Hacker vào trang của bạn luôn có lý do, và khai thác bất cứ lỗi nào bạn có ...

Backdoor FilesMan tấn công website ông bạn tôi !

Ông bạn tôi cứ nhờ tôi chỉnh lại cái chân trang vì nó “lộn xộn” quá, toàn các kí tự lằng tì phằng cả lên, tôi có xin được mật khẩu FTP và phát hiện ra một điều khủng khiếp: Website của ông bạn tôi dính backdoor !

Con backdoor nhìn như một file hợp lệ
Con backdoor nhìn như một file hợp lệ

Khi download con backdoor này về để nghiên cứu, tôi thấy đến trình diệt Virus ghẻ lở mặc định của window cũng chặn đứng không cho download !

Con backdoor này khá nổi tiếng có tên là FilesMan, chuyên chui vào website và chỉnh sửa các file như .htaccess hay index.php, và chỉ cần có lệnh là nó sẽ thực thi vài lệnh chó khác, ví dụ như tạo điều kiện cho SPAMER vào website, mở đường cho SEO bẩn chui vào đặt backlink, thay đổi mật khẩu User !

Chiến lược của con backdoor này là ẩn mình bằng một trong các cái tên khá phổ thông, và khó bị chú ý đó là Google-verified.php hoặc Alexa-verifier.php ! Nói chung nó cứ sai chính tả một chút thì không thể để ý được !

Trong con này là một đoạn mã đã được mã hóa của một đoạn code rất dài, nó dùng mã hóa rất loằn ngoằn mà tới tôi phải tra cứu mãi mới ra nội dung của con này, các bạn có thể xem độ nguy hiểm của nó tại đây !

Con này cực thông minh, nó đã tạo ra cực kì nhiều file có đuôi “SH” để thực thi trên nền Linux, sau đây là đoạn mã mà nó đã chạy:

cat /etc/passwd | awk -F: '{print "ls -al "$6"/public_html/wp-config.php"}'
 > new.sh;chmod 777 new.sh;sh new.sh > log.txt

Nếu các bạn đã quen với việc quản trị Server thì không cần nói cũng hiểu cái lệnh trên, còn các bạn nhìn thấy nó lạ hoắc thì mình không giải thích đâu, nó đại khái là lấy các thông tin của file config rồi ghi vào file log để nó nghiên cứu !

Nó đã sinh ra các file SH sau đó ghi vào đầy các folder, thâm thúy thật ! Và bây giờ, chỉ còn môt cách để khắc phục nó mà thôi, chính là:

1. Backup dữ liệu bài viết

2. Xóa toàn bộ code

3. Thay đổi mật khẩu FTP

4. Cập nhật toàn bộ plugin và giao diện, sau đó ngồi dò lỗ hổng giao diện !

Vì website của ông bạn nằm trên Pavietnam cho nên có thể bị tấn công theo dạng local attact, đây là dạng phổ thông nhất, tuy nhiên cần phải lo cho cái bộ code của mình xem có lỗ hổng không đã !

Thiên hạ giờ ác man lắm, các bạn nên nghĩ cách bảo vệ website của mình và backup thường xuyên nhé !

Chúc các bạn thành công !

TÁC GIẢ:

Tôi là Jam, thâm niên 7 năm thiết kế website và làm SEO. Hãy theo dõi blog của tôi để nhận được nhiều chia sẻ thú vị xung quanh chủ đề công nghệ.

Có 3 bình luận !

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *