http://www.tcfans.org瑞星2004查到有病毒,大家都查查看。 网上商城只有主页http://www.tcfans.org和http://www.tcfans.org/shop/index.asp这个地址有病毒,其他就没有,威胁到大家的安全啊
管理员去查一下吧,然后说明一下原因
http://www.tcfans.org
瑞星2004查到有病毒,大家都查查看。 网上商城只有主页http://www.tcfans.org和http://www.tcfans.org/shop/index.asp这个地址有病毒,其他就没有,威胁到大家的安全啊
管理员去查一下吧,然后说明一下原因
花哥怎么了......
快去检查一下吧.......
我的瑞星2005也发现啦!!~
出现以上问题的原因初步判断是网站受到黑客攻击,现在病毒问题已经排除。
黑客攻击过程经过倒推描述如下:
12月18日
约上午10点开始,一名位于山东省济南市的黑客A(IP为60.232.1.107)开始攻击本站。
利用本站网上商城图片上传系统的漏洞,上传了文件木马先导文件newaa.asp
随后,通过通过此文件上传了木马“Asp站长助手6.0”。
此后通过上传了cmd.exe文件并执行。
于此同时,约10点45分左右,另一名位于湖北省武汉市的黑客B(IP为221.232.102.27)利用黑客A上传的“Asp站长助手6.0”进入本站服务器。
可能是因为一些功能上的原因,其不是很习惯“Asp站长助手6.0”,所以上传了“海阳顶端网ASP木马@2005正式版”。
通过这个木马,他浏览了服务器上面的硬盘目录。
在Program file目录下发现serv-U后,可能对serv-U的用户进行了一些修改为自己创建了特殊执行权限。
黑客A于13点30分结束攻击,黑客B于12点结束攻击。
12月19日
早上7点36分,位于广西南宁市(IP为220.173.19.60)的黑客C对本站发起第三次攻击。
本次攻击的主要方法是通过上传木马“我爱fangjia”,篡改本站的首页和商城首页。
篡改的主要内容为植入病毒页面h ttp://www.fifa365.com/hy/mm.htm
这个病毒就是上面车友提到的病毒,其主要利用ie漏洞对系统进行攻击,具体作用还不明确。
攻击于7点45分结束,看来手法比较熟练。
12月24日
位于湖北省/河南省(IP为211.98.106.47)的黑客D发于14点45分发起第四次攻击。
手法类似于黑客A,上传的新木马为“海阳顶端网ASP木马@2005版”
并对本站web页面存放目录进行了一些查看和修改。
攻击于15点结束。
我的一些个人分析:
1. 排除使用代理的因素,那么黑客至少为4人,为集团作案。
并且所使用的手段(所熟悉的木马)和攻击方式也不尽相同。
2. 攻击目的暂时还不明确,但是从已知的IP来源看来可能有如下两种情况:
a. 首次攻击来自山东济南,可能和济南车友有一定联系,黑客可能是其熟人。
b. 第三次攻击目的植入病毒造成访问本站的会员中毒,可见其目的并非单纯为盗取本站已有资源。
可能的其他目的为让访问本站的用户发现中毒后不再访问本站,以此消弱本站的人气等。
3. 访问了植入的木马页面所在的服务器:http://www.fifa365.com/hy,发现其中有被黑的字样,无法正常访问,故判断其也为受害者。
黑客C破坏了fifa365却没有破坏本站,而只是有意图让访问本站的会员中毒,说明2点:
a. 黑客C攻击本站的目的和攻击其他网站不同,可能是指使人的要求不同。
b. 黑客C至少攻击过2个站点,因此和轨道车无关人员(受雇)所为的可能性比较大。
3. 黑客攻击中使用了cmd命令等非web攻击手段,故目前对服务器所造成的破坏究竟有多大不得而知。
若在服务器上留下3389之类的后门,不知道服务器的防火墙是否足够抵挡。
但是其在可以删除自己破坏记录的情况下没有删除记录,说明其手段并非最高明。
而接下来会受到何重攻击也不得而知。
以上仅仅是个人分析。
下面谈一下对策:
本站会采取的对策有:
1. 每天的信息备份;
2. 对病毒的检查;
3. 向公安局报案。
建议会员所做的有:
1. 通过ie-菜单中的“工具”->windows update将自己的系统升级到最新,以防止网上可能的恶意代码利用你系统的漏洞攻击。
2. 修改个人密码(联盟会员尤其注意)为新密码。
呵呵,碰到黑客攻击还真好玩,小花也难得做回福尔摩斯。
就当是免费帮自己找系统漏洞了,外面做这样的事情还要花钱请人哦
总之大家放心就是了,小花的水平害人不行,防人还是足够的!
既然是木马病毒.....
我们自己的帐号密码应该不会有什么问题吧......
黑客上传了木马用于控制服务器上的资源,并非病毒,不会传播到用户的机器上。
用户所看到的病毒是因为黑客修改了页面文件加入了一些恶意代码。
这些代码仅对比较老的系统产生影响,现在已经去除,但是还是建议用户升级。
因为系统采用了加密算法,我都不知道你们的密码是什么,所以还原密码的可能性不大。
但是不排除暴力破解的可能。
如果发现原来的密码不能登陆,那请及时提出。
大家快改密码了~~
小花加油~~
真刺激~~第一次碰到跟自己有关系的网站被攻击~
刺激~~
支持小花~~跟他干到底
a. 首次攻击来自山东济南,可能和济南车友有一定联系,黑客可能是其熟人。
小花~你最后说的熟人~~很让我愤怒~~~
反面来说~为什么怎么多省份的车友会攻击你的网站?
这说明什么?
黑客攻击多使用代理,多个人在多地组成团队进行攻击的情况也不占少数
IP变化并不能说明什么。
说很有可能和济南车友有联系,是因为第一次攻击使用代理的概率相对较低。
这个时候黑客仅仅在试探性地查找漏洞,需要比较高的网络速度。
也不要把攻击的帽子扣在车友头上,因为根据我手头掌握的资料来看,
本次攻击中的某些手段之高级,是目前国内还没有被查到的,并且有关部门已向我证实。
鉴于本站在搜索引擎上被找到的概率不高,所以我把它定性为是知道本站的车友的熟人(黑客)所为之。
为什么会有人攻击,现在我可以负责地告诉你,我这里掌握的材料可以让攻击者进监狱。
鉴于目前公安部门还在取证,所以暂缓公布。
轨道车的魅力太大了
为了看一些图片不惜走向犯罪的道路
牛掰啊
高手~!花哥,加油~!
高手啊
小花做我师傅好吗
我的QQ226820762
我又做了个BBS但是不知道怎样防御那些黑客攻击
你是怎么知道他们的攻击方式的?
如果管理员的帐号被倒了之后怎样?
还有很多的问题想请教你
请你做我师傅吧
呵呵,这次比赛我别的没见识到,就见识到小花的电脑技术和照相技术,真是厉害~~~佩服的很~~~大家虚心学习吧,呵呵
抱歉,这里是轨道车论坛诶,什么时候变成讨论电脑技术了,呵呵。
公开攻击过程仅仅是出于对其他车友负责。
因为报案时间已经半年,对此事作进一步交代,也提醒车友注意不要上当。
黑客的主要目的是窃取网上商店的银行密码。
作案方法是利用浏览器漏洞在访问者电脑上执行一段小程序。
这个小程序在用户电脑上的HOST文件中增加一条mybank.icbc.com.cn的记录。
这样可以让用户每次输入这个地址想访问工商银行网上银行的时候都转到黑客所指定的服务器上。
这个服务器的页面和真的工商银行一样,这样用户就会以为是真银行而输入卡号和密码。
这样黑客就知道的用户网上银行的密码,可以随时划帐了。
这种手法的高明之处是不需要使用前段时间广为报道的采用加域名这样的低级手段。
同时黑客又黑了一台服务器,在上面以图片的形式存放了这个木马程序的配置文件。
以后假银行如果搬家,修改配置文件就可以让以前所有被黑的电脑再次转到假银行。
因此小花觉得这样处心积虑的攻击手段,并非一般车友所能做到。
又因为各大搜索引擎都不会直接搜索到本站的网上商城,所以推断是车友介绍黑客为之。
当时已经向工商银行技术部门汇报了这个情况,他们表示目前为止还没有接到过类似技术的举报。
仅仅在www.yxzone.com这个网站上有一篇类似手法的教学提示。
现在工商银行已经对网上银行进行了一些调整,但是还请各位车友在使用的时候注意辨认真假银行。
此次时间不是简单的偷取网站资料的行为,而是涉嫌金融诈骗,也请曾经攻击过本站的黑客好自为知。
至于怎么知道攻击方式,需要很多的电脑技巧和判断经验。
冰冻三尺,也非一日之寒。
还是平时多留个心眼,注意密码的保护,不会有坏处。
恩,小花所的盗窃方法,我在电视上有看过,不过仔细看网站的地址,会与正式的不一样。谢谢小花最后的提醒,我想我们每个人在网络中应该多一份心眼,防止被骗!
玩轨道车之余还可以学习一下电脑知识不好吗?
搞一个电脑技术区还好哈哈
小花我想问一下你
我之前搞了一个论坛不知道什么时候我的管理员帐号的权限用不了
只可以上去看东西
还发现多了另一个管理员出来
我想我应该被黑了
如果它把所有的管理员都删除掉
我又没有备份那还有没有办法救
电脑可以学,只是这个东西比轨道车要深奥很多,在这里讨论不合适。
你自己搞得论坛自己用FTP下载数据库恢复你的权限即可。
只要是你“自己搞”的,就会有办法的。