我的網站又被駭了...（改裝新版本系統..已經處理完畢了..）

shunxing

最近暑假快到了...
一堆駭客又出現了........
居然被植入釣魚網站...
已經盡量封鎖一些國外IP～～還是防不勝防阿.....

有常常在我聊天室掛網的..這幾天伺服器重新架設
請各位過幾天後再進去吧

shunxing

真慘....一下是國外的資安中心~~~~
一下是中華電信打電話來.....
剛剛發現的時候~~
是整各核心被駭客更改掉了...
而且..更利害的~~居然不用經過網頁伺服器...
可以直接從核心運行網頁系統...太強了吧...
連遠端監控系統也被裝進去了..
難怪最近一大堆遊戲網站被駭客侵入

shunxing

這問題上星期就發現了...
本來想說以處理掉相關的連接與發現到了後門系統...
沒想到~~~居然連核心也被更改掉..只能說現在的駭客太強了...

下面是中華電信的資訊
親愛的用戶您好：
    本公司接獲告知，您的電腦(IP位置211.20.147.40)FTTB:72Y214394疑似被駭客入侵
並架設以下的假網站(網站位址 http://minegame.net/a4907794/ )，目前正以網路釣魚手
法騙取他人信用卡等資料。另外，您的電腦亦可能被植入惡意後門程式，這類型
的後門可能會導致您的個人機密資料外洩以及被當成電腦犯罪之跳板等。為避免
衍伸出更嚴重的法律問題，本公司先將您這個IP流量予以阻擋，請您立即針對此
電腦主機進行處理。
   
    若您處理完畢請來電02-23442307告知機房人員，我們將立即解除阻擋。
不便之處，懇請海涵。

如果您未安裝任何防毒防駭軟體或是不清楚如何選購，HiNet SOC在這裡建議您前
往HiNet防毒防駭網站，提供您更多的選購資訊來防堵釣魚網站。

##########################################################
在收到中華電信的資訊之前....先收到下面這封

请注意,紧急邮件!

您好,

我代表澳大利亚 Westpac Banking Corporation
银行公司通知您,根据我们收集的情报,以下网址被用来非法获取我们的网上银行客户的登录信息和所有权限:

http://minegame.net/.301943765438638/


截至 22:43 20/06/2011 (澳大利亚东部时间),这(些)网址使用下列IP地址:

211.20.147.40


得知您负责协助消除网络诈骗和相应客户服务,因此,我们将非常感谢您及时采取下列措施:

1. 在下列地址中, 压缩任何与网络钓鱼和 (或) 诈骗有关的文件,并转发至 cdar@cdar.westpac.com.au
,协助我们对该诈骗活动做进一步的调查:
http://minegame.net/.301943765438638/
2. 立即关闭这些网站, 或者删除任何用于网络钓鱼和 (或) 诈骗的内容;
3. 检查所有其他可能被黑客侵入的计算机网络帐户, 确保它们没有保存相同或者类似的非法内容被再次使用;
4. 检查和修复任何安全漏洞, 防止黑客利用其进行网络钓鱼和 (或) 其他金融诈骗活动。

我们有充分的证据认定此网页的目的是为了非法获取网上银行客户的登录信息和所有权限,因此,我们保留付诸更进一步的法律协助的权利。

我们也已经通知澳大利亚联邦警察和澳大利亚计算机紧急事件处理组。如果此次事件没有得到迅速解决, 他们将采取更深入的调查。

请尽快通过电子邮件地址 cdar@cdar.westpac.com.au 通知我们此非法网站或内容已被关闭或删除。

如果您不负责处理这一事件,请转发至相关负责人 。

如果您想跟我们联系，请您把这个 "[CDAR #26617]"  放在电子邮件主题上。

谢谢您的合作。


此致,
敬礼

澳大利亚 Westpac Banking Corporation 银行公司
网络犯罪侦测,分析和反应特别组

###########################################################################

THIS IS AN URGENT MATTER

Hello,

I work for and represent Westpac Banking Corporation.
Please be advised that we have received reports of Phishing website(s) at
the following URL(s) being used to illegally obtain the login details of
Westpac Internet Banking customers:

http://minegame.net/.301943765438638/

As at 22:43 20/06/2011 (AEST) these URLs resolved to the IP address(es) of

211.20.147.40

for which you are listed as an abuse/support contact. We would greatly
appreciate your prompt assistance in:

1. Zipping any relevant files from the folders below and forwarding these
to cdar@cdar.westpac.com.au for investigation
http://minegame.net/.301943765438638/
2. Immediately shutting these sites down or removing the phishing related
material
3. Checking for other compromised web accounts on your servers which may
also contain the same files
4. Checking for and fixing any security vulnerabilities which may have
contributed to the creation of these phishing pages

We believe the purpose of this webpage is solely to commit fraud against
Internet Banking customers and in the absence of any response we reserve
the right to take this matter further. In case of the need for further
investigation the Australian Federal Police and AusCERT have also been
notified.

Please contact me as soon as possible via the email address
cdar@cdar.westpac.com.au to let me know when this site has been removed.

If you are not the correct person(s) to deal with this incident, please
forward this request to the appropriate person(s).

For tracking purposes please include "[CDAR #26617]" in the subject line
of any correspondence.

Regards,
Cybercrime Detection, Analysis and Response
Westpac Banking Corporation

hwj

應該是主機密碼被猜出

聊天室的發言字串
最好過濾特定文字
另外POST跟GET接收字串要區分清楚

shunxing

hwj 發表於 2011-6-21 10:38 AM static/image/common/back.gif
應該是主機密碼被猜出

聊天室的發言字串

其實~~~同樣的情況~~~3年前也發生過...
當時是有FTP這伺服器套件存在...
每次重灌~~~不用3天~~就被入侵了....
為了那問題~~~找了很久~~~
最後決定~~將沒有用的服務全關了~~
安裝的時候將沒用的套件全部都不加裝進去..
該關的服務全部都關閉了...
目前研判...這駭客應該是發現了核心漏洞..要不然就是HTTP的漏洞..
才會又發生三年前的事情...

最主要的是~~~那些網路攻擊...IP時常一段時間就會換..
而這些攻擊~~佔了一半幾乎都是在尋找主機漏洞的...
光是看LOG檔...密密麻麻一大片...
每星期看一次..找出該封鎖的IP..但~~還是防不了..
現在只能先裝新版的看看..
再不行～只好用2顆硬碟...發現出問題.馬上更換..另一顆再重灌..
要不然～真的防不勝防...

a471

順興大藏了啥國家機密?...怎麼那麼多人要入侵?

是總統府冷氣系統線路圖還是某戰鬥機上的線路圖..

雄爸爸

電氣工會重金聘請駭客高手
前來破壞順大的網路基地n_010|

bryan123tw

雄爸爸 發表於 2011-6-21 11:55 AM static/image/common/back.gif
電氣工會重金聘請駭客高手
前來破壞順大的網路基地

正解+1n_151|

shunxing

雄爸爸 發表於 2011-6-21 11:55 AM static/image/common/back.gif
電氣工會重金聘請駭客高手
前來破壞順大的網路基地

....順便植入釣魚網站系統嗎???...
一直在解不開~~~這後門與核心被修改的地方....
太久沒有碰LINUX的核心...幾乎都快忘光了
更慘的是..被修改後的資料～有的居然日期都沒有被變更過...
天阿~~這根本就找不到被更改後的資料阿.....

我還是乖乖的安裝新一代的系統好了...
把備份資料轉過去就好了...

dddkkkaaa

哦~~是LINUX
好幾年沒玩了
以前架過好幾次，最久紀錄好像是五年沒關/重開機，除了更新核心有重開
剛架站的時候有被黑過一次，那次之後都在注重安全性，這五年只有被黑過那一次
多一個對外服務就多一個風險，以前是把沒開放的SERVER PORT先在IPTABLES丟掉
有開放的部份就一個一個慢慢設慢慢開，畢竟~~SERVER 最重要的是安全性
那五年時間，剛開始是兩台舊電腦在玩，一台上線另一台測試跟找上線那台的BUG
有兩台LINUX的話比較能很快的發現哪個PORT有問題
大概第三年的時候變成三台，多出來的那台變成上線備用機
看來shunxing大的SERVER除了被黑了以外~還變成跳板機

剛想找以前免費測系統漏洞的網址，發現全沒了  嗚嗚
幫不上忙 抱歉了

shunxing

dddkkkaaa 發表於 2011-6-21 03:42 PM static/image/common/back.gif
哦~~是LINUX
好幾年沒玩了
以前架過好幾次，最久紀錄好像是五年沒關/重開機，除了更新核心有重開

測試漏洞的~~已經不準確了....
也只能說~~這些駭客太強了....
現在有新版本的LINUX~~
正在安裝新版本中~~
只不過～用新版本....一跳~~就好幾個等級～
有些東西都不知道還能不能用~~~
正在安裝中~~希望有些東西都有相容~~
新版的都是圖形介面~~因該是可以改回文字介面..
至少可以關掉不少服務功能

mike-ang

難怪今早會連不上去，還以為您把他收掉了，不幹了。

shunxing

mike-ang 發表於 2011-6-21 04:08 PM static/image/common/back.gif
難怪今早會連不上去，還以為您把他收掉了，不幹了。

正在安裝最新版本的LINUX~~~~
現在要重新瞭解整各系統運作~~~~
有點頭痛中~~~

dddkkkaaa

shunxing 發表於 2011-6-21 04:07 PM static/image/common/back.gif
測試漏洞的~~已經不準確了....
也只能說~~這些駭客太強了....
現在有新版本的LINUX~~

剛開始玩的時候，印象中是圖形介面剛出
裝了以後發現舊電腦速度太慢了，就改裝文字介面
第三台電腦加入的時候裝了圖形介面，發現有些功能上怪怪的
去看設定檔發現是大小寫的原因，所以後來都是用文字介面

記得換版本很複雜，光是編核心就要耗掉不少時間，設定還有新的跟取消的
只能說，加油~~被黑只是前進的踏腳石

s10274chen

呃！.....這可慘了.......
新的系統對於您的那些程式不就要....傷腦筋了。

saltbb

放個硬體ROUTER或防火牆在小烏龜後面再接到伺服器
所有PORT都鎖只開 80 PORT到網站那台電腦

開放軟體有好處也有壞處
大部分漏洞都是公開的，沒持續更新的主機反而很簡單被入侵

ethan42411

要記得常常更新系統啊:)

ttckmj

只能說大大你太紅了,你的電腦是不是有連到國土安全局那

逃兵

ttckmj 發表於 2011-6-21 06:47 PM static/image/common/back.gif
只能說大大你太紅了,你的電腦是不是有連到國土安全局那

您也不想想....他得罪了幾個公會？n_112|

labman

若可以的話，可否分享這次危機解除後，關於這次被駭能採取的防駭方式。
我也蠻怕被駭的...

shunxing

dddkkkaaa 發表於 2011-6-21 04:28 PM static/image/common/back.gif
剛開始玩的時候，印象中是圖形介面剛出
裝了以後發現舊電腦速度太慢了，就改裝文字介面
第三台電腦加入的 ...

CentOS 5.6
不錯用耶~~~~畫面超棒的....
而且硬體支援程度還滿高的
可用來當作是一般USER的文書作業系統
速度上算快了..比之前幾板的快很多

shunxing

saltbb 發表於 2011-6-21 05:20 PM static/image/common/back.gif
放個硬體ROUTER或防火牆在小烏龜後面再接到伺服器
所有PORT都鎖只開 80 PORT到網站那台電腦

硬體ROUTER或防火牆...有壞處....
連入的使用者IP都會被檔下來...無法紀錄...

hwj

有硬體防火牆會比較好~等級高一點~可以記錄~

shunxing

hwj 發表於 2011-6-21 10:04 PM static/image/common/back.gif
有硬體防火牆會比較好~等級高一點~可以記錄~

是沒錯...但要考慮到~~~我有郵件伺服器...
要不然我大可用簡易型的硬體防火牆~~
就可以檔掉一大堆不必要的困擾了

macross

太深奧了,插不上嘴,幫不上忙n_049|
good luckn_022|

carlos_liu

請問順大
被駭前所用的OS是那一板
我也很擔心資安的問題
目前我用的是CENTOS 5.3
看了你的狀況後
我馬上就先UPDATE了

lwang

下面~~這一些是我老闆的一些設備~~((偷照一下))




有缺我可以請朋友幫你找一找~~但要一些時間!!快2~3週
慢約2~3個月~~但設定我就不會了~~我在公司不是學那個的!!!

shunxing

carlos_liu 發表於 2011-6-22 12:39 AM static/image/common/back.gif
請問順大
被駭前所用的OS是那一板
我也很擔心資安的問題

我的版本？？？超過10年囉....

RH7.3版的.....

shunxing

lwang 發表於 2011-6-22 12:50 AM static/image/common/back.gif
下面~~這一些是我老闆的一些設備~~((偷照一下))

.....這些設備....
我手邊有好幾台～～～
都當垃圾都在旁邊.....

逃兵

lwang 發表於 2011-6-22 12:50 AM static/image/common/back.gif
下面~~這一些是我老闆的一些設備~~((偷照一下))

是說...這個年代用 cisco 2500 做什麼？
還在用數據專線嗎？