毒,啟動並允許如tomcat,之後防毒不就沒他的事了,就只是在那邊消耗記憶體罷了。再者,如albert.chen發現的被插入程式碼,這對防毒來說並不是不正常,因為防毒程式不是程式碼分析器,對他來說那都是正常的程式碼。

因此,server被入侵與有無防毒軟體一點都沒有關係,可能原因一是server security policy沒有規劃好,二是程式本身的漏洞。

    檢查防火牆,server的防火牆應該要用白名單(white list),只允許80和管理要遠端登入的port,必要的時候也可以改掉。
    使用最低權限的角色來執行網站程式,限制網站程式可使用的主機資源。
    最後就是注意是否有安全性的patch更新,因為網站不是自己寫的,就只能靠注意相關消息了,因為很多時候網站被入侵是設計瑕疵所導致。
korprulu
懷疑的國中生
 
文章: 64
註冊時間: 週六 10月 04, 2008 4:33 am

Re:病毒

文章korprulu » 週五 1月 04, 2013 1:38 am

有留原始檔案嗎?有的話要比對很快

albert.chen 寫:老師:
經過base64 code解碼後,他大概長得像這個樣子:
代碼: 選擇全部
aif (!isset($ftl)){ global $ftl;$ftl=1;
      error_reporting(0);
      if(!preg_match('#bot|spider|crawl|slurp|yandex#i', $_SERVER['HTTP_USER_AGENT'])){
      print(gzinflate(base64_decode(又是另一段code')));
      }
}

只是又包在裡面的code再解碼一次會變成亂碼解不出來 :shock:
目前index.php和viewtopic.php已設為readonly
後來發現phpmyadmin內的index,php也受到感染
還不知道是透過哪種方式感染這些檔案
但他應該是自動化的程序
會再找看看有沒有工具能對所有PHP程式碼掃描比對
找看看有沒有留下後門或其他感染檔案

另外,非常抱歉之前答應要幫老師升級PHPBB到現在還沒有進一步的動作@@
會再抽出時間幫老師完成升級
korprulu
懷疑的國中生
 
文章: 64
註冊時間: 週六 10月 04, 2008 4:33 am

Re:病毒

文章copyleft » 週五 1月 04, 2013 9:43 am

可以用這個工具解:
http://ddecode.com/phpdecoder/
頭像
copyleft
E-Office 小組
 
文章: 1006
註冊時間: 週六 8月 07, 2004 11:27 am
來自: Taiwan

Re:病毒

文章benwu » 週一 1月 14, 2013 3:02 pm

再次遇到「這個在 eoffice.im.fju.edu.tw 的網頁已被回報為有害網頁,依據您所選擇的安全設定予以封鎖。」的問題了....
我不是大吳老師,也不是小吳老師,我是Ben老師
我的部落格
http://eportfolio.fju.edu.tw/053792
頭像
benwu
資管系教師
 
文章: 645
註冊時間: 週二 4月 20, 2004 4:17 pm
來自: 輔大資管系

Re:病毒

文章XO » 週二 1月 15, 2013 11:51 am

有點兒弔詭的是...

只有 Google Chrome 會抱怨!
用 IE、Firefox 都 OK 耶~~~

Knock, knock! Paddy! are you there?
Gily, Discus 系統有遇過這種狀況嗎?

Help!
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5307
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章XO » 週二 1月 15, 2013 11:59 am

嗯! 用 Firefox 貼了樓上那一篇 ...
結果跳出如下畫面: (看來是 http://eoffice.im.fju.edu.tw/phpbb/posting.php 這一頁面被植入了啥吧?)

圖檔

但是抱怨歸抱怨... PO 文還是成功了!
這一篇我試著用 IE PO 出的。

(補述:用 IE PO 完此文,完全沒有任何告警。)
附加檔案
MalwareEO20130115.png
用 Firefox 在 EO PO 文後,遭到告警
(101.34 KiB) 被下載 2 次
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5307
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章XO » 週二 1月 15, 2013 12:08 pm

點選 為甚麼要封鎖此網頁 得到如下資訊:

圖檔
附加檔案
MalwareEO20130115-1.png
Google 對 EO 的告警
(120.31 KiB) 被下載 4 次
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5307
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

下一頁

回到 站務討論版

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 1 位訪客

cron