Cần mọi người giúp đỡ về shell, c99, c57 vbb

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Cần mọi người giúp đỡ về shell, c99, c57 vbb

[Question] Cần mọi người giúp đỡ về shell, c99, c57 vbb	26/06/2010 15:03:13 (+0700) \| #1 \| 214098

vnfhacker
Member

Joined: 25/04/2010 21:07:53
Messages: 6
Offline

- Tình hình là forum của em dạo này bị những người khác phá hoại, như cách đây 1 tuần thì bị cài shell vào skin và gần đây nhất là vào lúc 2h sáng ngày 25/06 có 1 người đăng kí user mới và sau đó ngay lập tức user này được set lên làm admin.
- Đây là địa chỉ IP của nó 118.68.184.80 em band nhưng không band được(Không biết tại sao).
- Trình độ của em còn khá kém cõi, em đã tìm hiểu cách search c99, c57, shell trong database khi mình bị hack nhưng có 1 điều là khi em search thì trong database của em hiện ra rất nhiều (Brows | Delete).
- Bên dưới là hình khi em search với từ khoá c99 :

- Câu hỏi 1 : Vậy em muốn hỏi khi em search các từ khoá trên và hệ thống trả về những table có (Brows | Delete) đều là những bảng bị cài hack hết à ? Xoá hết thì có bị gì không ? Hay là bấm Brows đối với những để xem code bên trong coi có phải là "code độc" hay không mới xoá ?

- Bên dưới là cách em bấm Brows và kiểm tra code khi em search từ khoá c99 :

- Câu hỏi 2 : Có phải bấm Brows và xem code để kiểm tra c99, c57, shell như hình bên trên có đúng ko ? Bên trên code đã mã hoá thì em nghĩ chắc ko phải là "code độc" có đúng ko ? Còn rất nhiều bảng như change password của member, post bài của BQT, của mod ... vân vân. Nhưng khi em bấm vào và xem code thì đó chỉ là những đoạn Text bình thường mà bọn em đã post trên forum thôi à !

- Khi em search với từ khoá là Shell thì nó hiện ra.
- Code bên dưới em xem ở 1 match(es) inside table plugin
$vsasop_excluded_groups = str_ireplace('6','1',$vbulletin->options['vsasop_excluded_groups']);
if ($vbulletin->options['vsasop_enable'] AND !is_member_of($vbulletin->userinfo, explode(',', $vsasop_excluded_groups)))
{
function VSsop_getload($windows = 0) {
$os = strtolower(PHP_OS);
if (strpos($os, "win" smilie

=== false)
{
if (file_exists("/proc/loadavg" smilie

)
{
$load = file_get_contents("/proc/loadavg" smilie

;
$load = explode(' ', $load);
return $load[0];
}
elseif (function_exists("shell_exec" smilie

)
{
$load = explode(' ', `uptime`);
return $load[count($load)-1];
}
else
{
return "";
}
}
elseif ($windows)
{
if (class_exists("COM" smilie

)
{
$wmi = new COM("WinMgmts:\\\\." smilie

;
$cpus = $wmi->InstancesOf("Win32_Processor" smilie

;
$cpuload = 0;
$i = 0;
while ($cpu = $cpus->Next())
{
$cpuload += $cpu->LoadPercentage;
$i++;
}
$cpuload = round($cpuload / $i, 2);
return "$cpuload%";
}
else
{
return "";
}
}
}
$vsasop_load = VSsop_getload($load);
if ($vsasop_load > $vbulletin->options['vsasop_maxallowed'])
{
$vbulletin->options['bbactive'] = 0;
$vbulletin->options['bbclosedreason'] = $vbulletin->options['vsasop_closedreason'];
$vbulletin->templatecache['board_inactive_warning'] = '<div class=\"forum_disabled\">'.$vbulletin->options['vsasop_closedreason_admin'].' ('.$vsasop_load.')</div>';
}
}

- Câu hỏi 3 : Em mong những người đọc topic này và có kinh nghiệm trong nghề chỉ em cách tìm kiếm và phát hiện ra database vbb của mình đã bị cài shell, c99, c57. Và chỉ cho em vài cuốn ebook cần đọc về vấn đề kiểm tra shell, c99, c57 vbb để em có thể bảo vệ forum của mình khỏi những kẻ phá rối kia.

- Mong nhận được sự chỉ bảo tận tình và chi tiết smilie

[Question] Cần mọi người giúp đỡ về shell, c99, c57 vbb	28/06/2010 08:29:19 (+0700) \| #2 \| 214155

mr.tee
Member

Joined: 20/10/2009 01:18:07
Messages: 58
Offline

mấy table kia đều là những table của vbb, mình thấy có duy nhất table plugin là đáng nghi ngờ .
Bạn thử backup lại data, sau đó uninstall toàn bộ plugin và product, style, delete hết FAQ , đi, sau đó cài mới lại đi.

Après la pluie, le beau temps

Go to:

Users currently in here
1 Anonymous