picharnan
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 90
ออฟไลน์
กระทู้: 1,400
|
|
« เมื่อ: 11 มกราคม 2017, 13:41:03 » |
|
วันนี้ผมได้ลอง ssh เข้าไปดู server ของผมเองครับ ปรากฏว่ามีไฟล์ x.html ดังนี้ครับ และถ้าเปิดผ่าน Browser เป็นดังนี้ครับ ไม่ทราบว่ามีใครเคยเจอไหมครับ ไม่รู้ว่าเค้าเข้ามาทางไหนครับ แล้วผมจะแก้อย่างไรได้บ้างครับ
|
|
|
บันทึกการเข้า
|
|
|
|
Nuengsolitary
Newbie
พลังน้ำใจ: 2
ออฟไลน์
กระทู้: 42
|
|
« ตอบ #1 เมื่อ: 11 มกราคม 2017, 13:43:05 » |
|
ลบไฟล์ทิ้งเปลี่ยนรหัสให้ยากกว่าเดิมครับ
|
|
|
บันทึกการเข้า
|
|
|
|
BrainFreeze
เจ้าพ่อบอร์ดเสียว
พลังน้ำใจ: 498
ออฟไลน์
กระทู้: 3,887
|
|
« ตอบ #2 เมื่อ: 11 มกราคม 2017, 13:52:07 » |
|
hacker ประเภทนี้ผมถือว่าเป็น hacker ดีนะครับ เค้าวางไฟล์ไว้แจ้งเตือน webmaster ครับว่าเว็บมีช่องโหว่ ให้แก้ไข
ส่วนสาเหตุลองไล่ date modify file ดูครับว่าเริ่มที่ตรงไหน wordpress ที่ใช้งาน version อะไร ส่วนเสริม plugin theme มีล้าสมัยมั้ย
|
|
|
บันทึกการเข้า
|
|
|
|
picharnan
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 90
ออฟไลน์
กระทู้: 1,400
|
|
« ตอบ #3 เมื่อ: 11 มกราคม 2017, 13:52:31 » |
|
ลบไฟล์ทิ้งเปลี่ยนรหัสให้ยากกว่าเดิมครับ
เบื้องต้นก็น่าจะทำอย่างนั้นแหละครับ แต่ผมเองก็อยากทราบด้วยครับว่าเค้าเข้ามาทางไหนครับ จะได้หาทางป้องกันครับ
|
|
|
บันทึกการเข้า
|
|
|
|
smapan
|
|
« ตอบ #4 เมื่อ: 11 มกราคม 2017, 14:15:56 » |
|
hacker ประเภทนี้ผมถือว่าเป็น hacker ดีนะครับ เค้าวางไฟล์ไว้แจ้งเตือน webmaster ครับว่าเว็บมีช่องโหว่ ให้แก้ไข
ส่วนสาเหตุลองไล่ date modify file ดูครับว่าเริ่มที่ตรงไหน wordpress ที่ใช้งาน version อะไร ส่วนเสริม plugin theme มีล้าสมัยมั้ย
จริงตามนี้ ถ้าโดนมือสมัครเล่น .... ทั้งฝัง backdoor + file manager ครบเลย
|
|
|
บันทึกการเข้า
|
|
|
|
toekingsize
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 108
ออฟไลน์
กระทู้: 1,247
|
|
« ตอบ #5 เมื่อ: 11 มกราคม 2017, 14:19:57 » |
|
Wordfence Security น่าจะเอาอยู่
|
|
|
บันทึกการเข้า
|
|
|
|
irobot999
Newbie
พลังน้ำใจ: 9
ออฟไลน์
กระทู้: 72
|
|
« ตอบ #6 เมื่อ: 11 มกราคม 2017, 14:36:56 » |
|
Wordfence Security น่าจะเอาอยู่
ใช่ครับเอาอยู่ แต่ก่อนอื่นต้อง clean file ก่อนที่จะนำ Wordfence Security มาใช้ครับ ก่อนอื่นอย่าลืม backup ไฟล์กับ database ไว้นะครับวิธี clean file ของ wp1.โหลด wp แบบเดิมๆจากเว็บ https://wordpress.org/download/ 2.บน host ลบไฟล์ wp ออกทั้งหมดเลยครับ ยกเว้น wp-config.php , wp-content 3.โยนไฟล์ wp ที่โหลดมาใหม่ไปใส่แทนที่ ยกเว้น wp-config.php , wp-content ไฟล์ที่ชื่อ wp-config-sameple.php ไม่เอานะครับ4.จัดการติดตั้ง wordfence Security สาเหตุที่ต้องลบ wp-config-sameple.php จากบน host เพราะมันเป็นการเปิดช่องทางให้ hacker เข้ามาโจมตีได้ครับ
อันนี้เป็นวิธีจัดการคราวๆนะครับ
|
|
|
บันทึกการเข้า
|
|
|
|
irobot999
Newbie
พลังน้ำใจ: 9
ออฟไลน์
กระทู้: 72
|
|
« ตอบ #7 เมื่อ: 11 มกราคม 2017, 14:38:52 » |
|
โดยเฉพราะ theme แจกฟรี หรือที่เป็นพวก theme nulled อันตรายครับ
|
|
« แก้ไขครั้งสุดท้าย: 11 มกราคม 2017, 14:39:19 โดย irobot999 »
|
บันทึกการเข้า
|
|
|
|
picharnan
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 90
ออฟไลน์
กระทู้: 1,400
|
|
« ตอบ #8 เมื่อ: 11 มกราคม 2017, 16:11:56 » |
|
รายงานความคืบหน้าครับ
ผมได้ทำการดู log ที่ /var/log/auth.log ของวันที่โดนอัพโหลดไฟล์ x.html สรุปว่าไม่มีการ login แปลกปลอมใด ๆ ครับ ดังนั้นน่าจะพอสรุปได้ว่าคน hack ไม่ได้เข้ามาทาง ssh แน่นอนครับ
ตอนนี้ผมทำการ upgrade wordpress ทั้งหมดที่อยู่บน Server และทำการเปลี่ยนรหัสทั้งหมดแล้วครับ หวังว่าการ upgrade wordpress จะช่วยได้ครับ ขอบคุณทุก ๆ ความเห็นครับ
|
|
|
บันทึกการเข้า
|
|
|
|
BrainFreeze
เจ้าพ่อบอร์ดเสียว
พลังน้ำใจ: 498
ออฟไลน์
กระทู้: 3,887
|
|
« ตอบ #9 เมื่อ: 11 มกราคม 2017, 17:44:58 » |
|
รายงานความคืบหน้าครับ
ผมได้ทำการดู log ที่ /var/log/auth.log ของวันที่โดนอัพโหลดไฟล์ x.html สรุปว่าไม่มีการ login แปลกปลอมใด ๆ ครับ ดังนั้นน่าจะพอสรุปได้ว่าคน hack ไม่ได้เข้ามาทาง ssh แน่นอนครับ
ตอนนี้ผมทำการ upgrade wordpress ทั้งหมดที่อยู่บน Server และทำการเปลี่ยนรหัสทั้งหมดแล้วครับ หวังว่าการ upgrade wordpress จะช่วยได้ครับ ขอบคุณทุก ๆ ความเห็นครับ
เราไม่มีทางมั่นใจได้ครับว่าเค้าไม่วาง backdoor ไว้ การ upgrade ไม่สามารถลบ backdoor ได้ครับ ผมแนะนำให้ทำตามวิธีของคุณ irobot ครับ ผมใช้วิธีนี้เหมือนกันแก้ปัญหาให้ลูกค้าครับ ก่อนอื่นอย่าลืม backup ไฟล์กับ database ไว้นะครับวิธี clean file ของ wp1.โหลด wp แบบเดิมๆจากเว็บ https://wordpress.org/download/ 2.บน host ลบไฟล์ wp ออกทั้งหมดเลยครับ ยกเว้น wp-config.php , wp-content 3.โยนไฟล์ wp ที่โหลดมาใหม่ไปใส่แทนที่ ยกเว้น wp-config.php , wp-content ไฟล์ที่ชื่อ wp-config-sameple.php ไม่เอานะครับ4.จัดการติดตั้ง wordfence Security สาเหตุที่ต้องลบ wp-config-sameple.php จากบน host เพราะมันเป็นการเปิดช่องทางให้ hacker เข้ามาโจมตีได้ครับ
อันนี้เป็นวิธีจัดการคราวๆนะครับ
|
|
|
บันทึกการเข้า
|
|
|
|
picharnan
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 90
ออฟไลน์
กระทู้: 1,400
|
|
« ตอบ #10 เมื่อ: 11 มกราคม 2017, 17:54:41 » |
|
รายงานความคืบหน้าครับ
ผมได้ทำการดู log ที่ /var/log/auth.log ของวันที่โดนอัพโหลดไฟล์ x.html สรุปว่าไม่มีการ login แปลกปลอมใด ๆ ครับ ดังนั้นน่าจะพอสรุปได้ว่าคน hack ไม่ได้เข้ามาทาง ssh แน่นอนครับ
ตอนนี้ผมทำการ upgrade wordpress ทั้งหมดที่อยู่บน Server และทำการเปลี่ยนรหัสทั้งหมดแล้วครับ หวังว่าการ upgrade wordpress จะช่วยได้ครับ ขอบคุณทุก ๆ ความเห็นครับ
เราไม่มีทางมั่นใจได้ครับว่าเค้าไม่วาง backdoor ไว้ การ upgrade ไม่สามารถลบ backdoor ได้ครับ ผมแนะนำให้ทำตามวิธีของคุณ irobot ครับ ผมใช้วิธีนี้เหมือนกันแก้ปัญหาให้ลูกค้าครับ ก่อนอื่นอย่าลืม backup ไฟล์กับ database ไว้นะครับวิธี clean file ของ wp1.โหลด wp แบบเดิมๆจากเว็บ https://wordpress.org/download/ 2.บน host ลบไฟล์ wp ออกทั้งหมดเลยครับ ยกเว้น wp-config.php , wp-content 3.โยนไฟล์ wp ที่โหลดมาใหม่ไปใส่แทนที่ ยกเว้น wp-config.php , wp-content ไฟล์ที่ชื่อ wp-config-sameple.php ไม่เอานะครับ4.จัดการติดตั้ง wordfence Security สาเหตุที่ต้องลบ wp-config-sameple.php จากบน host เพราะมันเป็นการเปิดช่องทางให้ hacker เข้ามาโจมตีได้ครับ
อันนี้เป็นวิธีจัดการคราวๆนะครับ ขอบคุณสำหรับคำแนะนำครับ แต่ผมดู modify date ทุกไฟล์แล้วไม่พบว่ามีการแก้ไขในช่วงเวลาที่น่าสงสัยครับ ดังนั้นน่าจะเป็นเพราะว่า software ของผมไม่ update มากกว่าครับ
|
|
|
บันทึกการเข้า
|
|
|
|
gilbert
สมุนแก๊งเสียว
พลังน้ำใจ: 587
ออฟไลน์
กระทู้: 713
|
|
« ตอบ #11 เมื่อ: 12 มกราคม 2017, 08:42:16 » |
|
Burp Suite บน Kali linuk มันทำได้ผ่านช่องทางการ upload พวก ไฟล์ภาพ ถ้าเขียน code ไม่ดี
ลองเช็คดูนะครับว่าเปิดให้มีการ upload ไฟล์ภาพ หรือเปล่า
|
|
|
บันทึกการเข้า
|
|
|
|
picharnan
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 90
ออฟไลน์
กระทู้: 1,400
|
|
« ตอบ #12 เมื่อ: 12 มกราคม 2017, 09:58:44 » |
|
Burp Suite บน Kali linuk มันทำได้ผ่านช่องทางการ upload พวก ไฟล์ภาพ ถ้าเขียน code ไม่ดี
ลองเช็คดูนะครับว่าเปิดให้มีการ upload ไฟล์ภาพ หรือเปล่า
ทั้ง Server มีแต่ Wordpress เลยครับ แต่ผมไม่ได้ upgrade นานมากแล้วครับ ต่อไปคงต้องขยัน upgrade หน่อยแล้ว
|
|
|
บันทึกการเข้า
|
|
|
|
darkknightza
เจ้าพ่อบอร์ดเสียว
พลังน้ำใจ: 167
ออฟไลน์
กระทู้: 4,245
|
|
« ตอบ #13 เมื่อ: 29 มกราคม 2017, 10:46:16 » |
|
Wordfence Security น่าจะเอาอยู่
ขอบคุณครับ เก็บๆ
|
|
|
บันทึกการเข้า
|
|
|
|
oddsoi4
คนรักเสียว
พลังน้ำใจ: 1
ออฟไลน์
กระทู้: 105
|
|
« ตอบ #14 เมื่อ: 29 มกราคม 2017, 11:16:24 » |
|
ไปดูบ้างดีกว่า
|
|
|
บันทึกการเข้า
|
|
|
|
dekdoo
สมุนแก๊งเสียว
พลังน้ำใจ: 58
ออฟไลน์
กระทู้: 891
|
|
« ตอบ #15 เมื่อ: 29 มกราคม 2017, 12:04:57 » |
|
ตอนโดน hack นั้นใช้ WP Version อะไรอยู่ครับ
|
|
|
บันทึกการเข้า
|
|
|
|
picharnan
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 90
ออฟไลน์
กระทู้: 1,400
|
|
« ตอบ #16 เมื่อ: 29 มกราคม 2017, 12:08:01 » |
|
ตอนโดน hack นั้นใช้ WP Version อะไรอยู่ครับ
ต้องขออภัยด้วยครับ คือผมจำไม่ได้ครับว่าเป็น version อะไร แต่น่าจะไม่ได้อัพเกรดนานกว่า 2 ปีเลยครับ โชคดีที่ hacker ไม่ลบข้อมูล
|
|
|
บันทึกการเข้า
|
|
|
|
|