[Question] Xin giúp đỡ vấn đề Shell AluCaR |
24/02/2009 07:14:33 (+0700) | #1 | 170669 |
dangkhoayds05
Member
|
0 |
|
|
Joined: 23/02/2009 06:08:59
Messages: 10
Offline
|
|
Tình hình là site mình bị nhiễm Shell nhưng moà mình không hiểu là cơ chế nào nó ghi được file lên thư mục cấp trước ?
Ví dụ mình có cấu trúc như sau:
.../public_html/4rum/
diễn đàn để trên thư mục 4rum
sau khi người ta up shell lên thì họ có ghi thêm 2 file trong thư mục /4rum và 1 file ở /public_html và còn nói tên Shadow night ^^
ktra code php và sql thấy ko inc trong đó nhưng mình muốn biết họ đã xâm nhập như thế nào và cách set quyền sao cho họ không thể ghi file vào các thư mục đó . à quên, ng ta có sửa file php.ini nhưng em ko biết cấu hình cái php.ini thế nào cho đỡ đỡ bị hack
Mong các cao thủ chỉ bảo !!!
PS:
@manowar Em có đọc mấy tut OLLYDBG của bác nhưng hổng hỉu chỉ nắm căn bản thui ^^ |
|
|
|
|
[Question] Xin giúp đỡ vấn đề Shell AluCaR |
24/02/2009 15:04:50 (+0700) | #2 | 170725 |
dangkhoayds05
Member
|
0 |
|
|
Joined: 23/02/2009 06:08:59
Messages: 10
Offline
|
|
|
|
[Question] Re: Xin giúp đỡ vấn đề Shell AluCaR |
26/02/2009 06:45:54 (+0700) | #3 | 171012 |
doveandrose
Member
|
0 |
|
|
Joined: 30/12/2008 15:07:55
Messages: 2
Offline
|
|
mình cũng mới tìm hiểu về shell đây thôi. Theo như mình hiểu thì sv đặt host của bạn đã bị nhiễm backdoor. Nguyên nhân là do sv config yếu kém để cho mấy tên hacker cấy shell vào. Mình hiểu sao nói vậy có gì sai mong các pro giúp thêm. Bạn có thể tìm hiểu thêm trên google với từ khóa: "Cách local attack = shell" để hiểu thêm. |
|
|
|
|
[Question] Re: Xin giúp đỡ vấn đề Shell AluCaR |
26/02/2009 15:48:09 (+0700) | #4 | 171078 |
dangkhoayds05
Member
|
0 |
|
|
Joined: 23/02/2009 06:08:59
Messages: 10
Offline
|
|
Em xài bên Nhân Hoà đó mờ, anh em nào có kinh nghiệm chỉ giúp chứ việc Checkmod bên này cũng khó khăn lắm , hông được dưới 644 ( |
|
|
|
|
[Question] Re: Xin giúp đỡ vấn đề Shell AluCaR |
27/02/2009 14:06:25 (+0700) | #5 | 171241 |
sangteamtham
Member
|
0 |
|
|
Joined: 13/11/2008 18:34:26
Messages: 27
Location: Việt Nam
Offline
|
|
Cái này ko phải do lỗi chủ yếu do bạn
Bạn muốn biết bị tấn công như thế nào chỉ còn cách là liên hệ với admin server để xem log.
Việc up shell lên diễn đàn có nhiều cách lắm. Có thể là bạn đặt pass dễ đoán. hoặc là attacker đã local từ một site nào đó tới site của bạn. Nới đến vấn đề này thì phải phụ thuộc vào cách admin server config server như thế nào. Bạn nên kiểm tra cẩn thận các khu vực trọng yếu, các file language, template.. xem có hiện tượng include shell ko..
Chúc bạn may mắn. |
|
Một sự việc và hàng tỉ cái đầu |
|
|
|
[Question] Re: Xin giúp đỡ vấn đề Shell AluCaR |
03/03/2009 12:31:07 (+0700) | #6 | 171711 |
boconganh
Member
|
0 |
|
|
Joined: 24/07/2005 09:03:17
Messages: 12
Offline
|
|
Nhân hòa thì có khả năng bị local khá cao.File php.ini bị thay đổi có lẽ để safemod off.
Trước tiên bạn nên kiểm tra lại xem ngoài 4rum trên site còn code nào ko(code upload hay rapidleech chẳng hạn)?Nếu chỉ có VBB thì xem thử còn bigdump hay mysqldumper ko?
Bạn có thể nói ip của sever bạn mình xem thử cái. |
|
|
|
|
[Question] Re: Xin giúp đỡ vấn đề Shell AluCaR |
17/03/2009 11:13:48 (+0700) | #7 | 173487 |
lequi
Member
|
0 |
|
|
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
|
|
kiểm tra luôn trong data forum của bạn có user nào quyền admin mà để group member bạn nhé. |
|
|
|
|
[Question] Re: Xin giúp đỡ vấn đề Shell AluCaR |
18/03/2009 00:59:32 (+0700) | #8 | 173555 |
protectHat
Member
|
0 |
|
|
Joined: 09/08/2008 11:02:35
Messages: 176
Location: DMZ
Offline
|
|
Khi đã bị shell thì lấy hết log về. Xóa code forum rồi tải bản khác lên. Xem trong Admincpanel có ai là admin nữa thì xóa hết.
@dangkhoayds05: host Nhân hòa thì 99% là dính shell do local. bên hce có nhiều người sẵn sàng share shell trên nhân hòa miễn sao ko phá. Các site trên đó đã dính nhiều rồi nên khả năng up lại bị dính tiếp là cao.
@boconganh safemod=off có thể qua mặt với các web shell phổ biến như C99 |
|
|
[Question] Re: Xin giúp đỡ vấn đề Shell AluCaR |
23/03/2009 04:49:32 (+0700) | #9 | 174230 |
kutideptrai
Member
|
0 |
|
|
Joined: 19/04/2007 19:37:45
Messages: 1
Offline
|
|
Host Nhân Hòa thì chuối cả nải roài, xài cái nào die cái đó, lỗi do hosting provide chứ kg phải bạn |
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|