ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ
เรื่องมีอยู่ว่าเว็บผมโดนใครก็ไม่รู้เข้ามาแฮค ID ADMIN ของเว็บบอร์ด SMF มา 3 วันแล้ว
โดยที่รหัสผ่านของ ID ADMIN นั้น มันตรงกับรหัสผ่านของอีเมล์ เสร็จแล้วทีนี้มันก็เลยเนียนเข้ามาเช็คอีเมล์ผม เพื่อหวังผลประโยชน์นิดหน่อย
ผมสังเกตความผิดปกติมาได้ประมาณเกือบ 3 สัปดาห์แล้ว อีเมล์บางฉบับโดนลบ แต่แรกๆ ก็ไม่ได้สนใจอะไร
จนกระทั่งเมื่อ 3 วันก่อน เค้าตอบอีเมล์ของผมแถมลบอีเมล์ทิ้งอีก ผมก็รู้ตัวจนได้เช็ค IP ใน log ของ gmail ก็ปรากฏว่าช่วงเวลาดังกล่าว มีคนเข้ามาจริง เป็นจากที่อื่น
ก็เลยไล่เช็คในบอร์ด SMF ปรากฏว่าเค้าเข้า ID ADMIN ของบอร์ด SMF ผมได้ แต่ก็ไม่ได้มีเจตนาอะไร นอกจากปรับ Class Member ให้เป็นแบบอื่น เช่นให้เป็น VIP Member
วันแรกผมก็ได้ทำการเปลี่ยนพาส ADMIN + EMAIL + ชื่อ login ทันที ไม่รู้เหมือนกันว่าเค้าแฮคเข้ามาได้ยังไง พอเปลี่ยนได้สักพัก ID ADMIN ผมก็โดนเปลี่ยนอีเมล์กับรหัสผ่านอีก แถมสามารถรู้ชื่อ login ใหม่ของผมด้วย
ซึ่งแน่นอนว่าเราเป็นเจ้าของเว็บตัวจริง สามารถเปลี่ยนกลับมาได้อยู่แล้ว ก็ทำการแก้ไขกลับมาให้เป็นปกติ พร้อมทั้งแบน IP นั้นไป จากนั้นก็ตรวจไฟล์ใน FTP ว่ามันมีใครแอบยัดอะไรมาหรือเปล่าก็ไม่เจออะไร มันก็เงียบไป
วันต่อมาคราวนี้มันสร้าง ID ในเว็บบอร์ด SMF ที่โคลนตัว ID ADMIN มาเลยครับ ทั้งจำนวนกระทู้ ลายเซ็น คะแนนความดี รูปภาพ AVATAR สิทธิ์ต่างๆ บนเว็บ ผมก็ไม่รู้ว่าเค้าทำได้ยังไง พอลบไอดีแบนไปอีก ก็เข้าไปใน FTP เพื่อตรวจสอบดู ปรากฏว่าเจอไฟล์ ไฟล์นึง น่าจะเป็นไฟล์ที่เค้ายัดเข้ามา (แต่ตรงนี้ก็ไม่รู้อีกว่ายัดเข้ามาได้ยังไง เพราะไอดีกับพาสของ FTP มันไม่เหมือนกับ ADMIN) ผมก็จัดการลบไฟล์นั้นทิ้งไป ดูละเอียดแล้วไฟล์อื่นไม่น่าจะมีปัญหา แล้วก็เปลี่ยนพาสใหม่หมดเลย ทั้ง DA / SQL / FTP / ADMIN แบนไอพีมันด้วย วันที่ 2 นี้ ไอพีที่เค้าใช้เข้ามาไม่เหมือนวันแรกครับ วันแรกมาจากเชียงใหม่ วันที่สอง มาจาก กรุงเทพ
จนกระทั่งวันที่ 3 ผมก็คิดว่าคงเข้ามาไม่ได้แล้วล่ะ เปลี่ยนทุกอย่างหมดแล้ว แต่มันก็เข้ามาอีก แต่ไม่ได้เข้ามายุ่งใน EMAIL เราแล้ว คาดว่าจะไม่รู้พาสจริง แต่ยังสามารถเข้ามาสร้างไอดีที่โคลน ID ADMIN ได้อยู่ ซึ่งตรวจสอบดูก็พบว่าเป็น IP ที่มาจาก ม.ขอนแก่น แล้วมันก็ทำการทดสอบ ลองสร้างไอดี ปรับ CLASS เล่นดู สุดท้ายผมก็ทำอะไรไม่ได้ ได้แต่แบน IP แล้วเค้าก็หายไปอีกครั้งหนึ่ง ซึ่งอาจจะกลับมาอีกในเร็วๆ นี้
1. ผมสงสัยว่าเครื่องคอมผมโดนไวรัสหรือเปล่า
2. SMF เวอร์ชั่นล่าสุดมีรูรั่ว
3. โฮสต์ที่ใช้เป็นเซิร์ฟเวอร์ของเราไปวางเองครับ
ไอพีต้องสงสัย ล่าสุด
202.12.97.125
202.12.97.111
อีเมล์ต้องสงสัย
[email protected]Facebook ของผู้ต้องสงสัย
hxxp://www.facebook.com/#!/profile.php?id=100001083190391&v=wall&ref=search
จากเหตุการณ์ดังกล่าว เพื่อนๆ มีคำแนะนำในการจัดการเรื่องนี้อย่างไรกันบ้างครับ
รบกวนช่วยหน่อยนะครับ เดือดร้อนจริงๆ ไม่เคยเจอแบบนี้มาก่อน
พัฒนาเว็บไซต์
