ThaiSEOBoard.com

เข้าเว็บมาตกใจแทบแย่ครับ ไปไงมาไงก็ไม่ทราบได้
เข้า ftp ไปดูก็ปรากฏว่ามีไฟล์ index.html เพิ่มเข้ามา 1 ไฟล์ครับ
ก็จัดการลบออก เว็บก็กลับมาใช้งานได้ตามปรกติ

แต่กลัวว่าสักวัน หรือ ไม่นานมันจะกลับมาอีก ก็เลยอยากขอคำแนะนำท่านที่เคยเจอ
หรือมีแนวทางป้องกัน แก้ไข ช่วยชี้แนะหน่อยครับ

ขอบคุณล่วงหน้าครับ... :wanwan017: :wanwan017: :wanwan017:

(http://image.free.in.th/v/2013/tj/131223094231.JPG) (http://pic.free.in.th/id/40214585b479988c337a6d8c5c17cc7b)

น่ากลัวจุง  :wanwan035:

สงสัยท่าน 777 ไว้ทุก Folder หรือเปล่าครับ  :wanwan016:

ลองดู file date modified ครับว่าล่าสุดไฟล์ที่มี date modified ต่างจากไฟล์อื่นที่ท่านไม่ได้ไปแตะต้องมีไฟล์อะไรบ้าง เพื่อวิเคระห์ว่า hacker เข้ามาได้อย่างไร และค้นหา backdoor ที่อาจวางไว้ hack ซ้ำครับ

การป้องกัน
 - ตรวจสอบ directory และ file permission (directory ไม่ควรเกิน 755 file ไม่ควรเกิน 644)
 - หากใช้ script ที่ไม่ได้เขียนเองหรือ cms ให้ลองตรวจสอบ version update ดูครับถ้ามีให้รีบอัพเดท
 - เปลี่ยนรหัสผ่านทั้งหมดที่เกี่ยวข้องกับเว็บไซต์นี้
 - หากใช้ cms พวก plugin ส่วนเสริม และ template ที่ไม่ใช้ให้ลบออกทั้งหมด
 - หากใช้ cms พวก file version.txt หรือ readme.txt ในเว็บไซต์ให้ลบออกให้หมดไม่ให้ hacker ค้นหาได้ว่าเป็นเราใช้ cms version ที่มีช่องโหว่

 :wanwan017:

ขอบคุณทุก ๆ ท่านครับ สำหรับข้อแนะนำ
 :wanwan017: :wanwan017: :wanwan017:

ลืมเอาโค้ดจากไฟล์แปะให้ดูครับ

****************************
<title>HACKED BY SHAHIN.SH</Title>
<style type="text/css">
.shahin {color: #3366ff}
</style>
<script type="text/javascript">
function MM_swapImgRestore() { //v3.0
  var i,x,a=document.MM_sr; for(i=0;a&&i<a.length&&(x=a)&&x.oSrc;i  ) x.src=x.oSrc;
}
function MM_preloadImages() { //v3.0
  var d=document; if(d.images){ if(!d.MM_p) d.MM_p=new Array();
    var i,j=d.MM_p.length,a=MM_preloadImages.arguments; for(i=0; i<a.length; i  )
    if (a.indexOf("#")!=0){ d.MM_p[j]=new Image; d.MM_p[j  ].src=a;}}
}

function MM_findObj(n, d) { //v4.01
  var p,i,x;  if(!d) d=document; if((p=n.indexOf("?"))>0&&parent.frames.length) {
    d=parent.frames[n.substring(p 1)].document; n=n.substring(0,p);}
  if(!(x=d[n])&&d.all) x=d.all[n]; for (i=0;!x&&i<d.forms.length;i  ) x=d.forms[n];
  for(i=0;!x&&d.layers&&i<d.layers.length;i  ) x=MM_findObj(n,d.layers.document);
  if(!x && d.getElementById) x=d.getElementById(n); return x;
}

function MM_swapImage() { //v3.0
  var i,j=0,x,a=MM_swapImage.arguments; document.MM_sr=new Array; for(i=0;i<(a.length-2);i =3)
   if ((x=MM_findObj(a))!=null){document.MM_sr[j  ]=x; if(!x.oSrc) x.oSrc=x.src; x.src=a[i 2];}
}
</script>
<body onload="MM_preloadImages('http://pcpersia.org/up/uploads/ea34a3660b9610f02ee0fdf599d3b569.jpg')"><center>
<h1><br />IRANIAN HACKERS WERE HERE <br /><br />HACKED BY SHAHIN.SH <br /><br />PCPERSIA SECURITY TEAM <br /><br />WWW.PCPERSIA.ORG (http://WWW.PCPERSIA.ORG) <br /><br /><span style="color: #3366ff;">https://www.facebook.com/pcpersia.shahin.sh</span></h1>
<p><span class="shahin"><a href="http://pcpersia.org" onmouseout="MM_swapImgRestore()" onmouseover="MM_swapImage('Image1','','http://pcpersia.org/up/uploads/ea34a3660b9610f02ee0fdf599d3b569.jpg',1)"><img src="http://pcpersia.org/up/uploads/0756fa57252c819c8fe2c9843cb4d208.jpg" alt="THE FLAG IS UP IRAN" name="Image1" width="720" height="540" border="0" id="Image1" /></a></span></p>
</center>

น่ากลัวจุงเบย  :'(

ได้ความรู้เพิ่มอีกแล้ว  :wanwan003:

เครื่องคุณติดมัลแวร์ครับ มันจะขโมย user  password ของโปรแกรม ftp ที่คุณใช้ส่งไปให้ hacker

หาโปรแกรมมาลยมัลแวร์ออกครับ ถ้าจะเอาให้แน่ใจก็ลงวินโด้ใหม่แล้วลงโปรแกรม AVG internet security มาติดตั้งครับ

deface index แบบนี้คงเจาะ root ได้แล้วครับ ถ้าเป็น share โฮสสอบถามผู้ดูแลว่าโดนเจาะรึป่าว ถ้าวางเครื่องเอง ต้องมาไล่ดูว่ามีช่องโหว่ต้องไหน ให้รีบอัพเดตครับ  :wanwan009:

อาการแบบนี้ผมก็เคยโดน อาการคือโดนฝังสคริปไว้ที่โฮสที่เช่า

วิธีแก้ คือ เปลี่ยนรหัสผ่าน ftp direct admin

ต้องหาระบบป้องกันดีๆไว้นะครับ  :wanwan016:

น่ากลัวมากครับ  :wanwan009:

ขอบคุณด้วยครับ :wanwan004:

 ผมเปิด 777 บางโฟลเดอร์ ชักระแวงซะแล้วสิ  :wanwan004:

ผมโดนมาสองสามรอบแล้วครับ

หนักทีสุดคือโฮสต์ล่มทั้งหมด แล้วข้อมูลที่เก็บมากว่า 3 ปีหายไปในสายลม


คิดๆแล้วยังเสียดายอยู่เลย

ผมว่าโดนมัลแวร์แอบส่งรหัสไปให้ hacker
Host ที่บริษัทผมก็เป็นขนาดใช้ FTP ของ cpanel ยังโดนเลย
ตอนนี้บริษัทซื้อ anti virus => Bitdefender Total Security   
มาใช้ ณ ตอนนี้ผ่านมาหลายเดือนแล้วยังไม่โดนแฮกเลยครับ  :wanwan016: