Google
 

星期六, 6月 16, 2007

1^LIBraBBGvB8i 是啥鬼阿 XD

本來星期五是一個星期當中最爽的一天,但是為了 1^LIBraBBGvB8i 整到賽到,故事是這樣的:
昨天下午幫 Bobby 慶生(現在離昨天也才過了 18 分鐘 @@),吃吃喝喝,講完成語接龍後我繼續搞定 Mail Server,當中還陪小咪玩耍一下,整個作業流程到設定完 MRTG 後,差不多就可以告一段落了,檢視 MRTG 圖表後發現,網頁的左上角有一串 1^LIBraBBGvB8i 開頭的奇怪符號,想說我是不是設定錯誤,頭昏眼花貼了什麼鬼字串到網頁裡,檢查了半天,什麼也沒發現。依照我的慣例應該要追根究底徹查清楚,但是已經晚上八點多,不想再跟它耗下去,於是整個 MRTG 的設定過程再重新來過,但結果還是一樣 @@
已經接近沒有思考能力的狀態,想說就只是一堆鬼串,應該還好,於是收拾書包,準備回家,下樓時 Bobby 還在辦公室,順道請他幫我看看用他的電腦瀏覽有沒有問題,結果還是一樣,且每一頁的網頁都是一樣的狀況,然而檢查網頁內容,卻都沒有發現那鬼字串,開始懷疑是不是 Apache 出了問題 ...
翻翻 log 也沒有什麼異狀,Server 該不會被黑了吧?
看看學校其他的網站,連我的碩士論文系統也遭殃:

Exchange 的 Web 也掛彩:

MyTMU 也難逃一劫:

學校的門面也被蹂躪:

見鬼了,難道學校所有的機器都被黑?同時駭掉 Linux, Windows, Apache, IIS,也會免太厲害了吧?
然而從 Server 的 tcpdump 和流量管控系統都查不出所以然,最後一招問問 Google 吧!發現有非常多了人遇到這樣的問題,但是從第一頁翻到最後,也沒看到有解答!頂多就是抓到某人中毒,經處理已解決,沒有什麼建設性的解決方案 XD
正當一籌莫展之際,發現用有線網路瀏覽網頁會出現那鬼字串,但是用無線網路卻不會 @@
難道是同一個網段有人中毒、中木馬?
Google 搜尋的結果,有人說是 IE7 的問題,但是我用 MacOSX + Firefox 和 Safari 也都會有同樣的狀況,這 ... 到底是啥鬼阿?!
接著 Bobby 嘗試從 Client 端用 tcpdump 端抓 Server 傳過來的封包,但是卻發現一堆 arp-reply ......
突然靈光一現(晚上吃飯時出現過的成語),他聯想到原因可能是有人一直宣稱他是 10.1.1.254(Gateway),於是開始找 Gateway 的 Mac Address,由自己的電腦上看到的(紅色框框):

接著去 Switch 上面看,發現 Gateway 的 Mac Address 不是那組(抓到了喔!)。
繼續找那組假 Gateway 的 Mac Address 是接在 Switch 的哪個 Port 上,找到 Port 後,繼續找網點,由於看不懂當初大樓的施工平面圖,索性一個個網孔慢慢找,還好學校小,馬上就找到了,拔掉那臺出問題電腦的網路線後,再檢查一下 arp table,真正的 Gateway 出現了(綠色框框)。

雖然不是 Server 被黑,但也夠嗆的了,比較嚴重的是,最近有在 4F, 5F 用有線網路的上網的人,因為所有的連線全部都先經過那臺有問題的電腦,資料如果沒有加密,應該都可能被看光光了,因此建議大家趕快把密碼都改改吧 XD

本來好好地過一個愉快的小週末,卻被這鬼字串糟蹋了,不過還好有那亂亂的字串出現,不然也很難發現出了問題。想必這是 Bobby 最難忘的生日吧?

PS: 我今天本來可以早回家的,為了陪 Bobby 過生日,結果跟他一起共患難,不知道他有沒有感動得痛哭流涕?(嘿嘿,又是一句成語)

Happy Birthday 啦!!

7 則留言:

匿名 提到...

最慘的狀況是...

萬一有人被偷走的帳號密碼有管理者權限,那相關機器就有可能被埋後門了。之後曾經到相關機器輸入帳號密碼的使用者可能又會被偷權限...
這樣一路推算下去,天啊,那不是全校所以機器都要重灌、全校所有人都要換密碼?如果那麼糟的話,我想我就「生不逢時」(?)、「走投無路」了。

眼前至少要做的是:4F 5F 的使用者,都要換密碼,「死馬當活馬醫」、「盡人事聽天命」、「聊表心意」。

藍小熊 提到...

明明昨天弄得很晚,今天卻「聞雞起舞」,感覺跟上班日沒有什麼兩樣。

我猜 Bobby 可能又是四點起來煮紅豆了吧?

趕快來把密碼都改改吧,但要怎麼改呢?真傷腦筋 @@

Unknown 提到...

找出有問題的user,把他抓去關!殺雞儆猴,大家才會注意自身電腦的安全!
喔呵呵~

匿名 提到...

把我關起來吧~

是我沒管好我的電腦...

我要給各位大爺磕頭...><~

藍小熊 提到...

這個病毒是 Infostealer.Perfwo.B,
根據 Symantec 的資料:

Infostealer.Perfwo.B is a Trojan horse that steals sensitive information from the compromised computer.

我比較不明白的是,為什麼 Symantec 給這隻病毒的等級 Damage Level: Low,明明就很危險阿 XD

話說為什麼 Hades 有裝 Norton 卻還是中標?這要請他說清楚講明白了 ......

Reference:
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-112313-1713-99

匿名 提到...

因為...老實說我也不知道...

不過最近有很多機會出借電腦...大概就是病毒的來源...

奇怪的是Norton為啥沒發現,我檔案及時防護有開說....

可是手動掃就掃的出來,但是清不掉,後來我是用Linux幹掉了那些檔案...

Unknown 提到...
網誌管理員已經移除這則留言。