Trang

07/08/2013

Xử lý sự cố website bị hack

Mình sử dụng hosting của PA hay thuờng gặp tình trạng bị chèn những mã HTML (link seo)

Nội dung bị chèn:

<h1 style="position: absolute; top: -100px; overflow: auto;">
<strong><em><a href="http://dienthoaisky.info">dien thoai sky</a> | <a href="http://baibacbip.com/do-bai-bip.html">co bac bip</a> | <a href="http://baibacbip.com/component/poll/14-ban-quan-tam-den-dung-cu-co-bac-bip-nao.html">dung cu co bac bip</a> | <a href="http://www.baibacbip.com/tin-tuc/55-dung-cu-co-bac-bip-tphcm.html">dung cu co bac bip tphcm</a> </em> </strong></h1>


Bị chèn trực tiếp vào templates, modules Custum HTML nữa, hỏi kỹ thuật bên PA thì chỉ trả lời "Tại mã nguồn joomla không bảo mật tốt". Trong khi đó vẫn source joomla, templates đó

Cách giải quyết: download code và database về máy tính, và làm các công việc sau:

1. Với code: 

tìm kiếm theo nội dung các từ khóa dưới đây để kiểm tra các file nghi ngờ là file shell.
  • eval(base64_decode
  • eval(gzinflate(base64_decode
  • eval(gzuncompress(base64_decode
  • eval(gzinflate(str_rot13(base64_decode 
  • passthru 
  • shell_exec 
  • system 
  • phpinfo 
  • chmod 
  • mkdir
  • fopen 
  • fclose 
  • readfile  

2. Với DB: tìm kiếm theo nội dung DB với các từ khóa. Ví dụ "baibacbip", "dienthoai". Xóa nhưng nội dung có liên quan đến "baibacbip",...


1 comment:

  1. http://blog.aw-snap.info/p/examples-of-malicious-php-code.html

    ReplyDelete