Xử lý sự cố website bị hack

Mình sử dụng hosting của PA hay thuờng gặp tình trạng bị chèn những mã HTML (link seo)

Nội dung bị chèn:

<h1 style="position: absolute; top: -100px; overflow: auto;">

<strong><em><a href="http://dienthoaisky.info">dien thoai sky</a> | <a href="http://baibacbip.com/do-bai-bip.html">co bac bip</a> | <a href="http://baibacbip.com/component/poll/14-ban-quan-tam-den-dung-cu-co-bac-bip-nao.html">dung cu co bac bip</a> | <a href="http://www.baibacbip.com/tin-tuc/55-dung-cu-co-bac-bip-tphcm.html">dung cu co bac bip tphcm</a> </em> </strong></h1>

Bị chèn trực tiếp vào templates, modules Custum HTML nữa, hỏi kỹ thuật bên PA thì chỉ trả lời "Tại mã nguồn joomla không bảo mật tốt". Trong khi đó vẫn source joomla, templates đó

Cách giải quyết: download code và database về máy tính, và làm các công việc sau:

1. Với code: 

tìm kiếm theo nội dung các từ khóa dưới đây để kiểm tra các file nghi ngờ là file shell.

• eval(base64_decode
• eval(gzinflate(base64_decode
• eval(gzuncompress(base64_decode
• eval(gzinflate(str_rot13(base64_decode 
• passthru 
• shell_exec 
• system 
• phpinfo 
• chmod 
• mkdir
• fopen 
• fclose 
• readfile  

2. Với DB: tìm kiếm theo nội dung DB với các từ khóa. Ví dụ "baibacbip", "dienthoai". Xóa nhưng nội dung có liên quan đến "baibacbip",...

Trang giải nén các file shell PHP

Thỉnh thoảnh chúng ta gặp đoạn mã lệnh như sau:

echo(gzinflate(base64_decode("3Y5BDsIgFET3TXoH8jfVTYkuXGjBS3gBBArfUGjob6u3l9pbOKvJJG9mGPsPdZPOOBKjz2gFkH0Tf6lF7SnIujJJz4ON1K4ZyR6aDvusBsumrAV4ovHKOaW8qGAmrUIgr6jF2CeOsdUO76cLsFgIAY8ViWwGVtpTCBidADVTAvarfKZsbBYQS6ACuihAl+EN8BadJwFnYCsa8puTHd+vyOZ4q6uO75/lFw==")));

Website bị Kaspersky phát hiện nhiễm virus Heur:Trojan.script.generic

Hỏi: Tình hình là em sử dụng Blogger Template chỉ toàn là javascript, html, css.... Khi em dùng Eset NOD32 vào web thì bình thường chẳng sao cả. Nhưng hôm nay sang máy của bạn vào web thử thì web báo lỗi: "Heur:Trojan.script.generic". Máy của bạn em đang cài Kaspersky. Em không hiểu cái con Trojan.script.generic là con gì và làm cách nào để diệt nó chứ cứ tình hình này Google sẽ Block website của em mất. Bác nào đã có kinh nghiệm hoặc đã từng gặp trường hợp thế này thì giúp em cách xử lý với. Thank! 

Website security: How to find PHP backdoor shell scripts on a server

This is supplemental information for a series of articles that begins at:

• Website security: what to do after your site is hacked, and how to prevent it

When hackers get access to your website, they sometimes install a backdoor shell script designed to allow them to regain entry even after you've cleaned up the site, repaired the original security hole that allowed the hack to be successful, otherwise improved site security, and even installed measures to try to lock the hackers out.