“一夜间被盗号20余人,若大的工会主力没了一半”被盗玩家如是说。是的,据我们了解许多公会都是一次性几十个帐号地丢失,基本上被盗一次就相当一个公会的覆灭了。而此次盗号噩梦还未遏止,病毒仍在猖狂蔓延!根据被盗号的规模以及被盗号发生的时间判断,盗号的应该是个集团性组织,而且规模不小。
详情请点击:木马来袭魔兽遭遇大规模盗号
游一游编辑部金爱已经惨糟毒手,做为他的好朋友我除了恭喜之外还能说什么。近日闲逛国家地理论坛,发现一惊人贴:WOW大规模盗号来源已查明,内含盗号者IP,来源地址等信息(9.11更新)
帖子具体内容如下:
发帖人是一个网站的站长,其论坛上有开设一些WOW公会论坛版块,同时也给部份工会提供DKP系统。9月7日,接到一些会员反映,论坛被种植木马。清查后发现攻击来源及手法,其手法与之前国王之谷FRY工会,以及自由领域等公会论坛被种木马大规模盗号完全相同。种植木马所使用的网站也完全相同种种迹象说明这段时间以来,通过在各工会网站种植木马进行盗号行为的完全是同一人(或者同一伙人)所为。
该站长分析:这个盗号者购买了这个木马程序,然后傻瓜式的使用木马程序。在各个有漏洞的WOW公会论坛,DKP上种植木马盗取他人帐号。那么,我们是不是能通过这个人留下的IP地址等信息,抓到此人,进而通过汇款等记录,抓到专门卖木马程序这个人呢?
攻击者几次登陆所使用的IP地址分别为:
218.88.176.236 2006-9-8 02:12
222.215.37.226 2006-9-9 21:59
220.166.77.234 2006-9-7 17:52
218.88.176.100 2006-9-9 01:04
IP来源显示为四川省内江市资中县威远县隆昌县ADSL。种种迹象看来,此人并没有使用代理服务器,以上IP为此人真实地理位置所在。
================================
下面是盗号者具体的攻击手法:
攻击者使用网站的一个远程执行漏洞,执行了远程的 http://h1.ripway.com/******/write_ma4.inc?cmd=ls 文件,该文件内容如下:
以上文件的内容为修改PHPWIND论坛模版,在所有页面的底部,再加上一句代码。为了安全起见,小强还是不要放该段代码了。
也就是说,你在访问本站时,将会另外访问http://fxfqiao.com/*****/black01.htm这个页面(请不要点击该地址!!!!!)而这个页面,包含了一个利用IE漏洞的木马程序利用IE本身的漏洞,在你的机子上安装木马,再次提醒大家,一定要为IE打好补丁(使用 开始-> windows 即可)
=============================
我们应该怎么办?
办法一:下面这个地址是北京市公安局网络安全接警中心的网上报警页面请有被黑客攻击过的(被盗号的),都可以到这边在线填写表单,可疑侵害类型选黑客入侵在下面两个说明框里,详细说明你被害的情况。
方法二:在公安部门不管的情况下,我们就参照铜须事件,查出这个人,搞到他没饭吃! (网友YY,不能当真哦,不过,事情往往就是往不可能的方向发展)
=============================
面对木马侵袭,我该如何做?
1、及时更新操作系统补丁,及杀毒软件病毒库,养成经常扫描/查杀病毒的习惯。
2、不要随便登陆来历不明或地址可疑的网站。
3、论坛管理员要有强烈的防范意识。做好数据备份和及时给论坛漏洞打补丁。
4、目前大部分公会使用的EQ DKP系统都存在漏洞,请及时升级并打好补丁。
5、如果论坛可以贴flash、wmv、rm等媒体文件,建议暂时关闭这个功能。
6、近期不要登陆已经爆发盗号事件的几个公会论坛。
7、及时更新密码,并养成经常更换密码的习惯。不要存有自己还没被盗的侥幸心理,盗号集团一般已掌握了大批的帐号密码,不是不盗,是时候未到。
