đầu tiên login dô root account

các bạn mở file "php.ini" trong pico editor

[ pico /usr/local/lib/php.ini ]

tìm "safe_mode"

[ Ctrl + W and type "safe_mode" ]

đổi Off thành On

[ "safe_mode = Off" to "safe_mode = On" ]

tìm "disabled_functions"

[ Ctrl + W and type "disabled_functions" ]

và add theo functions

[system, exec, shell_exec, passthru, pcntl_exec, putenv, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, popen, pclose, set_time_limit, ini_alter, virtual, openlog, escapeshellcmd, escapeshellarg, dl, curl_exec, parse_ini_file, show_source]

sau đó save lại
[ Ctrl + X then Y ]

retart lại Apache web server
[ /etc/init.d/httpd restart ]

done. bây h hết sợ hack local rồi nhá )

chú ý nên backup php.ini trước khi bắt đầu. hehe


 

Hey còn một hàm cực kì nguy hiểm khác mà đồng chí không nêu ra ,nếu còn để lọt hàm cơ bản này thì việc bật safe_mode của php.ini là vô nghĩa

Hàm: ini_set();

He tui đã dùng hàm này gắn vô r57 và c99 để bypass mấy cái server bật safe_mode đc nhiều năm rồi  

exec, system, passthru, proc_open, shell_exec,
dl, popen, pclose, fsockopen, pfsockopen, getrusage
alter_ini, set_ini, ini_restore
set_time_limit, leak, listen, virtual
mysql_list_dbs, mysql_pconnect, mysql_create_db, mysql_drop_db, mysql_get_client_info, mysql_get_host_info, mysql_get_proto_info, mysql_db_name
phpcredits, php_logo_guid, zend_logo_guid, php_uname
getmyuid, getmygid, getmypid, getmyinode, get_current_user
syslog, openlog, fopenstream
chroot, chown, chgrp
disk_free_space, disk_total_space, diskfreespace
filegroup, fileinode, fileowner
link, readlink, symlink

curl=off 

bluehost vẫn bị bypass ầm ầm
 

Hix Anh nào cò con r57 thì share cho em với nhé 

Phan Kieu Bang Nhan wrote:

Hix Anh nào cò con r57 thì share cho em với nhé 

Xin lỗi mọi người nhé. Mặc dù topic này đã rất lâu rồi nhưng mình vẫn muốn mở lại.
Chả là thế này, hôm nay mát giời, mình mới upload thử 1 con shell lên host xem nó thế nào. Nhưng nó đã báo cáo ngay với chủ của nó (thằng viết shell). Mình vô tình phát hiện được là vì hòm mail của thằng viết shell chết, nên mình đã nhận được.

Do vậy các bạn up shell, tập hack thì cũng không hẳn, mà chỉ là phát tán công cụ hack cho các hacker nước ngoài sử dụng mà thôi.
Các bạn có thể xem hình dưới đây:

Qua đây cũng củng cố thêm ý của bác Conmale về độ "lém" của kẻ viết công cụ hack:
/hvaonline/posts/list/5/11448.html#66010 

alice wrote:

Hôm bữa rảnh một tí, tớ thử phân tích "con" r57 thì thấy có nhiều chi tiết lý thú. Tay Russian nào viết con này rất lém. Những kiddie nào dùng script đó để exploit thành công thì stats sẽ được log đến 1 server (khác). Chính người làm chủ stats server kia sẽ nắm trong tay chính xác bao nhiêu sites bị "con" r57 làm thịt và chính xác site nào luôn.

E rằng các kiddie dùng mấy con script này không biết mấy cái chi tiết đó và đang đi làm... không công cho ai đó ). Những server bị nhân nhượng có thể bị biến thành zombies --> hậu hoạn khó lường.

Tip: soi các block base64 để biết chi tiết.