XiaoShen's BLOG-小神[FreeRxs]

Dec

阿江51.la被植入木马事件第一报道

小神专题报道 2005-12-16

以下是引用片段：
今天,接到信息报道,51la数据统计网站(阿江统计)被植入木马,导致很多采用51la统计的网站也被间接注入,影响极大.

该统计网站上的脚本被黑客种植恶意代码，利用IE浏览器的MHT漏洞种植CHM木马。如果用户使用的浏览器存在漏洞，在访问相关网站时就会感染一个传奇木马，感染后可能威胁到用户传奇游戏的帐号和密码。

如果没有打齐IE系统漏洞(特别是Exploit.MS0411这个漏洞补丁)的用户在12月15日早7点到10：30左右访问带有这个计数器的网站时就可能会感染一个传奇木马(动物家园已经在早上北京时间7:35分停掉统计,如果在此之前有访问的用户也注意下 ),检查方式:

Windopws 2000 系统用户请查找: C:\WINNT\system32\wstime.exe

Windows XP系统用户请查找: C:\Windows\system32\wstime.exe

病毒名字为：

毒霸：Win32.Troj.Mir2.ap.72898
诺顿：W32.Spybot.Worm
瑞星：Trojan.PSW.Lmir.izs
江民：Exploit.MhtRedir.wmm
如果有的话，请先结束这个进程，并删除。

这个病毒是www.51.la提供的网站计数器的服务器被黑客安上了木马造成的，个别网友可能会中上。

该脚本包含恶意代码，利用IE浏览器的MHT漏洞种植CHM木马。如果用户使用的浏览器存在漏洞，在12月15日早7点到10：30左右访问带有这个计数器的网站时就会感染一个传奇木马，感染后可能威胁到用户传奇游戏的帐号和密码。

动物家园反病毒斗士提醒大家,情注意打齐系统补丁,特别是IE浏览器的补丁,因近期被注入木马的网站很多，大部分是由IE漏洞导致的.

-----------------------------------------------------------号外报道：
在2005年10月7日ITSUN流量统计放了一个chm的文档，不过被伪装成lmhelp.txt。会释放一个叫fucksnow.exe的自解压包，大小84,480 字节。自解压包中含有两个文件，一个是带有“龙”图标的lmcq.exe，大小12,941字节，AVP和F-SECURE报为Trojan-PSW.Win32.Agent.cf；另一个是lmcs.exe，大小9,573 字节，FSG2.0加壳，AVP和F-SECURE报为Trojan-Downloader.Win32.Small.bqr的病毒。

-----------------------------------------------------------另附动物家园关于此次事件的内部调研信息：

动物家园反病毒斗士联盟通过途径联系上了此次事件有关负责人,发现此次事件可能是某些黑客有目的性的要黑金山服务器,发现金山服务器只有一个数据统计注入点,也就是51la统计,黑客通过51la论坛获取到论坛管理员阿江的密码,然后根据社会工程学顺利的进入到服务器,注入有关的木马病毒.次此问题是由于51la统计管理员的疏忽大意引起的,出现问题后,已经迅速在十几分钟内得以停止处理了.

--------------------------------------------------------------事件跟踪报道：
1、由于服务器被放了木马，51la统计紧急采取了措施，停掉所有统计，减低因此造成的影响。
2、51la统计全体工作人员加急处理有关服务器，紧急恢复统计中。（我们对此表示感谢）

已经恢复的统计服务器记录：
1215 19:10
102、2102、3102、4102、5102、35、2035、3035、4035、5035 恢复

1215 22:10
8、2008、3008、4008、5008 恢复

1215 22:41
4、2004、3004、12、2012、3012 恢复

1216 00:01
发现 8、2008、3008、4008、5008 有故障，检查ing

1216 00:08
已确认 8、2008、3008、4008、5008 又被重装系统，是员工误解我对临时IP地址的表达而导致的失误。统计系统需重建。

1216 01:02
2、2002、3002、4002、5002 恢复

1216 01:56
8、2008、3008、4008、5008 恢复

1216 02:43
15、2015、3015、18、2018、3018 恢复

1216 02:50
16、2016、3016 恢复

1216 11:26
103、2103、3103 恢复

1216 13:32
23、2023、3023 恢复

1216 13:48
1、2001、3001 恢复

1216 15:34
32、2032、3032、4032、5032 恢复

1216 15:52
20、2020、3020、4020、5020 恢复
---------------------------------------------------------补充：如何判断您位于哪台服务器

有两个办法可以查看您的统计所在的服务器。

http://www.kingzoo.com/bbs/read.php?tid=1860&page=1&toread=1

昨天晚上处理2号服务器的时候，意外发现有的服务器上可能安装有Radmin
现象是，任务栏有一个透明投标，鼠标指上去后显示IP，这是RA的特点
当时侵入者并没有恶意活动，一时又找不到RA安装在哪里，所以我想只要封闭了RA端口即可。
当时怀疑是以前解雇的机房值班人员干的（因为他们都知道服务器密码）

因为昨天处理了15、18、2号服务器，累得很，并不是所有的服务器都搞了。

大约半小时前，电话响起来，说被放马了，
立即起来，这时候我弟弟已经开始着手重传被修改的 S.ASP 了。我也立即加入这个行列。

处理过程中发现哪怕是昨天刚刚重装上架的2号服务器，S.ASP也被修改了。
从S.ASP的日期看，修改速度相当的快，所以我现在估计是入侵者已经掌握了FTP信息（所有的服务器FTP密码是一样的）。

因为怀疑服务器已经被掌握在入侵者手中，甚至程序中已经被植入了木马，
所以现在打算的解决方法是所有服务器系统重做，程序重传，JS文件重生。
如果侵入者不是仅仅知道了密码，而是掌握了一种我尚不知道的入侵方法，
也许上述方法会让他窃喜，不过现在只能暂时这样。

另外，所有统计服务器均将指向到临时服务器，原服务器全部关闭处理，计数将中止，同时统计数据将无法查看。

补充
还有另两种可能：

1、今天出现的病毒，我使用的诺顿并没有提示，也就是说我可能很早以前就中了入侵者的套，他们通过这个病毒来获取我所有服务器的登录信息也很有可能。

2、因为论坛服务器和统计服务器密码一样（3389和FTP密码都一样），所以估计他们通过论坛上传ASP木马，再用论坛空间的ASP权限获得论坛服务器信息，然后设法获得更多信息。

补充
通过论坛服务器入侵目前怀疑为最大可能。