【电脑】阴沟翻船again

最近居然又被逼无奈折腾起安全的东西来了……

自5月21日开始颜如玉的服务器便宣告被攻陷……网页中不断被植入木马……断断续续的恢复、堵漏等……跟清水两个人折腾了一个月出头……

终于还是清水用心，找到了获取系统管理员密码的后门……将服务器管理权掌握在自己手里……

没想网页中还是不断的被植入木马……怎么换密码都没用……偶这业余的安全管理员最终只能祭出Filemon大神……24小时检测服务器的文件读写……

终于检测到是sethc.exe这个进程在修改网页……一搜……彻底石化鸟~~原来这是“有史以来最酷的Windows后门”……

真是无语……都不知道微软脑子怎么想的……居然做了stickykeys这种无聊功能……黑客还掌握服务器控制权时，把sethc.exe替换成为自己的文件……以后每次修改网页他压根连登录都不用……连上远程桌面，按五下shift便搞定……真是无语……

虽然知道黑客如何修改网页，但还不敢打草惊蛇……天知道他是否还在服务器上留有什么后门……这个sethc.exe无非是他用来方便自己修改网页罢了……

战战兢兢的搜索了一遍系统……终于狠下心来把sethc.exe给干了……

三天过去了，暂时无事……

哎，其实很想把sethc.exe替换成为自己的程序，等黑客上去改网页的时候跟他聊聊……所谓相逢即是有缘……毕竟来回交手一个月出头了……

大家都是出来混的，都不容易……

暂时搞定服务器……没想自己电脑居然又出事了……

跑大程序就蓝屏……

时不时硬盘还狂响……托Filemon大神的福，原来是有隐藏进程在扫描整个硬盘……杀之……又来……

算来，机器裸奔也有两年出头了……难道又中木马了？！

下载、安装、运行360safe， 报告一切正常……只有些号称无害的什么木马遗留文件……

莫非是幻觉？或者是电驴、RaySource之类的软件？忍~~~偶很懒的，能忍就忍……反正不妨碍偶泡网……

今晚早下班回家居然心血来潮居然想做点程序……汗……一开VS就蓝屏……开本地网站也蓝屏……

靠~这可不能忍了……要干活吃饭的说……

还是Filemon……查出来开机时有个flec006.exe的进程在狂读文件……

google了之后蛮郁闷的……基本都是英文资料……懒得看……以为木马这些玩意应该还是国内泛滥，如果真是木马，应该有很多中文资料才对……

继续用filemon观察……发现这个进程居然还一直在读Documents and Settings\Administrator\Application Data\m\shared目录……目录被隐藏起来了……直接进去一看……

OMG……整整200M的zip文件……

这木马还真有意思……别的不干，就只是把肉机当作p2p文件传输用……奶奶的，不要告诉我是迅雷出品的木马……

耐心翻了下google……终于看到有中文啦~却是繁体：非常難纏的木馬：Flec006.exe

看了之后蛮伤心……难道只有重装一途？？我不要~~~~

又继续翻google……哦耶~ 

“終究... 邪不勝正.. Defeat Rootkit Worms - Win32.bagle.RP/SP/KV Variants”

作者居然是用ultraedit把这木马KO的……真是没有做不到，只有想不到……没有ultraedit……企图用editplus照抄……可耻的失败了……看作者的挣扎过程，只在有点怕：

0) 亡羊補牢
安裝掃毒軟體...
Norton, Panda, Kaspersky, BitDefender, F-Secure Anti-Virus
會顯示安裝失敗訊息

1) On-line Scan Services
-Kaspersky Online Virus Scanner: 看的到..吃不到 (掃的出來，但無提供清除服務)
-Panda ActiveScan 2.0: 找出了病毒的名號與感染的檔案，並可清除之.. (但非 100% 清除.. Orz)

2) 針對病毒名字尋找現成解毒程式
至此對於重奪電腦控制權仍無進展... 上網下載了一些程式，如：
BitDefender: Removal Tools against Win32.Bagle.C-AY,BJ, Win32.Bagle.AU, Win32.Bagle.FO & Win32.Bagle.{C-H}

F-Secure: F-BAGLE.EXE 被病毒阻擋

這些都是掃心酸的.. Orz 因為我中的是新品種... XD
Win32.Bagle.KV
Win32.Bagle.RP
Win32.Bagle.SP

3) 安全模式
有爬到過文章說『可進入安全模式，清除之』，不幸新品種鎖死系統，一選安全模式，就是經典『藍白畫面』迎接你...

4) 拆硬碟，借體還魂
跑去買了S-ATA轉USB排線，把硬碟拆去裝在有 Kaspersky 7.0 的電腦上。但是，系統無法抓到該顆硬碟，因此無法順利掃毒... Orz

5) 執行緒分析軟體
HiJackThis & IceSword 慘遭雙殺....

按作者提供的相关链接，还有朋友是使用IceSword搞定的……看到结尾”在此感谢IceSword的作者pjf，希望他能够继续IceSword的开发，没有他的工具，我就要重装系统了。“ 这句整个人就high起来了……

。。。。。IceSword完全无法在我电脑上运行……也不知道是被病毒破坏了，还是我的系统跟它过不去……再次陷入困境……

决定破罐子破摔……不就是停不了驻留内存的flec006.exe吗？哼……搬出Visual Studio……Attach debug进程到它上面……一阵胡搞……居然……居然就把它给停掉了……终于能够直接使用editplus把文件覆盖掉……

360safe还是其了点作用，把安全模式的文件恢复了……进安全模式后再用IceWords把剩余的文件、注册表选项逐个干掉~

世界终于又清净了……

已经是第二次阴沟里翻船了……这次总算有惊无险……还要不要继续让机器裸奔呢？

PS：这个木马居然还干扰MySQL……今晚在Windows里面链接家里ubuntu上面的MySQL速度超慢……清除木马后速度如飞……奶奶的，还以为是MySQL没有装好……

PS^2：运行本地网站依旧蓝屏……原来革命尚未成功……但我要睡觉去鸟……

七魂 在 7/10/2008 10:28:41 AM 说:

幸亏中的是国外木马。。。
国内的木马就真的是木马了~
一个木马入，千万个木马入

---

Wuvist 在 7/10/2008 12:32:36 AM 说:

回头想想这只木马实在是太夸张了……简直就是无懈可击啊……
如果不是第一步被偶胡乱折腾把 flec006.exe 这个进程给杀掉，然后使用360把安全模式的文件恢复……貌似就只有重装一途了……
另外也还好木马是德国出品，老外不知道还有360这玩意……要是木马把360也列入黑名单不让安装的话……难道，还得手动恢复安全模式文件？？

---

Wuvist 在 7/9/2008 11:41:26 PM 说:

貌似终于搞定了……用RegRun 5……
http://www.greatis.com/security/download.htm

---

纬度 在 7/9/2008 11:32:21 PM 说:

生命在于折腾和得瑟。

---

iAn 在 7/9/2008 10:19:27 PM 说:

裸奔两年不容易啊~~~~~~~~

---

Wuvist 在 7/9/2008 10:03:06 PM 说:

。。。。
晚上回来之后一直都在搞……
还是搞不定……
奶奶的……explorer.exe被注入了……一看到知名的反病毒程序包括冰刃就立刻被破坏掉……

---

纬度 在 7/9/2008 9:36:11 PM 说:

我其实看到ps的时候有点失望，难道就这么结束了？如此容易？但是一看到那个PS^2, 哈哈，原来如此，故事才刚刚开始。

---

Bovvye 在 7/9/2008 7:32:07 PM 说:

出来混能成为混世魔王那是相当不容易啊……冰刃确实很牛……

---

毛毛 在 7/9/2008 11:57:23 AM 说:

真不容易啊。。。。。。痛恨被动成为肉鸡

---