找出發送SPAM的server檔案

server 被hack 好難避免,所以要成日查看日誌,如果你見到mail log 發送了成萬封mail,好明顯有問題,大部分被植入木馬。例如joomla, wordpress 這些系統經常被人植入,要尋找發送SPAM的檔案,如果靠FTP,就只能一個個檔案開,如果你有Root權限,那麼就可以入SHH進入搜索。

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F”cwd=” ‘{print $2}’ | awk ‘{print $1}’ | sort | uniq -c | sort -n

上面指令能夠搜索到一些使用mail script 的位置,有了位置就可以使用ftp 入去看看是否被人種了外掛。如果是就檔案刪除。

不過建議都是要安裝防毒軟件和經常看日誌。

詳細資料看這裡

wordpress joomla 被黑如何處理

最近有幾個朋友網站被goolge 列為病毒網站,也就是顯示紅色有害,進入伺服器裡面查看發現不斷發送郵件。雖然首頁看起來沒有什麼問題,但其實已經被黑了。

首先看首頁index.php,已經被加入了一大堆base64 decode 的東西

code64

就算你更改刪除了上面的東西,隔一陣子文件又會被加入,因為病毒文件已經散佈在很多個文件之中,還會不斷更改和製造其他病毒文件,如何查找出來呢?有幾個很好的指令command line 可以用:

可以用putty 進入主目錄,然後輸入

grep –include=\*.php -rnw -e “64_decode”

grep –include=\*.php -rnw -e “GLOBALS\[”

 

是因為病毒文件很多都有eval(base64_decode 這個function,全部搜索一下,然後每個都打開來看看,很容易找出大部分病毒文件

還有一個指令,雖然沒什麼大用處,不過可以將文件按日期排列,找出最近更新過的文件

find . -printf “%T@ %Tc %p\n” | sort -n

記得再看看.htaccess 文件是否被更改,因為這個文件可以更改網頁瀏覽目錄

joomla 被hack jce editor 累事

之前發現朋友網站被Hack 了,奇怪這個網站是用joomla 系統,應該安全性是不錯的,但為何會被Hack 了呢? 馬上聯繫上,并登入伺服器查看Log。 發現安全記錄沒問題,沒被破解密碼,伺服器安全,那麼就是joomla 這套系統有問題,google了一下,就發現了hmei7這個hack joomla 的東西。

hmei7 是利用了joomla 的編輯器JCE, 因為JCE可以上載檔案,并可以改名之類。假如伺服器支援su_php,那麼權限就更大。

這個hack主要是用JCE的漏洞進行攻擊,把一個txt或gif檔案上載到伺服器,然後改名成php後執行,就會把首頁改成被hack的頁面。

拯救不難,administrator是沒有被hack的,可以繼續登入,進去把JCE升級到最新或者停用。然後下載新的joomla 安裝包,取代index.php, config 檔案,config 檔案記住要把自己的設定值拷貝過去。

接著就是移除上載上去的檔案,大多在images, cache,tmp 裏面,因為這些都可以寫入,有.htm 的檔案,也有是php 檔案。

大家記得多更新插件

Restaurant City Little Coins

轉載自free2sw4u

Cheat Engine 5.5 官方載點一官方載點二HinetEsnips
Flash Player 10 HinetEdcityEsnips
PC Worker(滑鼠按鍵錄製工具)Hinet
PC Worker(滑鼠按鍵錄製工具)使用教學.PCWorker 滑鼠按鍵錄製工具.使用教學
Auto Click(滑鼠按鍵錄製工具2)AutoClick(滑鼠按鍵錄製工具)

推薦使用 Firefox 3.5.5.以下示範是使用 Flash Player 10
(為免混亂 Flash Player 9 的玩家請看→點我查看

1. 進入遊戲後,點一下店外樹木

2. Cheat Engine v5.5 設定勾選(Hex.8 bytes.Also scan read only memory)

3. 請複製位址 F98BE8558DE85D89

4. 搜到位址後(CE 5.5 左邊會有)用滑鼠移到該位址再用滑鼠右鍵選
「Disassemble this memory region」

5. 往上找有一行是 je 字頭,用滑鼠點一下,再用滑鼠右鍵選
「Replace with code that does nothing」→「OK」

6. 回到遊戲,再點一下店外樹木,應該會掉了一個金錢出來 繼續閱讀 Restaurant City Little Coins

Restaurant city new cheat coins

轉載自fREE2soft的cheat coin 方法,12月13號有效

相關檔案:
Firefox 3.5.官方載點
Flash Player 10.HinetEdcityEsnips
Cheat Engine 5.5 官方載點
PC Worker(滑鼠按鍵錄製工具.限 XP)Hinet
PC Worker(滑鼠按鍵錄製工具)使用教學.PCWorker 滑鼠按鍵錄製工具.使用教學
Auto Click(滑鼠按鍵錄製工具2)AutoClick(滑鼠按鍵錄製工具)
piaipRCHack.piaipRCHack

推薦使用 Firefox 3.5.5.以下示範是使用 Flash Player 10

補充一下短片內的注意地方:(詳情請看短片!)

1. 進入遊戲,並在關店模式下進行,設定一朋友為 Janitor (清潔)
2. 執行 piaipRCHack(選100%體力即可)
3. Cheat Engine v5.5 設定勾選(Hex.8 bytes.Also scan read only memory)
4. 複製位址 0005000000003FA9 搜到位址後,滑鼠雙擊該位址會彈到下方
5. 在「Address」滑鼠雙擊,複製數值
6. 按「Add address manually」(4 bytes)選「Pointer」在「Address of pointer」貼上數值 -72
(例子:xxxxxxxx-72)之後在 Offset Hex 鍵入 68
7. 再按「Add address manually」(4 bytes)選「Pointer」在「Address of pointer」貼上數值 -72
(例子:xxxxxxxx-72)之後在 Offset Hex 鍵入 78 繼續閱讀 Restaurant city new cheat coins