banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập?  XML
  [Question]   web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập? 05/05/2011 18:43:27 (+0700) | #1 | 236720
minhdanh72
Member

[Minus]    0    [Plus]
Joined: 12/01/2011 08:10:12
Messages: 7
Offline
[Profile] [PM]
Trang web của mình sử dụng Drupal, hôm nay vào lại bằng firefox thấy trên status bar có dòng là "Connecting to www.ssh101.com. Mình thấy rất lạ nên dùng firebug coi lại thì thấy có 2 dòng lạ này:
Code:
URL                     status                      domain                      size


GET www.ssh101.com     206 Partial content         ssh101.com                  1.1Kb

GET www.ssh101.com     206 Partial content         ssh101.com                  1.1Kb


Mình đã xem lại source html, các file .js, .css nhưng không tìm thấy dòng nào liên quan đến cái trang này cả. Anh em có thể giải thích giúp mình chuyện gì đang xảy ra được không? Có phải site của mình đã bị xâm nhập?
[Up] [Print Copy]
  [Question]   web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập? 06/05/2011 16:02:08 (+0700) | #2 | 236756
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

minhdanh72 wrote:
Trang web của mình sử dụng Drupal, hôm nay vào lại bằng firefox thấy trên status bar có dòng là "Connecting to www.ssh101.com. Mình thấy rất lạ nên dùng firebug coi lại thì thấy có 2 dòng lạ này:
Code:
URL                     status                      domain                      size


GET www.ssh101.com     206 Partial content         ssh101.com                  1.1Kb

GET www.ssh101.com     206 Partial content         ssh101.com                  1.1Kb


Mình đã xem lại source html, các file .js, .css nhưng không tìm thấy dòng nào liên quan đến cái trang này cả. Anh em có thể giải thích giúp mình chuyện gì đang xảy ra được không? Có phải site của mình đã bị xâm nhập?
 


Cần thêm thông tin từ logs của apache. Thông tin trên không đủ để xác định gì hết bồ. ssh101.com là một host bị blacklisted trên một số antiviruses và anti-malwares cho nên bồ nên ra soát máy của bồ thật kỹ.
[Up] [Print Copy]
  [Question]   web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập? 08/05/2011 18:04:28 (+0700) | #3 | 236836
flier_vn
Member

[Minus]    0    [Plus]
Joined: 15/07/2008 01:13:39
Messages: 28
Offline
[Profile] [PM]
Dreamwear có chức nắng " search content all file in folder ", bạn search từ "ssh101.com" cho toàn bộ source của bạn xem sao smilie
MerChant.Vn - Website học hỏi, trao đổi thảo luận về kinh doanh.

DànhChoBé.VN - Chuyên bán đồ chơi chất lượng, thương hiệu Fisher price, Disney, Thomas & Friends
[Up] [Print Copy]
  [Question]   web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập? 24/05/2011 19:05:52 (+0700) | #4 | 237787
minhdanh72
Member

[Minus]    0    [Plus]
Joined: 12/01/2011 08:10:12
Messages: 7
Offline
[Profile] [PM]

conmale wrote:

minhdanh72 wrote:
Trang web của mình sử dụng Drupal, hôm nay vào lại bằng firefox thấy trên status bar có dòng là "Connecting to www.ssh101.com. Mình thấy rất lạ nên dùng firebug coi lại thì thấy có 2 dòng lạ này:
Code:
URL                     status                      domain                      size


GET www.ssh101.com     206 Partial content         ssh101.com                  1.1Kb

GET www.ssh101.com     206 Partial content         ssh101.com                  1.1Kb


Mình đã xem lại source html, các file .js, .css nhưng không tìm thấy dòng nào liên quan đến cái trang này cả. Anh em có thể giải thích giúp mình chuyện gì đang xảy ra được không? Có phải site của mình đã bị xâm nhập?
 


Cần thêm thông tin từ logs của apache. Thông tin trên không đủ để xác định gì hết bồ. ssh101.com là một host bị blacklisted trên một số antiviruses và anti-malwares cho nên bồ nên ra soát máy của bồ thật kỹ. 


Anh conmale ơi, em để ý lại thì thấy, cái request này chỉ xuất hiện khi mình truy cập 1 node nhất định thôi ạ (có bài viết, hình ảnh, chữ ký của người dùng khác). Chỉ lạ là không tài nào tìm thấy dòng nào có ssh101.com thôi ạ. Đến nay vẫn chưa thấy hiện tượng gì lạ khác ạ. Em sẽ kiểm tra lại log xem sao.
[Up] [Print Copy]
  [Question]   web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập? 24/05/2011 19:08:20 (+0700) | #5 | 237788
minhdanh72
Member

[Minus]    0    [Plus]
Joined: 12/01/2011 08:10:12
Messages: 7
Offline
[Profile] [PM]

flier_vn wrote:
Dreamwear có chức nắng " search content all file in folder ", bạn search từ "ssh101.com" cho toàn bộ source của bạn xem sao smilie
 

Cảm ơn bạn đã trả lời, nhưng mình không tài nào tìm thấy dòng này :- (
[Up] [Print Copy]
  [Question]   web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập? 25/05/2011 09:02:09 (+0700) | #6 | 237829
[Avatar]
khanhqhi
Member

[Minus]    0    [Plus]
Joined: 27/05/2008 18:02:54
Messages: 27
Offline
[Profile] [PM] [Yahoo!]
Bạn xem lại trong trang web có cái flash nào không. Thử comment lại xem. Lần trước mình cũng bị tình trạng như này. Bỏ cái flash đi thì hết. smilie không hiểu được
[Up] [Print Copy]
  [Question]   web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập? 06/06/2011 08:09:19 (+0700) | #7 | 239413
[Avatar]
chiro8x
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]

flier_vn wrote:
Dreamwear có chức nắng " search content all file in folder ", bạn search từ "ssh101.com" cho toàn bộ source của bạn xem sao smilie
 


Bạn cỏ nghĩ cái cụm từ này được encrypt bới một đoạn code (như js chẳng hạn) nào đó chưa smilie.
while(1){}
[Up] [Print Copy]
  [Question]   web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập? 08/06/2011 09:18:40 (+0700) | #8 | 239690
[Avatar]
blackboy212
Member

[Minus]    0    [Plus]
Joined: 30/12/2006 19:36:55
Messages: 17
Offline
[Profile] [PM]
Mình cũng cho rằng đoạn mã js truy cập đến đị chỉ www.ssh101.com đã bị mã hoá (Obfuscator) do vậy việc sử dụng Dreamwear để tìm e là không thấy. có thế bạn tìm kiếm tất cả các file js toàn bộ mã nguồn sắp xếp theo thứ tự thời gian và chọn ra những file mới để kiểm tra nội dung xem.
Việc mã hoá (Obfuscator) mã nguồn js bạn có thể thử nghiệp tại (http://www.daftlogic.com/projects-online-javascript-obfuscator.htm)
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|