PDA

View Full Version : Phương pháp phát hiện và loại bỏ shell trong Database



DarkNight
15-02-2010, 03:25 PM
Em post bài nay ko biết nên post vào đâu, nếu sai box thì mod chuyển hộ em.
Tôi xin nói thêm trong vbb những table có thể lợi dụng để include shell vào là table_template và table_plugin.
Vậy làm thế nào để phát hiện shell khi đã được include vào 2 table này nhỉ?Cách làm như sau:
- Bạn vào Phpadmin của host và search từ khóa

base64
Và làm theo hướng dẫn như hình sau:
http://data.sinhvienit.net/imgs7/SinhVienIT.Net---data1.jpg


Tại sao ta phải search từ khóa base64 mà không phải là từ khóa khác ?
Xin thưa rằng tất cả các con shell hiện nay nếu không được mã hóa thì sẽ bị antivirut tiêu diệt trừ khi đổi tên file thành file.txt
- Việc còn lại của bạn là mở table khả nghi ra và kiểm tra xem có gì đặc biệt khác thường trong đó không.
http://data.sinhvienit.net/imgs7/SinhVienIT.Net---data2.jpg

Chú ý:
- Đối với table plugin thì bạn có thể delete đi mà không ảnh hưởng gì đến việc hoạt động site.
- Đối với table template nếu bạn thích thì cũng có thể delete còn muốn dùng lại skin đó thì hãy vào admincp rồi nhấn vào revert để vbb tự động edit lại skin cho bạn.
- Bạn có thể áp dụng cách này với những code khác như joomla, new, shop, etc...

hanhkhat
21-02-2010, 05:39 PM
trong cái hình trên có cái gì vậy bạn trai???:MatCuoi:

admin
21-02-2010, 06:56 PM
Cách search shell trong phpmyadmin mình thường hay làm, lấy đoạn đầu của code mã hoá trong shell để search rất hiệu quả từ đó giúp tai xác định được shell được chèn trong plugin, template hay phrase để loại bỏ