Ask Nhờ các Anh em pro vào giúp đỡ !

[nokiaevn]

82 trang đã tải xuống và cài đặt phần mềm độc hại mà không có sự đồng ý của người dùng. Lần cuối cùng Google truy cập trang web này là vào 2013-01-17 và lần cuối cùng nội dung đáng ngờ đã được tìm thấy trên trang web này là vào 2013-01-17.Phần mềm độc hại bao gồm 4 trojan(s), 1 exploit(s). Lây nhiễm thành công đã tạo ra trung bình 2 quá trình mới trên máy mục tiêu.
Phần mềm độc hại được lưu trữ trên 36 tên miền, kể cả fytyivnb.portrelay.com/, fpifiwq.portrelay.com/, lslgwb.2waky.com/.
9 tên miền có vẻ như hoạt động với vai trò trung gian cho việc phát tán phần mềm độc hại đến khách truy cập của trang web này, kể cả ipadm.serveftp.com/, hui2015.zapto.org/, monster.rybnik.pl/.

thấy cái này

 

[vantrung007]

Coi chừng cái theme đó. Hồi đó xài Joomla ko có tiền nên down mấy cái free về, trong theme nó có chèn iframe vào đó, wp cũng có nữa.

 

[hoaivn]

Check xem từng bài, từng trang có bị hay không ? Nếu bị theo hệ thống không riêng gì bài nào thì check các file của theme, các wiget, plugin, không phát hiện ra thì login vào root xem ngày bị attack gần nhất và file và folder nào đánh dấu truy cập thời gian tuơng ứng thì ngồi tìm . Ngày trc cũng bị, mình đổi sạch pass rồi ngồi check 1 lúc cũng lòi ra.

 

[2tears]

Mà bác dùng host của thằng nào thế? Đã nhờ nó support chưa?

Mình vừa mới chuyển sang Host sếp kai hôm qua mà vẫn bị tiếp.hôm trước thấy báo vào trong header.php là thấy cái mã đấy để xóa nhưng bây h vào ko tìm thấy nó nữa rồi.ko biết nó ở đâu mà xóa

 

[silverammo]

Mình vừa mới chuyển sang Host sếp kai hôm qua mà vẫn bị tiếp.hôm trước thấy báo vào trong header.php là thấy cái mã đấy để xóa nhưng bây h vào ko tìm thấy nó nữa rồi.ko biết nó ở đâu mà xóa

Search thử trong sql đi bác, cài mấy cái plugin quét theme xem có ra gì ko?

 

[2tears]

Tình hình là phát hiện ra nó ăn hết vào các bài viết rồi các Pro ơi.check trong SQL ở file backup thì thấy sơ sơ cũng mấy trăm phát,tính tất tần tật chắc phải lên vài k bài dính đòn quá.mình ko biết trong SQL này edit kiểu gì đc.cứ thế xóa thì sợ lỗi data.có bác nào rành thì vào hộ e gấp gấp với.hôm nay nó phát sinh thêm 1 cái mã mới.cứ thế này thì ko giữ đc data mất.Help me! :d

 

[draculad2d]

Tình hình là phát hiện ra nó ăn hết vào các bài viết rồi các Pro ơi.check trong SQL ở file backup thì thấy sơ sơ cũng mấy trăm phát,tính tất tần tật chắc phải lên vài k bài dính đòn quá.mình ko biết trong SQL này edit kiểu gì đc.cứ thế xóa thì sợ lỗi data.có bác nào rành thì vào hộ e gấp gấp với.hôm nay nó phát sinh thêm 1 cái mã mới.cứ thế này thì ko giữ đc data mất.Help me! :d

Bạn down database về giải nén ra rồi mở bằng notepad. Dùng Find tìm kiếm rồi xóa đi. Sau đó nén vào rồi backup lại.

 

[King]

Xóa hết đi rồi change pass user SQL, hồi trước mình cũng bị, nó là cái đoạn đoạn code ở trong mấy file index.php, header.php, footer.php,....

 

[bama]

máy bác có biết nguyên nhân nào dính cái này k để biết mà tránh

 

[draculad2d]

Có nhiều nguyên nhân bị tấn công băng mã độc: có thể do plugin của wordpress, có thể do theme, cũng có thể do nhà cung cấp hosting,... Vào thời điểm hiện tại tấn công bằng mã độc đang bùng phát, chỉ cần bạn lên google gõ tìm kiếm "tấn công bằng mã độc" là ra 1 đống. Thời điểm này bạn nên backup datbase thường xuyên+ xài diệt virut có bản quyền ở máy PC vì đã có 1 loại mã độc có thể xóa toàn bộ dữ liệu+ngăn không cho PC khởi động lại. Tớ vẫn chưa thấy có bài nào chỉ ra cách chống mã độc có hiệu quả cả. Tốt nhất là giờ cứ phòng thôi.

 

[draculad2d]

À, có cách này cậu thử dùng xem, tớ dùng thì bị lỗi cái theme của tớ nên tớ bỏ rồi:

Cách thức xử lý dành cho webmaster

Chủ nhân (webmaster) của những website dùng Wordpress khi bị tấn công có thể vào phpmyadmin hoặc trình quản lý cơ sở dữ liệu mySQL, tìm đến bảng (table) wp_options, thay đổi giá trị "siteurl" thành địa chỉ web hay blog của mình.

Hiệu chỉnh tập tin wp-config.php ghi đè giá trị WP_SITEURL bằng cách chèn dòng lệnh "define('WP_SITEURL', 'yoursite.com');" (không bao gồm dấu ngoặc kép). Cuối cùng là thay đổi ngay mật khẩu cơ sở dữ liệu (database), thiết lập lại quyền hạn (CHMOD) cho tập tin wp-config.php thành 750.

Hiện các cuộc tấn công vẫn tiếp diễn và địa chỉ website chứa mã độc chèn vào cơ sở dữ liệu đã thay đổi từ networkads... sang mainnetsoll...

 

[tranthu1983]

cái này bảo đảm là do cậu cài plugin thôi
vì bữa giúp cậu check files trên blog thì đã tim dc file zip dính dáng đến mã độc trong folder plugins và uploads
có thể hơi chủ quan ko check data nên có lẽ khi cài plugin nó đã add lun vào data rồi

bây giờ search dc tên mã độc trong data thì sài tool replace phát là hết thôi

kiểm tra lại hết các file coi có bị chèn shell ko
hôm trước kiểm sơ sơ cũng ra 2 con shell

 

[tranthu1983]

vừa check files cho cậu

thủ phạm là backdoor Fileman, dc chèn vào plugin linkwithin

 

[draculad2d]

vừa check files cho cậu

thủ phạm là backdoor Fileman, dc chèn vào plugin linkwithin

Check thế nào hả cậu? Chỉ cho mọi người cùng biết để nếu chẳng may bị còn có cách fix. Chỉ dùm đi, cảm ơn nhiều.

 

[tranthu1983]

Check thế nào hả cậu? Chỉ cho mọi người cùng biết để nếu chẳng may bị còn có cách fix. Chỉ dùm đi, cảm ơn nhiều.

thì down toàn bộ file về check thôi
lỗi của cậu này là quá chủ quan
chẳng hỉu sao để đứa nào nó up lên folder uploads toàn là linkwithin.zip
rồi boxTheme.zip
tất cả đều dc gắn backdoor

 

[2tears]

Đã edit xong toàn bộ SQL.gần 10k bài dính đòn.hy vọng từ h đến mai google nó thả.AE cài plugin thì chú ý nhé,chứ như e thấy oải quá rồi

 

[silverammo]

thì down toàn bộ file về check thôi
lỗi của cậu này là quá chủ quan
chẳng hỉu sao để đứa nào nó up lên folder uploads toàn là linkwithin.zip
rồi boxTheme.zip
tất cả đều dc gắn backdoor

Cậu quét bằng trình virus nào thế, cho mọi người biết với

 

[draculad2d]

thì down toàn bộ file về check thôi
lỗi của cậu này là quá chủ quan
chẳng hỉu sao để đứa nào nó up lên folder uploads toàn là linkwithin.zip
rồi boxTheme.zip
tất cả đều dc gắn backdoor

Cảm ơn cậu! Định ấn thanks mà chẳng thấy nút thanks ở đâu. Mà lần trước tớ cũng bị, tớ cũng down về dùng Kaspersky quét mà không thấy gì nhỉ?

 

[alright97]

Đã edit xong toàn bộ SQL.gần 10k bài dính đòn.hy vọng từ h đến mai google nó thả.AE cài plugin thì chú ý nhé,chứ như e thấy oải quá rồi

bác cài plugin gì mà dính vậy,chia sẽ với :binhsua03: và bác có thể viết 1 cái tut để giải quyết cái lỗi này được không

 

[2tears]

bác cài plugin gì mà dính vậy,chia sẽ với :binhsua03: và bác có thể viết 1 cái tut để giải quyết cái lỗi này được không

Có lẽ là do plugin linkwithin.bây h nó vẫn chưa thả site mình ra mà.đang đợi từ h đến mai xem thế nào.Toàn nhờ các pro xử lý hộ nên viết tut thì để dành cho các pro khác thôi,ngay trong cái topic này cũng có nhiều ý kiến rất hay mà,nếu ai bị tham khảo ở đây có lẽ cũng giải quyết đc vì trường hợp của mình là khá nặng rồi