Để hack 1 web site các hacker hoặc là hack ké thường phải có Shell trên server đó !Còn làm sao họ up được shell lên thì mình không bàn nhé ! Có thể thông qua bug mã nguồn mở hoặc bypass admin ,sql injection chẳng hạn, v..v.v !
Mình chỉ hướng dẫn cách check shell trên hosting của bạn vì thường các hacker để deface giao diện họ thường up shell lên web site mà hacker deface
Thông thường nếu không rành thì bạn sẽ xóa đoạn code mà hacker chèn vào index.php hoặc index.html
Nhưng quên rằng có thể họ đã "găm hàng" trên đó ! Đó chình là shell
Con shell thì đại loại nó như vầy ?
Vậy tìm ra chùng bằng cách nào ?
Cách 1: Bạn có thể download toàn bỗ code về máy tính mình mà kiểm tra coi có file nào lạ không hay đại loại là file mà mình không biết nó làm gì ?
Bạn sẽ mở ra xem code nếu biết hoặc chạy file đó !
C2: Cách này là mình hướng dẩn dùng 1 code php để scan ngay trên website của bạn !
Đặc điểm dể nhận dạng của shell là đoạn code shell thường được mã hóa base64 nên thật ra file php mà scan shell cũng là tìm cụm "base64_decode" mà thôi !
Các bạn download file đính kèm tại đây !
Giải nén ra sẽ được 1 file tên là scan.php
Upload file này lên thư mục root tức là trong thư mục public_html hay www
Sau khi up thì đường dẫn sẽ là http://domain.com/scan.php
Nhấn vào nút Tím kiếm
Có thể chọn hiễn thị chi tiết xem nhiều file hơn
Nhưng file ghi là phát hiện thì có thể là Shell
Ờ đây mình nói là có thể thôi nhé vì có những code mà người coder họ muốn mã hóa base64 có mục đích khác nhé !
Nên tới đây nếu bạn phát hiện ra thì cũng bình tỉnh chạy file đó ! Hoặc view code xem nó là gì ? Mà shell thì đa số các bạn chạy nó sẽ hiện nguyên hình ngay thôi mà ( chỉ trừ shell dạng 404 con này phài nhấn tab mới hiện -> mà ít ai dùng shell này lắm :)
Như ở trên thì chỉ có 1 file là shell đó là shell.php
Các file khác là bình thường nhé do code có base64
Đến đấy nếu phát hiện shell thì xóa nó đi thôi :)
Còn vì sao shell thường mã hóa base64 thì là để tránh bị anti "thịt" thôi !
