统计系统”51″啦被入侵-统计系统被挂马

来自51啦官方消息:

引用至 阿江:

昨天晚上处理2号服务器的时候,意外发现有的服务器上可能安装有Radmin
现象是,任务栏有一个透明投标,鼠标指上去后显示IP,这是RA的特点
当时侵入者并没有恶意活动,一时又找不到RA安装在哪里,所以我想只要封闭了RA端口即可。
当时怀疑是以前解雇的机房值班人员干的(因为他们都知道服务器密码)

因为昨天处理了15、18、2号服务器,累得很,并不是所有的服务器都搞了。

大约半小时前,电话响起来,说被放马了,
立即起来,这时候我弟弟已经开始着手重传被修改的 S.ASP 了。我也立即加入这个行列。

处理过程中发现哪怕是昨天刚刚重装上架的2号服务器,S.ASP也被修改了。
从S.ASP的日期看,修改速度相当的快,所以我现在估计是入侵者已经掌握了FTP信息(所有的服务器FTP密码是一样的)。

因为怀疑服务器已经被掌握在入侵者手中,甚至程序中已经被植入了木马,
所以现在打算的解决方法是所有服务器系统重做,程序重传,JS文件重生。
如果侵入者不是仅仅知道了密码,而是掌握了一种我尚不知道的入侵方法,
也许上述方法会让他窃喜,不过现在只能暂时这样。

另外,所有统计服务器均将指向到临时服务器,原服务器全部关闭处理,计数将中止,同时统计数据将无法查看。

补充
还有另两种可能:

1、今天出现的病毒,我使用的诺顿并没有提示,也就是说我可能很早以前就中了入侵者的套,他们通过这个病毒来获取我所有服务器的登录信息也很有可能。

2、因为论坛服务器和统计服务器密码一样(3389和FTP密码都一样),所以估计他们通过论坛上传ASP木马,再用论坛空间的ASP权限获得论坛服务器信息,然后设法获得更多信息。

补充
通过论坛服务器入侵目前怀疑为最大可能。

新浪网官方也有此报道,包括金山毒霸官方网站也补牵连,公安部门已经介入