banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Bị xâm nhập web. Mong mọi người giúp đỡ  XML
  [Question]   Bị xâm nhập web. Mong mọi người giúp đỡ 30/03/2010 18:44:04 (+0700) | #1 | 208127
thinh191
Member

[Minus]    0    [Plus]
Joined: 25/08/2007 16:07:21
Messages: 13
Offline
[Profile] [PM]
Đầu tiên mình xin tường thuật lại như sau: toàn bộ forum nhắc đến nằm ở địa chỉ http://cnt50dh2.co.cc/forum.php
2 ngày trước, mình nhận được 1 link chứa username và password của forum mình. Sau đó kiểm tra code, mình thấy đã có người sửa code đăng nhập và chèn thêm script gửi pasword và username đi nơi khác, rồi mới MD5 và thực hiện login. Mình đã remove code này và đổi pass admin.

Hôm qua, mình phát hiện ra forum có shell, mình tìm và diệt hết các shell PHP này. Đồng thời phát hiện ra "kẻ trộm" vào config.php và cấp quyền cho hắn trở thành admin. MÌnh gỡ bỏ ID username này.

Vài thời điểm sau, file Config.php vẫn tiếp tục bị ai đó sửa chữa, mặc dù mình đã đặt password cho thư mục này. Và tìm kiếm xem không còn shell.

"Người lạ" đã đăng nhập được vào username của admin và chát với chính mình trên chatbox. Có thể mình vẫn tiếp tục bị lộ password theo con đường đăng nhập.

Mình tin tưởng rằng VBB 4.0.2 không thể attach thêm shell vào được. Mình chỉ nghi ngờ 1 số mod có dính mã bẩn. Nhưng người hack mình là người có quen biết và không thể là tác giả của các mod đó. Mình cũng remove các mod không tin tưởng.

Thực tình mình đã nghĩ hết rồi mà không thể hiểu được hacker chui vào bằng đường nào nữa. Mong các bro giúp đỡ hoặc đưa ra ý kiến giải quyết
[Up] [Print Copy]
  [Question]   Bị xâm nhập web. Mong mọi người giúp đỡ 31/03/2010 19:54:01 (+0700) | #2 | 208193
boconganh
Member

[Minus]    0    [Plus]
Joined: 24/07/2005 09:03:17
Messages: 12
Offline
[Profile] [PM]
mình cũng bị với vbb 384 bna cho mình ym nhé, mình muốn hỏi 1 chút, thnks
ym: allo_toi_nghe_day
[Up] [Print Copy]
  [Question]   Bị xâm nhập web. Mong mọi người giúp đỡ 31/03/2010 19:58:48 (+0700) | #3 | 208194
alex96
Member

[Minus]    0    [Plus]
Joined: 14/10/2009 21:42:15
Messages: 18
Offline
[Profile] [PM]

- Trước tiên bạn cần kiểm tra thật kỹ lại file login.php để xem có bị cài script chôm mật khẩu không ? smilie

- Bạn đã tiến hành đổi mật khẩu cho tài khoản Administrator chưa ? Những Administrator có khả nghi về việc lộ mật khẩu không ? Add 1 Product cũng có thể chèn shell vào đó, kĩ thuật này bạn có thể search trên google.

- Một chi tiết nữa là, không biết mã nguồn VBB 4.0.2 của bạn có tin tưởng được không ?
== Bạn nên quét lại 1 lượt toàn bộ mã nguồn.

- Bạn có tính đến chuyện mình bị Local ?

0.0 Thân! smilie
[Up] [Print Copy]
  [Question]   Bị xâm nhập web. Mong mọi người giúp đỡ 31/03/2010 20:32:13 (+0700) | #4 | 208196
[Avatar]
WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline
[Profile] [PM]
Đầu tiên bạn nên close board lại một thời gian để kiểm tra chắc chắn trước khi mở lại. Mình đoán 90% bạn bị local attack, vì bạn sử dụng share hosting web server apache. Một số việc mình nghĩ bạn cần làm

1) Đổi password admin, password ftp, password email mà bạn sử dụng đăng kí admin và các pass khác nếu xài trùng pass với pass hiện thời.

2) Sử dụng một vài tool/script để check xem bộ mã nguồn của vbb của bạn có còn đúng chuẩn không, hoặc xóa hết và sử dụng lại bộ mã chuẩn. bạn có thể down toàn bộ source về máy ở nhà để check ( có thể search một số diff tool)

3) Bạn có thể thông báo với admin server, hợp tác với họ, nhờ họ giúp quét rootkit và xem access log để biết được attacker đang access và qua những đường nào.

4) chmod cẩn thận lại các file và folder. Bạn có thể tìm trong forum, hoặc google, có nhiều bài nói về việc chmod một cách an toàn.
-- w~ --
[Up] [Print Copy]
  [Question]   Bị xâm nhập web. Mong mọi người giúp đỡ 31/03/2010 21:13:46 (+0700) | #5 | 208198
[Avatar]
Phó Hồng Tuyết
Member

[Minus]    0    [Plus]
Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline
[Profile] [PM] [WWW] [Yahoo!]

thinh191 wrote:
Đầu tiên mình xin tường thuật lại như sau: toàn bộ forum nhắc đến nằm ở địa chỉ http://cnt50dh2.co.cc/forum.php
2 ngày trước, mình nhận được 1 link chứa username và password của forum mình. Sau đó kiểm tra code, mình thấy đã có người sửa code đăng nhập và chèn thêm script gửi pasword và username đi nơi khác, rồi mới MD5 và thực hiện login. Mình đã remove code này và đổi pass admin.

Hôm qua, mình phát hiện ra forum có shell, mình tìm và diệt hết các shell PHP này. Đồng thời phát hiện ra "kẻ trộm" vào config.php và cấp quyền cho hắn trở thành admin. MÌnh gỡ bỏ ID username này.

Vài thời điểm sau, file Config.php vẫn tiếp tục bị ai đó sửa chữa, mặc dù mình đã đặt password cho thư mục này. Và tìm kiếm xem không còn shell.

"Người lạ" đã đăng nhập được vào username của admin và chát với chính mình trên chatbox. Có thể mình vẫn tiếp tục bị lộ password theo con đường đăng nhập.

Mình tin tưởng rằng VBB 4.0.2 không thể attach thêm shell vào được. Mình chỉ nghi ngờ 1 số mod có dính mã bẩn. Nhưng người hack mình là người có quen biết và không thể là tác giả của các mod đó. Mình cũng remove các mod không tin tưởng.

Thực tình mình đã nghĩ hết rồi mà không thể hiểu được hacker chui vào bằng đường nào nữa. Mong các bro giúp đỡ hoặc đưa ra ý kiến giải quyết 


vbb4.0.2 patch level XSS 1 vẫn bị lỗi

link demo http://forum.yourdomain.com/search.php?search_type=1&contenttype=vBBlog_BlogEn try&query="><script>alert('yourname')</script>

trang của bạn mình có ghé qua, bug này vẫn còn.
"Một người thành công không có ý nghĩ đổ thừa thất bại do ...."
[Up] [Print Copy]
  [Question]   Bị xâm nhập web. Mong mọi người giúp đỡ 02/04/2010 07:59:49 (+0700) | #6 | 208272
napo
Member

[Minus]    0    [Plus]
Joined: 10/08/2003 05:18:33
Messages: 19
Offline
[Profile] [PM]
- Theo dữ kiện bạn đưa ra thì khả năng local attack rất cao
- Theo mình suy đoán các lần sau, tên này vào bằng con đg này ( nếu như bạn vẫn chưa thay đổi db và password) : _http://cnt50dh2.co.cc/phpmyadmin
- Thư mục Acp đặt thêm 1 script để hạn chế phần nào sự tò mò.
- Bạn nên CHMOD các thư mục upload, config thật kỹ, đổi db, passwd db khác, thay đổi file config và zend lại ( nếu host hỗ trợ)
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|