tìm thấy rất nhiều shell từ những add-on XFR

Edit by Alucar
Thánh phán à. Nhìn cái hình ông sài Joomla ông lôi XFR ra kêu check shell XFR. Chả hiểu gì về XFR sao. htaccess nó đã chặn hết rồi thưa bạn. Bạn có up nó cũng chả chạy cho bạn đâu. Đừng có giật title câu view


Để hack 1 web site các hacker hoặc là hack ké thường phải có Shell trên server đó !Còn làm sao họ up được shell lên thì mình không bàn nhé ! Có thể thông qua bug mã nguồn mở hoặc bypass admin ,sql injection chẳng hạn, v..v.v !

Mình chỉ hướng dẫn cách check shell trên hosting của bạn vì thường các hacker để deface giao diện họ thường up shell lên web site mà hacker deface

Thông thường nếu không rành thì bạn sẽ xóa đoạn code mà hacker chèn vào index.php hoặc index.html

Nhưng quên rằng có thể họ đã "găm hàng" trên đó ! Đó chình là shell

Con shell thì đại loại nó như vầy ?




Vậy tìm ra chùng bằng cách nào ?

Cách 1: Bạn có thể download toàn bỗ code về máy tính mình mà kiểm tra coi có file nào lạ không hay đại loại là file mà mình không biết nó làm gì ?

Bạn sẽ mở ra xem code nếu biết hoặc chạy file đó !



C2: Cách này là mình hướng dẩn dùng 1 code php để scan ngay trên website của bạn !

Đặc điểm dể nhận dạng của shell là đoạn code shell thường được mã hóa base64 nên thật ra file php mà scan shell cũng là tìm cụm "base64_decode" mà thôi !



Các bạn download file đính kèm tại đây !

Giải nén ra sẽ được 1 file tên là scan.php

Upload file này lên thư mục root tức là trong thư mục public_html hay www

Sau khi up thì đường dẫn sẽ là http://domain.com/scan.php





Nhấn vào nút Tím kiếm







Có thể chọn hiễn thị chi tiết xem nhiều file hơn





Nhưng file ghi là phát hiện thì có thể là Shell



Ờ đây mình nói là có thể thôi nhé vì có những code mà người coder họ muốn mã hóa base64 có mục đích khác nhé !

Nên tới đây nếu bạn phát hiện ra thì cũng bình tỉnh chạy file đó ! Hoặc view code xem nó là gì ? Mà shell thì đa số các bạn chạy nó sẽ hiện nguyên hình ngay thôi mà ( chỉ trừ shell dạng 404 con này phài nhấn tab mới hiện -> mà ít ai dùng shell này lắm

Như ở trên thì chỉ có 1 file là shell đó là shell.php

Các file khác là bình thường nhé do code có base64

Đến đấy nếu phát hiện shell thì xóa nó đi thôi

Còn vì sao shell thường mã hóa base64 thì là để tránh bị anti "thịt" thôi !

 

ai check thư xem có giông minh không......tình cờ nay kiểm tra server host thấy ....

 

sao bác không up cái file scan.php đó sang bên này !!!

 

mải leech mà quên mất http://wapcuateen.com/threads/huong-dan-kiem-tra-shell-tren-hosting.1246/

 

1 bài viết leech từ nguồn khác, ảnh demo trên là check trên code joomla, bác nói là có nhiều shell thì nói luôn là nó nằm ở addons nào, mà trong list phát hiện ko phải file nào cũng là shell

 

bạn check hộ e cái http://wapcuateen.com/scan.php .trinh đô tôi gà... m có ghi la nguồn m k??chứng tỏ bạn pro hơn tôi

 

đa số nằm ỏ library. 1 số đại loại ( tinhte_tag ,vietadv.... )

 

Đề nghị các Ad và Mod test hàng nào

 

à, mình nói vậy ý là bác nói tìm thấy trong addon xfr nhưng lại đưa ra cái demo joomla thì nó ko thực tế cho lắm, xong cuối cùng là link download file scan phải sang trang bác đăng ký -> đăng nhập mới down đc

 

nghi ngờ file nào thì chạy file đó mà xem

 

Em có 1 ngu kiến này thắc mắc:
Có 1 file phát hiện base64 và đã chạy lên xem có 2 trường hợp xảy ra:
1. có gì đó thể hiện là shell (e chưa gặp e chưa biết)
2. file đó đã set chmod nên ko thể xem public : "You don't have permission to access............. on this server."

Vậy đối với trường hợp 2 thì file đó thế nào ạ

 

e cũng có cái ngu kiến
del toàn bộ source, off

 

e tương nghi ngờ file nào thi delete file đó chứ ban nào thử xem nào . server cung nhận dạng shell ( dg băt show nốt )...nếu ai nghi ngờ thi backup code , k bảo e xui đểu

 

lỗi phần nào xéo phần đó !

 

bị upshell hoài, cơ mà có thế mới khá lên được, ủng hộ luôn ấy chứ

 

site m có bắt dk rồi mới dowload đâu ????tai vi dính shell mà show á hả bạn

 

Dù sao cũng thanks bác choak92 đã khuấy động phong trào check shell

 

đấy là hồi bị zone-h.com chiến thôi....code đâu có gì đặc biệt
ngày nào mà nó chăng up shell
http://zone-h.com/archive/notifier=islamic ghosts team

 

Em phát hiện ra ý nghĩa của Nick admin ALucar là tên gốc của 1 file shell : Alucar.php kaka

 

Bác choak92 check hàng nào