ท่านใดรู้ โค้ดข้างล่างบ้างครับ ช่วยอธิบายให้หน่อย ผมไปไล่ดูไฟล์ มีไฟล์ที่ถูกอัพโหลด วันที่ 31/07/2557 ซึ้งผมลบ ออกตั้งแต่เมื่อวานแล้ว มีประมาณ 3-4 ไฟล์ ไม่แน่ใจ แต่โค้ดข้างในและชื่อไฟล์เหมือนกัน ผมบันทึกไว้ในเวิร์ดแล้ว สันนิฐานว่า เขามาโพส ที่เว็บผม แล้ว ตรงที่เป็นเลือกรูปประจำตัว เขาเลือกใส่ไฟล์นี้ลงไป อันนี้ผมคาดว่านะ ไม่รู้ว่าเป็นยังไง
ผมยังรอ เจ้าของเว็บออกมาอธิบายอย่นะ ไม่ออกมา ละ ลองดูอันนี้เป็นชื่อไฟล์ Thumbnails_DLCHEIWNYPVMBKA_r57.php
อันนี้โค้ด
<?php
$folderArr = glob("/../*.*");
foreach ($folderArr as $i=>$filename)
{
if($i == 500)
{
echo $filename."\n";
exit();
}
}
// $strFileName = "../navicat.php";
// $objFopen = fopen($strFileName, 'r');
// if ($objFopen) {
// while (!feof($objFopen)) {
// $file = fgets($objFopen, 4096);
// echo $file."<br>";
// }
// fclose($objFopen);
// }
?>
เป็น backdoor หรือ โทรจัน ประเภท php shell นะครับ สามารถทำได้ทุกอย่างบนเซอร์เวอร์เลยครับ นี่ยังดีที่เค้าไม่ลบฐานข้อมูล ลบเว็บออกหมด แต่ทำแบบนั้นไปเค้าก็ไม่ได้อะไรอ่ะนะ
ผมว่าทางที่ดีเช็คว่ามีไฟล์อื่นๆที่เป็น php แปลกๆอีกหรือเปล่า อาจหลงเหลืออยู่นะครับ
เวลารับไฟล์อัพโหลด เช็คไฟล์ที่อนุญาติด้วยครับว่าให้เป็น type ไฟล์ชนิดไหนบ้าง ไม่งั้นเจอแบบนี้ถ้าเป็น hacker เมืองนอกนี่เปลี่ยน homepage ไปแล้ว
ส่วนของท่าน Xscript นั้นเป็น xss cross site script ช่องโหว่พวกนี้ ไม่น่าปล่อยให้มีนะครับ เวลารับค่าใช้ xss filter ด้วยครับ
แต่คนทำนี่ก็นะ ใช้ความรู้ในทางที่ผิดจริงๆ สังเกตุดูเค้ามีความรู้ด้านนี้มากพอควรนะเนี่ย
โค๊ดนี้ ไม่ใช่โค๊ดของ shell r57 ครับ
อื่นๆ
