PHƯƠNG PHÁP PHÁT HIỆN VÀ LOẠI BỎ SHELL TRONG DATABASE

Thảo luận trong 'Quản Trị Web' bắt đầu bởi Buffalo Crazy, 21/5/12.

  1. Buffalo Crazy

    Buffalo Crazy Thành Viên Mới

    Có nhiều bạn hỏi tôi cách để phát hiện shell khi hacker include vào Database? Hôm nay tôi làm tut này để trả lời câu hỏi trên và giúp các bạn nhận thức thêm về vấn đề bảo mật.
    Trước hết ta phải biết cách thức mà hacker include vào Data thế nào thì sau đó mới có phương pháp để loại bỏ triệt để. Các bạn tham khảo thêm bài viết Phương pháp include shell trong source VBB và cách phòng chống.
    Tôi xin nói thêm trong vbb những table có thể lợi dụng để include shell vào là table_templatetable_plugin.Vậy làm thế nào để phát hiện shell khi đã được include vào 2 table này nhỉ?Cách làm như sau:
    - Bạn vào Phpadmin của host và search từ khóa


    Code:
    base64

    Và làm theo hướng dẫn như hình sau:
    [​IMG] Hình ảnh này đã bị thay đổi kích thước nhằm tránh làm vỡ giao diện. Bấm vào đây để xem ảnh ở kích thước đầy đủ ( 1024x768 )
    [​IMG]


    Tại sao ta phải search từ khóa base64 mà không phải là từ khóa khác ?
    Xin thưa rằng tất cả các con shell hiện nay nếu không được mã hóa thì sẽ bị antivirut tiêu diệt trừ khi đổi tên file thành file.txt
    - Việc còn lại của bạn là mở table khả nghi ra và kiểm tra xem có gì đặc biệt khác thường trong đó không.

    [​IMG] Hình ảnh này đã bị thay đổi kích thước nhằm tránh làm vỡ giao diện. Bấm vào đây để xem ảnh ở kích thước đầy đủ ( 1024x768 )
    [​IMG]

    Chú ý:
    - Đối với table plugin thì bạn có thể delete đi mà không ảnh hưởng gì đến việc hoạt động site.
    - Đối với table template nếu bạn thích thì cũng có thể delete còn muốn dùng lại skin đó thì hãy vào admincp rồi nhấn vào revert để vbb tự động edit lại skin cho bạn.
    - Bạn có thể áp dụng cách này với những code khác như joomla, new, shop, etc...
     

Chia sẻ trang này