• 论坛网址:https://db2.mom(可微信分享)、https://0668.es、https://0668.cc(全加密访问)

全球首个论坛病毒被截获 国内数万论坛将面临劫难 (1人在浏览)

半个人

荣誉坛主
荣誉会员
注册
2004-08-16
帖子
7,441
反馈评分
65
点数
71
【快讯】12月22日,瑞星全球反病毒监测网率先截获一个专门攻击网上论坛的蠕虫病毒,并命名为“论坛杀手(Net-Worm.Perl.Santy.a)”。瑞星反病毒专家蔡骏介绍说,这是全球第一个专门攻击网络论坛的病毒,它利用一种使用广泛的论坛程序PHPBB的漏洞进行传播,因此感染速度非常快,论坛被攻击后很多资料会丢失。

瑞星技术部门的分析表明,“论坛杀手”会用“viewtopic.php”当关键词在GOOGLE引擎上进行搜索,然后攻击搜索到的论坛。如果这些论坛存在漏洞则会被病毒侵入,所有的网页文件和脚本文件都被病毒替换掉,当用户再访问这些论坛时,就会看到错误提示:“This site is defaced!!! NeverEverNoSanity WebWorm generation”。

“以前黑客们往往会利用程序漏洞攻击网上论坛,窃取用户资料。而‘论坛杀手’把这种攻击自动化了,从搜索存在漏洞的论坛,到实施攻击都由病毒自动完成,因此受害者数量会大大增加。”蔡骏说,目前病毒在GOOGLE可以搜索到的中文网络论坛至少有数万个,这些论坛都将是“论坛杀手”病毒的潜在攻击目标。
 
对本论坛无效,呵呵。
本论坛程序,PHP和数据库都基本跟官方同步。相关已知的脚本漏洞和数据库注入漏洞都经过了严密的测试,服务器进行过强悍的安全权限配置。
国内著名的安全焦点(xfocus)论坛也是用IPB程序。

这里给出phpBB 2.x & PHP 4.3.9 unserialize()漏洞解决方案
1:立即停用服务器上的phpMyAdmin,或将phpMyAdmin改为比较隐藏路径。因为通过此漏洞一般都可以读出PHP程序连接mysql数据库存的服用户名或密码
2:修改mysql的配置文件/etc/my.cf文件,在[msyqld]一节加上bind-address=127.0.0.1;作用为msyql数据库将只允许本机连接,3306只在127.0.0.1上监听。防止攻击者用其他软件远程连接服务器的3306
3,将PHP升级为4.3.10
如果您是用RPM包安装的或是在装系统时集成安装的,不想重新编译PHP的话这里给出一个简单的办法,将一个编译好的PHP4.3.10的 libphp4.so文件覆盖/etc/httpd/modules/libphp4.so,这样你的PHP就升级了,你可以用phpinfo()来测式一下。这里提供这个文件的下载
http://bbs.xplore.bbs/libphp4.so
md5sum:48e8ad2600d755cca9b7a92d47e1357c
 

正在浏览此帖子的用户

后退
顶部