Bài viết này nói về những lỗ hổng cơ bản mà hacker lợi dụng để up shell lên host và cách lấy lại db sau khi bị tấn công. Mong rằng có ích với mọi người.

1. Hầu hết các forum bị hack bằng việc up shell lên host là do host bảo mật kém, vì vậy nếu bạn đã bị hack một lần thì tốt nhất nên chuyển host vì không có nghĩa rằng bạn xoá shell trên host một lần thì không có lần khác hacker không tìm được cách up shell lên diễn đàn

2. Tạo trang upload file cũng có thể là nguy cơ lớn để hacker lợi dụng up shell lên host của bạn, vì vậy các trang upload cần có khả năng nén những tập tin mà người dùng tải lên và tránh hiển thị DLink.

3. Nếu bạn bị hack lần đầu tiên nhưng vẫn phục hồi được, tốt nhất bạn nên đóng cửa forum trong một vài ngày để tránh hacker quay trở lại và có thời gian khắc phục triệt để forum.

4. Bạn nên đem về localhost db và code để test thật kĩ để chắc rằng forum bạn không còn shell

5. Nếu chưa tìm thấy shell, tuyệt đối bạn không nên up lên host (khi đã chuyển) bởi kể cả h0st của bạn có bảo mật tới đâu nhưng khi trong db có shell thì đó là bạn đã tiếp tay cho hacker rồi đó.

6. Phòng bị trước khi bị hacker tấn công cũng rất quan trọng, khi bạn bị tấn công, công việc đầu tiên bạn cần làm không phải là giữ hosting mà là cứu lấy code và db.

– (1) Bạn nên sử dụng một công cụ nào đó có khả năng backup nhanh và hiệu quả như Mysqldumper.

– (2) Bạn nên down toàn bộ souce code và db khi rảnh rỗi và tuyệt đối không xoá chúng.

– (3) Nếu bạn hay chat qua yahoo, hãy giữ lại hòm thư và cấu hình cho chương trình backup của bạn gửi thư mỗi khi backup xong, trong thư sẽ có đường dẫn để download db. Có thể bọn hacker đã đối pass tài khoản của bạn nhưng nếu đã có link thì bạn có thể down trực tiếp ở mọi nơi, ở bất cứ lúc nào.

– (4) Nếu có thể (vẫn truy cập được mysqldumper) bạn hãy backup (khi đã có shell) sau đó làm theo các bước tiếp theo để lấy lại db. Công cụ khuyên dòng ở đây là bạn cài vào localhost bằng phần mềm phplemon server hoặc bất kì phần mềm có chức năng tương tự.

– (5) Tốt hơn bạn nên có phần mềm ánh xạ ổ FTP thành ô đĩa trong window, đây là cách bạn tiếp cận với host dễ dàng và nhanh chóng nhất.

7. Để db không còn shell.

– (1) Sư dụng db cũ.

Khi bị dính shell điều lo lắng nhất là khi sử dụng db cũ sẽ không lưu trữ được các bài viết và thành viên mới. Hãy sử dụng phương pháp ghép db để chắc chắn rằng db không còn shell và bài viết và thành viên vẫn được cập nhật đầy đủ. Cách thực hiên như sau:
– Import db có chứa shell vào db
– Backup riêng các table có chứa những từ như post, thread, và table forum (nếu bạn có category mới).
– Import vào db phần backup cũ.
– Tiếp tục import đè lên phần vừa mới backup
– Như vậy db mới sẽ có tất cả bài viết và thành viên cho đến lúc hacker tấn công.
– Để chắc chắn không có shell, bạn thử backup lại db vừa tạo xem dung lượng có nhỏ hơn db dính shell không.

– (2) Tìm shell thủ công trên db

shell thường ẩn tránh trong các table như template, plugin, produce,… Bạn có thể search trong db của mình với những tên như la shell, v..v để tìm. Còn nếu sử dụng vbb bạn hoàn toàn có thể thay code mới, upload code của MOD sau đó import lại db đã hoàn toàn không có shell.