ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

ThaiSEOBoard.comHost and DomainHost & Domain (general)โดน Hack server ครับ Hacked by 13CHMOD37
หน้า: [1]   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: โดน Hack server ครับ Hacked by 13CHMOD37  (อ่าน 549 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
picharnan
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 88
ออฟไลน์ ออฟไลน์

กระทู้: 1,341



ดูรายละเอียด เว็บไซต์
« เมื่อ: 11 มกราคม 2017, 13:41:03 »

วันนี้ผมได้ลอง ssh เข้าไปดู server ของผมเองครับ ปรากฏว่ามีไฟล์ x.html ดังนี้ครับ



และถ้าเปิดผ่าน Browser เป็นดังนี้ครับ



ไม่ทราบว่ามีใครเคยเจอไหมครับ ไม่รู้ว่าเค้าเข้ามาทางไหนครับ แล้วผมจะแก้อย่างไรได้บ้างครับ

 Lips Sealed Lips Sealed
บันทึกการเข้า

Nuengsolitary
Newbie
*

พลังน้ำใจ: 2
ออฟไลน์ ออฟไลน์

กระทู้: 25



ดูรายละเอียด
« ตอบ #1 เมื่อ: 11 มกราคม 2017, 13:43:05 »

ลบไฟล์ทิ้งเปลี่ยนรหัสให้ยากกว่าเดิมครับ
บันทึกการเข้า
BrainFreeze
เจ้าพ่อบอร์ดเสียว
*

พลังน้ำใจ: 466
ออนไลน์ ออนไลน์

กระทู้: 3,492



ดูรายละเอียด เว็บไซต์
« ตอบ #2 เมื่อ: 11 มกราคม 2017, 13:52:07 »

hacker ประเภทนี้ผมถือว่าเป็น hacker ดีนะครับ
เค้าวางไฟล์ไว้แจ้งเตือน webmaster ครับว่าเว็บมีช่องโหว่ ให้แก้ไข

ส่วนสาเหตุลองไล่ date modify file ดูครับว่าเริ่มที่ตรงไหน
wordpress ที่ใช้งาน version อะไร
ส่วนเสริม plugin theme มีล้าสมัยมั้ย
บันทึกการเข้า

HostAtom.com | เว็บโฮสติ้งที่ Webmaster มืออาชีพไว้วางใจ
Web Hosting | VPS Hosting | Reseller Hosting | Domain Name
█ บริการ 24x7 | รับประกันความพอใจยินดีคืนเงิน | Uptime 99.9% | โทร : 0-2107-3466
picharnan
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 88
ออฟไลน์ ออฟไลน์

กระทู้: 1,341



ดูรายละเอียด เว็บไซต์
« ตอบ #3 เมื่อ: 11 มกราคม 2017, 13:52:31 »

ลบไฟล์ทิ้งเปลี่ยนรหัสให้ยากกว่าเดิมครับ

เบื้องต้นก็น่าจะทำอย่างนั้นแหละครับ แต่ผมเองก็อยากทราบด้วยครับว่าเค้าเข้ามาทางไหนครับ จะได้หาทางป้องกันครับ
บันทึกการเข้า

smapan
Verified Seller
เจ้าพ่อบอร์ดเสียว
*

พลังน้ำใจ: 624
ออฟไลน์ ออฟไลน์

กระทู้: 8,004



ดูรายละเอียด เว็บไซต์
« ตอบ #4 เมื่อ: 11 มกราคม 2017, 14:15:56 »

hacker ประเภทนี้ผมถือว่าเป็น hacker ดีนะครับ
เค้าวางไฟล์ไว้แจ้งเตือน webmaster ครับว่าเว็บมีช่องโหว่ ให้แก้ไข

ส่วนสาเหตุลองไล่ date modify file ดูครับว่าเริ่มที่ตรงไหน
wordpress ที่ใช้งาน version อะไร
ส่วนเสริม plugin theme มีล้าสมัยมั้ย

จริงตามนี้
ถ้าโดนมือสมัครเล่น .... ทั้งฝัง backdoor + file manager ครบเลย
บันทึกการเข้า

จูมล่าโฮส สยามโฮสเว็บ modty.com
รวมที่พัก เช่ารายวัน ที่พักเช่ารายเดือนมากที่สุดแจ่มจริง
***Tel 083-757-1515 ติดปัญหา Joomla ตรงไหนรับปรึกษาฟรี โทรมาเถอะครับ ถ้าตอบได้ช่วยแน่นอน ไม่มีกั้ก. ***
toekingsize
สมุนแก๊งเสียว
*

พลังน้ำใจ: 96
ออฟไลน์ ออฟไลน์

กระทู้: 912



ดูรายละเอียด เว็บไซต์
« ตอบ #5 เมื่อ: 11 มกราคม 2017, 14:19:57 »

Wordfence Security น่าจะเอาอยู่
บันทึกการเข้า

irobot999
Newbie
*

พลังน้ำใจ: 8
ออฟไลน์ ออฟไลน์

กระทู้: 50



ดูรายละเอียด เว็บไซต์
« ตอบ #6 เมื่อ: 11 มกราคม 2017, 14:36:56 »

Wordfence Security น่าจะเอาอยู่

ใช่ครับเอาอยู่ แต่ก่อนอื่นต้อง clean file ก่อนที่จะนำ Wordfence Security มาใช้ครับ

ก่อนอื่นอย่าลืม backup ไฟล์กับ database ไว้นะครับ

วิธี clean file ของ wp
1.โหลด wp แบบเดิมๆจากเว็บ https://wordpress.org/download/
2.บน host ลบไฟล์ wp ออกทั้งหมดเลยครับ ยกเว้น wp-config.php , wp-content
3.โยนไฟล์ wp ที่โหลดมาใหม่ไปใส่แทนที่ ยกเว้น wp-config.php , wp-content ไฟล์ที่ชื่อ wp-config-sameple.php ไม่เอานะครับ
4.จัดการติดตั้ง wordfence Security

สาเหตุที่ต้องลบ wp-config-sameple.php จากบน host เพราะมันเป็นการเปิดช่องทางให้ hacker เข้ามาโจมตีได้ครับ

อันนี้เป็นวิธีจัดการคราวๆนะครับ


บันทึกการเข้า

Hosting VPS คุณภาพ ราคาถูก
http://hostdiehard.com/
irobot999
Newbie
*

พลังน้ำใจ: 8
ออฟไลน์ ออฟไลน์

กระทู้: 50



ดูรายละเอียด เว็บไซต์
« ตอบ #7 เมื่อ: 11 มกราคม 2017, 14:38:52 »

โดยเฉพราะ theme แจกฟรี หรือที่เป็นพวก theme nulled อันตรายครับ
« แก้ไขครั้งสุดท้าย: 11 มกราคม 2017, 14:39:19 โดย irobot999 » บันทึกการเข้า

Hosting VPS คุณภาพ ราคาถูก
http://hostdiehard.com/
picharnan
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 88
ออฟไลน์ ออฟไลน์

กระทู้: 1,341



ดูรายละเอียด เว็บไซต์
« ตอบ #8 เมื่อ: 11 มกราคม 2017, 16:11:56 »

รายงานความคืบหน้าครับ

ผมได้ทำการดู log ที่ /var/log/auth.log ของวันที่โดนอัพโหลดไฟล์ x.html สรุปว่าไม่มีการ login แปลกปลอมใด ๆ ครับ
ดังนั้นน่าจะพอสรุปได้ว่าคน hack ไม่ได้เข้ามาทาง ssh แน่นอนครับ

ตอนนี้ผมทำการ upgrade wordpress ทั้งหมดที่อยู่บน Server และทำการเปลี่ยนรหัสทั้งหมดแล้วครับ หวังว่าการ upgrade wordpress จะช่วยได้ครับ
ขอบคุณทุก ๆ ความเห็นครับ
บันทึกการเข้า

BrainFreeze
เจ้าพ่อบอร์ดเสียว
*

พลังน้ำใจ: 466
ออนไลน์ ออนไลน์

กระทู้: 3,492



ดูรายละเอียด เว็บไซต์
« ตอบ #9 เมื่อ: 11 มกราคม 2017, 17:44:58 »

รายงานความคืบหน้าครับ

ผมได้ทำการดู log ที่ /var/log/auth.log ของวันที่โดนอัพโหลดไฟล์ x.html สรุปว่าไม่มีการ login แปลกปลอมใด ๆ ครับ
ดังนั้นน่าจะพอสรุปได้ว่าคน hack ไม่ได้เข้ามาทาง ssh แน่นอนครับ

ตอนนี้ผมทำการ upgrade wordpress ทั้งหมดที่อยู่บน Server และทำการเปลี่ยนรหัสทั้งหมดแล้วครับ หวังว่าการ upgrade wordpress จะช่วยได้ครับ
ขอบคุณทุก ๆ ความเห็นครับ

เราไม่มีทางมั่นใจได้ครับว่าเค้าไม่วาง backdoor ไว้ การ upgrade ไม่สามารถลบ backdoor ได้ครับ
ผมแนะนำให้ทำตามวิธีของคุณ irobot ครับ ผมใช้วิธีนี้เหมือนกันแก้ปัญหาให้ลูกค้าครับ

 wanwan017


ก่อนอื่นอย่าลืม backup ไฟล์กับ database ไว้นะครับ

วิธี clean file ของ wp
1.โหลด wp แบบเดิมๆจากเว็บ https://wordpress.org/download/
2.บน host ลบไฟล์ wp ออกทั้งหมดเลยครับ ยกเว้น wp-config.php , wp-content
3.โยนไฟล์ wp ที่โหลดมาใหม่ไปใส่แทนที่ ยกเว้น wp-config.php , wp-content ไฟล์ที่ชื่อ wp-config-sameple.php ไม่เอานะครับ
4.จัดการติดตั้ง wordfence Security

สาเหตุที่ต้องลบ wp-config-sameple.php จากบน host เพราะมันเป็นการเปิดช่องทางให้ hacker เข้ามาโจมตีได้ครับ

อันนี้เป็นวิธีจัดการคราวๆนะครับ

บันทึกการเข้า

HostAtom.com | เว็บโฮสติ้งที่ Webmaster มืออาชีพไว้วางใจ
Web Hosting | VPS Hosting | Reseller Hosting | Domain Name
█ บริการ 24x7 | รับประกันความพอใจยินดีคืนเงิน | Uptime 99.9% | โทร : 0-2107-3466
picharnan
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 88
ออฟไลน์ ออฟไลน์

กระทู้: 1,341



ดูรายละเอียด เว็บไซต์
« ตอบ #10 เมื่อ: 11 มกราคม 2017, 17:54:41 »

รายงานความคืบหน้าครับ

ผมได้ทำการดู log ที่ /var/log/auth.log ของวันที่โดนอัพโหลดไฟล์ x.html สรุปว่าไม่มีการ login แปลกปลอมใด ๆ ครับ
ดังนั้นน่าจะพอสรุปได้ว่าคน hack ไม่ได้เข้ามาทาง ssh แน่นอนครับ

ตอนนี้ผมทำการ upgrade wordpress ทั้งหมดที่อยู่บน Server และทำการเปลี่ยนรหัสทั้งหมดแล้วครับ หวังว่าการ upgrade wordpress จะช่วยได้ครับ
ขอบคุณทุก ๆ ความเห็นครับ

เราไม่มีทางมั่นใจได้ครับว่าเค้าไม่วาง backdoor ไว้ การ upgrade ไม่สามารถลบ backdoor ได้ครับ
ผมแนะนำให้ทำตามวิธีของคุณ irobot ครับ ผมใช้วิธีนี้เหมือนกันแก้ปัญหาให้ลูกค้าครับ

 wanwan017


ก่อนอื่นอย่าลืม backup ไฟล์กับ database ไว้นะครับ

วิธี clean file ของ wp
1.โหลด wp แบบเดิมๆจากเว็บ https://wordpress.org/download/
2.บน host ลบไฟล์ wp ออกทั้งหมดเลยครับ ยกเว้น wp-config.php , wp-content
3.โยนไฟล์ wp ที่โหลดมาใหม่ไปใส่แทนที่ ยกเว้น wp-config.php , wp-content ไฟล์ที่ชื่อ wp-config-sameple.php ไม่เอานะครับ
4.จัดการติดตั้ง wordfence Security

สาเหตุที่ต้องลบ wp-config-sameple.php จากบน host เพราะมันเป็นการเปิดช่องทางให้ hacker เข้ามาโจมตีได้ครับ

อันนี้เป็นวิธีจัดการคราวๆนะครับ



ขอบคุณสำหรับคำแนะนำครับ แต่ผมดู modify date ทุกไฟล์แล้วไม่พบว่ามีการแก้ไขในช่วงเวลาที่น่าสงสัยครับ
ดังนั้นน่าจะเป็นเพราะว่า software ของผมไม่ update มากกว่าครับ
บันทึกการเข้า

gilbert
สมุนแก๊งเสียว
*

พลังน้ำใจ: 579
ออฟไลน์ ออฟไลน์

กระทู้: 678



ดูรายละเอียด เว็บไซต์
« ตอบ #11 เมื่อ: 12 มกราคม 2017, 08:42:16 »

Burp Suite บน Kali linuk มันทำได้ผ่านช่องทางการ upload พวก ไฟล์ภาพ ถ้าเขียน code ไม่ดี

ลองเช็คดูนะครับว่าเปิดให้มีการ upload ไฟล์ภาพ หรือเปล่า
บันทึกการเข้า
picharnan
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 88
ออฟไลน์ ออฟไลน์

กระทู้: 1,341



ดูรายละเอียด เว็บไซต์
« ตอบ #12 เมื่อ: 12 มกราคม 2017, 09:58:44 »

Burp Suite บน Kali linuk มันทำได้ผ่านช่องทางการ upload พวก ไฟล์ภาพ ถ้าเขียน code ไม่ดี

ลองเช็คดูนะครับว่าเปิดให้มีการ upload ไฟล์ภาพ หรือเปล่า

ทั้ง Server มีแต่ Wordpress เลยครับ แต่ผมไม่ได้ upgrade นานมากแล้วครับ ต่อไปคงต้องขยัน upgrade หน่อยแล้ว
บันทึกการเข้า

หน้า: [1]   ขึ้นบน
พิมพ์
กระโดดไป: