全球首个论坛病毒被截获 国内数万论坛将面临劫难 (1人在浏览)

[半个人]

【快讯】12月22日，瑞星全球反病毒监测网率先截获一个专门攻击网上论坛的蠕虫病毒，并命名为“论坛杀手（Net-Worm.Perl.Santy.a）”。瑞星反病毒专家蔡骏介绍说，这是全球第一个专门攻击网络论坛的病毒，它利用一种使用广泛的论坛程序PHPBB的漏洞进行传播，因此感染速度非常快，论坛被攻击后很多资料会丢失。

瑞星技术部门的分析表明，“论坛杀手”会用“viewtopic.php”当关键词在GOOGLE引擎上进行搜索，然后攻击搜索到的论坛。如果这些论坛存在漏洞则会被病毒侵入，所有的网页文件和脚本文件都被病毒替换掉，当用户再访问这些论坛时，就会看到错误提示：“This site is defaced!!! NeverEverNoSanity WebWorm generation”。

“以前黑客们往往会利用程序漏洞攻击网上论坛，窃取用户资料。而‘论坛杀手’把这种攻击自动化了，从搜索存在漏洞的论坛，到实施攻击都由病毒自动完成，因此受害者数量会大大增加。”蔡骏说，目前病毒在GOOGLE可以搜索到的中文网络论坛至少有数万个，这些论坛都将是“论坛杀手”病毒的潜在攻击目标。

 

[李东润]

可怕！！

 

[半个人]

对本论坛无效，呵呵。
本论坛程序，PHP和数据库都基本跟官方同步。相关已知的脚本漏洞和数据库注入漏洞都经过了严密的测试，服务器进行过强悍的安全权限配置。
国内著名的安全焦点(xfocus)论坛也是用IPB程序。

这里给出phpBB 2.x & PHP 4.3.9 unserialize()漏洞解决方案
1：立即停用服务器上的phpMyAdmin,或将phpMyAdmin改为比较隐藏路径。因为通过此漏洞一般都可以读出PHP程序连接mysql数据库存的服用户名或密码
2:修改mysql的配置文件/etc/my.cf文件，在[msyqld]一节加上bind-address=127.0.0.1;作用为msyql数据库将只允许本机连接，3306只在127.0.0.1上监听。防止攻击者用其他软件远程连接服务器的3306
3，将PHP升级为4.3.10
如果您是用RPM包安装的或是在装系统时集成安装的，不想重新编译PHP的话这里给出一个简单的办法，将一个编译好的PHP4.3.10的 libphp4.so文件覆盖/etc/httpd/modules/libphp4.so，这样你的PHP就升级了，你可以用phpinfo()来测式一下。这里提供这个文件的下载
http://bbs.xplore.bbs/libphp4.so
md5sum:48e8ad2600d755cca9b7a92d47e1357c