Messages posted by: minhdanh72

Hi, chào F10, tiếc là những tin đó mình đã xoá rồi nên không còn số gửi tới nữa, và từ hôm đó tới nay không có tin gửi tới nữa. Mình chỉ nhớ là có một vài số được gửi từ một số (có vẻ như là) của tổng đài Mobifone, (vì có dạng +8490000...6), và một số trong giống như số sim rác (+8412....).

Thực ra thì mấy anh STL có chết hồi nào đâu mà sống dậy smilie

Có điều từ 2011 trở lại đây mấy ảnh hình như không còn thích phô trương nữa (gắn cái "sinh tử phù" lên những trang web bị hack) mà thích núp trong bóng tối hơn.

Cảm ơn BlueMM về thông tin hữu ích.

Mấy ngày gần đây, nhà cháu liên tục nhận được nhiều "Wap push message" vào điện thoại, nội dung đều nghe rất hấp dẫn, đại loại như: tải game miễn phí - chơi cực phê, clip sex thiếu gia và hoa hậu 17p, sinh viên bị quay lén trong nhà nghỉ... Tất cả đều kèm theo các liên kết rút gọn:
http://www.tinyurl.com/hbgame
http://www.bit.ly/zzgame
http://goo.gl/IVc1p
http://goo.gl/2dFIm
...
Các liên kết này khi nhấn vào đều trỏ tới các file có đuôi là .jar (hbgame.jar, XemClip.jar...), nếu mở bằng di động có java thì máy sẽ hỏi người dùng có muốn cài đặt ứng dụng hay không.
Nhà cháu cũng không lạ gì mấy kiểu "gài hàng" này nên không dại gì cài đặt, nhưng có thể chắc chắn là các ứng dụng này được gửi đến với mục đích không được thánh thiện cho lắm. Khi xem kỹ hơn các url gửi đến, các ứng dụng đều được host trên các server có địa chỉ: 210.211.98.230, 210.211.98.73
Điều đáng nói là các sever này đều đặt tại datacenter của Viettel.
Phải chăng có gì mờ ám đằng sau các file .jar này?
Nhờ anh/chị/em trả lời giúp nhà cháu.

flier_vn wrote:

Dreamwear có chức nắng " search content all file in folder ", bạn search từ "ssh101.com" cho toàn bộ source của bạn xem sao

Cảm ơn bạn đã trả lời, nhưng mình không tài nào tìm thấy dòng này :- (

conmale wrote:

minhdanh72 wrote:
Trang web của mình sử dụng Drupal, hôm nay vào lại bằng firefox thấy trên status bar có dòng là "Connecting to www.ssh101.com. Mình thấy rất lạ nên dùng firebug coi lại thì thấy có 2 dòng lạ này:
Code:
URL status domain size
GET www.ssh101.com 206 Partial content ssh101.com 1.1Kb
GET www.ssh101.com 206 Partial content ssh101.com 1.1Kb
Mình đã xem lại source html, các file .js, .css nhưng không tìm thấy dòng nào liên quan đến cái trang này cả. Anh em có thể giải thích giúp mình chuyện gì đang xảy ra được không? Có phải site của mình đã bị xâm nhập?
Cần thêm thông tin từ logs của apache. Thông tin trên không đủ để xác định gì hết bồ. ssh101.com là một host bị blacklisted trên một số antiviruses và anti-malwares cho nên bồ nên ra soát máy của bồ thật kỹ.

Anh conmale ơi, em để ý lại thì thấy, cái request này chỉ xuất hiện khi mình truy cập 1 node nhất định thôi ạ (có bài viết, hình ảnh, chữ ký của người dùng khác). Chỉ lạ là không tài nào tìm thấy dòng nào có ssh101.com thôi ạ. Đến nay vẫn chưa thấy hiện tượng gì lạ khác ạ. Em sẽ kiểm tra lại log xem sao.

Trang web của mình sử dụng Drupal, hôm nay vào lại bằng firefox thấy trên status bar có dòng là "Connecting to www.ssh101.com. Mình thấy rất lạ nên dùng firebug coi lại thì thấy có 2 dòng lạ này:
Code:

URL status domain size
GET www.ssh101.com 206 Partial content ssh101.com 1.1Kb
GET www.ssh101.com 206 Partial content ssh101.com 1.1Kb

Mình đã xem lại source html, các file .js, .css nhưng không tìm thấy dòng nào liên quan đến cái trang này cả. Anh em có thể giải thích giúp mình chuyện gì đang xảy ra được không? Có phải site của mình đã bị xâm nhập?