Web bị dính Shell

Thành viên mới
hiện tại 3 trang web của em bị dính shell, tại em không biết bảo mật, có dò làm theo trên forum nukeviet bảo mật mà vẫn bị, không biết mã nguồn bị gì nữa, giờ em muốn sửa thì phải làm sao ạ?
tại web này em làm từ thiện cho nhà thờ, giờ bị vậy mong các anh giúp đỡ
 
Thành viên năng động
Mã nguồn thì ko bao giờ bị..chị bị khi bạn chỉnh sửa thêm các file js hoặc do hosting của bạn. Bạn hãy pm cho nhà quản lý hosting hoặc xem lại các bước đã chỉnh sửa, thêm code...Shell đồng nghĩa với bạn là: Bạn đã mở cổng cho kẻ đột nhập..:laluot-16:
 
Thành viên mới
Mã nguồn thì ko bao giờ bị..chị bị khi bạn chỉnh sửa thêm các file js hoặc do hosting của bạn. Bạn hãy pm cho nhà quản lý hosting hoặc xem lại các bước đã chỉnh sửa, thêm code...Shell đồng nghĩa với bạn là: Bạn đã mở cổng cho kẻ đột nhập..:laluot-16:
mình có biết gì về code đâu mà thêm thắc gì, mình xài VPS linode, họ bảo kêu chủ code sửa, mình thì chả biết sửa cái gì
 
xóa toàn bộ code chỉ giữ data mysql + thư mục uploads
Cài lại bản mới hoàn toàn hoặc tìm bản backup trước đây thay thế
 
Thành viên mới
COMPLETED: May 28 2017 2141 +0000
ELAPSED: 403s [find: 0s]
PATH: /home
TOTAL FILES: 35429
TOTAL HITS: 75
TOTAL CLEANED: 0
WARNING: Automatic quarantine is currently disabled, detected threats are still accessible to users!
To enable, set quarantine_hits=1 and/or to quarantine hits from this scan run:
/usr/local/sbin/maldet -q 170528-2106.25906
FILE HIT LIST:
{HEX}php.cmdshell.unclassed.365 : /home/ghcamau.net/logs/post_controller.php
{YARA}eval_post : /home/ghcamau.net/logs/advanced_settings.php
{HEX}php.shell.black-id.616 : /home/ghcamau.net/logs/engine_functions.php
{HEX}php.cmdshell.unclassed.365 : /home/ghcamau.net/errorpage_html/post_controller.php
{YARA}eval_post : /home/ghcamau.net/errorpage_html/advanced_settings.php
{HEX}php.shell.black-id.616 : /home/ghcamau.net/errorpage_html/engine_functions.php
{HEX}php.generic.malware.440 : /home/ghcamau.net/public_html/xml.php
{HEX}php.generic.malware.441 : /home/ghcamau.net/public_html/includes/core/admin_relogin.php
{HEX}php.generic.malware.440 : /home/ghcamau.net/public_html/themes/mobile_nukeviet/css/view.php
{HEX}php.generic.malware.440 : /home/ghcamau.net/public_html/themes/admin_default/images/video-clip/gallery.php
{HEX}php.generic.malware.441 : /home/ghcamau.net/public_html/data/ip_files/68.php
{HEX}php.generic.malware.440 : /home/ghcamau.net/public_html/files/dcache/code.php
{HEX}php.base64.v23au.186 : /home/ghcamau.net/public_html/modules/tkbgv/admin/favicon_d328dd.ico
{HEX}php.generic.malware.440 : /home/ghcamau.net/public_html/modules/tkblop/blocks/footer15.php
{HEX}php.base64.v23au.186 : /home/ghcamau.net/public_html/modules/dscb/admin/dirs87.php
{HEX}php.generic.malware.440 : /home/ghcamau.net/public_html/modules/banners/funcs/file57.php
{HEX}php.generic.malware.441 : /home/ghcamau.net/public_html/modules/banners/funcs/addads.php
{HEX}php.generic.malware.441 : /home/ghcamau.net/public_html/modules/banners/language/en.php
{HEX}php.generic.malware.441 : /home/ghcamau.net/public_html/modules/banners/admin/banners_list.php
{HEX}php.generic.malware.441 : /home/ghcamau.net/public_html/modules/news/admin/publtime.php
{HEX}php.generic.malware.440 : /home/ghcamau.net/public_html/modules/menu/plugin0.php
{HEX}gzbase64.inject.unclassed.15 : /home/ghcamau.net/public_html/modules/autonews/admin/qtm.php
{HEX}gzbase64.inject.unclassed.15 : /home/ghcamau.net/public_html/modules/autonews/admin/main.php
{HEX}php.cmdshell.unclassed.365 : /home/vpssim.demo/logs/post_controller.php
{YARA}eval_post : /home/vpssim.demo/logs/advanced_settings.php
{HEX}php.shell.black-id.616 : /home/vpssim.demo/logs/engine_functions.php
{HEX}php.cmdshell.unclassed.365 : /home/vpssim.demo/errorpage_html/post_controller.php
{YARA}eval_post : /home/vpssim.demo/errorpage_html/advanced_settings.php
{HEX}php.shell.black-id.616 : /home/vpssim.demo/errorpage_html/engine_functions.php
{HEX}php.cmdshell.unclassed.365 : /home/vpssim.demo/public_html/post_controller.php
{YARA}eval_post : /home/vpssim.demo/public_html/advanced_settings.php
{HEX}php.shell.black-id.616 : /home/vpssim.demo/public_html/engine_functions.php
{HEX}php.cmdshell.unclassed.365 : /home/vpssim.demo/private_html/backup/AllDB/post_controller.php
{YARA}eval_post : /home/vpssim.demo/private_html/backup/AllDB/advanced_settings.php
{HEX}php.shell.black-id.616 : /home/vpssim.demo/private_html/backup/AllDB/engine_functions.php
{HEX}php.cmdshell.unclassed.365 : /home/nhanaicamau.net/logs/post_controller.php
{YARA}eval_post : /home/nhanaicamau.net/logs/advanced_settings.php
{HEX}php.shell.black-id.616 : /home/nhanaicamau.net/logs/engine_functions.php
{HEX}php.cmdshell.unclassed.365 : /home/nhanaicamau.net/errorpage_html/post_controller.php
{YARA}eval_post : /home/nhanaicamau.net/errorpage_html/advanced_settings.php
{HEX}php.shell.black-id.616 : /home/nhanaicamau.net/errorpage_html/engine_functions.php
{HEX}php.generic.malware.441 : /home/nhanaicamau.net/public_html/includes/cronjobs/online_expired_del.php
{HEX}php.base64.v23au.186 : /home/nhanaicamau.net/public_html/logs/favicon_bfac12.ico
{HEX}php.generic.malware.440 : /home/nhanaicamau.net/public_html/sql66.php
{HEX}php.generic.malware.441 : /home/nhanaicamau.net/public_html/quantrivien/modules/modules/setup.php
{HEX}php.generic.malware.440 : /home/nhanaicamau.net/public_html/uploads/news/2012_04/menu.php
{HEX}php.generic.malware.440 : /home/nhanaicamau.net/public_html/themes/modern/css/plugins/model.php
{HEX}php.generic.malware.440 : /home/nhanaicamau.net/public_html/themes/modern/js/blog.php
{HEX}php.generic.malware.440 : /home/nhanaicamau.net/public_html/themes/modern/modules/albums/start43.php
{HEX}php.generic.malware.440 : /home/nhanaicamau.net/public_html/themes/default/images/news/themes.php
{HEX}php.generic.malware.441 : /home/nhanaicamau.net/public_html/data/ip_files/12.php
{HEX}php.generic.malware.441 : /home/nhanaicamau.net/public_html/data/ip_files/150.php
{HEX}php.generic.malware.441 : /home/nhanaicamau.net/public_html/modules/download/funcs/report.php
{HEX}php.generic.malware.441 : /home/nhanaicamau.net/public_html/modules/news/language/block.global.block_category_vi.php
{HEX}php.base64.v23au.186 : /home/nhanaicamau.net/public_html/modules/rss/funcs/press.php
{HEX}php.generic.malware.441 : /home/nhanaicamau.net/public_html/modules/shops/blocks/module.block_product_center.php
{HEX}php.cmdshell.unclassed.365 : /home/cuulasanbmt.com/logs/post_controller.php
{YARA}eval_post : /home/cuulasanbmt.com/logs/advanced_settings.php
{HEX}php.shell.black-id.616 : /home/cuulasanbmt.com/logs/engine_functions.php
{HEX}php.cmdshell.unclassed.365 : /home/cuulasanbmt.com/errorpage_html/post_controller.php
{YARA}eval_post : /home/cuulasanbmt.com/errorpage_html/advanced_settings.php
{HEX}php.shell.black-id.616 : /home/cuulasanbmt.com/errorpage_html/engine_functions.php
{HEX}php.generic.malware.441 : /home/cuulasanbmt.com/public_html/includes/blocks/global.downhead.php
{HEX}php.base64.v23au.186 : /home/cuulasanbmt.com/public_html/includes/utf8/favicon_3fc250.ico
{HEX}php.generic.malware.440 : /home/cuulasanbmt.com/public_html/press.php
{HEX}php.generic.malware.440 : /home/cuulasanbmt.com/public_html/uploads/tin-cong-nghe/topics/include.php
{HEX}php.generic.malware.440 : /home/cuulasanbmt.com/public_html/uploads/news/2015_02/cache59.php
{HEX}php.generic.malware.440 : /home/cuulasanbmt.com/public_html/themes/modern/modules/contact/start57.php
{HEX}php.generic.malware.440 : /home/cuulasanbmt.com/public_html/themes/default/images/news/global.php
{HEX}php.base64.v23au.186 : /home/cuulasanbmt.com/public_html/files/tin_cong_nghe/thumb/ajax40.php
{HEX}php.generic.malware.441 : /home/cuulasanbmt.com/public_html/modules/banners/language/en.php
{HEX}php.generic.malware.440 : /home/cuulasanbmt.com/public_html/modules/news/blocks/gallery67.php
{HEX}php.generic.malware.441 : /home/cuulasanbmt.com/public_html/modules/news/admin/topicajax.php
{HEX}php.generic.malware.441 : /home/cuulasanbmt.com/public_html/modules/news/admin/topicsnews.php
{HEX}php.generic.malware.441 : /home/cuulasanbmt.com/public_html/modules/weblinks/rssdata.php
em quét Shell thì nó ra thế này, cho em hỏi mấy file này có dính đến hệ thống mã nguồn của nuke không? em xóa hết được không?
 
--= Roll With The Wind =--
Quản trị viên
Cái này phải đưa file lên để xem, mới biết được có thực sự bị shell hay không.
NukeViet dùng một số hàm có sẵn của PHP và thường bị cho là shell.
Tuy vậy, có một số file khá đáng ngờ trong danh sách mà bạn đưa lên, vì có vẻ nó không thuộc cấu trúc của NukeViet gốc.
 
Thích: hoanglongvnpt
Thành viên mới
Cái này phải đưa file lên để xem, mới biết được có thực sự bị shell hay không.
NukeViet dùng một số hàm có sẵn của PHP và thường bị cho là shell.
Tuy vậy, có một số file khá đáng ngờ trong danh sách mà bạn đưa lên, vì có vẻ nó không thuộc cấu trúc của NukeViet gốc.
em đưa VPS của e cho a xem giùm em luôn được không ạ?
 
--= Roll With The Wind =--
Quản trị viên
Mình thì sẵn sàng.
Cơ mà bạn nên sao lưu lại trước cho chắc ăn :)
Mất công phát sinh vấn đề gì thì khó nói.
 
--= Roll With The Wind =--
Quản trị viên
Mình vào xem thử, thấy một số file đúng là dùng hàm base64_decode nên bị nhận nhầm là shell.
Đang xem thêm các file khác xem thế nào.
Và có vẻ không chỉ NukeViet mà còn nhiều code loại khác nữa, nên phân loại ra cũng hơi căng thẳng.
 
Thành viên mới
làm sao để nhận biết site bị dính shell vậy các bác? dấu hiệu như thế nào
 
--= Roll With The Wind =--
Quản trị viên
làm sao để nhận biết site bị dính shell vậy các bác? dấu hiệu như thế nào
Ví dụ như hay đi các diễn đàn, chèn chữ ký và hỏi làm sao là biết bị dính Shell chả hạn :15:
 
Thích: thanhbh
Thành viên mới
hiện tại 3 trang web của em bị dính shell, tại em không biết bảo mật, có dò làm theo trên forum nukeviet bảo mật mà vẫn bị, không biết mã nguồn bị gì nữa, giờ em muốn sửa thì phải làm sao ạ?
tại web này em làm từ thiện cho nhà thờ, giờ bị vậy mong các anh giúp đỡ
Mình cũng đang làm miễn phí cho nhà thờ. Rất vui được mần quen ạ :D
 
Thành viên mới
Ví dụ như hay đi các diễn đàn, chèn chữ ký và hỏi làm sao là biết bị dính Shell chả hạn :15:
Không biết thật mới hỏi chú bác, ặc ặc
 
Thành viên mới
Em đang định cài một theme nulled,em thì không biết về code. kiểm tra plugin TAC thì báo một số lỗi sau, các bác xem giúp em đây có phải mã hóa shell, ...... nguy hiểm không ạ.

Trong archive.php
$setup42_searchpagemap_style = base64_encode( strip_tags( $setup42_searchpagemap_style ));
Trong category.php
$setup42_searchpagemap_style = base64_encode( strip_tags( $setup42_searchpagemap_style ));
Trong search.php
$setup42_searchpagemap_style = base64_encode( strip_tags( $setup42_searchpagemap_style ));
 
--= Roll With The Wind =--
Quản trị viên
Em đang định cài một theme nulled,em thì không biết về code. kiểm tra plugin TAC thì báo một số lỗi sau, các bác xem giúp em đây có phải mã hóa shell, ...... nguy hiểm không ạ.

Trong archive.php
$setup42_searchpagemap_style = base64_encode( strip_tags( $setup42_searchpagemap_style ));
Trong category.php
$setup42_searchpagemap_style = base64_encode( strip_tags( $setup42_searchpagemap_style ));
Trong search.php
$setup42_searchpagemap_style = base64_encode( strip_tags( $setup42_searchpagemap_style ));
Plugin nào bạn ?
 
Thích: trangelina
Thành viên mới
Plugin có tên này ạ:"Theme Authenticity Checker (TAC)"
 
--= Roll With The Wind =--
Quản trị viên
Plugin có tên này ạ:"Theme Authenticity Checker (TAC)"
NukeViet mình ko nhớ có bất kỳ plugin nào như vậy. Mặc định ko có.