我的網站也被殖入病毒><" Help!!! - 第5頁

domainplayer · #41 2007-08-05, 02:03 PM

我在資安論壇上詳細的把事情說了一遍:
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=12793

大家可以上去看看...
懇求各位大大幫忙.

dale · #42 2007-08-05, 03:18 PM

聽起來有點像是 iframe injection。

但首先必須分清楚究竟是站上出問題還是 domainplayer 兄的電腦出問題。就算是新下載的掃瞄軟體也不能信任。建議先在 safe mode with Internet connectivity 下利用線上軟體檢查一次。可以考慮 BitDefender、Panda Software ActiveScan、Trend Micro HouseCall 等網站。

如果這樣還查不到問題，再考慮請 server management 公司來看看，ConfigServer 聽說很不錯。

p.s. 是用 cPanel 嗎？

888 · #43 2007-08-05, 03:44 PM

我用 IE6 上 taipei.info 第一次有相同的畫面移位, 第二次之後顯示正常. 但病毒軟體沒有警告.

是 Linux 的伺服器嗎? 建議用 sysresccd.org 的光盤起動, 跑 chkrootkit 一次 (check root kit).

domainplayer · #44 2007-08-05, 06:20 PM

引用:

作者: dale

p.s. 是用 cPanel 嗎？

Yes,
是用cPanel.

domainplayer · #45 2007-08-05, 06:25 PM

我剛剛又發現,
除了上述的兩個網站外,
我之前還有在我空間內架設一個留言板 ( http://www.bazaar.info/guestbook/display.php ),
結果剛剛跑到那邊一看....
還是一樣出現了和taipei.info相同的症狀 (這個畫中只有留言板部分是架在我的主機,其它HTML部分都不是在我主機內):

所以看起來,架在那空間中的php都受到了影響...
是不是運行所有php的什麼部分被竄改了?
這要去查什麼地方呢?......

感激不盡.....

Ricado · #46 2007-08-05, 06:50 PM

檢查看看有沒有多出來的檔案，例如 index.htm, index.html

或是比較

http://taipei.info/index.htm

http://taipei.info/index.php 有什麼不同的結果

多試幾次，有時候使用 index.htm 是可以通的，而且藏有 script 。

建議既然預設首頁是 index.php ，可以把 index.htm 等不相干的停用或是將優先順序排到後面。

另外目前 http://taipei.bazaar.info 還是可以通，可以先停掉嗎？

domainplayer · #47 2007-08-05, 07:22 PM

引用:

作者: Ricado

檢查看看有沒有多出來的檔案，例如 index.htm, index.html

或是比較

http://taipei.info/index.htm

http://taipei.info/index.php 有什麼不同的結果

多試幾次，有時候使用 index.htm 是可以通的，而且藏有 script 。

建議既然預設首頁是 index.php ，可以把 index.htm 等不相干的停用或是將優先順序排到後面。

另外目前 http://taipei.bazaar.info 還是可以通，可以先停掉嗎？

我查過了,
taipei.info的資料夾內,和index.php同一目錄下沒有其它叫index.html或index.htm的檔案.
而且這支程式的資料夾裡,
都沒有最近被新增或改過的檔案.

我覺得既然是所有php都出問題,應該不太可能是被一個一個竄改,因為這三支程式的性質都不一樣,
我從未同時把它們貼在某個地方過....
我想如果在同一空間內,再架設新的php程式, 應該還是會出現一樣的狀況,
對了,順便一提,這樣的情況並不是只有index.php,
假如我一開始進入的不是index.php,而是同一支程式的其它任何部分,
都會出現如上圖那樣的情況,
而且這種情況在重新整理後都會消失.

Ricado · #48 2007-08-05, 07:49 PM

光由這個畫面是沒辦法確認是否中毒，因為
Microsoft Vector Graphics Rendering(VML) 是一個讓你可以在網頁中讀取向量圖的元件。

去年被發現這個元件有漏洞，記得沒錯10月就已經補起來了。

問題是，利用 Script 分析，常常可以偵測到一些奇怪的 script ，而且每次都不大一樣。

哈啦 · #49 2007-08-05, 09:59 PM

剛才我又去看了一次，結果又出現了上述的怪事，而且一樣，我再次reload就又沒有了。我將有出現和沒出現警語的原始碼都copy下來，初步發現，有出現警語的可能是這段文字造成的：

引用:

而在沒有出現警語的原始碼則沒有這行文字，只有如下：

引用:

而它既然是存取本機的'ivzqm.js'，因此如果本機上沒有這個玩意，就應該不會造成什麼危險，畢竟它不是src=http://....別處去下載什麼東西。
我這樣說對嗎？

dale · #50 2007-08-05, 10:10 PM

引用:

作者: domainplayer

Yes,
是用cPanel.

唔，那很可能是了，前陣子開始有 cPanel 相關的 iframe injection 攻擊。可否煩請參考一下這兩個網址：
‧http://forums.cpanel.net/showthread.php?t=62821
‧http://isc.sans.org/diary.html?storyid=3015

（我是用 Plesk，跟 cPanel 不熟。^^"）