แจ้งเตือนเรื่องการถูก hack email, user รวมถึงแสปมข้อความอันตรายภายในบอร์ดกับหลายคนไม่นานมานี้

เมื่อประมาณต้นเดือนที่ผ่านมาผมได้คุยกับไอ้คนนี้แล้วครับ ผลเป็นดังนี้ (อ่านจากล่างนะครับ)

อ้างถึง

ไม่ได้ฝัง script อะไรไว้ใน code ของเว็บเลยแน่นอนครับ จริงๆครับ เพราะผมเดาว่าคงจะสิทธิ์ไม่ถึงอะครับ (หมายถึง Permissions -Read -Write -Execute อะครับ) ถ้าเป็นเว็บแบบนี้ คงต้องเป็น vps หรือเช่า server แยกอะครับเพราะต่อวันคนคงเข้าเยอะโฮสธรรมดาคงไม่ไหว เพราะงั้นคงจะมีการ setup ดีอยู่ ผมเลยไม่ได้ทำอะไร

--------------------------------------------------------------------------------
From: [email protected]
To: [email protected]
Subject: RE: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 22:06:22 +0700

ไม่ทราบว่าฝังอะไรไปในสคริปอีกไหม ผมบอกตรงๆว่าเสียหาย อย่าทำเลวอีกเลย ก่อนจะสายไป

--------------------------------------------------------------------------------
From: [email protected]
To: [email protected]
Subject: RE: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 19:00:56 +0700

อ้างอิง
1. http://www.xxx.com/index.php?z...ory=8&ext=movie&page=1

2. http://www.xxx.com/index.php?z...&ext=movie&page='1

จาก URL ด้านบนโดยปกติเวาลาเราเข้าเว็บ ( url 1.) ก็จะเห็นว่าปกติดีไม่มีอะไร แต่ถ้าเกิดเราใส่ อักษรพิเศษเข้าไปที่ตัวแปล page จาก

page=1 เป็น page='1 จะเห็นได้ว่าเว็บจะมี error ขึ้นมาดังนี้

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/xxx/xxx.com/ext_mo/body_mo.php on line 20

จาก error เราก็จะทราบได้ว่าเป็น error ที่มาจากไฟล์ body_mo.php ในบรรทัดที่ 20

อันนี้แหละคือบัค sql injection เพราะเวลาจะใช้คือแทนที่จะเป็นการใส่ตัวแปลแค่ =1 แต่เปลี่ยนเป็นการใส่คำสั่ง sql เข้าไปแทน เวลาไปคิวรี่มันก็จะคิวรี่ตามคำสั่งที่เราใส่ไป

ส่วนการป้องกันลอง search ใน google ว่า " ป้องกัน sql injection " อ่านดูครับมีคนเขียนไว้มากมายเป็นภาษาไทย

--------------------------------------------------------------------------------
From: [email protected]
To: [email protected]
Subject: RE: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 18:40:11 +0700

สรุปว่ามันพลาดตรงไหนอ่ะ ผมไม่เก่งเรื่องความปลอดภัย บอกไฟล์ที่ต้องแก้สิ

--------------------------------------------------------------------------------
From: [email protected]
To: [email protected]
Subject: RE: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 18:25:47 +0700

มันเป็นการต่อยอดครับ ถ้าเข้าฐานข้อมูลได้เราก็สามารถจะเข้าไปทางอื่นในเว็บนั้นได้เหมือนกันครับ แต่ถ้าท่านแก้บัคที่เว็บแล้วและเปลี่ยนข้อมูลเว็บเช่น
รหัส sql ที่เป็น config ของเว็บอะครับ หรือรหัสอื่นๆที่น่าจะเกี่ยวข้องกันให้หมด แค่นี้คนอื่นก็เข้าเว็บท่านไม่ได้แล้วครับรวมทั้งผม

--------------------------------------------------------------------------------
From: [email protected]
To: [email protected]
Subject: RE: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 18:22:25 +0700

แล้วคุณเข้าไปแก้ไฟล์ใน SQL หรือเข้าทางระบบแอดมิน เพราะไม่งั้นต่อไปก็ทำอีก เพราะคุณรุ้ช่องโหว่แล้ว

--------------------------------------------------------------------------------
From: [email protected]
To: [email protected]
Subject: RE: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 18:10:25 +0700

ผมก็ไม่ได้ต้องการแบบนั้นนะครับ ส่วนเรื่องเงินก็ยังไม่ได้โอนให้ผมไม่ใช่หรอครับ ผมถึงบอกว่ายังโชคดีนะที่คุณพบความผิดปกติก่อนที่จะโอน
เงินออกมา ส่วนเรื่องช่องโหว่นั้นเว็บคุณช่องโหว่มี SQL Injection กับ File inclusion นี่เป็นช่อโหว่ที่มีความอันตรายสูงมากครับ เดี๋ยวผมจะส่งรายละเอียดไปให้ว่ามีช่องโหว่อยู่ที่ file ไหนของเว็บรอสักครู่ครับผม

--------------------------------------------------------------------------------
From: [email protected]
To: [email protected]
Subject: RE: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 17:58:04 +0700

การดัก แล้วเอาเงินไปแบบนี้โทษหนักด้วย ไม่น่ารอลงอาญา เข้าข่ายความผิดมาตรา 5, 7, 9 และ 14 ตามพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 โดยมีโทษสูงสุด จำคุก 5 ปี ปรับไม่เกิน 500,000 บาท

คุณต้องการแบบนี้ใช่ไหมครับ งั้นเราลองสู้กันซักตั้งแระกันครับ !!

--------------------------------------------------------------------------------
From: [email protected]
To: [email protected]
Subject: RE: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 15:53:27 +0700

โชคยังดีที่คุณยังไม่ได้โอนเงิน aff ให้ผม ผมก็จะไม่ทำเช่นนั้นอีกครับ ต่อไปนี้ผมหยุดแล้วนะครับ เป็นเพราะผมไม่ได้คิดให้ดีถึงผลกระทบที่จะตามมาซะก่อน
ว่าจะทำให้คนอื่นเดือดร้อน

--------------------------------------------------------------------------------
From: [email protected]
To: [email protected]
Subject: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 10:12:39 +0700

ผมทราบว่าท่านกำลังทำไรอยู่นะครับ ถ้าไม่อยากให้ปัญหามันมากกว่านี้ ช่วยติดต่อกลับมาด้วย
อย่าหากินด้วยวิธีการหมาๆ แบบนี้เลย มีไรคุยกันตรงๆ อย่าเหยียบย่ำกันเลย ครับ ขอร้อง

ช่วยติดต่อกลับมาคุยหน่อยแระกัน จะได้จบๆ ไม่เช่นนั้นท่านนั่นแหละครับ ที่จะเสียหายกว่าผมหลายเท่า...

ขอบคุณ