|
主題: 來自網路中心的一封警告,我的lifetype被利用了! 作者: mermaidz 於 十二月 22, 2006, 07:39:54 上午 之前學校跑LIFETYPE的主機在不明原因之下被教育局封鎖住後><
今天打開收信夾發現了一封來自教育局的信件讓我感到心驚肉跳 以下就是信件內容: 目前我是把tmp下面刪除乾淨了,尤其是authimage這裡 但是我還是不知道怎樣做會比較好如果有人看到是否可以建議一下 您好 問題處理完畢 請通知市網解除限制 市網中心 ----- Original Message ----- From: "流雲軒" <b94b02032@ntu.edu.tw> To: <security@tpedu.tcg.gov.tw> Sent: Thursday, December 14, 2006 5:25 PM Subject: Fw: Fraudulent site, please shut down! [RBC 1684]] > 已在區網鎖住處理好後請自行解開 > 台北區網中心 > 台大計資中心網路組 > 李 光 偉 2006/12/14 >辦公室電話 02-33665008手 機 0927067106電子郵件 edward@ntu.edu.tw > ----- Original Message ----- > From: "MOECC" <abuse@moe.edu.tw> > To: "ntu" <abuse@tp1rc.edu.tw> > Sent: Wednesday, December 13, 2006 1:51 PM > Subject: [Fwd: Fraudulent site, please shut down! [RBC 1684]] > > 您好: > > 此為網路釣魚頁面(檢舉信件如附件) http://class2.fuanps.tp.edu.tw/lifetype/tmp/authimage/10/.rcanda/http/non/rbunxcgi.php > > class2.fuanps.tp.edu.tw [163.21.217.4] 者: 未限制該IP對學術網路外的連線 由於Phishing程式嚴重性極大,請盡速處理,謝謝! > > 解決問題後請以電子郵件回覆所屬區域網路中心並副知本中心(abuse@moe.edu.tw) > > 處理情況.請填具"IP","處理情形",及"聯絡人員與方式",經測試通過後 ,我們將立即為您解除限制. > > 一般來說, 網頁被置換時,入侵者通常會留下其他的後門, 或者會修改您系統其他的設定檔, 造成其他的損害, 即使是專家也不一定 可以清除乾淨.所以我們建議您, > > 1. 備份這台主機上的資料檔案. > > 2. 將系統OS及全部的東西全部清乾淨重灌. > > 3. 更新所有的OS及service的patch. > > 4. 關閉系統不必要的 service 及 port. > > 5. 放回備份的資料檔案. 恢復服務. > > 當然可以再安裝簡易式的firewall會更好.最後記得定期檢查system log.這樣安全性可以提高許多. 也避免被當成攻擊的跳板.教育部電算中心敬上 > > > > 教育部電算中心 台灣學術網路管理管理帳號 : abuse@moe.edu.tw聯絡電話 : (02)87329008聯絡時間 : 08:30 ~ 17:30 尊敬的各位先生: Cyota 是一家反欺詐安全公司,在合同項下,幫助 Royal Bank of Canada(以下簡稱 RBC)及其相關組織 — 一家領先的加拿大銀行 — 來預防或終結企圖欺詐 RBC 的客戶的線上活動。 Cyota 現已瞭解到您似乎正在為某個欺詐性網站提供網際網路服務,該網站看來已成為“欺詐郵件”* 的一個組成部分。此行為侵犯了 RBC 的版權、注冊商標以及其他知識產權,也可能觸犯了加拿大、美國和其他國家的刑法。 假冒為 RBC 的個體或實體廣泛地將電子郵件消息發送給個人。這些電子郵件未經授權就使用了 RBC 的名稱和身份識別(包括注冊商標)。這些電子郵件要求接收者回復以核實並提交與其 RBC 銀行帳戶相關的敏感詳細資訊。 在欺詐電子郵件消息中有一個指向顯示 RBC 版權材料和注冊商標的欺詐網站的鏈結。欺詐網站的 URL(統一資源定位器)地址為 http://class2.fuanps.tp.edu.tw/lifetype/tmp/authimage/10/.rcanda/http/non/rbunxcgi.php),您提供了此服務並須對此負責。 此欺詐性網站不僅是對 RBC 知識產權的不合法使用;而且其目的也是以欺詐手段獲取 RBC 客戶的個人資訊以欺詐訪問其銀行帳戶。躲在那些網站背後的人具有典型的身份識別盜竊的犯罪行為,如使用未經客戶授權的信用卡或銀行帳戶。此外,由於所有電子郵件中的多半數尚未發送到實際 RBC 客戶,因此這些行為的實施損害了 RBC 的名譽和形象。 請立即採取所有必需的措施關閉欺詐網站,終止其鏈結到網際網路的可用性,並中斷任何與此網站相關的電子郵件的傳送。 我們瞭解您可能尚未意識到您對所提供服務的不當使用,謝謝您的合作。我們明確地希望您也採取下列措施: • 請您提供該站點源代碼的 tar/zip 壓縮檔,以便我們對其進行分析以防止今後的攻擊活動。 • 如果您在您的系統或設備中上捕獲到任何客戶資料,請您將資料發送給我們,以便我們可以通知相關的客戶並採取措施以保護他們的信用卡。 • 請提供任何你保留的顯示姓名、聯繫資訊、付款方式或類似資訊的記錄副本,這可能會幫助瞭解這些網站所面向客戶的身份和位置。 謝謝您對預防和終止此欺詐行為的合作。 恭祝愉快 Cyota 反欺詐指揮中心 電話: +44(0)800-032-7751(英國) 電話:+1-866-408-7525(美國) 傳真:+972-9-9728101(歐洲區) 傳真:+1-212-208-4644(美國區) 電子郵件: afcc@cyota.com <<mailto:afcc@cyota.com>> 聯繫中心:Royal Bank of Canada 塔瑪拉•範摩葛籣,RBC 法律團顧問 地址:安大略省多倫多市海灣街 200 號北塔 14 樓 M5J 2J5 電話:+1 - 416 974-3435 傳真:+1 - 416 974-2217 *“郵件欺詐”是一種電子郵件圈套,它通過使用虛假網站或回復電子郵件,誘騙客戶公佈自己的個人資訊:如信用卡或借記卡帳號、支票帳戶資訊、社會保險號或銀行帳戶密碼等。 主題: Re: 來自網路中心的一封警告,我的lifetype被利用了! 作者: james 於 十二月 22, 2006, 08:19:25 上午 Hi mermaidz:
請問你有安裝bad-behavior 2.0嗎? 另外請問你的authorimage權限設定為? 我猜這可能是因為權限設定不正確所導致. 因此建議你先檢查相關目錄的權限以策安全. (ps:以我的機器為例在tmp下的authorimage目錄權限應該是700 -->linux os) 給你參考一下囉 :-) James. 主題: Re: 來自網路中心的一封警告,我的lifetype被利用了! 作者: mermaidz 於 十二月 22, 2006, 10:31:11 上午 謝謝james建議,馬上去處理
主題: Re: 來自網路中心的一封警告,我的lifetype被利用了! 作者: lss 於 十二月 22, 2006, 08:31:48 下午 apache log 檔還在嗎?看看能不能找到 rbunxcgi.php 這個檔是怎麼放上去的?!
也許是 LifeType 有漏洞也說不定。如果是 LifeType 的漏洞,即使把 ./tmp 權限設成 700 ,owner apache ,還是會被入侵。看能不能找把 log 找出來一起研究看看。 lss 主題: Re: 來自網路中心的一封警告,我的lifetype被利用了! 作者: mermaidz 於 十二月 23, 2006, 02:03:22 下午 這個要等我週一到學校內才能調出log
收到這封信時候我也是嚇的冒冷汗... 擔心哪天還要被抓去加拿大吃官司嗎@@ 真是太恐怖了 對了這個是台大那邊鎖死我主機ip後讓我在家不能上去 又通知我這台IP會大量發信才發現的 希望不要有受害者...怕怕 主題: Re: 來自網路中心的一封警告,我的lifetype被利用了! 作者: hlps9999 於 十二月 24, 2006, 01:11:15 上午 這件事讓我想起快兩年前,當時在玩另一套部落格軟體,因為程式有漏洞,我又沒及時更新,結果也是被植入了釣魚網頁(好像是美國某銀行吧!)
當時也是小生怕怕的喔!當然啦!現在若再碰到,還是會怕啦! :'( 昨天才發現好久前試玩的phpbb2(早已廢棄多時沒在玩了),也因程式未更新被hack了替代網頁。 這年頭,資安真是個大問題。 主題: Re: 來自網路中心的一封警告,我的lifetype被利用了! 作者: mermaidz 於 十二月 24, 2006, 09:43:54 下午 在聖誕夜一查詢那台主機..
發現又被鎖住了耶@@ 犯案時間大都選在週日 難怪在7點左右台北市網整個是掛掉狀態(低語....兇手不是我兇手不是我) 明天就可以把LOG找出來給各位大大研究一下順便送一份去台大 25日早上 剛打電話去市網中心 他說是台大那邊掛了目前還在等他們開機復原@@ 這下我也搞不懂我到底哪邊出錯了呀..... apache log 在哪邊呢? var\log內只有 httpd-access.log httpd-error.log auth.log ppp.log 這些我覺得httpd-access.log httpd-error.log 這兩個會可以看到跡象 不過太久沒有清理檔案暴大7 800MB之前手賤砍掉了 後來又被封後的log大概就1 2mb大小 webmin的log跟這個無關 真不知道該看哪一個log的 httpd-access.log 下面我去反查了一下幾個ip都是怪怪的 大家可以放到自己的防火牆規則內 不過看來都是跳板吧... 這邊是利用了............> XXX.inktomisearch.com這個網路來的 我不太懂所以亂猜大概是有中毒的主機吧 限於版面所以貼上幾個^^ 這個是YAHOO的 74.6.68.208 - - [24/Dec/2006:19:04:30 +0800] "GET /gallery21/main.php?g2_view=core.UserAdmin&g2_subView=core.UserLogin&g2_return=main.php%3Fg2_itemId%3D1323&g2_returnName=%E7%85%A7%E7%89%87 HTTP/1.0" 200 3269 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 74.6.69.152 - - [24/Dec/2006:19:04:33 +0800] "GET /gallery21/main.php?g2_itemId=1332 HTTP/1.0" 200 5905 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 這個是GOOGLE的 66.249.66.68 - - [24/Dec/2006:05:33:50 +0800] "GET /lifetype/index.php?op=Default&page=3 HTTP/1.1" 200 29075 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" |