English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Lỗi "lạ" - tên miền trỏ về...google!  XML
  [Question]   Lỗi "lạ" - tên miền trỏ về...google! 29/12/2010 23:32:53 (+0700) | #1 | 228072
hoangtuyen47
Member
[Minus]    0    [Plus]
Joined: 28/12/2010 04:42:54
Messages: 8
Offline
[Profile] [PM]
Không biết diễn đàn dteahleo.com của mình bị sao mà 2 ngày nay các thành viên truy cập bằng FireFox hay Chrome đều bị chuyển sang trang google!

"Lạ" ở chỗ máy mình và các support của host lại truy cập bình thường! Mình thử ra quán net gần nhà test thử thì đúng là như vậy! gõ dteahleo.com là nó lại ra trang google...

Liên hệ bạn bè người thì vào được, người thì liên tục bị chuyển sang google!

Lỗi này là lỗi gì vậy các bác! 4rum e cứ thế này thì mất sạch thành viên mất hu..hu...

Forum e dùng là VBB 4.05 bản NULL, đang chạy bình thường. Dạo này có rất nhiều kẻ phá phách ăn trộm được pass cpanel, phá mã nguồn.... nên e nghi khả năng tên miền có vấn đề...

Nhờ các pro chỉ giúp!
[Up] [Print Copy]
  [Question]   Lỗi "lạ" - tên miền trỏ về...google! 30/12/2010 03:55:52 (+0700) | #2 | 228079
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
$ dig a dteahleo.com

; <<>> DiG 9.6.0-MyBuild <<>> a dteahleo.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47897
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;dteahleo.com. IN A

;; ANSWER SECTION:
dteahleo.com. 14400 IN A 210.245.90.196

;; Query time: 1468 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Thu Dec 30 08:52:23 2010
;; MSG SIZE rcvd: 46 



---> dteahleo.com có IP là 210.245.90.196 và IP này thuộc quản lý của FPT. Bởi vậy, nếu có ai duyệt trang này mà bị đưa về google thì không chừng DNS của những người dùng kia có vấn đề. Nên thử chỉnh giá trị TTL trên DNS thật thấp xem có cải thiện được gì không.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Lỗi "lạ" - tên miền trỏ về...google! 30/12/2010 07:10:14 (+0700) | #3 | 228080
[Avatar]
 man cold
Member
[Minus]    0    [Plus]
Joined: 17/12/2010 10:20:56
Messages: 17
Offline
[Profile] [PM]
Ngoài trường hợp của anh conmale đưa ra thì rất có thể trang của bạn có bị lỗi CSS ở thông điệp yêu thương. Và người "phá hoại" đã check lệnh something để tìm lỗi rồi dùng câu lệnh script để đưa trang của bạn sang tên miền khác khi mọi người truy cập.
[Up] [Print Copy]
  [Question]   Lỗi "lạ" - tên miền trỏ về...google! 30/12/2010 09:32:02 (+0700) | #4 | 228091
hoangtuyen47
Member
[Minus]    0    [Plus]
Joined: 28/12/2010 04:42:54
Messages: 8
Offline
[Profile] [PM]
Thanks 2 a đã quan tâm!

Nhưng Mod thông điệp yêu thương bên e không cài vào nên loại trừ trường hợp của a mancold được ạ!

Còn DNS thì e nghĩ chắc không phải vì lâu nay vẫn xài bình thường, mới bị 2 ngày nay thôi ạ!

Trên cùng một máy, IE 7 vào được còn Chrome hoặc FireFox thì lại không!

Bữa nay còn có thêm khoản trỏ về trang google có link dẫn đến site "đối thủ" của e nữa mới đau chứ! Nên e nghĩ chắc chắn có kẻ phá phách gì ở đây!

Nhưng không nghĩ ra phá ở đâu và như thế nào để khắc phục! Mà cái lỗi này e tìm trên mạng hình như chưa thấy ai bị....hic...
[Up] [Print Copy]
  [Question]   Lỗi "lạ" - tên miền trỏ về...google! 30/12/2010 09:40:00 (+0700) | #5 | 228093
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

hoangtuyen47 wrote:
Thanks 2 a đã quan tâm!

Nhưng Mod thông điệp yêu thương bên e không cài vào nên loại trừ trường hợp của a mancold được ạ!

Còn DNS thì e nghĩ chắc không phải vì lâu nay vẫn xài bình thường, mới bị 2 ngày nay thôi ạ!

Trên cùng một máy, IE 7 vào được còn Chrome hoặc FireFox thì lại không!

Bữa nay còn có thêm khoản trỏ về trang google có link dẫn đến site "đối thủ" của e nữa mới đau chứ! Nên e nghĩ chắc chắn có kẻ phá phách gì ở đây!

Nhưng không nghĩ ra phá ở đâu và như thế nào để khắc phục! Mà cái lỗi này e tìm trên mạng hình như chưa thấy ai bị....hic... 


Trên IE, FF và Chrome có chỉnh gì trong phần proxy không?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Lỗi "lạ" - tên miền trỏ về...google! 30/12/2010 09:50:38 (+0700) | #6 | 228097
[Avatar]
 man cold
Member
[Minus]    0    [Plus]
Joined: 17/12/2010 10:20:56
Messages: 17
Offline
[Profile] [PM]
Bạn dùng bản share đúng không?.
Cũng hơi lạ là dùng firefox thì chuyển tới google và dteahleo.info
còn dùng IE8 thì vào ok.
[Up] [Print Copy]
  [Question]   Lỗi &quot;lạ&quot; - tên miền trỏ về...google! 30/12/2010 09:55:40 (+0700) | #7 | 228098
hoangtuyen47
Member
[Minus]    0    [Plus]
Joined: 28/12/2010 04:42:54
Messages: 8
Offline
[Profile] [PM]

conmale wrote:

hoangtuyen47 wrote:
 


Trên IE, FF và Chrome có chỉnh gì trong phần proxy không? 


Dạ không! Em ra quán net tải FireFox và Chrome mới về cài lên cũng không được! hoàn toàn không chỉnh gì hết ah

Cái .info đấy là "đối thủ" của site e nên e nghi nghi....

Hôm nay e kiểm tra thấy mấy file ảnh lạ trong host (chắc là shell) nên đã xoá đi! Nhưng vẫn bị vậy...

mấy đợt phá data hay code e còn khôi phục bình thường chứ cái này thì pó tay!

Hình như thằng phá này cao thủ mất rồi...hic...
[Up] [Print Copy]
  [Question]   Lỗi &quot;lạ&quot; - tên miền trỏ về...google! 30/12/2010 10:34:04 (+0700) | #8 | 228106
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

hoangtuyen47 wrote:

conmale wrote:

hoangtuyen47 wrote:
 


Trên IE, FF và Chrome có chỉnh gì trong phần proxy không? 


Dạ không! Em ra quán net tải FireFox và Chrome mới về cài lên cũng không được! hoàn toàn không chỉnh gì hết ah

Cái .info đấy là "đối thủ" của site e nên e nghi nghi....

Hôm nay e kiểm tra thấy mấy file ảnh lạ trong host (chắc là shell) nên đã xoá đi! Nhưng vẫn bị vậy...

mấy đợt phá data hay code e còn khôi phục bình thường chứ cái này thì pó tay!

Hình như thằng phá này cao thủ mất rồi...hic... 


Request đến host này mà bị wwwect về host kia thì hầu như là vấn đề của DNS (có thể là bị DNS poisoning). Nếu như máy dùng để thử duyệt là máy hoàn toàn sạch (không bị dính mã độc nào đó có khả năng wwwect) thì chắc chắn là có vấn đề với DNS.

Bồ dùng DNS nào mà bị tình trạng như trên? Thử dùng DNS của opendns (208.67.222.222 và 208.67.220.220) và duyệt xem còn bị không?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Lỗi "lạ" - tên miền trỏ về...google! 30/12/2010 14:41:55 (+0700) | #9 | 228118
[Avatar]
 conlocbayby
Member
[Minus]    0    [Plus]
Joined: 02/07/2007 13:26:35
Messages: 68
Location: Đà Lạt
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]
Mấy nay site của mình cũng gặp vấn đề như của bạn nhưng sau một thời gian cũng hết thôi mình nghĩ cái này là do nhà cung cấp dịch vụ mạng như VNPT, FPT v.v..
I want to change the World
But
I can't
Because
You don't give me the source.
[Up] [Print Copy]
  [Question]   Lỗi "lạ" - tên miền trỏ về...google! 30/12/2010 15:39:39 (+0700) | #10 | 228123
hoangtuyen47
Member
[Minus]    0    [Plus]
Joined: 28/12/2010 04:42:54
Messages: 8
Offline
[Profile] [PM]
Ban đầu mình cũng nghĩ vậy, nhưng khi nó trỏ tới trang google có chứa link của site "đối thủ" thì mình thấy vấn đề không còn đơn giản nữa...

DNS mình đã liên hệ bên server họ nói rằng vẫn hoàn toàn bình thường nên chẳng biết thế nào...hic...
[Up] [Print Copy]
  [Question]   Lỗi "lạ" - tên miền trỏ về...google! 01/01/2011 17:30:12 (+0700) | #11 | 228359
[Avatar]
 chiro8x
Member
[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]
Mình từng làm cho một cái web, chuyện này người ta bảo là do ông FPT thôi. Trang web tớ làm dùng mạng FPT là bị báo không tồn tại. Hoặc lâu lâu vào nó nhảy sang một trang tìm kiếm. Bạn thử xem lại chổ bạn thuê máy chủ dùng dịch vụ internet của ai.
while(1){}
[Up] [Print Copy]
  [Question]   Lỗi &quot;lạ&quot; - tên miền trỏ về...google! 01/01/2011 22:11:20 (+0700) | #12 | 228390
myquartz
Member
[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Đã xem lại.
Web Server của bạn chắc chắn có vấn đề, bị xâm nhập hoặc bị wwwect có điều kiện. Bạn hãy xem đoạn capture này:

Code:
GET /ksjdflskdf HTTP/1.1

Host: dteahleo.com

User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.13) Gecko/20101209 Fedora/3.6.13-1.fc14 Firefox/3.6.13

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: vi,en-us;q=0.7,en;q=0.3

Accept-Encoding: gzip,deflate

Accept-Charset: UTF-8,*

Keep-Alive: 115

Connection: keep-alive



HTTP/1.1 302 Found

Date: Sat, 01 Jan 2011 16:17:33 GMT

Server: LiteSpeed

Connection: Keep-Alive

Keep-Alive: timeout=5, max=100

Location: http://www.google.com.vn/#sclient=psy&hl=vi&q=hoc+sinh+thpteahleo&aq=f&aqi=&aql=&oq=&gs_rfai=&pbx=1&fp=986b226ed7ee6cfa

Content-Type: text/html

Content-Length: 389


Mình cố tình get 1 URI chắc là không tồn tại trên server đó (GET /ksjdflskdf), dùng Firefox thì bị trả về cái Location như trên. Nội dung location là cố ý query cái chuỗi "hoc sinh thpteahleo".
Nếu dùng wget hoặc Chrome, hoặc telnet nhưng đổi cái User-Agent sang cái khác thì không gặp vấn đề này.
Xem:
Code:
GET / HTTP/1.1

Host: dteahleo.com

Connection: keep-alive

Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5

User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.224 Safari/534.10

Accept-Encoding: gzip,deflate,sdch

Accept-Language: en-US,en;q=0.8

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

Cookie: bb_lastvisit=1293898611; bb_lastactivity=0; AVIM_on_off=1; AVIM_method=0; AVIM_ckspell=1; AVIM_daucu=1



HTTP/1.1 200 OK

Date: Sat, 01 Jan 2011 16:25:22 GMT

Server: LiteSpeed

Connection: close

X-Powered-By: PHP/5.2.13

Set-Cookie: bb_lastactivity=0; expires=Sun, 01-Jan-2012 16:25:22 GMT; path=/

Cache-Control: private

Pragma: private

Content-Type: text/html; charset=UTF-8

Content-Encoding: gzip

Content-Length: 31727


Không rõ server LiteSpeed là server nào? thuê share host?
[Up] [Print Copy]
  [Question]   Lỗi "lạ" - tên miền trỏ về...google! 01/01/2011 22:55:55 (+0700) | #13 | 228394
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Kiếm trong folder htdocs có cái .htaccess nào không, có thì quăng lên đây, vì theo khảo sát của myquazt ở trên có vẻ .htaccess có được chỉnh chút gì đó nên mới dẫn tới việc link "ba xạo" mà cũng có response 200 OK
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Lỗi &quot;lạ&quot; - tên miền trỏ về...google! 02/01/2011 13:08:34 (+0700) | #14 | 228422
congtuoc05
Member
[Minus]    0    [Plus]
Joined: 01/01/2011 21:11:41
Messages: 1
Offline
[Profile] [PM]

conmale wrote:

hoangtuyen47 wrote:

conmale wrote:

hoangtuyen47 wrote:
 


Trên IE, FF và Chrome có chỉnh gì trong phần proxy không? 


Dạ không! Em ra quán net tải FireFox và Chrome mới về cài lên cũng không được! hoàn toàn không chỉnh gì hết ah

Cái .info đấy là "đối thủ" của site e nên e nghi nghi....

Hôm nay e kiểm tra thấy mấy file ảnh lạ trong host (chắc là shell) nên đã xoá đi! Nhưng vẫn bị vậy...

mấy đợt phá data hay code e còn khôi phục bình thường chứ cái này thì pó tay!

Hình như thằng phá này cao thủ mất rồi...hic... 


Request đến host này mà bị wwwect về host kia thì hầu như là vấn đề của DNS (có thể là bị DNS poisoning). Nếu như máy dùng để thử duyệt là máy hoàn toàn sạch (không bị dính mã độc nào đó có khả năng wwwect) thì chắc chắn là có vấn đề với DNS.

Bồ dùng DNS nào mà bị tình trạng như trên? Thử dùng DNS của opendns (208.67.222.222 và 208.67.220.220) và duyệt xem còn bị không? 




cái này là DNS zo FB , thử rồi mà vẫn thế
[Up] [Print Copy]
  [Question]   Lỗi "lạ" - tên miền trỏ về...google! 02/01/2011 13:28:33 (+0700) | #15 | 228424
soida
Member
[Minus]    0    [Plus]
Joined: 23/04/2010 21:29:17
Messages: 4
Offline
[Profile] [PM]
Tôi dùng firefox + google dns vẫn vào được bình thường, ko có vấn đề gì hết!!!
[Up] [Print Copy]
  [Question]   Lỗi "lạ" - tên miền trỏ về...google! 03/01/2011 23:33:45 (+0700) | #16 | 228553
hoangtuyen47
Member
[Minus]    0    [Plus]
Joined: 28/12/2010 04:42:54
Messages: 8
Offline
[Profile] [PM]
Cảm ơn các bạn đã quan tâm!

Mình đã kiểm tra lại theo gợi ý của bạn myquartz và xnohat.... quả đúng là do file .htaccess đã bị xâm nhập và sửa bậy bạ (có lẽ mình đã bị lộ pass vào cpanel)

Hiện bây giờ lỗi đã được sửa! Cảm ơn các bạn rất nhiều đã cho mình thêm 1 kinh nghiệm quý báu!

Thanks hvaonline! Thanks cả các bạn đã quan tâm..... Chúc mọi người sức khoẻ trong năm mới 2011
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|