Messages posted by: thientm

vanphuong022 wrote:

Site mình (sử dụng joomla) vừa bị một con back-door kid.php, vì nó đặt tên lạ và đặt ở ngoài root nên nhìn là biết ngay. Lỡ như nó đổi tên giống với các file trong hệ thống (như: error.php hay log_nt.php) và đặt trong một góc nào đó thì cũng khó mà tìm ra.

Nó sử dụng base64_decode(), vậy nếu chúng ta dùng cách search chuỗi "base64_decode" thì cũng có thể lọc được một số back-door dạng này, cách này thì ở trên đã có rồi, ngoài ra nó còn dùng gzinflate().

Vậy các bạn có thể search thêm chuỗi "gzinflate" trong source code để tìm kiếm back-door được hiệu quả hơn.

PS: có ai từng gặp backdoor kid.php này chưa vậy ? Trong source code có dòng chữ "Developed by [K]id" đó

vấn đề này đã nói ở trên, đọc kĩ lại đi bạn. cái đoạn mà search http ấy có thể bypass bằng "h"."t"."t"."p" đó

ở đây có thể sẽ là "b"."a"."s"."e"."6"."4" ... chẳng hạn :D

do pin cmos thì phải, mình đã từng bị tương tự như vậy

tốt nhất là

tháo ra vệ sinh máy một thể, cắm Ram cho chắc vào

thay pin cmos .. ok

chà chà, cái này máy mình cũng tương tự này

có điều, nếu gặp trường hợp như mình, mình cá là bạn đang dùng win7 smilie

)

hãy dùng ProcessExploer mà coi cái nào làm máy full cpu

thật sự là hơi vô lý...
cho vài cái ảnh bạn lock với fitter coi

tìm....
4rum đã có rất nhiều cái tương tự ntn

nếu trình cao thì phải nói chứ bạn

vậy chắc hắn cũng quản lí được modem ? --> vậy thì thôi nhé smilie

nếu không thì mình cũng chịu, modem bạn lỗi chăng smilie

sax. bó tay bạn >.<

bạn không cần dùng mạng thì kệ nó down ảnh hưởng gì đâu ...

Còn chống thì như bạn manthang nói rồi đó...

tốt nhất là làm cái list filter mấy trang down thông dụng ấy... chặn hết thì có mà nó biết à

mà nếu vậy dùng xừ netcut cho nhanh >.<

Khoá rồi . vậy mà bạn lại dùng được mạng ?

chứng tỏ lock sai , filter sai rồi,

trường hợp này người kia có trình độ chắc là loại

...

Em bức xúc quá, không chịu nổi rồi,
sau nhiều lần test thử, cài lại win, scan virus sạch sẽ full ổ đĩa
check log , tcpview, process exploer, .....
Máy tính em có cái dấu hiệu như thế này, Nếu xài xubuntu thì không làm sao hết
Xài win7, khi mà có mạng, dùng hằng ngày thì không có vấn đề gì xảy ra cả, cpu idel vẫn 1 2% bình thường,
nhưng khi rút dây mạng ra, là y như rằng, thao tác khoảng 1 2 phút là tự nhiên đơ máy, chuột cũng đứng im trong vòng 1 -3 giây, sau đó lại chạy bình thường, kể cả chỉ di chuột test thử ( tắt cả anti đi rồi) cũng vẫn bị, sau những lần giật máy đó, cpu 100% rồi lại bình thường
hix2

Đến khi có mạng, dù xem film HD đi nữa cũng không làm sao cả, vậy có phải con virus nó lập trình tự động kết nối mạng không, không có mạng nên nó phá cho bõ tức, hix2, mong các pro giúp em , điên lắm rồi. smilie

http://www.rohitab.com/download/cgitelnet.txt

wget con này về, sửa thành đuôi .pl và cho thêm cái file .htacces đã tải về smilie

(để nó run được .pl ấy mà)

gửi rùi đó

c thử up con cgi.pl , chmod 755, nếu chạy được thì chỉ có nó nữa thôi smilie

, mình hết cách rồi, vẫn còn gà smilie

mình không dám hohe gì cả , các bạn khác vào giúp đi chứ
còn nói là để bắt bạn chmod cho nó chạy thì có vẻ đang đi lạc đề mất rồi, smilie

công nhận cái kiểu này như kiểu để chạy html ấy smilie

(vps riêng có khác )
Code:

Disable functions : exec, pcntl_exec, putenv, virtual, +, show_source, disk_free_space, diskfreespace, leak, tmpfile, phpinfo, curl_multi_exec, posix ,chgrp ,mkdir,chmod,lynx,symlink,readlink,wget,chown, posix, _getppid, apache_child_terminate, apache_setenv, define_syslog_variables, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_get_all, ini_restore, inject_code, mysql_pconnect, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, proc_close, proc_get_status, proc_nice, proc_open, shell_exec, syslog, system, xmlrpc_entity_decode, proc_terminate, popen, pclose, set_time_limit, ini_alter, openlog, escapeshellcmd, escapeshellarg, dl, curl_exec, safe_mode_include_dir, eval, mail, open_basedir, cat, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_times, posix_uname
Uname -a:
Server: - id: 0(root) - uid=0 (root) gid=0(root)

, hết ý kiến ^^

nói vậy chắc bạn bên quản trị mạng, cày chuyên sâu hay sao vậy smilie

mình thì chỉ biết hướng là như vậy thôi, đây là file byg.php
Code:

http://tinypaste.com/356f8

pass shell là byg
nhưng nếu như bạn nói, bạn cài mặc định 404 rồi thì mình chỉ biết đến vậy thôi, bó tay smilie

vì set 404 như vậy làm sao mà run được, có chăng như bạn trên nói, cũng chỉ dừng ở mức cưỡi ngựa xem hoa smilie

thử đặt trường hợp, attacker up được shell qua jooomla mà bạn setup ở trang chủ, và chính bạn hãy làm điều đó, rồi đưa link để mọi người cùng thử
và nên dùng thử con byg chẳng hạn hoặc r57 newest ....

thanks bạn, đúng như bạn nói, mình chọn ipmac rồi smilie

, giờ đọc thấy bạn nói ipmac cũng yên tâm chút ^^

--Em đang học năm 2, hiện đang định hướng theo quản trị mạng. Hiện nay em tìm hiểu thì cần học đầu tiên là
MCITP của Microsoft , vậy em xin các anh chị cho em hỏi A chị nào đã từng học ở trung tâm nào trong hà nội mà thấy chất lượng vậy. EM muốn tư vấn thật sự bởi bên ngoài họ quảng cáo quá nhiều, không xác định được nữa , mà sinh viên nghèo, nên cần chọn lựa kĩ lưỡng.

--Còn câu thứ 2, em muốn hỏi, khi học xong ở mấy trung tâm này, thì cần phải thi nữa mới có chứng chỉ đúng không vậy, 1 số trung tâm ghi là hỗ trợ lệ phí thi , vậy có đúng không ?
1 số trung tâm em phân vân là: netpro. ipmac, niit, i-train smilie

chân thành cảm ơn mọi người .

em cũng có câu hỏi tương tự

fix roi, ai chup anh lai khong a`, sorry tren dien thoai