กระทู้นี้ขอพื้นที่เตือนภัยเพื่อนๆ ที่ชอบดาวน์โหลด ธีม ฟรี จากเว็บไซด์ต่างๆ นะครับ ผมชอบดาวน์โหลดมาใช้ครับ เพราะมันสวยดี วันนึงผมก็เจอดีเข้าจนได้ ระหว่างที่ผม top ดู process ของ VPS ผม เห็นความผิดปกติบางอย่างครับ มันมี apache รัน ssh-scan เป็น สิบๆ อัน โอ้วอะไรกันเนี่ย รู้สึกตะหงิดๆ เลยไป search หาข้อมูลใน google ครับ
ปรากฎว่า ฝรั่งเค้าคุยกันว่าอาจจะโดน Hack เข้าให้แล้ว
โดยให้ผมใช้คำสั่ง cd /tmp แล้ว ls -lha เพื่อดู list รายชื่อ ไฟล์ที่ถูกซ่อนไว้ในโฟลเดอร์ tmp ครับ แล้วก็โป๊ะเชะ!
มันเข้ามาจริงๆ ด้วยครับ มีโฟลเดอร์ สองอันแล้วก็ zip ไฟล์อันนึง ทั้งหมดถูกรันโดย apache (ขออภัยนะครับถ้าอ่านแล้วงง ผมไม่เก่งเรื่อง server เลย อธิบายตามที่ผมเข้าใจน่ะครับ) ผมเข้าไปสำรวจ เท่าที่ดูโปรแกรมตัวนี้มัน ดาวน์โหลดตัวเองมาลงแล้ว ทำการรันเพื่อสุ่มเอา user และ password ของ VPS ผม และน่าจะทำการเมลล์ออกไปยัง Hacker (เห็นมี script send email ด้วย)
ผมเห็นรายการสุ่มมันเป็นหางว่าวเลย แต่มันยังไม่ได้ไปครับ
ทีนี้ทำไมถึงเกี่ยวกับ ฟรี themes อันที่จริงกระผมไม่แน่ใจนักครับ เพราะผมจะไม่ใช้ root login เข้าโดยตรงเพื่อป้องกันการโดน Hack อยู่แล้วชั้นนึง จากการปรึกษาพี่ที่รู้จักกัน เขาแนะนำว่า มันน่าจะมาจาก Themes ที่เราโหลดฟรีมานั่นแหละ ตรง footer ของ themes พวกนี้ มันจะถูก encode เอาไว้ พี่เค้าถามผมว่า "แล้วเมิงรู้เหรอ ว่าเขาใส่อะไรไว้บ้าง" .... เออ ถูกของเขา ไอ่ตัวที่มันมา scan หา password นี่มันก็รันด้วย apache ไม่มีการ login จาก user อื่นใด VPS นี่กระผมก็ใช้คนเดียว password ก็คิดว่า secure พอ
ผมกับพี่ๆ อาจจะ สันนิษฐานผิดก็ได้ แต่ยังไงก็อยากมาเตือนไว้ด้วยความหวังดีนะครับ เพราะเราไม่เห็นจริงๆ ว่า ไอ้ code ที่เขาใส่ไว้มันทำอะไรบ้างผมเองก็ยังอ่อนประสบการณ์ เจอแบบนี้ตอนนี้เลยลบ themes ที่ดาวน์โหลดมาหมดแล้ว ตอนนี้จิตตก คอยดู top ตลอดเลยครับว่ามีไรแปลกๆ รันอีกรึป่าว
พัฒนาเว็บไซต์
