English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Xin giúp đỡ vấn đề Shell AluCaR  XML
  [Question]   Xin giúp đỡ vấn đề Shell AluCaR 24/02/2009 07:14:33 (+0700) | #1 | 170669
dangkhoayds05
Member
[Minus]    0    [Plus]
Joined: 23/02/2009 06:08:59
Messages: 10
Offline
[Profile] [PM]
Tình hình là site mình bị nhiễm Shell nhưng moà mình không hiểu là cơ chế nào nó ghi được file lên thư mục cấp trước ?

Ví dụ mình có cấu trúc như sau:

.../public_html/4rum/

diễn đàn để trên thư mục 4rum

sau khi người ta up shell lên thì họ có ghi thêm 2 file trong thư mục /4rum và 1 file ở /public_html và còn nói tên Shadow night ^^

ktra code php và sql thấy ko inc trong đó nhưng mình muốn biết họ đã xâm nhập như thế nào và cách set quyền sao cho họ không thể ghi file vào các thư mục đó . à quên, ng ta có sửa file php.ini nhưng em ko biết cấu hình cái php.ini thế nào cho đỡ đỡ bị hack smilie

Mong các cao thủ chỉ bảo !!!

PS:
@manowar Em có đọc mấy tut OLLYDBG của bác nhưng hổng hỉu smilie chỉ nắm căn bản thui ^^
[Up] [Print Copy]
  [Question]   Xin giúp đỡ vấn đề Shell AluCaR 24/02/2009 15:04:50 (+0700) | #2 | 170725
dangkhoayds05
Member
[Minus]    0    [Plus]
Joined: 23/02/2009 06:08:59
Messages: 10
Offline
[Profile] [PM]

dangkhoayds05 wrote:
Tình hình là site mình bị nhiễm Shell nhưng moà mình không hiểu là cơ chế nào nó ghi được file lên thư mục cấp trước ?

Ví dụ mình có cấu trúc như sau:

.../public_html/4rum/

diễn đàn để trên thư mục 4rum

sau khi người ta up shell lên thì họ có ghi thêm 2 file trong thư mục /4rum và 1 file ở /public_html và còn nói tên Shadow night ^^

ktra code php và sql thấy ko inc trong đó nhưng mình muốn biết họ đã xâm nhập như thế nào và cách set quyền sao cho họ không thể ghi file vào các thư mục đó . à quên, ng ta có sửa file php.ini nhưng em ko biết cấu hình cái php.ini thế nào cho đỡ đỡ bị hack smilie

Mong các cao thủ chỉ bảo !!!

PS:
@manowar Em có đọc mấy tut OLLYDBG của bác nhưng hổng hỉu smilie chỉ nắm căn bản thui ^^ 


sao hủm ai trả lời vậy nà, hay mình còn ngu quá nên câu hỏi của mình quá dễ với tất cả thành viên ở đây?

Mình thật sự mong các bạn giúp đơc mình vấn đề này, smilie
[Up] [Print Copy]
  [Question]   Re: Xin giúp đỡ vấn đề Shell AluCaR 26/02/2009 06:45:54 (+0700) | #3 | 171012
doveandrose
Member
[Minus]    0    [Plus]
Joined: 30/12/2008 15:07:55
Messages: 2
Offline
[Profile] [PM]
mình cũng mới tìm hiểu về shell đây thôi. Theo như mình hiểu thì sv đặt host của bạn đã bị nhiễm backdoor. Nguyên nhân là do sv config yếu kém để cho mấy tên hacker cấy shell vào. Mình hiểu sao nói vậy có gì sai mong các pro giúp thêm. Bạn có thể tìm hiểu thêm trên google với từ khóa: "Cách local attack = shell" để hiểu thêm.
[Up] [Print Copy]
  [Question]   Re: Xin giúp đỡ vấn đề Shell AluCaR 26/02/2009 15:48:09 (+0700) | #4 | 171078
dangkhoayds05
Member
[Minus]    0    [Plus]
Joined: 23/02/2009 06:08:59
Messages: 10
Offline
[Profile] [PM]
Em xài bên Nhân Hoà đó mờ, anh em nào có kinh nghiệm chỉ giúp chứ việc Checkmod bên này cũng khó khăn lắm , hông được dưới 644 smilie(
[Up] [Print Copy]
  [Question]   Re: Xin giúp đỡ vấn đề Shell AluCaR 27/02/2009 14:06:25 (+0700) | #5 | 171241
sangteamtham
Member
[Minus]    0    [Plus]
Joined: 13/11/2008 18:34:26
Messages: 27
Location: Việt Nam
Offline
[Profile] [PM]
Cái này ko phải do lỗi chủ yếu do bạn

Bạn muốn biết bị tấn công như thế nào chỉ còn cách là liên hệ với admin server để xem log.
Việc up shell lên diễn đàn có nhiều cách lắm. Có thể là bạn đặt pass dễ đoán. hoặc là attacker đã local từ một site nào đó tới site của bạn. Nới đến vấn đề này thì phải phụ thuộc vào cách admin server config server như thế nào. Bạn nên kiểm tra cẩn thận các khu vực trọng yếu, các file language, template.. xem có hiện tượng include shell ko..
Chúc bạn may mắn.
Một sự việc và hàng tỉ cái đầu
[Up] [Print Copy]
  [Question]   Re: Xin giúp đỡ vấn đề Shell AluCaR 03/03/2009 12:31:07 (+0700) | #6 | 171711
boconganh
Member
[Minus]    0    [Plus]
Joined: 24/07/2005 09:03:17
Messages: 12
Offline
[Profile] [PM]
Nhân hòa thì có khả năng bị local khá cao.File php.ini bị thay đổi có lẽ để safemod off.
Trước tiên bạn nên kiểm tra lại xem ngoài 4rum trên site còn code nào ko(code upload hay rapidleech chẳng hạn)?Nếu chỉ có VBB thì xem thử còn bigdump hay mysqldumper ko?
Bạn có thể nói ip của sever bạn mình xem thử cái.
[Up] [Print Copy]
  [Question]   Re: Xin giúp đỡ vấn đề Shell AluCaR 17/03/2009 11:13:48 (+0700) | #7 | 173487
lequi
Member
[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
kiểm tra luôn trong data forum của bạn có user nào quyền admin mà để group member bạn nhé.
[Up] [Print Copy]
  [Question]   Re: Xin giúp đỡ vấn đề Shell AluCaR 18/03/2009 00:59:32 (+0700) | #8 | 173555
protectHat
Member
[Minus]    0    [Plus]
Joined: 09/08/2008 11:02:35
Messages: 176
Location: DMZ
Offline
[Profile] [PM]
Khi đã bị shell thì lấy hết log về. Xóa code forum rồi tải bản khác lên. Xem trong Admincpanel có ai là admin nữa thì xóa hết.
@dangkhoayds05: host Nhân hòa thì 99% là dính shell do local. bên hce có nhiều người sẵn sàng share shell trên nhân hòa miễn sao ko phá. Các site trên đó đã dính nhiều rồi nên khả năng up lại bị dính tiếp là cao.
@boconganh safemod=off có thể qua mặt với các web shell phổ biến như C99
[Up] [Print Copy]
  [Question]   Re: Xin giúp đỡ vấn đề Shell AluCaR 23/03/2009 04:49:32 (+0700) | #9 | 174230
kutideptrai
Member
[Minus]    0    [Plus]
Joined: 19/04/2007 19:37:45
Messages: 1
Offline
[Profile] [PM]
Host Nhân Hòa thì chuối cả nải roài, xài cái nào die cái đó, lỗi do hosting provide chứ kg phải bạn
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|