搜索
热搜: 活动 交友 discuz
Hi~登录注册
查看: 31|回复: 0

luobotebaqiao病毒防治临时解决方案

[复制链接]

主题

帖子

5

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
5
发表于 2024-10-7 16:31:15 | 显示全部楼层 |阅读模式
前段时间,自己服务器上中了病毒luobotebaqiao,这个挂马者也真是垃圾。地震期间,竟然把知名的公益网站也给挂马。其良心真是大大地坏啊。刚开始的挂马代码是:iframe src= width=0 height=0/iframe,iframe src= width=0 height=0/iframe 而现在的挂马代码是iframe src= width=0 height=0/iframe 看到一个论坛上说的是大名鼎鼎的赛迪网也给它袭击了。我在google搜索的时候,出现这个画面。
   
     
   
    中毒现象表现为:用最新的360安全卫士查杀不到,装360的防火墙也无济于事,其他的杀毒软件也都查不出来,但重启主机就暂时又不见了,过一段时间就可能又出现了,周六和周日表现比较频繁;
    以下是我在网上搜集的资料:
   
     MS06014
     realone
     realone11
     联众0DAY
     爆风
     没见到内容. 看名字应该是要挂迅雷的
    刚刚下了下,以前的记录. 以上几个马. 均跟以前:1.luobotebaqiao.info 中的网马一样.
    下载者:
    本人刚刚是准备脱壳,再看下这个东西,下的是什么. 结果,搞半天.也没搞出来.
    壳脱了,也没看到. 本人又不会用OD 查看下载地址. 准备用嗅探. 嗅下子. 结果,没的工具.
    所以. 就直接运行了它. 效果不错.
    直接运行w3.exe 后. 首先会调用进程:svchost.exe 用户名: 当前管理员. 非SYSTEM
    连接到:222.186.13.200 这个地址.
    接着. 会连接到60.191.208.235 下载N 多木马. 木马后缀名:msi .
    如果连接失败. 比如: 本人用IPSEC 将这个IP 封掉. 那么.过几分钟后.
    会连到:60.191.215.126 将从这里,下载N 多木马. 后缀名:MSI.
    这两个下载木马的IP 的关系. : 先调用60.191.208.235 这个服务器.
    如果失败, 再调用60.191.215.126 如果,两个都失败了.则关闭连接. 任意一个成功后,
    比如: 第一个成功下载下来木马, 完成后关闭连接. 不连第二个.
    下载下来的木马,均以 msi 后缀来运行.
    文件名: _qosec0.msi _qosec2.msi 这种类型!
    从_qosec0.msi 一直到_qosec34.msi . 总共30几个木马.
    木马所在地: C:\Documents and Settings\Administrator\Local Settings\Temp
    如果,你使用了本人的 软件策略, 那么, 你可以在这里看到. 30几个木马,外加几十个BAT批处理 文件.
    用来删除木马文件的. 并且不会中毒.
    解决方法:1:在css代码里屏蔽 iframe ,我以前写过文章地址:,你可以写一个网页把css代码写入,然后保存为html文件,在服务器的IIS文档启用文档页脚把刚才的那个页面附加上,这个页面给everyone读取权限。不过用此法的话,会把JS文件屏蔽掉。
   
    2:关闭服务器上无用的端口(建议保留80端口和远程桌面端口。如果有FTP的话可以打开21端口,根据情况定,不过建议还是临时关闭ftp端口),在服务器的防火墙上只开这三个端口。对于杀毒软件可以设置其能访问网络。
    目前此病毒已经被列入很多杀毒软件厂商的名单,
    此文仅供参考!文章首发:中国IT技术服务网
回复

使用道具 举报

游客
回复
您需要登录后才可以回帖 登录 | 立即注册

快速回复 返回顶部 返回列表