pokermon3317 2018-9-10 15:11
小弟網頁設計水平只係小學雞程度
原本初次被hack, update backup 覆蓋原有檔案就解決, 但宜家index. php 個檔案好似不能被修改, 無論直接del, 定upload新file 覆蓋, 抑或打開檔案編輯代碼都解決唔到。
請求各師兄指點一下點樣解決
:smile_o06:
terryyip2000 2018-9-10 16:46
你無權限呀.
pokermon3317 2018-9-10 16:54
[quote]原帖由 [i]terryyip2000[/i] 於 2018-9-10 04:46 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487092790&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
你無權限呀. [/quote]
首先多謝師兄回覆
我有權限可以處理server所有檔案, 唯獨index. php不能, 它被設置權限444, 我將佢修改做644 但都不成功。。。。
sswroom 2018-9-10 17:06
[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 04:54 PM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=487093194&ptid=27705217][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]
首先多謝師兄回覆
我有權限可以處理server所有檔案, 唯獨index. php不能, 它被設置權限444, 我將佢修改做644 但都不成功。。。。 [/quote]
你不是owner?
chown?
pokermon3317 2018-9-10 17:13
[quote]原帖由 [i]sswroom[/i] 於 2018-9-10 05:06 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487093825&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
你不是owner?
chown? [/quote]
本人是owner
唔識得咩係chown... 請指教
sswroom 2018-9-10 17:16
[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 05:13 PM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=487094168&ptid=27705217][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]
本人是owner
唔識得咩係chown... 請指教 [/quote]
chown是Change Owner的指令, 用來改變Owner, 你remove這個File時有沒有出甚麼Error?
pokermon3317 2018-9-10 17:54
[quote]原帖由 [i]sswroom[/i] 於 2018-9-10 05:16 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487094319&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
chown是Change Owner的指令, 用來改變Owner, 你remove這個File時有沒有出甚麼Error? [/quote]
remove file既時候無出現error
只係剷完之後會自動生番出黎。。。。。。 權限無論點改, refresh完都係變番444
sswroom 2018-9-10 18:07
[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 05:54 PM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=487096385&ptid=27705217][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]
remove file既時候無出現error
只係剷完之後會自動生番出黎。。。。。。 權限無論點改, refresh完都係變番444 [/quote]remove成功, 但File仍然存在, 很大可能是有個Process Open了這個File, 那個Process Close了這個File或是直接Kill那個Process, File便會自動消失
P.S. 這個情況不是被Hack, 而是Program有Bug引起
pokermon3317 2018-9-10 18:11
[quote]原帖由 [i]sswroom[/i] 於 2018-9-10 06:07 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487097052&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
remove成功, 但File仍然存在, 很大可能是有個Process Open了這個File, 那個Process Close了這個File或是直接Kill那個Process, File便會自動消失
P.S. 這個情況不是被Hack, 而是Program有Bug引起 ... [/quote]
請問如何找到這個process:smile_27:
** 其實都幾肯定被hack, 因為睇到仲有其他惡意既動作:(
sswroom 2018-9-10 18:17
[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 06:11 PM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=487097279&ptid=27705217][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]
請問如何找到這個process:smile_27:
** 其實都幾肯定被hack, 因為睇到仲有其他惡意既動作:( [/quote]可以參考:
[url]https://superuser.com/questions/97844/how-can-i-determine-what-process-has-a-file-open-in-linux[/url]
vast 2018-9-10 18:48
[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 04:54 PM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=487093194&ptid=27705217][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]
首先多謝師兄回覆
我有權限可以處理server所有檔案, 唯獨index. php不能, 它被設置權限444, 我將佢修改做644 但都不成功。。。。 [/quote]
好可能owner都換咗, 只能用管理員或root用戶鏟走佢,
希望唔係管理員或root用戶都畀人hack埋:smile_42:
IT初體驗 2018-9-10 18:50
係咪俾人set左cronjob呀? 有機會用埋其他user
pokermon3317 2018-9-10 18:57
[quote]原帖由 [i]sswroom[/i] 於 2018-9-10 06:17 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487097592&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
可以參考:
https://superuser.com/questions/97844/how-can-i-determine-what-process-has-a-file-open-in-linux [/quote]
多謝師兄既提示, 雖然小弟睇完都唔係好識點做,會再研究下 :handshake
pokermon3317 2018-9-10 19:12
[quote]原帖由 [i]vast[/i] 於 2018-9-10 06:48 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487099103&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
好可能owner都換咗, 只能用管理員或root用戶鏟走佢,
希望唔係管理員或root用戶都畀人hack埋:smile_42: [/quote]
一直以黎只有我一個處理網頁。。。
如果換左owner或者管理員, 照計我應該知道呱:smile_13:
pokermon3317 2018-9-10 19:18
[quote]原帖由 [i]IT初體驗[/i] 於 2018-9-10 06:50 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487099190&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
係咪俾人set左cronjob呀? 有機會用埋其他user [/quote]
我google左一下cronjob, 佢好似係預定時間先運行
咁就算del左, 佢都應該等一段預定時間先生番出黎, 而我個情況係一del佢refresh完就生番出黎。。。。。
form5 2018-9-10 20:54
你用 fuser command check 下 你個file 係邊個process 用緊,揾佢出來先
singsingcat 2018-9-10 21:05
[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 07:18 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487100520&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
我google左一下cronjob, 佢好似係預定時間先運行
咁就算del左, 佢都應該等一段預定時間先生番出黎, 而我個情況係一del佢refresh完就生番出黎。。。。。 ... [/quote]
基本判研
1. Stop db, 鏟file,冇gen=sql inject,查db
2. Stop php, 鏟,冇再gen=php polution,查php files
3. 斷web server Internet,查 logs有冇abnormal post
4. 查firewall,有冇未准出入connection
再查唔到,就要畀錢人睇了,有d錢係唔慳得的。樓主如果力有未逮,唔好拖,畀錢買個平安,好過冇左份糧
singsingcat 2018-9-10 21:11
[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 03:11 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487087518&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
小弟網頁設計水平只係小學雞程度
原本初次被hack, update backup 覆蓋原有檔案就解決, 但宜家index. php 個檔案好似不能被修改, 無論直接del, 定upload新file 覆蓋, 抑或打開檔案編輯代碼都解決唔到。
請求各師兄指點一下點樣解決
:smile_o06: ... [/quote]
有個斬腳趾避沙蟲方法,改default file做index1234.php,再封埋index.php
除非hack到入肉,呢招應該暫時頂到
form5 2018-9-10 21:28
[quote]原帖由 [i]singsingcat[/i] 於 2018-9-10 09:11 PM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=487106185&ptid=27705217][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]
有個斬腳趾避沙蟲方法,改default file做index1234.php,再封埋index.php
除非hack到入肉,呢招應該暫時頂到 [/quote]
you may change index.php to immutable by "chattrib" if using ext2/ext3 fs, even root cannot remove it, but this system is still compromised ..., it s a junkyard now:lol
pokermon3317 2018-9-10 21:28
[quote]原帖由 [i]form5[/i] 於 2018-9-10 08:54 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487105190&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
你用 fuser command check 下 你個file 係邊個process 用緊,揾佢出來先 [/quote]
多謝師兄回覆, 我聽日會google下點樣用fuser command :smile_o06:
pokermon3317 2018-9-10 21:29
[quote]原帖由 [i]form5[/i] 於 2018-9-10 09:28 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487107193&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
you may change index.php to immutable by "chattrib" if using ext2/ext3 fs, even root cannot remove it, but this system is still compromised ..., it s a junkyard now:lol [/quote]
係呀。。。。 頭痛中
pokermon3317 2018-9-10 21:33
[quote]原帖由 [i]singsingcat[/i] 於 2018-9-10 09:05 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487105831&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
基本判研
1. Stop db, 鏟file,冇gen=sql inject,查db
2. Stop php, 鏟,冇再gen=php polution,查php files
3. 斷web server Internet,查 logs有冇abnormal post
4. 查firewall,有冇未准出入connection
再查唔到,就要畀錢人睇了,有d錢係唔慳得的。樓主如 ... [/quote]
:smile_o12: 清楚明白
聽日再攪唔掂都要考慮下揾外援, 師兄有無介紹
singsingcat 2018-9-10 21:35
[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 09:28 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487107212&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
多謝師兄回覆, 我聽日會google下點樣用fuser command :smile_o06: [/quote]
可以等明日,即是唔急
singsingcat 2018-9-10 21:40
[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 09:33 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487107506&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
:smile_o12: 清楚明白
聽日再攪唔掂都要考慮下揾外援, 師兄有無介紹 [/quote]
你開個價,呢度好多賢才,我齋吹唔想負責🤡
pokermon3317 2018-9-11 08:13
[quote]原帖由 [i]singsingcat[/i] 於 2018-9-10 09:40 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487107952&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
你開個價,呢度好多賢才,我齋吹唔想負責🤡 [/quote]
急架, 但都無能為力, 睇下呢2 日整成點, 我遲d pm師兄請你報價, thx :handshake
singsingcat 2018-9-11 09:10
[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-11 08:13 AM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487123872&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
急架, 但都無能為力, 睇下呢2 日整成點, 我遲d pm師兄請你報價, thx :handshake [/quote]
我都話管吹不管嫖,呢種外遇都是劉備有需要嘅人
Susan﹏汪汪 2018-9-11 09:35
[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 06:11 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487097279&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
請問如何找到這個process:smile_27:
** 其實都幾肯定被hack, 因為睇到仲有其他惡意既動作:( [/quote]
好奇
樓主仲睇到咩野其他惡意動作?所有野講清楚會容易D發現問題
terryyip2000 2018-9-12 11:32
會唔會人地寫咗script 自動改咗個index.php 內容呀.你試下將folder name改一下,或改成index1.php .用一個while script 就可以不停檢查,重新檔案.
singsingcat 2018-9-12 20:56
[quote]原帖由 [i]Susan﹏汪汪[/i] 於 2018-9-11 09:35 AM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487127368&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
好奇
樓主仲睇到咩野其他惡意動作?所有野講清楚會容易D發現問題 [/quote]
通常都係hijack左去第度
頁:
[1]