Khắc phục lại website sau khi bị hack

Thảo luận trong 'Hỗ trợ về mã nguồn, code' bắt đầu bởi BichNgoc101, 15/1/16.

  1. BichNgoc101

    BichNgoc101 Well-Known Member

    Bài viết:
    65
    Đã thích:
    7
    Thấy nhiều bạn hay bị hack web nên mình chia sẽ một số ít kinh nghiệm khắc phục sau khi web bị hack

    Các việc cần làm:

    1 . Xóa cái index bị chèn đó đi tất nhiên đây là việc đầu tiên để khôi phục lại web

    2 Tìm chỗ hacker chèn shell

    Nếu bạn code tay thì có thể dễ dàng thấy chỉ cần thấy file laj trong code là đó con shell hacker chèn đó nhưng vấn đề cacsc bạn dùng mã nguồn mở thì sẽ không thể thấy được đâu lý do là gì tại sao không thấy? vì shell không thể up file lên mà có tên thường thì nó sẽ được chèn trong các plugins cài trên website đối với wp thì các bạn vào tất cả plugins được cài xem có gì lạ không cứ thấy loằng ngoằng=> shell đó và xóa đi còn bạn có coi trên code web file đó bình thường chả vấn đề nhưng trên thực tế nó đã bị chèn shell rồi. hoặc thấy code của plugins đó có dòng đại loại ngau ở đầu là base64... thì nó đó shell đó

    Tiếp tới không thấy trong plugins? nó ở đâu? tìm tất cả các file có quyền upload file trên web của các bạn trong các mục plugins hay themme... các file này thườn có tên uploadxxx.php kiểm tra nó thử run đường dẫn đó trên trình duyệt nếu nó được hiển thị thì bạn thử up 1 file bất ký và tìm file đó trên hệ thống bạn sẽ biết shell được chèn ở đâu

    Sau khi scan 2 cách trên rồi ra shell nhưng kiểm tra xem nó còn không nó có bị chèn trong data không? đơn giản bạn vào phpMyadmin của bạn mở nó ra seach với từ khóa là base64 tại sao là base64 vì tất cả shell mà hacker muốn chèn thì nó đều phải được mã hóa bằng base64 nếu không được mã hóa nó sẽ bị firewall bạn chém chết hoặc mã hóa khác thì sẽ không chạy được vì php thì chỉ có thể chạy base64 là tốt nhất sau đó tìm tất cả các table có kết quả hiện ra kiểm tra xem có cái nào báo 1macher không? có chứ browe nhấn vào đó mở nó ra loằng ngoằng => shell đó xóa nó đi là ok

    Song 3 cách trên các bạn có thể dùng 1 cách nữa đó là scan shell bằng các tool hoặc download code về và kiểm tra mở từng file một xem có gì lạ không? lạ loằng ngoằng shell đó xóa nó đi

    3 Fix lỗi

    Fix ra sao làm sao biết chỗ nta hack web mình bằng cái gì?

    Đơn giản các bạn hãy đọc file log trên sever thì sẽ rõ tất cả hack bằng gì qua đâu....... từ đó có cách khác phục riêng , nếu bị up thông file có quyền upload thì 1 đổi tên file cấu hình lại 2 chmod cả thư mục đó về 111 là ok

    Lỗi qua plugin thì 1 là xóa đi hai là nâng cấp lên bản mới hơn

    Lỗi sql inject thì các bạn sửa lại data đúng chỗ lỗi đó , còn tùy vào lỗi mà có cách fix khác nhau

    Sau đó tiếp đến bạn đổi pass admin và thay đổi link admin chú ý vẫn giữ file login cũ nhưng với một nội dung đại loại đăng nhập song báo thằng ngu đòi hack web tao a?? để đánh lừa hacker nếu lầm sau họ hack vào và chuyển link admin tới chỗ hoặc tên dễ nhớ với mình nhất và khóa nó bằng ip nếu thấy cần.... còn nhiều các nữa nhưng tạm thời viết như thế này thôi
     
    Đang tải...
  2. lienminh

    lienminh Active Member

    Bài viết:
    30
    Đã thích:
    1
    nhưng cho em hỏi làm sao để không bị hack ý. em sợ nhất là bị hack rồi không biết cách xử lý
     
  3. dungit

    dungit Well-Known Member

    Bài viết:
    385
    Đã thích:
    13
    Có nhiều hình thức hack web mà bạn thí dụ như mấy lỗi mình hay thấy gặp
    1. SQL Injection: thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnh SQL bất hợp pháp, Sql injection có thể cho phép những kẻ tấn công thực hiện các thao tác, delete, insert, update,…
    2.Cross-site scripting (XSS): Là một kỹ thuật cho phép kẻ tấn công nhúng mã khai thác vào website.
    3. Ddos hay còn gọi là Tấn công từ chối dịch vụ
    4.Cross-site Request Forgery (CSRF): là kỹ thuật tấn công bằng cách sử dụng quyền chứng thực của người dùng đối với một website.

    ...................
    Vậy khi gặp những trường hợp này thì phải xử lý như nào bạn
     
  4. sangopbs

    sangopbs Well-Known Member

    Bài viết:
    203
    Đã thích:
    15
    hbua web bên mình cũng bị hack, thấy tụi nó tạo tài khoản đăng link tùm lum lun, ko biết làm sao, chỉ mõi đổi lại cái pass + xóa link + tài khoản lại thôi. và tới giờ thì nó vẫn bình thường. Đọc cách xử lý của bạn mình ko hiểu cho lắm.
     
Đang tải...
Đang tải...