ตอนนี้ดูแลเว็บให้บริษัทนึงอยู่แล้ว เว็บโดนแฮ้กเมื่อสัปดาห์ก่อนครับ ก็ทำการกู้ฐานข้อมูลและลบไฟล์ แปลกปลอมออก (มี shell) เปลี่ยนรหัสผ่านทั้งหมด ตรวจสอบไฟล์ .htaccess มีสคริปแปลกๆ แปลไม่ออกก็เลยลบทิ้งไป
ตอนนี้ก็เลยงงๆว่ามันเข้ามาจากทางไหน เพราะจนถึงตอนนี้มันยังแฮกได้อยู่แบบชิวๆ โดยทิ้ง textnote ไว้ให้ใน server ว่า hacked
ตัวเว็บทำการ Rewrite Url
หน้าสำหรับส่งเมล์ไม่มี Upload file
แต่หน้าสมั้ครงานมีช่องให้ อัพรูป ผู้สมั้คร และ ไฟล์ resume โดยใช้ javascript เช็ค นามสกุล อนุญาติให้อัพแค่ jpg / docx / pdf
ตอนแรกสงสัยว่าโดย sql injection แต่ไม่ใช่เพราะมันยัด shell เข้ามา
ก็เลยเล็งไปที่ช่องสำหรับการอัพโหลดภาพต่างๆจากหน้าสมัครงาน
(ก่อนหน้านั้นมีเมล์ที่ใช้อักขระพิเศษส่งมาจากหน้า contact ซึ่งไม่มีช่อง upload ก็เฉยๆ เพราะมันส่งเมล์เลย ไม่ได้มีการบันทึกข้อมูลหรืออัพโหลดอะไรไว้บน server )
ตอนนี้มันยัง แฮกได้อยู่ เลยนั่งดู log ไฟล์ที่มันอัพโหลด (มันก็ลบ log ออกไป) ไฟล์ท่มันอัพโหลดใช้ชื่อ Account ในการที่เป็น Owner ในการอัพเลยครับ
แต่ลองดู log ผมส่งสัย log นึงตามด้านล่างว่ามันคืออะไรครับ
184.22.9.1 - - [28/Jan/2016:09:18:03 +0700] "GET /house_img/thum-MTQ0NDcxOTMxMw==1.jpg HTTP/1.0" 200 271 "http://ชื่อเว็บเรา.co.th/\xe0\xb8\xa3\xe0\xb8\xb1\xe0\xb8\x9a\xe0\xb8\xaa\xe0\xb8\xa3\xe0\xb9\x89\xe0\xb8\xb2\xe0\xb8\x87\xe0\xb8\x9a\xe0\xb9\x89\xe0\xb8\xb2\xe0\xb8\x99/36/\xe0\xb9\x81\xe0\xb8\x9a\xe0\xb8\x9a\xe0\xb8\x9a\xe0\xb9\x89\xe0\xb8\xb2\xe0\xb8\x99\xe0\xb8\x95\xe0\xb8\xb2\xe0\xb8\xa1\xe0\xb8\x87\xe0\xb8\x9a\xe0\xb8\x9b\xe0\xb8\xa3\xe0\xb8\xb0\xe0\xb8\xa1\xe0\xb8\xb2\xe0\xb8\x93/1.html" "Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko"
ลองเข้าตามลิงคืนี้ก็ขึ้น 404 ครับ (ตามที่เขียน .htaccess ไว้)
อยากถามเพื่อขอความรู้เพิ่มเติมครับ