web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập?

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập?

[Question] web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập?	05/05/2011 18:43:27 (+0700) \| #1 \| 236720

minhdanh72
Member

Joined: 12/01/2011 08:10:12
Messages: 7
Offline

Trang web của mình sử dụng Drupal, hôm nay vào lại bằng firefox thấy trên status bar có dòng là "Connecting to www.ssh101.com. Mình thấy rất lạ nên dùng firebug coi lại thì thấy có 2 dòng lạ này:
Code:

URL                     status                      domain                      size


GET www.ssh101.com     206 Partial content         ssh101.com                  1.1Kb

GET www.ssh101.com     206 Partial content         ssh101.com                  1.1Kb

Mình đã xem lại source html, các file .js, .css nhưng không tìm thấy dòng nào liên quan đến cái trang này cả. Anh em có thể giải thích giúp mình chuyện gì đang xảy ra được không? Có phải site của mình đã bị xâm nhập?

[Question] web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập?	06/05/2011 16:02:08 (+0700) \| #2 \| 236756

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

minhdanh72 wrote:

Trang web của mình sử dụng Drupal, hôm nay vào lại bằng firefox thấy trên status bar có dòng là "Connecting to www.ssh101.com. Mình thấy rất lạ nên dùng firebug coi lại thì thấy có 2 dòng lạ này:
Code:
URL                     status                      domain                      size


GET www.ssh101.com     206 Partial content         ssh101.com                  1.1Kb

GET www.ssh101.com     206 Partial content         ssh101.com                  1.1Kb
Mình đã xem lại source html, các file .js, .css nhưng không tìm thấy dòng nào liên quan đến cái trang này cả. Anh em có thể giải thích giúp mình chuyện gì đang xảy ra được không? Có phải site của mình đã bị xâm nhập?

Cần thêm thông tin từ logs của apache. Thông tin trên không đủ để xác định gì hết bồ. ssh101.com là một host bị blacklisted trên một số antiviruses và anti-malwares cho nên bồ nên ra soát máy của bồ thật kỹ.

[Question] web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập?	08/05/2011 18:04:28 (+0700) \| #3 \| 236836

flier_vn
Member

Joined: 15/07/2008 01:13:39
Messages: 28
Offline

Dreamwear có chức nắng " search content all file in folder ", bạn search từ "ssh101.com" cho toàn bộ source của bạn xem sao smilie

MerChant.Vn - Website học hỏi, trao đổi thảo luận về kinh doanh.

DànhChoBé.VN - Chuyên bán đồ chơi chất lượng, thương hiệu Fisher price, Disney, Thomas & Friends

[Question] web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập?	24/05/2011 19:05:52 (+0700) \| #4 \| 237787

minhdanh72
Member

Joined: 12/01/2011 08:10:12
Messages: 7
Offline

conmale wrote:

minhdanh72 wrote:
Trang web của mình sử dụng Drupal, hôm nay vào lại bằng firefox thấy trên status bar có dòng là "Connecting to www.ssh101.com. Mình thấy rất lạ nên dùng firebug coi lại thì thấy có 2 dòng lạ này:
Code:
URL                     status                      domain                      size


GET www.ssh101.com     206 Partial content         ssh101.com                  1.1Kb

GET www.ssh101.com     206 Partial content         ssh101.com                  1.1Kb
Mình đã xem lại source html, các file .js, .css nhưng không tìm thấy dòng nào liên quan đến cái trang này cả. Anh em có thể giải thích giúp mình chuyện gì đang xảy ra được không? Có phải site của mình đã bị xâm nhập?
Cần thêm thông tin từ logs của apache. Thông tin trên không đủ để xác định gì hết bồ. ssh101.com là một host bị blacklisted trên một số antiviruses và anti-malwares cho nên bồ nên ra soát máy của bồ thật kỹ.

Anh conmale ơi, em để ý lại thì thấy, cái request này chỉ xuất hiện khi mình truy cập 1 node nhất định thôi ạ (có bài viết, hình ảnh, chữ ký của người dùng khác). Chỉ lạ là không tài nào tìm thấy dòng nào có ssh101.com thôi ạ. Đến nay vẫn chưa thấy hiện tượng gì lạ khác ạ. Em sẽ kiểm tra lại log xem sao.

[Question] web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập?	24/05/2011 19:08:20 (+0700) \| #5 \| 237788

minhdanh72
Member

Joined: 12/01/2011 08:10:12
Messages: 7
Offline

flier_vn wrote:

Dreamwear có chức nắng " search content all file in folder ", bạn search từ "ssh101.com" cho toàn bộ source của bạn xem sao

Cảm ơn bạn đã trả lời, nhưng mình không tài nào tìm thấy dòng này :- (

[Question] web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập?	25/05/2011 09:02:09 (+0700) \| #6 \| 237829

khanhqhi
Member

Joined: 27/05/2008 18:02:54
Messages: 27
Offline

Bạn xem lại trong trang web có cái flash nào không. Thử comment lại xem. Lần trước mình cũng bị tình trạng như này. Bỏ cái flash đi thì hết. smilie

không hiểu được

[Question] web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập?	06/06/2011 08:09:19 (+0700) \| #7 \| 239413

chiro8x
Member

Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline

flier_vn wrote:

Dreamwear có chức nắng " search content all file in folder ", bạn search từ "ssh101.com" cho toàn bộ source của bạn xem sao

Bạn cỏ nghĩ cái cụm từ này được encrypt bới một đoạn code (như js chẳng hạn) nào đó chưa smilie

while(1){}

[Question] web của mình tự động gửi request đến ssh101.com - có phải bị xâm nhập?	08/06/2011 09:18:40 (+0700) \| #8 \| 239690

blackboy212
Member

Joined: 30/12/2006 19:36:55
Messages: 17
Offline

Mình cũng cho rằng đoạn mã js truy cập đến đị chỉ www.ssh101.com đã bị mã hoá (Obfuscator) do vậy việc sử dụng Dreamwear để tìm e là không thấy. có thế bạn tìm kiếm tất cả các file js toàn bộ mã nguồn sắp xếp theo thứ tự thời gian và chọn ra những file mới để kiểm tra nội dung xem.
Việc mã hoá (Obfuscator) mã nguồn js bạn có thể thử nghiệp tại (http://www.daftlogic.com/projects-online-javascript-obfuscator.htm)

Go to:

Users currently in here
1 Anonymous