|
หัวข้อ: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: intel432 ที่ 09 มิถุนายน 2010, 19:27:03 ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ
เรื่องมีอยู่ว่าเว็บผมโดนใครก็ไม่รู้เข้ามาแฮค ID ADMIN ของเว็บบอร์ด SMF มา 3 วันแล้ว โดยที่รหัสผ่านของ ID ADMIN นั้น มันตรงกับรหัสผ่านของอีเมล์ เสร็จแล้วทีนี้มันก็เลยเนียนเข้ามาเช็คอีเมล์ผม เพื่อหวังผลประโยชน์นิดหน่อย ผมสังเกตความผิดปกติมาได้ประมาณเกือบ 3 สัปดาห์แล้ว อีเมล์บางฉบับโดนลบ แต่แรกๆ ก็ไม่ได้สนใจอะไร จนกระทั่งเมื่อ 3 วันก่อน เค้าตอบอีเมล์ของผมแถมลบอีเมล์ทิ้งอีก ผมก็รู้ตัวจนได้เช็ค IP ใน log ของ gmail ก็ปรากฏว่าช่วงเวลาดังกล่าว มีคนเข้ามาจริง เป็นจากที่อื่น ก็เลยไล่เช็คในบอร์ด SMF ปรากฏว่าเค้าเข้า ID ADMIN ของบอร์ด SMF ผมได้ แต่ก็ไม่ได้มีเจตนาอะไร นอกจากปรับ Class Member ให้เป็นแบบอื่น เช่นให้เป็น VIP Member วันแรกผมก็ได้ทำการเปลี่ยนพาส ADMIN + EMAIL + ชื่อ login ทันที ไม่รู้เหมือนกันว่าเค้าแฮคเข้ามาได้ยังไง พอเปลี่ยนได้สักพัก ID ADMIN ผมก็โดนเปลี่ยนอีเมล์กับรหัสผ่านอีก แถมสามารถรู้ชื่อ login ใหม่ของผมด้วย ซึ่งแน่นอนว่าเราเป็นเจ้าของเว็บตัวจริง สามารถเปลี่ยนกลับมาได้อยู่แล้ว ก็ทำการแก้ไขกลับมาให้เป็นปกติ พร้อมทั้งแบน IP นั้นไป จากนั้นก็ตรวจไฟล์ใน FTP ว่ามันมีใครแอบยัดอะไรมาหรือเปล่าก็ไม่เจออะไร มันก็เงียบไป วันต่อมาคราวนี้มันสร้าง ID ในเว็บบอร์ด SMF ที่โคลนตัว ID ADMIN มาเลยครับ ทั้งจำนวนกระทู้ ลายเซ็น คะแนนความดี รูปภาพ AVATAR สิทธิ์ต่างๆ บนเว็บ ผมก็ไม่รู้ว่าเค้าทำได้ยังไง พอลบไอดีแบนไปอีก ก็เข้าไปใน FTP เพื่อตรวจสอบดู ปรากฏว่าเจอไฟล์ ไฟล์นึง น่าจะเป็นไฟล์ที่เค้ายัดเข้ามา (แต่ตรงนี้ก็ไม่รู้อีกว่ายัดเข้ามาได้ยังไง เพราะไอดีกับพาสของ FTP มันไม่เหมือนกับ ADMIN) ผมก็จัดการลบไฟล์นั้นทิ้งไป ดูละเอียดแล้วไฟล์อื่นไม่น่าจะมีปัญหา แล้วก็เปลี่ยนพาสใหม่หมดเลย ทั้ง DA / SQL / FTP / ADMIN แบนไอพีมันด้วย วันที่ 2 นี้ ไอพีที่เค้าใช้เข้ามาไม่เหมือนวันแรกครับ วันแรกมาจากเชียงใหม่ วันที่สอง มาจาก กรุงเทพ จนกระทั่งวันที่ 3 ผมก็คิดว่าคงเข้ามาไม่ได้แล้วล่ะ เปลี่ยนทุกอย่างหมดแล้ว แต่มันก็เข้ามาอีก แต่ไม่ได้เข้ามายุ่งใน EMAIL เราแล้ว คาดว่าจะไม่รู้พาสจริง แต่ยังสามารถเข้ามาสร้างไอดีที่โคลน ID ADMIN ได้อยู่ ซึ่งตรวจสอบดูก็พบว่าเป็น IP ที่มาจาก ม.ขอนแก่น แล้วมันก็ทำการทดสอบ ลองสร้างไอดี ปรับ CLASS เล่นดู สุดท้ายผมก็ทำอะไรไม่ได้ ได้แต่แบน IP แล้วเค้าก็หายไปอีกครั้งหนึ่ง ซึ่งอาจจะกลับมาอีกในเร็วๆ นี้ 1. ผมสงสัยว่าเครื่องคอมผมโดนไวรัสหรือเปล่า 2. SMF เวอร์ชั่นล่าสุดมีรูรั่ว 3. โฮสต์ที่ใช้เป็นเซิร์ฟเวอร์ของเราไปวางเองครับ ไอพีต้องสงสัย ล่าสุด 202.12.97.125 202.12.97.111 อีเมล์ต้องสงสัย [email protected] Facebook ของผู้ต้องสงสัย hxxp://www.facebook.com/#!/profile.php?id=100001083190391&v=wall&ref=search จากเหตุการณ์ดังกล่าว เพื่อนๆ มีคำแนะนำในการจัดการเรื่องนี้อย่างไรกันบ้างครับ รบกวนช่วยหน่อยนะครับ เดือดร้อนจริงๆ ไม่เคยเจอแบบนี้มาก่อน หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: intel432 ที่ 09 มิถุนายน 2010, 19:59:39 พอจะมีใครทราบปัญหา บ้างหว่า :P
หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: taki ที่ 09 มิถุนายน 2010, 20:07:00 ไม่เคยเจอแบบนี้ครับ น่ากลัวจัง เคยเจอแต่วาง tag script iframe
หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: monthonsite ที่ 09 มิถุนายน 2010, 20:22:37 อ่านดูยังกะเจมส์บอนด์ 555+++ กัดไม่ปล่อยจริงๆ เบื่อพวกแฮคเกอร์เนอะ วันๆไม่มีอะไรทำนอกจากแฮกเว็บชาวบ้าน
หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: Tanut007 ที่ 09 มิถุนายน 2010, 20:24:51 น่ากลัวจัง คนไทยหรือเปล่าครับ
หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: intel432 ที่ 09 มิถุนายน 2010, 20:44:10 ไม่เคยเจอแบบนี้ครับ น่ากลัวจัง เคยเจอแต่วาง tag script iframe tag script iframe เคยเจอมาแล้วครับ โดนพี่ Google แบนไปหลายวันเลย แต่ปัญหานี้ผมเครียดมาก เพราะถ้ามีสิทธิเข้า ADMIN ได้ จะลบข้อมูลทั้งบอร์ดก็ยังได้เลย ปัญหาคือผมไม่รู้ว่าเค้าทำได้ยังไง เลยไม่รู้ว่าจะกันยังไง ถามผู้เชี่ยวชาญมาแล้วหลายท่าน ก็ไม่เคยมีใครเจอแบบนี้ ไม่รู้ว่าพลาดอะไรง่ายๆ หรือเปล่า หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: paparazo ที่ 09 มิถุนายน 2010, 20:56:06 :wanwan035: อยากรู้ว่าใช้ host ไหนครับ
หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: pizad_sura ที่ 09 มิถุนายน 2010, 20:59:07 เอาอีกแล้ว พวกนิสัยเสีย
หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: montherstss ที่ 09 มิถุนายน 2010, 21:01:55 มีมือสีดำๆ แวะวนอยู่แถวๆ นี้ด้วยมั้ย รายงานตัวด่วน
หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: patongko01 ที่ 09 มิถุนายน 2010, 21:05:25 จับไปห้องเกย์ ใน cafe ซะ ถ้าจับได้
เป็นกำลังใจให้ครับ :wanwan017: หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: หนุ่มบ้านโคก ที่ 09 มิถุนายน 2010, 21:27:03 คนเก่งน่าจะเป็นคนดีด้วยน่ะครับไม่ควรทำแบบนี้ :'( :'( :'( :'( :'( :'(
นึกถึงใจเขาใจเราบ้าง เห็นใจครับ หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: berkbaan ที่ 09 มิถุนายน 2010, 21:41:48 น่าจะรั่วที่ phpmyadmin ครับ
เครื่องคอมติด key logger รึป่าวเช็คเครื่องตัวเองดูก่อนครับ คอมเราเองอาจจะเป็นต้นตอของปัญหาที่มองข้ามไม่ได้เลย หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: Fallen ที่ 09 มิถุนายน 2010, 22:11:35 อาจจะมีการใส่สคริปต์เข้าไปในไฟล์บางไฟล์ของเราในเว็บก็ได้ครับ
หรือ ในคอมของเรามี trojan ส่งข้อมูลเวลาเราพิมพ์ หรือ มีพวก spyware หรืออะไรก็เเล้วเเต่ มันอาจจะไปหาkey ใน cookie เครื่องเราก็ได้ครับ เวลาเราเข้า browser เเล้วให้มันจำค่า ตรงนี้ก็ิอันตรายครับ ไม่ทราบใช้ anti virus อะไรครับ แล้ว firewall ของค่ายไหนคับ หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: intel432 ที่ 09 มิถุนายน 2010, 22:14:51 anti virus ของ NOD32 ครับ
เดี๋ยววันนี้จะใช้คอมเครื่องอื่นลองเปลี่ยน USERNAME + PASS อีกทีครับ ถ้าเครื่องผมโดนฝังโทรจัน มันน่าจะแฮคเข้ามาในอีเมล์ได้ ต้องเป็นที่อะไรสักอย่าง ขอบคุณทุกกำลังใจด้วยครับ :P หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: Fallen ที่ 09 มิถุนายน 2010, 22:27:45 ลอง bitdefender สิครัีบ
และ ตามด้วย firewall ของ comodo4 สุดยอดมาก (บอกเราทุกอย่างเวลาเน็ตจะมีการส่งข้อมูลอะไรจากเครื่องเรา เครื่องผมก่อนหน้านี้ มีโทรจัน ตอนนั้นไมไ่ด้สนใจ สุดท้ายหลังจากถูกแฮก เว็บ ก็เพิ่งจะสังเกตุ ว่าไอ้ตัวที่เรากดยอมไห้ส่งคำร้่องจากเครื่องเราไป เวลามันถามนี่ มันเป็นโทรจันกะลังส่งข้อมูลไป :-X หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: berkbaan ที่ 09 มิถุนายน 2010, 23:49:41 ลบ Windows ทิ้ง ลง Linux เลย ไม่ก็แปลงเป็น Mac OS สะเลย
:wanwan019: หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: Gobza ที่ 10 มิถุนายน 2010, 00:29:02 น่ากลัวจัง เครื่องผมก็มีโปรแกรมที่ใช้ keygen, crack เยอะเหมือนกัน
หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: ET ที่ 10 มิถุนายน 2010, 01:41:13 ผมก็ โดนแบบนี้เมื่อ ไม่กี่วันก่อนครับ
โดนแบบนี้เป๊ะๆเลย เปลี่ยน pass ของ admin ครับ เข้าใจว่าเป็น ต่างชาติ เพราะตอนโดน ผมโดน สแปม มา เป็น ร้อยโพส เป็น พันลิ้ง ผมไล่ลบโพสอยู่ดีๆ admin ผมก็โดนถีบออกมา แล้วพี่แกเล่นเปลี่ยน pass กับ email admin ผมเลยลบ บอร์ดทิ้งไปเลย พึ่งลง smf ได้ อาทิตย์เดียว มีแค่ 10 กว่าโพสเอง pr ก็ 0 พี่แกยังมาแฮกอีก ........ :wanwan014: หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: xfiles ที่ 10 มิถุนายน 2010, 02:50:25 ผมก็ โดนแบบนี้เมื่อ ไม่กี่วันก่อนครับ โดนแบบนี้เป๊ะๆเลย เปลี่ยน pass ของ admin ครับ เข้าใจว่าเป็น ต่างชาติ เพราะตอนโดน ผมโดน สแปม มา เป็น ร้อยโพส เป็น พันลิ้ง ผมไล่ลบโพสอยู่ดีๆ admin ผมก็โดนถีบออกมา แล้วพี่แกเล่นเปลี่ยน pass กับ email admin ผมเลยลบ บอร์ดทิ้งไปเลย พึ่งลง smf ได้ อาทิตย์เดียว มีแค่ 10 กว่าโพสเอง pr ก็ 0 พี่แกยังมาแฮกอีก ........ :wanwan014: :-X :-X มาถึงท่อนท้ายๆ ฮาเลยเรา :wanwan001: หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: intel432 ที่ 10 มิถุนายน 2010, 10:43:42 แต่ที่ผมตกใจคือ เค้ามาจากหลากหลายที่ จะว่าใช้ Proxy ก็ได้ ยังงงๆ อยู่วามันหลุดมาจากตรงไหน
ตอนนี้ยังแก้ไขไม่ได้ครับ รอดูสถานการณ์อย่างเดียว หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: intel432 ที่ 11 มิถุนายน 2010, 16:21:19 ล่าสุด เปลี่ยนทุกอย่างด้วยคอมอื่นแล้วก็ยังสามารถเข้ามาแก้ไขข้อมูลของสมาชิกในเว็บบอร์ดได้อยู่
โดยที่ไม่ต้องล็อคอินเข้าไอดี ADMIN เลย ซึ่งแปลกมากเลยครับไม่เคยเจอแบบนี้มาก่อน เอายังไงก็ไม่ออกสักทีจะกัยังไงดีครับ พอจะมีใครแนะนำได้บ้าง ขอบคุณมากครับ หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: intel432 ที่ 11 มิถุนายน 2010, 16:23:30 เพิ่มเติมอีกนิดนึงครับ
เค้าสามารถรู้รหัสของ ID ในเว็บบอร์ด SMF ด้วย ทั้งๆ ที่ขนาดเราดูใน phpmyadmin มันยังเป็นการเข้ารหัสด้วย MD5 เลย ซึ่งผมลองแกะดูแล้วมันก็แกะไม่ออก ที่ผมทราบเพราะว่าตอนแรกเค้ารู้พาสไอดีแอดมิน แล้วเอามาล็อคเข้าเมล์ได้ แต่ตอนนี้ไม่ได้แล้วนะ หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: EThaiZone ที่ 11 มิถุนายน 2010, 22:13:03 จากที่อ่านมา ผมว่ามันให้อารมณ์เหมือนกับว่าท่านโดนอะไรที่ทำงานคล้ายกับ sniffer
ซึ่งมองแล้วได้สองกรณี อย่างแรกคือมีโค้ดฝังอยู่ที่ตัวบอร์ด smf แต่ท่านหาไม่พบ (ของเหลือจากการแฮกคราวก่อน) แนะนำลอง upload ทั้งหมดขึ้นไปใหม่ทับ (สำรองของเดิมไว้ก่อนด้วย) แล้วถ้าอัพโหลดบอร์ดทับไปแล้ว บอร์ดไม่มีปัญหาก็ลองใช้งานต่อไปก่อน แล้วถ้าไม่ีมีการแฮกอะไรมาอีก แสดงว่าอาจเป็นอย่างที่ผมว่า คือเขียน php ดักค่า _REQUEST แล้วส่งกลับไปหาเขา แต่กรณีแรกนี้ดูยากตรงแล้วการแฮกครั้งแรกเขาทำได้ยังไง? เลยนึกได้ถึงอีกกรณี อีกกรณีคือที่ๆ ท่านไปวาง colo มีคนร่วมบ้าน(วงแลนใน colo)ทำอะไรพิเรนๆ หรือเปล่า เพราะปัจจุบัน switch ไม่สามารถป้องกัน sniffer ได้นะ เพียงแค่ปลอม mac address ก็สามารถหลอก switch ได้แล้ว คิดว่าอันนี้เป็นไปได้สูง โดยเฉพาะเมื่อบุคคลต้องสงสัยเป็นคนไทยด้วย :P อันนี้เท่าที่คาดคะเนเอานะครับ ส่วนเรื่องมี sniffer ในเครื่องท่านหรือ keylogger trojan คิดว่าน่าตัดไปได้เลย เพราะไม่งั้นอีเมล์ท่านก็คงโดนอีก แม้รหัสผ่านจะไม่เหมือนกัน :P หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: soonbiz ที่ 11 มิถุนายน 2010, 22:44:00 ตั้งสติดีมากคับ ถ้าเป็นเราอึ่ง อยู่พักนึง
หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: teacup ที่ 11 มิถุนายน 2010, 22:57:11 ทำกันได้ จะทำไปเพื่ออะไรเหรอ
หัวข้อ: Re: ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ เริ่มหัวข้อโดย: intel432 ที่ 12 มิถุนายน 2010, 00:00:16 มาอัพเดตเพื่อหาเพื่อนช่วยต่อครับ
ปัญหาคือคนแฮคสามารถยัดไฟล์ PHP ตัวนึง ที่มันเป็น FTP Manager เข้ามาในเซิร์ฟผมได้ครับ ซึ่งจากการสังเกตเค้าก็อัพเข้ามาครั้งละไฟล์ พอเปิด URL นั้นมันจะเป็นเหมือนเราใช้โปรแกรม FTP บน IE เลยครับ เพื่อที่จะเข้าไปดูไฟล์ Config ต่างๆ อย่างเช่น SQL เพื่อเข้าไปใน SQL แก้ไขข้อมูล หรือ ก๊อปปี้ข้อมูลได้ ดังนั้น ผมจึงอยากจะถามว่า รอยรั่วที่เราโดนยัดไฟล์เข้ามาได้นั้น มันน่าจะเป็นสาเหตุมาจากตรงไหนบ้างครับ ขอบคุณมากครับ |