Hướng Dẫn : Khắc phục sau khi website bị hack

Thảo luận trong 'Bảo mật web và phòng chống DDOS' bắt đầu bởi HoangMaiNhi, 15/1/16.

  1. HoangMaiNhi

    HoangMaiNhi Banned Tài khoản đã bị khóa

    Tham gia ngày:
    15/1/16
    Bài viết:
    1
    Đã được thích:
    0
    Điểm thành tích:
    1
    Thấy nhiều bạn hay bị hack web nên mình chia sẽ một số ít kinh nghiệm khắc phục sau khi web bị hack

    Các việc cần làm:

    1 Xóa cái index bị chèn đó đi tất nhiên đây là việc đầu tiên để khôi phục lại web

    2 Tìm chỗ hacker chèn shell

    Nếu bạn code tay thì có thể dễ dàng thấy chỉ cần thấy file laj trong code là đó con shell hacker chèn đó nhưng vấn đề cacsc bạn dùng mã nguồn mở thì sẽ không thể thấy được đâu lý do là gì tại sao không thấy? vì shell không thể up file lên mà có tên thường thì nó sẽ được chèn trong các plugins cài trên website đối với wp thì các bạn vào tất cả plugins được cài xem có gì lạ không cứ thấy loằng ngoằng=> shell đó và xóa đi còn bạn có coi trên code web file đó bình thường chả vấn đề nhưng trên thực tế nó đã bị chèn shell rồi. hoặc thấy code của plugins đó có dòng đại loại ngau ở đầu là base64... thì nó đó shell đó

    Tiếp tới không thấy trong plugins? nó ở đâu? tìm tất cả các file có quyền upload file trên web của các bạn trong các mục plugins hay themme... các file này thườn có tên uploadxxx.php kiểm tra nó thử run đường dẫn đó trên trình duyệt nếu nó được hiển thị thì bạn thử up 1 file bất ký và tìm file đó trên hệ thống bạn sẽ biết shell được chèn ở đâu

    Sau khi scan 2 cách trên rồi ra shell nhưng kiểm tra xem nó còn không nó có bị chèn trong data không? đơn giản bạn vào phpMyadmin của bạn mở nó ra seach với từ khóa là base64 tại sao là base64 vì tất cả shell mà hacker muốn chèn thì nó đều phải được mã hóa bằng base64 nếu không được mã hóa nó sẽ bị firewall bạn chém chết hoặc mã hóa khác thì sẽ không chạy được vì php thì chỉ có thể chạy base64 là tốt nhất sau đó tìm tất cả các table có kết quả hiện ra kiểm tra xem có cái nào báo 1macher không? có chứ browe nhấn vào đó mở nó ra loằng ngoằng => shell đó xóa nó đi là ok

    Song 3 cách trên các bạn có thể dùng 1 cách nữa đó là scan shell bằng các tool hoặc download code về và kiểm tra mở từng file một xem có gì lạ không? lạ loằng ngoằng shell đó xóa nó đi

    3 Fix lỗi

    Fix ra sao làm sao biết chỗ nta hack web mình bằng cái gì?

    Đơn giản các bạn hãy đọc file log trên sever thì sẽ rõ tất cả hack bằng gì qua đâu....... từ đó có cách khác phục riêng , nếu bị up thông file có quyền upload thì 1 đổi tên file cấu hình lại 2 chmod cả thư mục đó về 111 là ok

    Lỗi qua plugin thì 1 là xóa đi hai là nâng cấp lên bản mới hơn

    Lỗi sql inject thì các bạn sửa lại data đúng chỗ lỗi đó , còn tùy vào lỗi mà có cách fix khác nhau

    Sau đó tiếp đến bạn đổi pass admin và thay đổi link admin chú ý vẫn giữ file login cũ nhưng với một nội dung đại loại đăng nhập song báo thằng ngu đòi hack web tao a?? để đánh lừa hacker nếu lầm sau họ hack vào và chuyển link admin tới chỗ hoặc tên dễ nhớ với mình nhất và khóa nó bằng ip nếu thấy cần.... còn nhiều các nữa nhưng tạm thời viết như thế này thôi
     
  2. Hoang Long

    Hoang Long Đang làm quen

    Tham gia ngày:
    1/7/14
    Bài viết:
    37
    Đã được thích:
    1
    Điểm thành tích:
    8
    Việc website bị hack mình cũng đã từng bị, khi website lên top nhiều đói thủ cạnh tranh nhau thậm chí thuê cả hacker để làm chiêu trò. Mình cũng tìm và xóa mọi thứ nhưng chỉ được vài ngày lại bị hack tiếp, cuối cùng đổi dịch vụ hóting và backup lại toàn bộ dữ liệu, đăng bài thủ công thì sau đó mới được yên ổn
     
  3. tieudv

    tieudv Lính mới

    Tham gia ngày:
    17/12/15
    Bài viết:
    12
    Đã được thích:
    0
    Điểm thành tích:
    1
    1. Tốt nhất là không dùng mã nguồn mở wordpress để đảm bảo lỗ hổng plugin.
    2. Xóa sạch code cũ, giữ lại ảnh + db, sau đó úp bộ code cũ lên chạy đảm bảo k bị chèn backdoor.
     
  4. tjkaz

    tjkaz Lính mới

    Tham gia ngày:
    12/1/16
    Bài viết:
    24
    Đã được thích:
    0
    Điểm thành tích:
    1
    Nơi ở:
    TpHCM
    Làm cách này thì những kết quả seo từ trước tới giờ có còn không bạn hay lại phải seo lại từ đầu
     
Đang tải...

Chia sẻ trang này