Chinaunix

标题: 关于挂马事件的原因说明 [打印本页]

作者: fanqiang 时间: 2008-07-21 10:52
标题: 关于挂马事件的原因说明
关于周未CU网站被挂马的事情，从目前我们检查的情况来看，是CU所托管的机房其它客户的服务器被攻击，导致电信网段的网络问题，有可能是ARP盗用产生网络劫持，也就是CU网站数据在网络传输过程中，被指向错误的网关地址（真正中毒的机器）后加上了恶意代码

本次受影响的主要是电信用户，我们在知道此事后立即解决了问题。并且已经让机房处理此事，同时，我们也已经将相关服务器的IP绑定网关MAC地址，尽量杜绝类似事件再次发生

我们为选择机房不慎导致大家受到伤害感到非常的抱歉！

这次是电信网段被劫持，我们(网通网段)是在今天上班看到网友的反映帖子才知道情况，并在第一时间解决了问题，但这也暴露了我们周未无人值守的问题，我们一定会改进这方面的工作，并将于近期公布一个24小时故障举报电话，以便能及时接收到大家的反馈意见

相信CU在大家的帮助下，一定能顺利解决各种突发事件的，再次感谢大家！

作者: 一岁就很坏 时间: 2008-07-21 10:55
o,酱紫.

[ 本帖最后由一岁就很坏于 2008-7-21 10:57 编辑 ]

作者: 枫影谁用了 时间: 2008-07-21 11:00
CU 送给我好多木马啊

作者: knighter 时间: 2008-07-21 11:02

原帖由 枫影谁用了 于 2008-7-21 11:00 发表
CU 送给我好多木马啊

同，要求补偿

http://bbs.chinaunix.net/thread-1218525-1-1.html

作者: fanqiang 时间: 2008-07-21 11:06
页面数据在传送的网络途中被劫持了，我们也很郁闷

作者: 我爱钓鱼 时间: 2008-07-21 11:07
建议自己在hosts文件中把cu的IP写进去。。

作者: knighter 时间: 2008-07-21 11:10

原帖由 fanqiang 于 2008-7-21 11:06 发表
页面数据在传送的网络途中被劫持了，我们也很郁闷

近两个周末都出事，CU管理层够累的

作者: 小把戏 时间: 2008-07-21 11:11
标题: 回复 #7 knighter 的帖子

是不是你干的

作者: 1017of 时间: 2008-07-21 11:12
乖，不哭

作者: 胶林探索 时间: 2008-07-21 11:15
我直接抓网页，没见劫持，只是firefox收不到正常的数据。

作者: 无碍自在 时间: 2008-07-21 11:16
还好偶可爱的360帮偶挡住了木马

作者: 寂寞烈火 时间: 2008-07-21 11:25
倒没发现木马, 就是CUHI不能发布日志了, 没人管

作者: Godbach 时间: 2008-07-21 11:45
树大招风啊

作者: 日灰 时间: 2008-07-21 12:10

原帖由 Godbach 于 2008-7-21 11:45 发表
树大招风啊

作者: root@China 时间: 2008-07-21 12:27

作者: galaxywar 时间: 2008-07-21 12:28
我一打开网页卡巴就报错，还好没中招。

作者: yueliangdao0608 时间: 2008-07-21 12:46
没事，我有诺顿！

作者: cugb_cat 时间: 2008-07-21 13:17
还好，我用Linux+ff

偶啥都没发现

作者: 袋鼠 时间: 2008-07-21 13:23
裸奔的人路过。。。。。。。。。。。。。。。。。。。。

作者: 1017of 时间: 2008-07-21 13:38

原帖由袋鼠于 2008-7-21 13:23 发表
裸奔的人路过。。。。。。。。。。。。。。。。。。。。

作者: prolj 时间: 2008-07-21 13:41
Opera on Linux不知道发生了什么

作者: yubuqin 时间: 2008-07-21 13:49
还好偶昨天没来

作者: logicBaby 时间: 2008-07-21 14:01
昨天早上来CU，小红伞就不停的跳，打开任何页面都跳，报告有HEUR/HTML.Malware和JS/Dldr.Multi.CG
于是，就找了下，从登录框loginbox.php的代码里找到些东东……
CU出这种事，非常吃惊，还好fan老大已经排除问题~~ :wink:

7-20_1.JPG (158.63 KB, 下载次数: 21)

7-20_2.JPG (162.31 KB, 下载次数: 20)

7-20_3.JPG (69.75 KB, 下载次数: 22)

7-21今天.JPG (58.59 KB, 下载次数: 21)

作者: simonzh 时间: 2008-07-21 14:17
原来是这个原因，导致我昨天上网看到网页都是乱码！

作者: E-baby 时间: 2008-07-21 14:38
还好，我是网通的用户

作者: wdbj 时间: 2008-07-21 14:48
看样子周末上网害处无穷啊，多亏我从来不在休息时间上网

作者: songpure520 时间: 2008-07-21 15:11
偶用火狐打开时乱码，以为是火狐兼容性不好，再用IE打开也一样，俺是裸奔者，自己检查了进程和连接，没有发现非法的，所以我想我应该没中招

作者: linux_admin 时间: 2008-07-21 15:26
害的我重做系统了

作者: gaussong 时间: 2008-07-21 15:31
哦……
原来是这个原因的。

想不到IDC里面也出现了ARP之类的攻击的。

作者: wp0926 时间: 2008-07-21 16:32
将相关服务器的IP绑定网关MAC地址

怎么怎么来操作?
arp -s ??

作者: ren76ren 时间: 2008-07-21 16:36
是这样啊网通没事

作者: folboy 时间: 2008-07-21 16:37
http://bbs.chinaunix.net/thread-1218495-1-1.html

我是天才

作者: hao_开心 时间: 2008-07-21 16:37
还有这事

作者: 小Ring仙 时间: 2008-07-21 16:43

解决了就好~~

作者: ipaddr 时间: 2008-07-21 17:19
我猜到了是ARP攻击，我服务器也碰到过一次，绑MAC-IP就应该没问题。

现在很多机房有这问题。

作者: iricyan 时间: 2008-07-21 17:45
雇我值班吧.

作者: tyc611 时间: 2008-07-21 18:16
我说昨天咋没事呢，原来不是电信用户

作者: 7717060 时间: 2008-07-21 19:18

申请周末管理员

作者: tidezcy 时间: 2008-07-22 00:04
害我系统重装中,巨痛苦

作者: 未亡人 时间: 2008-07-22 07:30
我也重装系统了

没装杀毒软件

装了一个杀完崩溃

作者: fairyboy 时间: 2008-07-22 08:48
难怪我说怎么上不去，我还因为是我自己电脑的问题捏,查查木马一堆.

作者: xmbbx 时间: 2008-07-22 09:01
可以理解，这种事情各机房常发生。

作者: skylove 时间: 2008-07-22 09:07
/etc/ethers 里把网关ip/mac 写进去吧。。。

作者: 77h2_eleven 时间: 2008-07-22 10:58
恩，很厉害的木马，我也中了~~

作者: 枫影谁用了 时间: 2008-07-22 11:40
加个小手先

作者: llzqq 时间: 2008-07-22 12:04
主要还是IDC管理和设备不到位所致，在每个机架的交换机上绑定IP和MAC地址就不会发生这种事情。遗憾的是大多数机房为了省钱或操作方便采用的都是普通交换机不具备绑定功能。

作者: cofish 时间: 2008-07-22 12:24
原来这样啊

作者: todaypuzzleme 时间: 2008-07-22 17:23
我给admin发了邮件，和我估计的一样，IDC经常干这事

作者: skylove 时间: 2008-07-22 19:13

原帖由 llzqq 于 2008-7-22 12:04 发表
主要还是IDC管理和设备不到位所致，在每个机架的交换机上绑定IP和MAC地址就不会发生这种事情。遗憾的是大多数机房为了省钱或操作方便采用的都是普通交换机不具备绑定功能。

理论上也可以给交换机划分pvlan的，这样即使在同一个网络段的机器也只能跟网关通信。。。不过带来的麻烦就是不适合同网络段有多台机器需要互访的情形

作者: yoursmile 时间: 2008-07-22 21:44
唉，病毒无孔不入，防不胜防。

作者: streetboy85 时间: 2008-07-22 21:55

还好没事

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)