查看完整版本 : 緊急: 請問index.php 被hack點拆解

pokermon3317 2018-9-10 15:11

小弟網頁設計水平只係小學雞程度

原本初次被hack,   update backup 覆蓋原有檔案就解決, 但宜家index. php 個檔案好似不能被修改,  無論直接del,  定upload新file 覆蓋, 抑或打開檔案編輯代碼都解決唔到。

請求各師兄指點一下點樣解決

:smile_o06:

terryyip2000 2018-9-10 16:46

你無權限呀.

pokermon3317 2018-9-10 16:54

[quote]原帖由 [i]terryyip2000[/i] 於 2018-9-10 04:46 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487092790&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
你無權限呀. [/quote]


首先多謝師兄回覆
我有權限可以處理server所有檔案,  唯獨index. php不能,  它被設置權限444,  我將佢修改做644  但都不成功。。。。

sswroom 2018-9-10 17:06

[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 04:54 PM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=487093194&ptid=27705217][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]



首先多謝師兄回覆
我有權限可以處理server所有檔案,  唯獨index. php不能,  它被設置權限444,  我將佢修改做644  但都不成功。。。。 [/quote]
你不是owner?
chown?

pokermon3317 2018-9-10 17:13

[quote]原帖由 [i]sswroom[/i] 於 2018-9-10 05:06 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487093825&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]

你不是owner?
chown? [/quote]


本人是owner
唔識得咩係chown... 請指教

sswroom 2018-9-10 17:16

[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 05:13 PM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=487094168&ptid=27705217][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]



本人是owner
唔識得咩係chown... 請指教 [/quote]
chown是Change Owner的指令, 用來改變Owner, 你remove這個File時有沒有出甚麼Error?

pokermon3317 2018-9-10 17:54

[quote]原帖由 [i]sswroom[/i] 於 2018-9-10 05:16 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487094319&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]

chown是Change Owner的指令, 用來改變Owner, 你remove這個File時有沒有出甚麼Error? [/quote]


remove file既時候無出現error
只係剷完之後會自動生番出黎。。。。。。    權限無論點改, refresh完都係變番444

sswroom 2018-9-10 18:07

[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 05:54 PM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=487096385&ptid=27705217][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]



remove file既時候無出現error
只係剷完之後會自動生番出黎。。。。。。    權限無論點改, refresh完都係變番444 [/quote]remove成功, 但File仍然存在, 很大可能是有個Process Open了這個File, 那個Process Close了這個File或是直接Kill那個Process, File便會自動消失

P.S. 這個情況不是被Hack, 而是Program有Bug引起

pokermon3317 2018-9-10 18:11

[quote]原帖由 [i]sswroom[/i] 於 2018-9-10 06:07 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487097052&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
remove成功, 但File仍然存在, 很大可能是有個Process Open了這個File, 那個Process Close了這個File或是直接Kill那個Process, File便會自動消失

P.S. 這個情況不是被Hack, 而是Program有Bug引起 ... [/quote]


請問如何找到這個process:smile_27:

** 其實都幾肯定被hack,  因為睇到仲有其他惡意既動作:(

sswroom 2018-9-10 18:17

[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 06:11 PM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=487097279&ptid=27705217][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]



請問如何找到這個process:smile_27:

** 其實都幾肯定被hack,  因為睇到仲有其他惡意既動作:( [/quote]可以參考:
[url]https://superuser.com/questions/97844/how-can-i-determine-what-process-has-a-file-open-in-linux[/url]

vast 2018-9-10 18:48

[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 04:54 PM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=487093194&ptid=27705217][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]



首先多謝師兄回覆
我有權限可以處理server所有檔案,  唯獨index. php不能,  它被設置權限444,  我將佢修改做644  但都不成功。。。。 [/quote]


好可能owner都換咗, 只能用管理員或root用戶鏟走佢,
希望唔係管理員或root用戶都畀人hack埋:smile_42:

IT初體驗 2018-9-10 18:50

係咪俾人set左cronjob呀? 有機會用埋其他user

pokermon3317 2018-9-10 18:57

[quote]原帖由 [i]sswroom[/i] 於 2018-9-10 06:17 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487097592&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
可以參考:
https://superuser.com/questions/97844/how-can-i-determine-what-process-has-a-file-open-in-linux [/quote]


多謝師兄既提示,  雖然小弟睇完都唔係好識點做,會再研究下   :handshake

pokermon3317 2018-9-10 19:12

[quote]原帖由 [i]vast[/i] 於 2018-9-10 06:48 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487099103&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]



好可能owner都換咗, 只能用管理員或root用戶鏟走佢,
希望唔係管理員或root用戶都畀人hack埋:smile_42: [/quote]


一直以黎只有我一個處理網頁。。。
如果換左owner或者管理員,  照計我應該知道呱:smile_13:

pokermon3317 2018-9-10 19:18

[quote]原帖由 [i]IT初體驗[/i] 於 2018-9-10 06:50 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487099190&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
係咪俾人set左cronjob呀? 有機會用埋其他user [/quote]


我google左一下cronjob,   佢好似係預定時間先運行
咁就算del左,  佢都應該等一段預定時間先生番出黎,  而我個情況係一del佢refresh完就生番出黎。。。。。

form5 2018-9-10 20:54

你用 fuser command check 下 你個file 係邊個process 用緊,揾佢出來先

singsingcat 2018-9-10 21:05

[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 07:18 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487100520&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]



我google左一下cronjob,   佢好似係預定時間先運行
咁就算del左,  佢都應該等一段預定時間先生番出黎,  而我個情況係一del佢refresh完就生番出黎。。。。。 ... [/quote]

基本判研
1. Stop db, 鏟file,冇gen=sql inject,查db
2. Stop php, 鏟,冇再gen=php polution,查php files
3. 斷web server Internet,查 logs有冇abnormal post
4. 查firewall,有冇未准出入connection

再查唔到,就要畀錢人睇了,有d錢係唔慳得的。樓主如果力有未逮,唔好拖,畀錢買個平安,好過冇左份糧

singsingcat 2018-9-10 21:11

[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 03:11 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487087518&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
小弟網頁設計水平只係小學雞程度

原本初次被hack,   update backup 覆蓋原有檔案就解決, 但宜家index. php 個檔案好似不能被修改,  無論直接del,  定upload新file 覆蓋, 抑或打開檔案編輯代碼都解決唔到。

請求各師兄指點一下點樣解決

:smile_o06: ... [/quote]

有個斬腳趾避沙蟲方法,改default file做index1234.php,再封埋index.php
除非hack到入肉,呢招應該暫時頂到

form5 2018-9-10 21:28

[quote]原帖由 [i]singsingcat[/i] 於 2018-9-10 09:11 PM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=487106185&ptid=27705217][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]


有個斬腳趾避沙蟲方法,改default file做index1234.php,再封埋index.php
除非hack到入肉,呢招應該暫時頂到 [/quote]
you may change  index.php to immutable by "chattrib" if using ext2/ext3 fs, even root cannot remove it, but this system is still compromised ..., it s a junkyard now:lol

pokermon3317 2018-9-10 21:28

[quote]原帖由 [i]form5[/i] 於 2018-9-10 08:54 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487105190&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
你用 fuser command check 下 你個file 係邊個process 用緊,揾佢出來先 [/quote]


多謝師兄回覆,  我聽日會google下點樣用fuser command  :smile_o06:

pokermon3317 2018-9-10 21:29

[quote]原帖由 [i]form5[/i] 於 2018-9-10 09:28 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487107193&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]

you may change  index.php to immutable by "chattrib" if using ext2/ext3 fs, even root cannot remove it, but this system is still compromised ..., it s a junkyard now:lol [/quote]


係呀。。。。 頭痛中

pokermon3317 2018-9-10 21:33

[quote]原帖由 [i]singsingcat[/i] 於 2018-9-10 09:05 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487105831&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]


基本判研
1. Stop db, 鏟file,冇gen=sql inject,查db
2. Stop php, 鏟,冇再gen=php polution,查php files
3. 斷web server Internet,查 logs有冇abnormal post
4. 查firewall,有冇未准出入connection

再查唔到,就要畀錢人睇了,有d錢係唔慳得的。樓主如 ... [/quote]


:smile_o12:  清楚明白
聽日再攪唔掂都要考慮下揾外援, 師兄有無介紹

singsingcat 2018-9-10 21:35

[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 09:28 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487107212&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]



多謝師兄回覆,  我聽日會google下點樣用fuser command  :smile_o06: [/quote]

可以等明日,即是唔急

singsingcat 2018-9-10 21:40

[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 09:33 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487107506&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]



:smile_o12:  清楚明白
聽日再攪唔掂都要考慮下揾外援, 師兄有無介紹 [/quote]

你開個價,呢度好多賢才,我齋吹唔想負責🤡

pokermon3317 2018-9-11 08:13

[quote]原帖由 [i]singsingcat[/i] 於 2018-9-10 09:40 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487107952&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]


你開個價,呢度好多賢才,我齋吹唔想負責🤡 [/quote]


急架,  但都無能為力,  睇下呢2 日整成點,  我遲d  pm師兄請你報價,  thx     :handshake

singsingcat 2018-9-11 09:10

[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-11 08:13 AM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487123872&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]



急架,  但都無能為力,  睇下呢2 日整成點,  我遲d  pm師兄請你報價,  thx     :handshake [/quote]

我都話管吹不管嫖,呢種外遇都是劉備有需要嘅人

Susan﹏汪汪 2018-9-11 09:35

[quote]原帖由 [i]pokermon3317[/i] 於 2018-9-10 06:11 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487097279&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]



請問如何找到這個process:smile_27:

** 其實都幾肯定被hack,  因為睇到仲有其他惡意既動作:( [/quote]
好奇

樓主仲睇到咩野其他惡意動作?所有野講清楚會容易D發現問題

terryyip2000 2018-9-12 11:32

會唔會人地寫咗script 自動改咗個index.php 內容呀.你試下將folder name改一下,或改成index1.php .用一個while script 就可以不停檢查,重新檔案.

singsingcat 2018-9-12 20:56

[quote]原帖由 [i]Susan﹏汪汪[/i] 於 2018-9-11 09:35 AM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=487127368&ptid=27705217][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]

好奇

樓主仲睇到咩野其他惡意動作?所有野講清楚會容易D發現問題 [/quote]

通常都係hijack左去第度
頁: [1]
查看完整版本: 緊急: 請問index.php 被hack點拆解