ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

ThaiSEOBoard.comHost and DomainHost & Domain (general)โดน Hack server ครับ Hacked by 13CHMOD37
หน้า: [1]   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: โดน Hack server ครับ Hacked by 13CHMOD37  (อ่าน 1795 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
picharnan
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 90
ออฟไลน์ ออฟไลน์

กระทู้: 1,400



ดูรายละเอียด
« เมื่อ: 11 มกราคม 2017, 13:41:03 »

วันนี้ผมได้ลอง ssh เข้าไปดู server ของผมเองครับ ปรากฏว่ามีไฟล์ x.html ดังนี้ครับ



และถ้าเปิดผ่าน Browser เป็นดังนี้ครับ



ไม่ทราบว่ามีใครเคยเจอไหมครับ ไม่รู้ว่าเค้าเข้ามาทางไหนครับ แล้วผมจะแก้อย่างไรได้บ้างครับ

 Lips Sealed Lips Sealed
บันทึกการเข้า
Nuengsolitary
Newbie
*

พลังน้ำใจ: 2
ออฟไลน์ ออฟไลน์

กระทู้: 42



ดูรายละเอียด
« ตอบ #1 เมื่อ: 11 มกราคม 2017, 13:43:05 »

ลบไฟล์ทิ้งเปลี่ยนรหัสให้ยากกว่าเดิมครับ
บันทึกการเข้า
BrainFreeze
เจ้าพ่อบอร์ดเสียว
*

พลังน้ำใจ: 498
ออฟไลน์ ออฟไลน์

กระทู้: 3,887



ดูรายละเอียด เว็บไซต์
« ตอบ #2 เมื่อ: 11 มกราคม 2017, 13:52:07 »

hacker ประเภทนี้ผมถือว่าเป็น hacker ดีนะครับ
เค้าวางไฟล์ไว้แจ้งเตือน webmaster ครับว่าเว็บมีช่องโหว่ ให้แก้ไข

ส่วนสาเหตุลองไล่ date modify file ดูครับว่าเริ่มที่ตรงไหน
wordpress ที่ใช้งาน version อะไร
ส่วนเสริม plugin theme มีล้าสมัยมั้ย
บันทึกการเข้า

# จัดไป Promo Code ลด 11% : THAISEOBOARD
# hostatom.com |โฮสอะตอม - เว็บโฮสติ้งที่ Webmaster มืออาชีพไว้วางใจ
# Web Hosting | Cloud VPS | Reseller Hosting | Domain Name
# บริการ 24x7 | รับประกันความพอใจยินดีคืนเงิน | Uptime 99.9% | โทร : 0-2107-3466
picharnan
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 90
ออฟไลน์ ออฟไลน์

กระทู้: 1,400



ดูรายละเอียด
« ตอบ #3 เมื่อ: 11 มกราคม 2017, 13:52:31 »

ลบไฟล์ทิ้งเปลี่ยนรหัสให้ยากกว่าเดิมครับ

เบื้องต้นก็น่าจะทำอย่างนั้นแหละครับ แต่ผมเองก็อยากทราบด้วยครับว่าเค้าเข้ามาทางไหนครับ จะได้หาทางป้องกันครับ
บันทึกการเข้า
smapan
Global Moderator
เจ้าพ่อบอร์ดเสียว
*****

พลังน้ำใจ: 643
ออฟไลน์ ออฟไลน์

กระทู้: 8,272



ดูรายละเอียด เว็บไซต์
« ตอบ #4 เมื่อ: 11 มกราคม 2017, 14:15:56 »

hacker ประเภทนี้ผมถือว่าเป็น hacker ดีนะครับ
เค้าวางไฟล์ไว้แจ้งเตือน webmaster ครับว่าเว็บมีช่องโหว่ ให้แก้ไข

ส่วนสาเหตุลองไล่ date modify file ดูครับว่าเริ่มที่ตรงไหน
wordpress ที่ใช้งาน version อะไร
ส่วนเสริม plugin theme มีล้าสมัยมั้ย

จริงตามนี้
ถ้าโดนมือสมัครเล่น .... ทั้งฝัง backdoor + file manager ครบเลย
บันทึกการเข้า

จูมล่าโฮส สยามโฮสเว็บ modty.com
รวมที่พัก เช่ารายวัน ที่พักเช่ารายเดือนมากที่สุดแจ่มจริง
***Tel 083-757-1515 ติดปัญหา Joomla ตรงไหนรับปรึกษาฟรี โทรมาเถอะครับ ถ้าตอบได้ช่วยแน่นอน ไม่มีกั้ก. ***
toekingsize
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 108
ออฟไลน์ ออฟไลน์

กระทู้: 1,247



ดูรายละเอียด
« ตอบ #5 เมื่อ: 11 มกราคม 2017, 14:19:57 »

Wordfence Security น่าจะเอาอยู่
บันทึกการเข้า
irobot999
Newbie
*

พลังน้ำใจ: 9
ออฟไลน์ ออฟไลน์

กระทู้: 72



ดูรายละเอียด เว็บไซต์
« ตอบ #6 เมื่อ: 11 มกราคม 2017, 14:36:56 »

Wordfence Security น่าจะเอาอยู่

ใช่ครับเอาอยู่ แต่ก่อนอื่นต้อง clean file ก่อนที่จะนำ Wordfence Security มาใช้ครับ

ก่อนอื่นอย่าลืม backup ไฟล์กับ database ไว้นะครับ

วิธี clean file ของ wp
1.โหลด wp แบบเดิมๆจากเว็บ https://wordpress.org/download/
2.บน host ลบไฟล์ wp ออกทั้งหมดเลยครับ ยกเว้น wp-config.php , wp-content
3.โยนไฟล์ wp ที่โหลดมาใหม่ไปใส่แทนที่ ยกเว้น wp-config.php , wp-content ไฟล์ที่ชื่อ wp-config-sameple.php ไม่เอานะครับ
4.จัดการติดตั้ง wordfence Security

สาเหตุที่ต้องลบ wp-config-sameple.php จากบน host เพราะมันเป็นการเปิดช่องทางให้ hacker เข้ามาโจมตีได้ครับ

อันนี้เป็นวิธีจัดการคราวๆนะครับ


บันทึกการเข้า

Hosting VPS คุณภาพ
http://hostdiehard.com/
irobot999
Newbie
*

พลังน้ำใจ: 9
ออฟไลน์ ออฟไลน์

กระทู้: 72



ดูรายละเอียด เว็บไซต์
« ตอบ #7 เมื่อ: 11 มกราคม 2017, 14:38:52 »

โดยเฉพราะ theme แจกฟรี หรือที่เป็นพวก theme nulled อันตรายครับ
« แก้ไขครั้งสุดท้าย: 11 มกราคม 2017, 14:39:19 โดย irobot999 » บันทึกการเข้า

Hosting VPS คุณภาพ
http://hostdiehard.com/
picharnan
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 90
ออฟไลน์ ออฟไลน์

กระทู้: 1,400



ดูรายละเอียด
« ตอบ #8 เมื่อ: 11 มกราคม 2017, 16:11:56 »

รายงานความคืบหน้าครับ

ผมได้ทำการดู log ที่ /var/log/auth.log ของวันที่โดนอัพโหลดไฟล์ x.html สรุปว่าไม่มีการ login แปลกปลอมใด ๆ ครับ
ดังนั้นน่าจะพอสรุปได้ว่าคน hack ไม่ได้เข้ามาทาง ssh แน่นอนครับ

ตอนนี้ผมทำการ upgrade wordpress ทั้งหมดที่อยู่บน Server และทำการเปลี่ยนรหัสทั้งหมดแล้วครับ หวังว่าการ upgrade wordpress จะช่วยได้ครับ
ขอบคุณทุก ๆ ความเห็นครับ
บันทึกการเข้า
BrainFreeze
เจ้าพ่อบอร์ดเสียว
*

พลังน้ำใจ: 498
ออฟไลน์ ออฟไลน์

กระทู้: 3,887



ดูรายละเอียด เว็บไซต์
« ตอบ #9 เมื่อ: 11 มกราคม 2017, 17:44:58 »

รายงานความคืบหน้าครับ

ผมได้ทำการดู log ที่ /var/log/auth.log ของวันที่โดนอัพโหลดไฟล์ x.html สรุปว่าไม่มีการ login แปลกปลอมใด ๆ ครับ
ดังนั้นน่าจะพอสรุปได้ว่าคน hack ไม่ได้เข้ามาทาง ssh แน่นอนครับ

ตอนนี้ผมทำการ upgrade wordpress ทั้งหมดที่อยู่บน Server และทำการเปลี่ยนรหัสทั้งหมดแล้วครับ หวังว่าการ upgrade wordpress จะช่วยได้ครับ
ขอบคุณทุก ๆ ความเห็นครับ

เราไม่มีทางมั่นใจได้ครับว่าเค้าไม่วาง backdoor ไว้ การ upgrade ไม่สามารถลบ backdoor ได้ครับ
ผมแนะนำให้ทำตามวิธีของคุณ irobot ครับ ผมใช้วิธีนี้เหมือนกันแก้ปัญหาให้ลูกค้าครับ

 wanwan017


ก่อนอื่นอย่าลืม backup ไฟล์กับ database ไว้นะครับ

วิธี clean file ของ wp
1.โหลด wp แบบเดิมๆจากเว็บ https://wordpress.org/download/
2.บน host ลบไฟล์ wp ออกทั้งหมดเลยครับ ยกเว้น wp-config.php , wp-content
3.โยนไฟล์ wp ที่โหลดมาใหม่ไปใส่แทนที่ ยกเว้น wp-config.php , wp-content ไฟล์ที่ชื่อ wp-config-sameple.php ไม่เอานะครับ
4.จัดการติดตั้ง wordfence Security

สาเหตุที่ต้องลบ wp-config-sameple.php จากบน host เพราะมันเป็นการเปิดช่องทางให้ hacker เข้ามาโจมตีได้ครับ

อันนี้เป็นวิธีจัดการคราวๆนะครับ

บันทึกการเข้า

# จัดไป Promo Code ลด 11% : THAISEOBOARD
# hostatom.com |โฮสอะตอม - เว็บโฮสติ้งที่ Webmaster มืออาชีพไว้วางใจ
# Web Hosting | Cloud VPS | Reseller Hosting | Domain Name
# บริการ 24x7 | รับประกันความพอใจยินดีคืนเงิน | Uptime 99.9% | โทร : 0-2107-3466
picharnan
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 90
ออฟไลน์ ออฟไลน์

กระทู้: 1,400



ดูรายละเอียด
« ตอบ #10 เมื่อ: 11 มกราคม 2017, 17:54:41 »

รายงานความคืบหน้าครับ

ผมได้ทำการดู log ที่ /var/log/auth.log ของวันที่โดนอัพโหลดไฟล์ x.html สรุปว่าไม่มีการ login แปลกปลอมใด ๆ ครับ
ดังนั้นน่าจะพอสรุปได้ว่าคน hack ไม่ได้เข้ามาทาง ssh แน่นอนครับ

ตอนนี้ผมทำการ upgrade wordpress ทั้งหมดที่อยู่บน Server และทำการเปลี่ยนรหัสทั้งหมดแล้วครับ หวังว่าการ upgrade wordpress จะช่วยได้ครับ
ขอบคุณทุก ๆ ความเห็นครับ

เราไม่มีทางมั่นใจได้ครับว่าเค้าไม่วาง backdoor ไว้ การ upgrade ไม่สามารถลบ backdoor ได้ครับ
ผมแนะนำให้ทำตามวิธีของคุณ irobot ครับ ผมใช้วิธีนี้เหมือนกันแก้ปัญหาให้ลูกค้าครับ

 wanwan017


ก่อนอื่นอย่าลืม backup ไฟล์กับ database ไว้นะครับ

วิธี clean file ของ wp
1.โหลด wp แบบเดิมๆจากเว็บ https://wordpress.org/download/
2.บน host ลบไฟล์ wp ออกทั้งหมดเลยครับ ยกเว้น wp-config.php , wp-content
3.โยนไฟล์ wp ที่โหลดมาใหม่ไปใส่แทนที่ ยกเว้น wp-config.php , wp-content ไฟล์ที่ชื่อ wp-config-sameple.php ไม่เอานะครับ
4.จัดการติดตั้ง wordfence Security

สาเหตุที่ต้องลบ wp-config-sameple.php จากบน host เพราะมันเป็นการเปิดช่องทางให้ hacker เข้ามาโจมตีได้ครับ

อันนี้เป็นวิธีจัดการคราวๆนะครับ



ขอบคุณสำหรับคำแนะนำครับ แต่ผมดู modify date ทุกไฟล์แล้วไม่พบว่ามีการแก้ไขในช่วงเวลาที่น่าสงสัยครับ
ดังนั้นน่าจะเป็นเพราะว่า software ของผมไม่ update มากกว่าครับ
บันทึกการเข้า
gilbert
สมุนแก๊งเสียว
*

พลังน้ำใจ: 587
ออฟไลน์ ออฟไลน์

กระทู้: 713



ดูรายละเอียด
« ตอบ #11 เมื่อ: 12 มกราคม 2017, 08:42:16 »

Burp Suite บน Kali linuk มันทำได้ผ่านช่องทางการ upload พวก ไฟล์ภาพ ถ้าเขียน code ไม่ดี

ลองเช็คดูนะครับว่าเปิดให้มีการ upload ไฟล์ภาพ หรือเปล่า
บันทึกการเข้า
picharnan
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 90
ออฟไลน์ ออฟไลน์

กระทู้: 1,400



ดูรายละเอียด
« ตอบ #12 เมื่อ: 12 มกราคม 2017, 09:58:44 »

Burp Suite บน Kali linuk มันทำได้ผ่านช่องทางการ upload พวก ไฟล์ภาพ ถ้าเขียน code ไม่ดี

ลองเช็คดูนะครับว่าเปิดให้มีการ upload ไฟล์ภาพ หรือเปล่า

ทั้ง Server มีแต่ Wordpress เลยครับ แต่ผมไม่ได้ upgrade นานมากแล้วครับ ต่อไปคงต้องขยัน upgrade หน่อยแล้ว
บันทึกการเข้า
darkknightza
เจ้าพ่อบอร์ดเสียว
*

พลังน้ำใจ: 167
ออฟไลน์ ออฟไลน์

กระทู้: 4,245



ดูรายละเอียด เว็บไซต์
« ตอบ #13 เมื่อ: 29 มกราคม 2017, 10:46:16 »

Wordfence Security น่าจะเอาอยู่
ขอบคุณครับ เก็บๆ
บันทึกการเข้า

หาเงินวันละ350บาท มั่นคง จ่ายมาสิบปีแล้ว
หารายได้กับ popup เจ้านี้ เรทแรงคลิ๊ก
Hosting อันดับ 1 คุณภาพสูง ราคาถูก จัดเลย
โดเมนเนมสวยๆ ราคาถูก จดกับเราสิที่นี่
oddsoi4
คนรักเสียว
*

พลังน้ำใจ: 1
ออฟไลน์ ออฟไลน์

กระทู้: 105



ดูรายละเอียด
« ตอบ #14 เมื่อ: 29 มกราคม 2017, 11:16:24 »

ไปดูบ้างดีกว่า  wanwan004
บันทึกการเข้า
dekdoo
สมุนแก๊งเสียว
*

พลังน้ำใจ: 58
ออฟไลน์ ออฟไลน์

กระทู้: 891



ดูรายละเอียด เว็บไซต์
« ตอบ #15 เมื่อ: 29 มกราคม 2017, 12:04:57 »

ตอนโดน hack นั้นใช้ WP Version อะไรอยู่ครับ
บันทึกการเข้า

picharnan
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 90
ออฟไลน์ ออฟไลน์

กระทู้: 1,400



ดูรายละเอียด
« ตอบ #16 เมื่อ: 29 มกราคม 2017, 12:08:01 »

ตอนโดน hack นั้นใช้ WP Version อะไรอยู่ครับ

ต้องขออภัยด้วยครับ คือผมจำไม่ได้ครับว่าเป็น version อะไร
แต่น่าจะไม่ได้อัพเกรดนานกว่า 2 ปีเลยครับ โชคดีที่ hacker ไม่ลบข้อมูล

 Tongue
บันทึกการเข้า
หน้า: [1]   ขึ้นบน
พิมพ์