Có nhiều bạn hỏi tôi cách để phát hiện shell khi hacker include vào
Database? Hôm nay tôi làm tut này để trả lời câu hỏi trên và giúp các
bạn nhận thức thêm về vấn đề bảo mật.
Trước hết ta phải biết cách thức mà hacker include vào Data thế nào thì
sau đó mới có phương pháp để loại bỏ triệt để. Các bạn tham khảo thêm
bài viết [You must be registered and logged in to see this link.].
Tôi xin nói thêm trong vbb những table có thể lợi dụng để include shell vào là table_template và table_plugin.
Vậy làm thế nào để phát hiện shell khi đã được include vào 2 table này nhỉ?Cách làm như sau:
- Bạn vào Phpadmin của host và search từ khóa



Code:

base64

Và làm theo hướng dẫn như hình sau:

Hình ảnh này đã bị thay đổi kích thước nhằm tránh làm vỡ giao diện. Bấm vào đây để xem ảnh ở kích thước đầy đủ ( 1024x768 )

Tại sao ta phải search từ khóa base64 mà không phải là từ khóa khác ?
Xin thưa rằng tất cả các con shell hiện nay nếu không được mã hóa thì sẽ
bị antivirut tiêu diệt trừ khi đổi tên file thành file.txt
- Việc còn lại của bạn là mở table khả nghi ra và kiểm tra xem có gì đặc biệt khác thường trong đó không.

Hình ảnh này đã bị thay đổi kích thước nhằm tránh làm vỡ giao diện. Bấm vào đây để xem ảnh ở kích thước đầy đủ ( 1024x768 )

Chú ý:
- Đối với table plugin thì bạn có thể delete đi mà không ảnh hưởng gì đến việc hoạt động site.
- Đối với table template nếu bạn thích thì cũng có thể delete còn muốn
dùng lại skin đó thì hãy vào admincp rồi nhấn vào revert để vbb tự động
edit lại skin cho bạn.
- Bạn có thể áp dụng cách này với những code khác như joomla, new, shop, etc...