เตือนภัย!! คนชอบดาวน์โหลด Free Themes for Wordpress อาจโดนฝังสคริปเพื่อ Hack คุณ

[Shin69]

กระทู้นี้ขอพื้นที่เตือนภัยเพื่อนๆ ที่ชอบดาวน์โหลด ธีม ฟรี จากเว็บไซด์ต่างๆ นะครับ ผมชอบดาวน์โหลดมาใช้ครับ เพราะมันสวยดี วันนึงผมก็เจอดีเข้าจนได้ ระหว่างที่ผม top ดู process ของ VPS ผม เห็นความผิดปกติบางอย่างครับ มันมี apache รัน ssh-scan เป็น สิบๆ อัน โอ้วอะไรกันเนี่ย รู้สึกตะหงิดๆ เลยไป search หาข้อมูลใน google ครับ

ปรากฎว่า ฝรั่งเค้าคุยกันว่าอาจจะโดน Hack เข้าให้แล้ว  โดยให้ผมใช้คำสั่ง cd /tmp แล้ว ls -lha เพื่อดู list รายชื่อ ไฟล์ที่ถูกซ่อนไว้ในโฟลเดอร์ tmp ครับ แล้วก็โป๊ะเชะ!  มันเข้ามาจริงๆ ด้วยครับ มีโฟลเดอร์ สองอันแล้วก็ zip ไฟล์อันนึง ทั้งหมดถูกรันโดย apache (ขออภัยนะครับถ้าอ่านแล้วงง ผมไม่เก่งเรื่อง server เลย อธิบายตามที่ผมเข้าใจน่ะครับ) ผมเข้าไปสำรวจ เท่าที่ดูโปรแกรมตัวนี้มัน ดาวน์โหลดตัวเองมาลงแล้ว ทำการรันเพื่อสุ่มเอา user และ password ของ VPS ผม และน่าจะทำการเมลล์ออกไปยัง Hacker (เห็นมี script send email ด้วย)  ผมเห็นรายการสุ่มมันเป็นหางว่าวเลย แต่มันยังไม่ได้ไปครับ 

ทีนี้ทำไมถึงเกี่ยวกับ ฟรี themes อันที่จริงกระผมไม่แน่ใจนักครับ เพราะผมจะไม่ใช้ root login เข้าโดยตรงเพื่อป้องกันการโดน Hack อยู่แล้วชั้นนึง จากการปรึกษาพี่ที่รู้จักกัน เขาแนะนำว่า มันน่าจะมาจาก Themes ที่เราโหลดฟรีมานั่นแหละ ตรง footer ของ themes พวกนี้ มันจะถูก encode เอาไว้ พี่เค้าถามผมว่า "แล้วเมิงรู้เหรอ ว่าเขาใส่อะไรไว้บ้าง" .... เออ ถูกของเขา ไอ่ตัวที่มันมา scan หา password นี่มันก็รันด้วย apache ไม่มีการ login จาก user อื่นใด VPS นี่กระผมก็ใช้คนเดียว password ก็คิดว่า secure พอ

ผมกับพี่ๆ อาจจะ สันนิษฐานผิดก็ได้ แต่ยังไงก็อยากมาเตือนไว้ด้วยความหวังดีนะครับ เพราะเราไม่เห็นจริงๆ ว่า ไอ้ code ที่เขาใส่ไว้มันทำอะไรบ้าง

ผมเองก็ยังอ่อนประสบการณ์ เจอแบบนี้ตอนนี้เลยลบ themes ที่ดาวน์โหลดมาหมดแล้ว ตอนนี้จิตตก คอยดู top ตลอดเลยครับว่ามีไรแปลกๆ รันอีกรึป่าว 

[pigdoll]

โหลดจากเว็บไหนมาครับเนี่ย 

[Shin69]

แหะๆ ตอนนั้น โหลดมั่วอ่าครับ แบบ search จาก google แล้วเข้าไปดูเลย  มือใหม่น่ะครับตอนนั้น ตอนนี้ก็ยังไม่เก่านะ

[Mr.Blogger]

เดี๋ยวนี้ผมทำ theme ใช้เองแล้วล่ะ ปลอดภัย ไม่ซ้ำใครด้วย

[asshur]

บางทีมันก็ยัดไว้ในฟังชั่นตรวจดูดีๆครับ นี่จากธีมที่โหลดมาเอง
เปิดดูลิ้งค์เว็บตัวเองดันเจอเว็บโป๊โผล่มา หาในฟุตเตอร์ไม่มี
ดันเจอ encode เอาไว้ ในฟังก์ชั่นซะงั้น

[fOrSeo]

ทางที่ดีก็หาธีมที่ไม่มีการเข้ารหัสอะไรไว้อ่ะครับดีที่สุด หรือไม่ควรก็ decodeดูก่อนว่าเค้าวางยาอะไรไว้ 

[Shin69]

บางทีมันก็ยัดไว้ในฟังชั่นตรวจดูดีๆครับ นี่จากธีมที่โหลดมาเอง
เปิดดูลิ้งค์เว็บตัวเองดันเจอเว็บโป๊โผล่มา หาในฟุตเตอร์ไม่มี
ดันเจอ encode เอาไว้ ในฟังก์ชั่นซะงั้น

โห เจอเว็บโป๊เลย เป็นผมอาจจะแอบนั่งดูก่อนลบ  

[Shin69]

ทางที่ดีก็หาธีมที่ไม่มีการเข้ารหัสอะไรไว้อ่ะครับดีที่สุด หรือไม่ควรก็ decodeดูก่อนว่าเค้าวางยาอะไรไว้ 

ไม่กล้าโหลดแล้วคร๊าบ เข็ดเลย 

[epooba]

กลัวเลย  อ่ะ

[noomkung]

ช่วงนี้อะไรๆ ก็ต้องระวังมากขึ้น ขอบคุณคำแนะนำดีๆ ด้วยครับ 

[nongmai]

อาการนี้เคยเจอเหมือนกันครับ...เพราะเว็บจีจี เตือนว่าเว็บนี้อาจเป็นอันตรายต่อคอมพิวเตอร์

เจอฝังโค้ดที่ footer เหมือนกัน  

[g-blue]

กำลังนั่งโหลดธีมฟรีอยู่เลยค่ะ เบรคแทบไม่ทัน  
น่ากลัวอ่ะ ขอบคุณนะคะ

[Shin69]

ครับ ต้องระวังกันมากขึ้น ผมโหลดมาผมจะไม่เอาลิงค์ของผู้จัดทำธีม ออกนะครับ ผมถือว่า เอาของเขามาใช้ก็ช่วยโฆษณาให้เขาหน่อย แต่เจอฝังแบบนี้น่ากลัวอ่ะครับ คงต้องงดเลย แต่ส่วนธีม ฟรี พี่ๆ ที่แนะนำเค้าบอกว่า โหลดจาก wordpress เองไว้ใจได้อยู่ครับ เพราะก่อนที่จะเอาไปขึ้น wordpress ได้ก็ต้องผ่านการตรวจสอบเหมือนกัน 

ยังไงก็ระวังๆ กันบ้างก็ดีครับ 

[minnienui]

  น่ากลัวจัง ต้องระวังมากขึ้น

[technomatch5]

เอ่อ...คือ เราจะดูยังไงครับ ไอ้ topๆ เนี่ย.. ไม่เป็นอะไรเลย...

[kurulinn]

 

โหลดฟรีมาเหมือนกันค่ะ ดูยังไงเนี่ย เวบขายของด้วย เง้ออออ เขียนเองก็ไม่เป็น
น่ากลัวมากเลยยยย

[Shin69]

top เป็นคำสั่งใน linux นะครับ ผมใช้ VPS เลยต้องใช้พวกนี้ ยังมือใหม่อยู่ไม่ค่อยรู้เรื่องหรอกครับ แต่ส่วนท่านที่ใช้ share server มันคงเจาะเข้ามายากหน่อย เพราะส่วนใหญ่ share server คงมีเจ้าหน้าที่คอยดูแล แต่ VPS มันต้องดูแลเองน่ะครับ 

ถ้ามีท่านผู้รู้เรื่องเกี่ยวกับ server รบกวนให้คำแนะนำท่านอื่นๆ ด้วยนะครับ ผมไม่รู้จริงๆ ถ้ารู้จะรีบบอกเลยครับ

[mammoth!]

ขอบคุณเจ้าของกระทู้ ผมเพิ่งโดนมา เข้า directadmin ไม่ได้เลย โดนทั้งยวง ต้องแก้ถึง pass root เลย อันตรายมาก

[Shin69]

ขอบคุณเจ้าของกระทู้ ผมเพิ่งโดนมา เข้า directadmin ไม่ได้เลย โดนทั้งยวง ต้องแก้ถึง pass root เลย อันตรายมาก

เหวอ โดนหนักกว่าผมอีก พวกนี้มันจะ Hack อะไรกันนักกันหนา สร้างความเดือดร้อนจริงๆ เลย 

[technomatch5]

top เป็นคำสั่งใน linux นะครับ ผมใช้ VPS เลยต้องใช้พวกนี้ ยังมือใหม่อยู่ไม่ค่อยรู้เรื่องหรอกครับ แต่ส่วนท่านที่ใช้ share server มันคงเจาะเข้ามายากหน่อย เพราะส่วนใหญ่ share server คงมีเจ้าหน้าที่คอยดูแล แต่ VPS มันต้องดูแลเองน่ะครับ  

ถ้ามีท่านผู้รู้เรื่องเกี่ยวกับ server รบกวนให้คำแนะนำท่านอื่นๆ ด้วยนะครับ ผมไม่รู้จริงๆ ถ้ารู้จะรีบบอกเลยครับ

คือ เราจะดูยังไงครับ ผมก็ใช้ VPS เหมือนกัน เวลาเค้าคุยกันเรื่องรันคำสั่งไรนี่...ผมงงเต๊กเลยครับ ไม่รู้จะไปยังไง พิมพ์คำสั่งที่ตรงรูไหน มือใหม่ยิ่งกว่า5555 จะถามผู้ให้บริการก็เกรงใจเพราะน่าจะเป็นเรื่องง่ายๆ หะๆๆ