English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Storm7Shell là gì các bạn ? Web mình dính con này  XML
  [Question]   Storm7Shell là gì các bạn ? Web mình dính con này 12/01/2009 12:03:41 (+0700) | #1 | 166147
gadapchetvoi
Member
[Minus]    0    [Plus]
Joined: 11/01/2009 20:14:43
Messages: 14
Offline
[Profile] [PM]

Hôm nay (11/1) mình vô tình vào FTP của web thấy có 1 file php lạ, có tên config.php. Kích thước nó lên đến 500kb.

Mình đọc chú thích code của nó thấy ghi nó là "Storm7Shell", tác giả là một hacker 15 tuổi (không biết có dịch đúng ko smilie )
Nội dung nó là 1 ít php và phần lớn là 1 đoạn string rất dài toàn các kí tự mã hóa (phải đến hàng trăm dòng)

Mình xem date modified thấy nó được chèn vào mới hôm 08/01
Mình liều chạy thử và ra được cái giao diện này:




Sau một hồi ngồi đọc log từ 04/01 đến 11/01, mình không thấy chỗ nào khả nghi là có file php bị upload lên cả.
(Mình kiểm tra ext rất kỹ trước khi cho upload - và chỉ có admin mới được upload)
Trong log cũng không có dấu hiệu kênh admin bị tấn công.

Giờ mình đã vào Helm và disabled PHP (web mình chạy asp), không hiểu như vậy đã đủ chưa.
Vì web mình là sharehost trên Nhân Hòa, cho nên khả năng mình tự bảo mật được server là không có.

Lại nhớ đến 1 cái web khác của mình cũng ở Nhân Hòa, mình vội mở FTP ra xem, thấy cái đó cũng dính "cái-được-gọi" là K-Shell của kikicoco.
Mình không hiểu lắm

Vì kinh tế eo hẹp, mình không thể đầu tư 1 cái host nào ngon hơn bây giờ. Có phải sự tồn tại của web mình hiện giờ phụ thuộc vào lòng từ bi của kẻ đã tung con shell lên web mình không ?


[Up] [Print Copy]
  [Question]   Re: Storm7Shell là gì các bạn ? Web mình dính con này 12/01/2009 13:20:19 (+0700) | #2 | 166154
Vantrung87hvt
Member
[Minus]    0    [Plus]
Joined: 29/03/2008 16:24:48
Messages: 6
Offline
[Profile] [PM]
Chào bạn mình cũng đàn sài host nhân hòa mình đoán ip host bạn là 222.255.28.189 đúng không , web mình cũng ở trên đó và gặp tình trạng như bạn , bên hack nói là đã nắm quyền rool của server đã báo báo bên host như vậy nhưng bên kỹ thuật nhân hòa cứ bảo do mình thật là , tui cũng không có nhiều tiền để mà cứ sài tháng phải chuyển host một lần, mong anh em có giải pháp giúp đỡ trong vấn đề này
[Up] [Print Copy]
  [Question]   Re: Storm7Shell là gì các bạn ? Web mình dính con này 12/01/2009 14:08:40 (+0700) | #3 | 166163
gadapchetvoi
Member
[Minus]    0    [Plus]
Joined: 11/01/2009 20:14:43
Messages: 14
Offline
[Profile] [PM]

Ủa, làm sao bạn biết IP đó ?
Mình giấu IP rồi mà ?
[Up] [Print Copy]
  [Question]   Re: Storm7Shell là gì các bạn ? Web mình dính con này 12/01/2009 15:21:26 (+0700) | #4 | 166169
flier_vn
Member
[Minus]    0    [Plus]
Joined: 15/07/2008 01:13:39
Messages: 28
Offline
[Profile] [PM]

Ủa, làm sao bạn biết IP đó ?
Mình giấu IP rồi mà ?  


Chắc nhìn vào cái OS và số đầu của IP nên đoán ra thôi! ko có gì lạ cả !

Bạn xem kĩ lại các log HTTP REQUEST xem có dấu bị của Sql injection ko ?
Rồi xem lại logs FTP xem, có dấu hiệu bị lộ pass ko ?

Nếu sài Sharehosting nên tình trạng bị Local attack cũng rất nhiều ! set permiss của các folder cho kĩ lại, rồi check lại source xem có dấu hiệu của sql injection ko ! Nhất là mấy cái Input smilie

Good luck !
MerChant.Vn - Website học hỏi, trao đổi thảo luận về kinh doanh.

DànhChoBé.VN - Chuyên bán đồ chơi chất lượng, thương hiệu Fisher price, Disney, Thomas & Friends
[Up] [Print Copy]
  [Question]   Re: Storm7Shell là gì các bạn ? Web mình dính con này 12/01/2009 16:03:29 (+0700) | #5 | 166175
gadapchetvoi
Member
[Minus]    0    [Plus]
Joined: 11/01/2009 20:14:43
Messages: 14
Offline
[Profile] [PM]

Mình cam đoan là không phải SQL Injection. Cái vụ lọc dữ liệu đầu vào mình ưu tiên số 1. Kể cả dữ liệu từ cookie, selectbox, hidden input....

Còn vụ set permission thì, nói bạn đừng cười, host Nhân Hòa mà có Set Permission thì giá host sẽ tăng gấp đôi smilie.
--------------------------
[Up] [Print Copy]
  [Question]   Re: Storm7Shell là gì các bạn ? Web mình dính con này 12/01/2009 23:48:45 (+0700) | #6 | 166194
[Avatar]
 hackerbinhphuoc
Member
[Minus]    0    [Plus]
Joined: 16/01/2004 09:45:41
Messages: 22
Offline
[Profile] [PM]
gặp trường hợp này thì chỉ có 2 trường hợp:
1. Website bạn có bug, bạn cam đoan là ko bị SQL ịnection ( mình ko rõ) vậy thì thử kiểm tra xem các pasword của bạn thế nào? các form upload, phần admin ( nên đổi folder này thành 1 cái tên lạ 1 tý). . . .
2. Host của bạn bị local, cái này thì bạn ko thể tự chống được mà phải nhờ vào sự bảo mật của sever bạn đang host! Set Permission mà ko được thì website của bạn chẳng còn tý bảo vệ nữa, ai cũng có quyền edit cả!
Bạn bảo bạn ko có tiền đổi host thì thật sự mình chẳng biết khuyên gì nữa!
[Up] [Print Copy]
  [Question]   Re: Storm7Shell là gì các bạn ? Web mình dính con này 14/01/2009 11:15:28 (+0700) | #7 | 166413
chocobo11
Member
[Minus]    0    [Plus]
Joined: 20/05/2008 12:10:31
Messages: 1
Offline
[Profile] [PM] [WWW]
anh hackerbinhphuoc trã lời hay lắm tren sever cũa nhahoa có cã tram xon shell mình em củng có 2, 3 con rùi ^^tụi nì làm ăn chán lắm ^^
[Up] [Print Copy]
  [Question]   Re: Storm7Shell là gì các bạn ? Web mình dính con này 20/01/2009 05:08:10 (+0700) | #8 | 167045
KhanhNamm
Member
[Minus]    0    [Plus]
Joined: 27/07/2004 13:48:17
Messages: 1
Offline
[Profile] [PM]

gadapchetvoi wrote:

Mình cam đoan là không phải SQL Injection. Cái vụ lọc dữ liệu đầu vào mình ưu tiên số 1. Kể cả dữ liệu từ cookie, selectbox, hidden input....

Còn vụ set permission thì, nói bạn đừng cười, host Nhân Hòa mà có Set Permission thì giá host sẽ tăng gấp đôi smilie.
--------------------------
 


Trả lời bạn mấy ý, mong là giải quyết tốt vụ này.

+ Cứ "cam đoan" không hẳn là đã an tâm, tốt nhất cứ kiểm tra lại. Disable php, site asp vẫn có shell dùng cho site asp.
+ Shell nào, về cơ bản thì đều giống nhau nhằm khai thác thông tin nơi các file (chứa thông tin về database), hoặc các file quan trọng khác. Tất nhiên, vào được db thì không còn gì để nói.
+ Bạn nói "Set Permission thì giá host sẽ tăng gấp đôi" là sao tôi không hiểu? Chức năng CHMOD đâu có liên quan gì đến việc tăng giá host. À, nếu sai thì bạn thông cảm, tại tôi cũng đang sài Nhanhoa, gói Thương mại điện tử.

Về phần tôi, nếu gặp vậy, tốt nhất cứ CHMOD lại (710) cho các folder quan trọng, thữ rename các files liên quan đến Admin bằng 1 cái tên gì đó khác, kiểm tra/(và thay đổi) tất cả các user cho FTP, Cpanel. Hoặc (là liên hệ với support Nhanhoa) để thông báo về tình trạng có shell trên sub này.

Vài lời với bạn, mong là bạn giải quyết đc.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|