banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập [Help] Giúp em delete con backdoor.  XML
  [Question]   [Help] Giúp em delete con backdoor. 07/07/2007 17:10:12 (+0700) | #1 | 69597
[Avatar]
azteam
Member

[Minus]    0    [Plus]
Joined: 17/03/2007 21:12:46
Messages: 177
Location: /dev/null
Offline
[Profile] [PM]
Mấy hôm nay mấy cái host của em liên tục dính phải backdoor. Em thử delete nhiều lần nhưng có delete xong lại bị dính tiếp. Em đang rất lo cho tình trạng này. Theo hiểu biết nông cạn của em thì con backdoor này sẽ show hết các folder chứa data có trên host.
Mọi người hướng dẫn em cách khắc phục triệt để với.

Em thấy có 1 con shell r57.php, 1 con k-shell của bác nào đó ở VHS có đoạn tự giới thiệu là:

'----------------------------------------------------------------------
'----------------- K-Shell by kikicoco VHS ----------------
'----------------- E-mail: duchaikhtn@gmail.com ------
'----------------- http://blog.ajaxviet.com ----------
'----------------- http://vnsecurity.com ------------
'----------------- Version 1.0 ---------------
'----------------- Build (20070226) -------------------

 

Mong được mọi người chỉ bảo :cry: :cry: :cry: :cry:
[Up] [Print Copy]
  [Question]   [Help] Giúp em delete con backdoor. 08/07/2007 02:34:49 (+0700) | #2 | 69701
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

azteam wrote:
Mấy hôm nay mấy cái host của em liên tục dính phải backdoor. Em thử delete nhiều lần nhưng có delete xong lại bị dính tiếp. Em đang rất lo cho tình trạng này. Theo hiểu biết nông cạn của em thì con backdoor này sẽ show hết các folder chứa data có trên host.
Mọi người hướng dẫn em cách khắc phục triệt để với.

Em thấy có 1 con shell r57.php, 1 con k-shell của bác nào đó ở VHS có đoạn tự giới thiệu là:

'----------------------------------------------------------------------
'----------------- K-Shell by kikicoco VHS ----------------
'----------------- E-mail: duchaikhtn@gmail.com ------
'----------------- http://blog.ajaxviet.com ----------
'----------------- http://vnsecurity.com ------------
'----------------- Version 1.0 ---------------
'----------------- Build (20070226) -------------------

 

Mong được mọi người chỉ bảo :cry: :cry: :cry: :cry:  


Hèm... lại r57, lại cái trò lấy đồ của người khác rồi dán lên "by.. me".

Em phải xem thật kỹ trên host chỗ nào cho phép upload? Delete xong nhưng vẫn cho upload thì cũng như không thôi.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   [Help] Giúp em delete con backdoor. 08/07/2007 05:20:01 (+0700) | #3 | 69755
[Avatar]
azteam
Member

[Minus]    0    [Plus]
Joined: 17/03/2007 21:12:46
Messages: 177
Location: /dev/null
Offline
[Profile] [PM]
Vì host của em là shared hosting nên em biết vấn đề bảo mật cho nó là rất khó. Nhưng cứ thế này chắc data sớm muộn j cũng không cánh mà bay mất.
Vì site em là site buôn bán nên quyền upload được set cho rất nhiều user. Giờ mà giới hạn thì lại ảnh hưởng đến site.
Umh... Không biết có cách nào vẹn cả đôi đường không anh. Chứ ngày nao em cũng phải cho chạy scripts để quét thì mất công quá anh à.
[Up] [Print Copy]
  [Question]   [Help] Giúp em delete con backdoor. 08/07/2007 20:38:20 (+0700) | #4 | 69861
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

azteam wrote:
Vì host của em là shared hosting nên em biết vấn đề bảo mật cho nó là rất khó. Nhưng cứ thế này chắc data sớm muộn j cũng không cánh mà bay mất.
Vì site em là site buôn bán nên quyền upload được set cho rất nhiều user. Giờ mà giới hạn thì lại ảnh hưởng đến site.
Umh... Không biết có cách nào vẹn cả đôi đường không anh. Chứ ngày nao em cũng phải cho chạy scripts để quét thì mất công quá anh à. 


Bó tay.

What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   [Help] Giúp em delete con backdoor. 08/07/2007 22:09:25 (+0700) | #5 | 69872
[Avatar]
dinhcaohack
Member

[Minus]    0    [Plus]
Joined: 22/04/2004 16:46:51
Messages: 41
Offline
[Profile] [PM] [Yahoo!]
Anh có ngu kiến thế này em ơi smilie
1. Upload scipt/storage riêng, chạy trên hosting khác không cùng diễn đàn site em smilie
2. Những folder ngoài folder cho upload chmod về 401 (nếu server em sử dụng là server unix)
3. Mã hóa các file mã nguồn (nếu em sử dụng php có thể dùng Zend)
4. Những script upload phải giới hạn extension ( như deny các script PHP )
[Up] [Print Copy]
  [Question]   [Help] Giúp em delete con backdoor. 09/07/2007 09:08:24 (+0700) | #6 | 69988
longname
Member

[Minus]    0    [Plus]
Joined: 26/04/2007 14:55:42
Messages: 34
Offline
[Profile] [PM]
Tốt hơn hết bác quét nó đi và cài bảo mật nó trên một hệ điều hành tốt hơn
[Up] [Print Copy]
  [Question]   [Help] Giúp em delete con backdoor. 03/09/2007 08:24:27 (+0700) | #7 | 82967
[Avatar]
hackerbinhphuoc
Member

[Minus]    0    [Plus]
Joined: 16/01/2004 09:45:41
Messages: 22
Offline
[Profile] [PM]
Hèm... lại r57, lại cái trò lấy đồ của người khác rồi dán lên "by.. me". ==> cái này anh comale không đúng rồi, không phải là con r57, đoạn vừa rồi là trên con kshell, được phát triển lên từ con webadmin 1.0 (có thêm một số tính năng khác), có ghi bản quyền rõ ràng chứ không "by . . .me"!
có thể sever của bạn có người up con này lên, nhưng thấy vừa up r57 vừa up kshell thì người này hơi vui tính một chút!, bạn nói rõ site của bạn được không ?
[Up] [Print Copy]
  [Question]   [Help] Giúp em delete con backdoor. 03/09/2007 08:34:03 (+0700) | #8 | 82971
[Avatar]
hackerbinhphuoc
Member

[Minus]    0    [Plus]
Joined: 16/01/2004 09:45:41
Messages: 22
Offline
[Profile] [PM]
và con kshell mục đích đâu phải là dùng để hack mà là check sever cơ mà!, trong code tác giả đã nói rõ rồi!
[Up] [Print Copy]
  [Question]   [Help] Giúp em delete con backdoor. 03/09/2007 08:57:25 (+0700) | #9 | 82981
BigballVN
Elite Member

[Minus]    0    [Plus]
Joined: 12/06/2005 07:25:21
Messages: 610
Offline
[Profile] [PM]
Thử kiểm tra lại tất cả file xem coi có bị dính đoạn include nào không? Nếu có dính thì dù có tìm được shell trên host thì đâu vẫn hoàn đấy thôi.
[Up] [Print Copy]
  [Question]   [Help] Giúp em delete con backdoor. 03/09/2007 20:12:43 (+0700) | #10 | 83049
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

hackerbinhphuoc wrote:
và con kshell mục đích đâu phải là dùng để hack mà là check sever cơ mà!, trong code tác giả đã nói rõ rồi! 


"Tác giả" có quyền gì và dùng lý do nào để tự cho phép mình upload "shell" lên host của người khác vậy?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   [Help] Giúp em delete con backdoor. 04/09/2007 07:45:34 (+0700) | #11 | 83183
[Avatar]
hackerbinhphuoc
Member

[Minus]    0    [Plus]
Joined: 16/01/2004 09:45:41
Messages: 22
Offline
[Profile] [PM]
"Tác giả" có quyền gì và dùng lý do nào để tự cho phép mình upload "shell" lên host của người khác vậy? ==> xin thưa rằng tác giả không upshell lên host người khác!, chỉ có những người down về làm công cụ hack cho mình mới up lên, và em nghĩ người đó cũng thiếu kiến thức mới vừa up r57 vừa up kshell!
con shell này đã được tác giả up lên mạng, việc sử dụng thế nào tùy mỗi người!
nếu như anh comale chưa biết rõ việc gì thì cũng đừng nên kết luận vội vàng!
nếu trên host có tên của tác giả thì người hack là tác giả à ?, vậy nhóm viết ra c99 hay r57 là người hack những trang có con đó à ?
tiếc là em không phải là tác giả !
[Up] [Print Copy]
  [Question]   Re: [Help] Giúp em delete con backdoor. 04/09/2007 11:12:38 (+0700) | #12 | 83219
[Avatar]
azteam
Member

[Minus]    0    [Plus]
Joined: 17/03/2007 21:12:46
Messages: 177
Location: /dev/null
Offline
[Profile] [PM]
Không thể biết được người viết ra 2 con r57 hay c99 với mục đích nào?. Check bảo mật của site hay là để phá hoại?. Tuy nhiên, có rất nhiều kẻ sử dụng chúng nhằm mục đích xấu. Như thế người viết ra chúng đã gián tiếp tiếp nay cho phá hoại rồi. Nếu họ chỉ dùng để check site của mình thì chắc là họ không public.


có thể sever của bạn có người up con này lên, nhưng thấy vừa up r57 vừa up kshell thì người này hơi vui tính một chút!, bạn nói rõ site của bạn được không ?
 


Site nào không quan trọng, vì theo mình biết thì có rất nhiều site chứ không riêng gì site của mình.

Nói chung thi cả kshell và webadmin đều hoạt động theo một cách thức giống nhau. Nó đều lợi dụng điểm yếu trong bảo mật của .NET. Đó là không ngăn cản các application chạy với quyền Full Trust sử dụng Windows API.
Vấn đề này hiện đang rất nan giải. Hiện tại mình chỉ mới nghĩ được một cách là giảm Trust Level của user .NET nhưng đó cũng chỉ giải pháp tạm thời vì mọi người cũng biết khi giảm Trust Level sẽ kéo theo những gì.

Mọi người thử nêu một vài cách khác xem sao?.
[Up] [Print Copy]
  [Question]   [Help] Giúp em delete con backdoor. 04/09/2007 21:41:55 (+0700) | #13 | 83254
[Avatar]
hackerbinhphuoc
Member

[Minus]    0    [Plus]
Joined: 16/01/2004 09:45:41
Messages: 22
Offline
[Profile] [PM]
Hôm nay, tôi lại nhận được một link trên một server có lỗi Full Trust Asp.Net Security Vulnerabilties số lượng site trên server này khá lớn và có nhiều site khá tiếng tăm happy . Số các server Windows ở Việt Nam bị lỗi này không phải là nhỏ. Có một vài lần các anh em ở VHS đã test và thông báo vài server cho chủ server. Đối với server dùng Helm Controller nếu cài thông thường thì chắc chắn là dính lỗi này.

Tôi mô tả lỗi này như sau :
toàn bộ các site trên cùng server chạy chung application pool và chung account chạy ASP.NET. Đối với HELM thì chỉ có account chạy riêng cho asp, php cho mỗi site, còn account chạy ASP.NET đều chạy chung account ASP.NET. Nên nếu không cấu hình tốt cho account này thì web chạy bằng account này có thể truy cập toàn bộ các thư mục trên máy chủ mà acc này có quyền (tất cả các website + các thư mục có quyền cho everyone). Tóm lại là khi bị lỗi này thì chỉ cần vào được 1 site thì attacker có thể vào toàn bộ các site khác trên toàn máy chủ. (windows local hack)
Các server riêng Wiondows nếu cài thông thường chỉ dừng ở mức chạy được thì chắc chắn cũng dính lỗi.

Cách khắc phục :
- Tốt nhất là chạy thành nhiều application pool, mỗi 1 site chạy bằng 1 acc asp.net riêng
- Cấu hình tốt cho WMI, WSH, regedit,... (đọc tài liệu để tìm hiểu)

Công cụ test lỗi này: K-Shell 1.0 by kikicoco
http://duchaikhtn.googlepages.com
http://duchaikhtn.googlepages.com/kshell_1.0.zip

Tham khảo thêm : Công cụ kiểm tra lỗi bảo mật cho .NET windows

Hy vọng với bài viết này tình hình các server Windows sẽ cải thiện được tình hình và sớm fix lỗi.
(blog kikicoco)
[Up] [Print Copy]
  [Question]   [Help] Giúp em delete con backdoor. 04/09/2007 23:55:47 (+0700) | #14 | 83287
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

hackerbinhphuoc wrote:
"Tác giả" có quyền gì và dùng lý do nào để tự cho phép mình upload "shell" lên host của người khác vậy? ==> xin thưa rằng tác giả không upshell lên host người khác!, chỉ có những người down về làm công cụ hack cho mình mới up lên, và em nghĩ người đó cũng thiếu kiến thức mới vừa up r57 vừa up kshell!
con shell này đã được tác giả up lên mạng, việc sử dụng thế nào tùy mỗi người!
nếu như anh comale chưa biết rõ việc gì thì cũng đừng nên kết luận vội vàng!
nếu trên host có tên của tác giả thì người hack là tác giả à ?, vậy nhóm viết ra c99 hay r57 là người hack những trang có con đó à ?
tiếc là em không phải là tác giả ! 


Hello hackerbinhphuoc, có lẽ anh đã kết luận vội vàng sự vụ này nhất là "tròng" cả hai con r57 và kshell vào với nhau. Tuy vậy, anh vẫn có thành kiến về những việc "down shell", "up shell" đã và đang xảy ra.

Riêng con r57 thì anh biết chắc nó được viết và tung ra để mọi người download. Những ai dùng con này thành công thì "chủ nhân" của nó sẽ nhận được thông tin site nào đã bị gắn con "shell" này vào. Nói về mặt hiểm họa thì quả thật là khôn lường bởi vì những con server bị nhân nhượng này sẽ trở thành zombie một cách dễ dàng. Sau một thời gian, "chủ nhân" kia có thể dùng những con zombie cho mục đích riêng nào đó thì hậu quả khó mà lường trước được.

Bởi thế, chơi với những con "shell" này mà chưa nắm rõ về chúng thì tự biến mình thành những kẻ không công. Nên xét lại việc này.

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   [Help] Giúp em delete con backdoor. 05/09/2007 04:14:47 (+0700) | #15 | 83344
[Avatar]
hackerbinhphuoc
Member

[Minus]    0    [Plus]
Joined: 16/01/2004 09:45:41
Messages: 22
Offline
[Profile] [PM]
em cũng nghỉ như anh conmale vậy! tuy nhiên ở đây em chỉ muốn làm rõ việc kshell và c99 là 2 chuyện hoàn toàn khác nhau, còn anh azteam có thể tham khảo các bài viết trên hoặc liên hệ kikicoco nhé, em chẳng biết gì nên không đóng góp ý kiến được!
[Up] [Print Copy]
  [Question]   [Help] Giúp em delete con backdoor. 05/09/2007 07:11:20 (+0700) | #16 | 83375
[Avatar]
azteam
Member

[Minus]    0    [Plus]
Joined: 17/03/2007 21:12:46
Messages: 177
Location: /dev/null
Offline
[Profile] [PM]

hackerbinhphuoc wrote:


Cách khắc phục :
- Tốt nhất là chạy thành nhiều application pool, mỗi 1 site chạy bằng 1 acc asp.net riêng
- Cấu hình tốt cho WMI, WSH, regedit,... (đọc tài liệu để tìm hiểu)

 

Hiện tại mình đang dùng theo cách thứ nhất của bạn nhưng như thế thì cực là bất tiện vì cứ có thêm user thì lại phải add thêm 1 Pool nữa.
Còn config lại WMI, regedit thì mình cũng đã thử nhưng vẫn chưa có ăn thua.


em cũng nghỉ như anh conmale vậy! tuy nhiên ở đây em chỉ muốn làm rõ việc kshell và c99 là 2 chuyện hoàn toàn khác nhau, còn anh azteam có thể tham khảo các bài viết trên hoặc liên hệ kikicoco nhé, em chẳng biết gì nên không đóng góp ý kiến được!
 


Mình cảm ơn và rất mong được sự đóng góp. Vấn đề này không chỉ cho riêng cá nhân mình mà còn cho cả rất nhiều người.

[Up] [Print Copy]
  [Question]   [Help] Giúp em delete con backdoor. 05/09/2007 10:32:32 (+0700) | #17 | 83406
[Avatar]
hackerbinhphuoc
Member

[Minus]    0    [Plus]
Joined: 16/01/2004 09:45:41
Messages: 22
Offline
[Profile] [PM]
chính vì tác giả biết vấn đề này là rất nhiều sever gặp phải nên mới công bố rộng rãi để các admin biết mà fix!
bản thân em cũng đã thông báo cho nhiều sever bị lỗi này, tuy nhiên em không có điều kiện tìm hiểu rõ ràng các sever nên chỉ dừng lại ở mức thông báo mà thôi!
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|