今天OA服务器突然在主页登陆的时候,提示一个文件“o line”错误,我以为这是提示文件使用期限到期了,以前也有类似的错误出现,后来替换文件以后就修正过来了。但今天发现,替换文件以后,又出现了另一个文件名的调用错误,包括后来在oa中内嵌的discuz论坛也在首页提示调用“globe”文件错误,奇怪了?
由于前天的时候,oa服务器出过问题,后来移到服务器上的时候,是利用ftp移动的,这时候是怀疑下载的时候,是不是编码不对;应该要求是以二进制来传送的。但后来一想,开始用着全部正常啊!
突然看到诺顿服务器在不断提示着木马错误,一想,是不是这个原因?想到这里,由于其他机器尚还留着oa数据文件的备份,就从另外一台机器上再次拷贝了一份;运行,还是出错,紧接着,诺顿还在不断的提示木马错误,隔离中……;想了想,觉得这个服务器的系统太老,是纯粹的2003ser版本,sp1都没打,只打了冲击波、震荡波、魔波的补丁,对,先把这个问题解决再说。oa数据库在d区,对c区操作不会丢失oa数据,想到这里,重启服务器,把去年的一个镜像备份恢复到c区,重启后,全部更新微软补丁,这一段时间,随着“魔波”的盛行,木马也跟着越发猖狂了。当时镜像安装的是卡巴的服务器版,也把它的病毒库即时更新了一下。一切完毕后,重启服务器。
重启后,把oa的备份数据又重新向服务器d区拷贝了一份,再次运行,这次没有提示错误,但随着我目录的浏览,卡巴已经成为在报警发现木马;木马名称为trojan-clicker.win32.delf.fp,在卡巴的日志avpm.rpt文件中,可以清晰的看到哪些文件感染了什么病毒;奇怪了,虽然2000年就发现感染了php文件名的病毒,但这么多年来,还没有遇见过这种情况啊!
既然这样,死马当做活马医,开始卡巴提示时,还是忽略,因为怕损坏php文件,现在既然是病毒,并且oa数据在其他电脑上还有备份,mysql数据库肯定不会被破坏感染的,那就让卡巴杀吧!点击以后都是这样执行-杀毒!呵,执行这个操作之后,重新拷贝的php文件倒是安定了,没有再提示这个错误,oa系统也可以正常登陆了!
仔细看了一下,发现php文件被修改的地方都是在末尾加了一行以iframe为调用的网址,我说呢,登陆oa首页的时候,在状态栏里面发现在引用这个网址,好在这个网址现在已经失效了,不然,还不定再出什么问题呢。
至此,把oa数据文件又全部拷贝了一遍,这时候由于有卡巴的实时防护(诺顿的怎么就防不住呢,唉),oa已经运行正常;剩下的就是整机再扫描一遍!晚上让卡巴自己做吧!大白天的这样扫描,oa系统就没法用啦!
查了一下针对这个木马的资料,发现网上并没有太多这个木马的说明,百度的只有两条,gg的倒有几十条这方面的说明,首先,f-secure就有这个说明,网上大致就是说,用超级兔子、清理大量来清除,或者用最强的杀木马软件Ewido进行全盘杀毒。另外,有一个网址还专门说明了哪些网站有木马,并注明是否去掉,http://www.ylge.cn/hmd.asp,其中还有一个网站还有这种木马,NND,道德如此者,众人发指。
