Em chào các bác, hiện tại em có cái web thì bị bên VG66 hack vào, cứ link nào 404 sẽ hiện ra web cá cược VG66, và hình như họ chèn auto, web em dùng laravel. mà em chưa tìm ra lỗ hổng ở đâu, bác nào đã từng bị có thể cho em lời nguyên tìm lỗ hổng được không ạ, em cảm ơn
Bác hỏi hơi bị khó. Nếu bác mới biết code: thì nếu đang dùng WP bác tiến hành restore database, cài lại wordpress, bỏ hết plugin và theme cũ xem. Từ từ tìm ra nó lỗi ở đâu Còn bác siêu rồi thì cứ dò từ cái link nó redirect mà tìm ra chỗ bị nhiễm bệnh. Xử nó đi thôi
Em đang dùng laravel bác ạ Em tìm ra được file họ upload lên server, nhưng xoá đi thì vài hôm sau lại thấy file đó xuất hiện Nên chưa biết là họ upload lên bằng gì
dùng chức năng search all db của thằng phpmyadmin search theo text nó tạo xem, chỉ sợ nó encode đoạn code đó rồi
Bạn thử kiểm tra lại: - Web có chức năng upload không? - Source có dùng thư viện từ nguồn nào không uy tín không? - Có dùng host share không? - Control Panel là gì? Direct Admin mà bạn cũ thì lỗi nhiều lắm! - Thư mục upload có chmod 777 không?
- Web em có chức năng upload, nhưng file được upload vào thư mục không phải được set trong chức năng upload - bên em dùng cloud vps riêng của vng chạy 1 mình web đó thôi không có direct admin - Thư mục bị upload có 777 - Nó còn tự động chèn thêm 1 dòng để require file vào file có sẵn của bên em nữa cơ
Set lại thư mục về 755 rồi rồi quyền apache hoặc nginx cho thư mục đó thôi xem thế nào bạn. Trước đó tìm code của nó rồi xóa trước đã.
Em có set lại thư mục, xoá file của nó rồi ạ Nhưng nó có thể tự tạo lại file với quyền apache luôn bác
Backup data, tạo code mới ở thư mục mới rồi restore qua đi bạn. Wordpress mình cũng dính thế này rốt cuộc phải đổi source mới, đổi luôn theme khác mới được. Còn dùng framework thì khả năng chắc plugin có vấn đề chăng?
Vậy bạn coi logs xem! Và dùng mấy trình quét mã độc trong source (mấy hàm cơ bản : eval, move_uploaded_file, ...) --- Double Post Merged, Oct 13, 2022, Original Post Date: Oct 11, 2022 --- Bác đã tách các file ảnh, video được thành viên upload ra 1 cdn riêng, nên lỗi loại trừ khả năng này. Em check qua các kết quả đã được Google cached thì cấu trúc của nó có 2 dạng: Code: https://xxxx.xx/a*****/([0-9]{6,8}).html Code: https://xxxx.xx/?a******([0-9]{6,8}).html Bác thử filter trong source các libraries / plugins ... xử lý các url có các param giống như vậy thử xem sao bác! P/S : Trang của bác được Google Index hơn cả 1 triệu url cái lỗi đó. Bác chặn Disallow: *?* trong robots.txt em thấy không có tác dụng luôn!
