Cách ngăn chặn upload shell hay sửa các lỗ hổng vbb 4.0.x

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Cách ngăn chặn upload shell hay sửa các lỗ hổng vbb 4.0.x

[Discussion] Cách ngăn chặn upload shell hay sửa các lỗ hổng vbb 4.0.x	28/07/2011 17:41:25 (+0700) \| #1 \| 244380

MinhNguyenQuang75
Member

Joined: 06/03/2010 06:42:35
Messages: 43
Offline

Em có 1 4rum bằng vbb 4.0.0 (Em lập ra nhằm mục đích nghiên cứu là chính).
Sáng nay em vào thì bị hacker tấn công bằng phương pháp upload shell vào MySQL. Em đã khắc phục bằng phương pháp drop toàn bộ database và import lại. Hiện giờ thì tạm ổn rồi.
Vậy em có vài vấn đề thế này:
- Hacker dùng cách nào để upload shell ? Làm thế nào để khắc phục và ngăn chặn việc đó
- Lỗi đó là do vBB hay do host (vì là nghiên cứu nên e dùng toàn bộ free gồm: byethost và vbb 4.0.0 null)
Cảm ơn các bác đã đọc

[Discussion] Cách ngăn chặn upload shell hay sửa các lỗ hổng vbb 4.0.x	28/07/2011 23:49:25 (+0700) \| #2 \| 244413

concobe
Member

Joined: 27/04/2007 19:30:07
Messages: 56
Offline

MinhNguyenQuang75 wrote:

Em có 1 4rum bằng vbb 4.0.0 (Em lập ra nhằm mục đích nghiên cứu là chính).
Sáng nay em vào thì bị hacker tấn công bằng phương pháp upload shell vào MySQL. Em đã khắc phục bằng phương pháp drop toàn bộ database và import lại. Hiện giờ thì tạm ổn rồi.
Vậy em có vài vấn đề thế này:
- Hacker dùng cách nào để upload shell ? Làm thế nào để khắc phục và ngăn chặn việc đó
- Lỗi đó là do vBB hay do host (vì là nghiên cứu nên e dùng toàn bộ free gồm: byethost và vbb 4.0.0 null)
Cảm ơn các bác đã đọc

Các phiên bản vbb từ 4.0.x đến 4.1.4 nếu sài các bản NULL thì đa số đều mắc nhiều lỗi nguy hiểm và có thể bị chiếm quyền admin. Đó là lý do vì sao mà vbb liên tục cho ra các bản patch và version mới trong thời gian qua. cụ thể tuần trước là patch level 2 cho bản vbb 4.1.4 đến hôm nay đã có bản vbb 4.1.5.

Lỗi của bạn có thể do bản vbb bạn đang sài bị lỗi, cũng có thể do 1 site nào đó trên sever bị lỗi và bạn bị Local hack, hoặc cũng có thể server đó bị lỗi...

Cách upload shell thì bạn có thể tìm hiểu trên google có rất nhiều bài nói về việc này và cả bài hướng dẫn khắc phục. Mình chỉ nêu tóm tắt vài bước cơ bản.
+ Tìm lỗi website, forum hoặc server.
+ Khai thác lỗi và chiếm quyền admin. hoặc nâng mình lên làm admin.
+ vào admincp upload shell qua skin hoặc qua plugin...
+ làm gì hacker muốn.

Trở lại hai thắc mắc của bạn thì mình có một câu hỏi nhỏ là làm sao bạn biết chắc chắn hacker đã upload shell vào database của bạn? mà không phải là vào source code bạn đang sài ? bạn nên kiểm tra lại hoặc tốt nhất là upload toàn bộ source code mới thay thế cho source code bạn đang sài + restore lại database sau khi kiểm tra.

Một vài thông tin hy vọng sẽ giúp ích cho bạn.

[Discussion] Cách ngăn chặn upload shell hay sửa các lỗ hổng vbb 4.0.x	29/07/2011 06:58:51 (+0700) \| #3 \| 244420

.lht.
Member

Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline

MinhNguyenQuang75 wrote:

Em có 1 4rum bằng vbb 4.0.0 (Em lập ra nhằm mục đích nghiên cứu là chính).
Sáng nay em vào thì bị hacker tấn công bằng phương pháp upload shell vào MySQL. Em đã khắc phục bằng phương pháp drop toàn bộ database và import lại. Hiện giờ thì tạm ổn rồi.
Vậy em có vài vấn đề thế này:
- Hacker dùng cách nào để upload shell ? Làm thế nào để khắc phục và ngăn chặn việc đó
- Lỗi đó là do vBB hay do host (vì là nghiên cứu nên e dùng toàn bộ free gồm: byethost và vbb 4.0.0 null)
Cảm ơn các bác đã đọc

Theo như bạn mô tả thì mình nghĩ người kia đã dùng phương pháp symlink để đọc file config.php từ thư mục chứa forum của bạn rồi import shell vào đó.
Nếu đúng như mình nghĩ thì người đó sẽ tấn công bạn theo những bước sau:

1) Xác định đối tượng là site bạn, tìm lỗi nhưng khả thi.
2) Chuyển qua tìm "cổng hậu".
3) Reverse IP tìm những site nằm cùng trên 1 server với site của bạn.
4) Tìm lỗi trên những site kia và khai thác.
5) Symlink (hoặc có thể do config không kĩ) giúp hacker tìm và đọc nội dung file config.php

Còn nếu không phải như trên, thì nhiều khả năng là forum của bạn hay 1 trong những bản mod bạn đang dùng có chứa "HÀNG" của tên kia từ trước.

Trash from trash is the place for new good things ~

[Discussion] Cách ngăn chặn upload shell hay sửa các lỗ hổng vbb 4.0.x	29/07/2011 07:47:28 (+0700) \| #4 \| 244422

MinhNguyenQuang75
Member

Joined: 06/03/2010 06:42:35
Messages: 43
Offline

concobe wrote:

MinhNguyenQuang75 wrote:

Em có 1 4rum bằng vbb 4.0.0 (Em lập ra nhằm mục đích nghiên cứu là chính).
Sáng nay em vào thì bị hacker tấn công bằng phương pháp upload shell vào MySQL. Em đã khắc phục bằng phương pháp drop toàn bộ database và import lại. Hiện giờ thì tạm ổn rồi.
Vậy em có vài vấn đề thế này:
- Hacker dùng cách nào để upload shell ? Làm thế nào để khắc phục và ngăn chặn việc đó
- Lỗi đó là do vBB hay do host (vì là nghiên cứu nên e dùng toàn bộ free gồm: byethost và vbb 4.0.0 null)
Cảm ơn các bác đã đọc

....

Cách upload shell thì bạn có thể tìm hiểu trên google có rất nhiều bài nói về việc này và cả bài hướng dẫn khắc phục. Mình chỉ nêu tóm tắt vài bước cơ bản.
+ Tìm lỗi website, forum hoặc server.
+ Khai thác lỗi và chiếm quyền admin. hoặc nâng mình lên làm admin.
+ vào admincp upload shell qua skin hoặc qua plugin...
+ làm gì hacker muốn.

Trở lại hai thắc mắc của bạn thì mình có một câu hỏi nhỏ là làm sao bạn biết chắc chắn hacker đã upload shell vào database của bạn? mà không phải là vào source code bạn đang sài ? bạn nên kiểm tra lại hoặc tốt nhất là upload toàn bộ source code mới thay thế cho source code bạn đang sài + restore lại database sau khi kiểm tra.

Một vài thông tin hy vọng sẽ giúp ích cho bạn.

Em cảm ơn. Em nghĩ nó k thể chiếm dc quyền admin vì em đã code lại file admincp/global.php
Còn vì sao em biết hacker up shell ấy hả ? Sau khi hack xong, nó để lại nguyên cục shell to tướng mà smilie

(Shell của ly0kha). Em đoán nó upload trực tiếp qua FTPCute

[Discussion] Cách ngăn chặn upload shell hay sửa các lỗ hổng vbb 4.0.x	29/07/2011 07:50:11 (+0700) \| #5 \| 244423

MinhNguyenQuang75
Member

Joined: 06/03/2010 06:42:35
Messages: 43
Offline

.lht. wrote:

MinhNguyenQuang75 wrote:

Em có 1 4rum bằng vbb 4.0.0 (Em lập ra nhằm mục đích nghiên cứu là chính).
Sáng nay em vào thì bị hacker tấn công bằng phương pháp upload shell vào MySQL. Em đã khắc phục bằng phương pháp drop toàn bộ database và import lại. Hiện giờ thì tạm ổn rồi.
Vậy em có vài vấn đề thế này:
- Hacker dùng cách nào để upload shell ? Làm thế nào để khắc phục và ngăn chặn việc đó
- Lỗi đó là do vBB hay do host (vì là nghiên cứu nên e dùng toàn bộ free gồm: byethost và vbb 4.0.0 null)
Cảm ơn các bác đã đọc

Theo như bạn mô tả thì mình nghĩ người kia đã dùng phương pháp symlink để đọc file config.php từ thư mục chứa forum của bạn rồi import shell vào đó.
Nếu đúng như mình nghĩ thì người đó sẽ tấn công bạn theo những bước sau:

1) Xác định đối tượng là site bạn, tìm lỗi nhưng khả thi.
2) Chuyển qua tìm "cổng hậu".
3) Reverse IP tìm những site nằm cùng trên 1 server với site của bạn.
4) Tìm lỗi trên những site kia và khai thác.
5) Symlink (hoặc có thể do config không kĩ) giúp hacker tìm và đọc nội dung file config.php[b]

Còn nếu không phải như trên, thì nhiều khả năng là forum của bạn hay 1 trong những bản mod bạn đang dùng có chứa "HÀNG" của tên kia từ trước.

K thể đọc dc file config.php vì em đã chmod + mã hoá + đổi tên + giấu bằng phương pháp giấu trong linux
E k xài hàng của hacker, vì mấy hôm trước em có tấn công forum trường học của chúng và chúng trả thù thôi, chứ em xài hàng download trên vBB Việt Nam cơ mà

[Discussion] Cách ngăn chặn upload shell hay sửa các lỗ hổng vbb 4.0.x	01/08/2011 19:09:59 (+0700) \| #6 \| 244458

nkp
Member

Joined: 09/03/2008 13:36:56
Messages: 29
Offline

hàng download từ vbb việt là hàng chính hãng hả bạn. Mình không nghĩ vâỵ, vbb việt toàn hàng null.
Bạn tấn công người khác, người khác trả thù. Vâỵ bạn nên hỏi người ta phương thức thì hơn.

[Discussion] Cách ngăn chặn upload shell hay sửa các lỗ hổng vbb 4.0.x	01/08/2011 20:32:13 (+0700) \| #7 \| 244463

mts
Member

Joined: 15/07/2011 11:13:42
Messages: 2
Offline

Bạn tìm google VBB4.x bị SQL Injection, bản 4.1.5 không biết thế nào vì chưa nâng cấp.

[Discussion] Cách ngăn chặn upload shell hay sửa các lỗ hổng vbb 4.0.x	06/08/2011 18:27:22 (+0700) \| #8 \| 244655

MinhNguyenQuang75
Member

Joined: 06/03/2010 06:42:35
Messages: 43
Offline

@nkp: Thanks bác nhé.
@mts: Khà khà, đã nâng lên vBB 4.1.5
Mấy bác xem giúp e còn lỗ hổng nào k wWw.vnclicks.tk
Em chuyển server sang CPanel rồi

[Discussion] Cách ngăn chặn upload shell hay sửa các lỗ hổng vbb 4.0.x	15/11/2011 19:09:59 (+0700) \| #9 \| 249972

MinhNguyenQuang75
Member

Joined: 06/03/2010 06:42:35
Messages: 43
Offline

Em có câu hỏi nhỏ thế này. Làm sao hacker có thể import shell vào database của website nhỉ ? Có dùng tool gì k ?

[Discussion] Cách ngăn chặn upload shell hay sửa các lỗ hổng vbb 4.0.x	15/11/2011 20:36:13 (+0700) \| #10 \| 249977

Search_IT
Member

Joined: 21/02/2011 20:50:49
Messages: 61
Offline

MinhNguyenQuang75 wrote:

Em có câu hỏi nhỏ thế này. Làm sao hacker có thể import shell vào database của website nhỉ ? Có dùng tool gì k ?

Vào Google gõ cụm từ này "Up Shell via phpMyAdmin" là sẽ ra cái bạn cần.

[Discussion] Cách ngăn chặn upload shell hay sửa các lỗ hổng vbb 4.0.x	24/11/2011 15:52:13 (+0700) \| #11 \| 250283

codononline
Member

Joined: 22/11/2011 23:46:02
Messages: 1
Offline

Còn diễn đàn mình thì nó làm sao mà thay đổi tất cả các thành viên, tất cả các thành viên đều được join vào Group Admin smilie

và bị ban, ngay cả Admin chính (userid=1) vẫn bị ban được như thường smilie

restore csdl thì không được nữa smilie

Hic, đau đầu quá, nữa bực mình, nữa muốn khóc, đã không dám SEO rồi, vì chỉ là diễn đàn để phổ cập tin học cho bạn bè và người dân thôi mà cũng bị phá smilie

[Discussion] Cách ngăn chặn upload shell hay sửa các lỗ hổng vbb 4.0.x	01/05/2012 10:33:54 (+0700) \| #12 \| 262247

MinhNguyenQuang75
Member

Joined: 06/03/2010 06:42:35
Messages: 43
Offline

Search_IT wrote:

MinhNguyenQuang75 wrote:

Em có câu hỏi nhỏ thế này. Làm sao hacker có thể import shell vào database của website nhỉ ? Có dùng tool gì k ?

Vào Google gõ cụm từ này "Up Shell via phpMyAdmin" là sẽ ra cái bạn cần.

Em search rồi. Các tài liệu toàn ghi toàn là phải cần có cái này cái kia. nản luôn

[Discussion] Cách ngăn chặn upload shell hay sửa các lỗ hổng vbb 4.0.x	01/05/2012 22:24:53 (+0700) \| #13 \| 262276

nguyenga86
Member

Joined: 13/11/2010 00:19:05
Messages: 205
Offline

MinhNguyenQuang75 wrote:

Search_IT wrote:

MinhNguyenQuang75 wrote:

Em có câu hỏi nhỏ thế này. Làm sao hacker có thể import shell vào database của website nhỉ ? Có dùng tool gì k ?

Vào Google gõ cụm từ này "Up Shell via phpMyAdmin" là sẽ ra cái bạn cần.

Em search rồi. Các tài liệu toàn ghi toàn là phải cần có cái này cái kia. nản luôn

nếu ko có những " cái này cái kia " thế bạn định tay không bắt giặc à ? những cái này cái kia đó mục đích cuối cùng cũng chỉ là để kiếm được cái account có quyền hạn cao nhất hoặc ít nhất là quyền hạn đủ để có thể làm 1 việc gì đó theo ý muốn của attacker

[Discussion] Cách ngăn chặn upload shell hay sửa các lỗ hổng vbb 4.0.x	10/05/2012 12:22:25 (+0700) \| #14 \| 262879

MinhNguyenQuang75
Member

Joined: 06/03/2010 06:42:35
Messages: 43
Offline

nguyenga86 wrote:

nếu ko có những " cái này cái kia " thế bạn định tay không bắt giặc à ? những cái này cái kia đó mục đích cuối cùng cũng chỉ là để kiếm được cái account có quyền hạn cao nhất hoặc ít nhất là quyền hạn đủ để có thể làm 1 việc gì đó theo ý muốn của attacker

Nhưng làm thế nào để có dc "cái này cái kia" smilie

Go to:

Users currently in here
1 Anonymous