อ่ะ ผมตกเป็นหนึ่งในผู้ต้องหา ซะหรือนี่
T_T
เดี๋ยวจะพาสืบครับ
ตาม step เลยนะครับ
1. หากใช้ host ที่มี cpanel เนี่ย ช่วยโหลด access_log ย้อนหลังเก็บไว้ครับ
โดยที่ host จะ zip มาเป็น file ชื่อ ประมาณ access_log_ชื่อweb_วัน_เดือน_ปี.gz
ถ้า click จาก link ใน cpanel จะได้แค่ file ล่าสุดอันเดียว ให้ copy url แล้วเปลี่ยนวันที่ แล้วโหลดมาทีละวันครับ
2. ประมาณเวลาที่เกิด click ประหลาดขึ้น หากทราบเวลาแน่ชัด ก็มาเปิด log ดูครับว่ามาจากไหน
คราวนี้เราจะมาวิเคราะห์ log file กัน
66.69.29.219 - - [30/Jul/2007:15:52:15 -0600] "
GET /Business/ebay.html HTTP/1.1" 200 16132 "
hxxp://www.google.com/search?sourceid=navclient&ie=UTF-8&rlz=1T4SUNA_en___US210&q=driblet+transport+services" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SU 3.004)"
โดยช่องแรกไม่ต้องบอก มันเป็น IP ครับ
ตามมาด้วยวันเวลา
สีแดงคือ URL ของเรา
สีน้ำตาลคือ REFER หรือว่า มาจากไหน
ส่วนวรรคสุดท้ายคือ USER_AGENT ครับ
ก่อนอื่นไม่ต้องสนใจ บรรทัดที่เป็น บอท นะครับ
ที่ UserAgent เป็น Googlebot Yahoo Inktomi Slurp อะไรพวกนี้
จากนั้นให้ลองหาว่าในช่วงเวลาดังกล่าวมี Access ใดผิดปกติบ้างครับ
Access ที่ผิดปกติ อาจเป็นหนึ่งใน Case ต่อไปนี้
1. มีการเข้า page ของเรา โดยไม่มี Referer ซึ่งแปลว่า เขาพิมพ์ URL ตรงเข้าผ่าน browser เลย อาจเป็นไปได้ ซึ่งคนที่ทำอาจรู้ URL ล่วงหน้าไว้แล้ว.
2. ดู Referer ที่มาจาก Google ครับจะบอกว่า คนที่เข้ามา Search จากคำว่าอะไร
hxxp://www.google.com/search?sourceid=navclient&ie=UTF-8&rlz=1T4SUNA_en___US210&
q=driblet+transport+servicesหาก query ตรงนี้มีอะไรน่าสงสัย เช่น search เป็นลักษณะของ footprint ของ web คุณ ก็ให้สงสัยไว้ก่อน
แต่ตรงนี้ก็บ่งบอกไม่ได้ว่าคนร้ายจะเล่นงาน จาก web เราหน่ะครับ
คนร้ายอาจจะ view source แล้ว copy pub-id ไปใส่ไว้ที่ใดที่หนึ่ง แล้วไปคลิกเองก็เป็นได้..
ตรงนี้ต้องทำใจครับ เพราะ Google เองนโยบายไม่ค่อย protect adsense publisher เท่าไรนัก T_T
ความรู้ทั่วไป
