จูมล่า 3.5.1 โดนเว็บญี่ปุ่น Hack แอบแทรกลิงค์จน index ล่วงหมด ลบทิ้งมันสร้างใหม่

Meen2007

สมุนแก๊งเสียว

พลังน้ำใจ: 123

ออฟไลน์

กระทู้: 573

จูมล่า 3.5.1 โดนเว็บญี่ปุ่น Hack แอบแทรกลิงค์จน index ล่วงหมด ลบทิ้งมันสร้างใหม่

« เมื่อ: 24 กันยายน 2018, 22:35:37 »

จูมล่า 3.5.1 โดนเว็บญี่ปุ่น Hack มันสร้างเทมเพลต แอบแทรกลิงค์จน index ล่วงหมด หาเจอแหล่งอยู่ 2 จุด พอลบทิ้งมันก็สร้างใหม่ทันที

Joomla 3.5.1 + VirueMart

Google Search Console ตรวจพบว่าเนื้อหาถูกแฮ็กใน

โค๊ด:

http://trinx-format.com/cjfa/47joint-service10174571348950112

Google แจ้งมาทางเมล์เมื่อ 22กย.นี่เอง Google ให้เช็ค Site : myweb.com/ ปรากฎว่า index, keyword, title หายหมด title กลายเป็นภาษาญี่ปุ่นแทน

เว็บนี้มา Hack
sundaysports

โค๊ด:

http://sundaysports.jp/

ตอนนี้ทำได้เพียงเปลี่ยน พาสในระบบ มีใครพอทราบวิธีเอาออกใหมครับ Lips Sealed

ไฟล์ของมัน 90416.lt.tmp.html

โค๊ด:

<html xmlns="http://www.w3.org/1999/xhtml">
<head>
  <meta content="ja" name="Content-Language"/>
  <meta content="text/html; charset=utf-8" http-equiv="Content-Type"/>
  <meta content="IE=edge,chrome=1" http-equiv="X-UA-Compatible"/>
  <title>
   #title#
  </title>
  <meta content="#keywords#" name="keywords"/>
  <meta content="#description#" name="description"/>
  <meta content="" name="Author"/>
  <meta content="GMOペパボ" name="Copyright"/>
  <meta content="text/css" http-equiv="content-style-type"/>
  <meta content="text/javascript" http-equiv="content-script-type"/>
  <link href="http://sundaysports.jp/css/cross-border-cart.css" rel="stylesheet" type="text/css"/>
  <link href="http://img11.shop-pro.jp/PA01058/458/css/3/index.css?cmsp_timestamp=20130214160354" rel="stylesheet" type="text/css"/>
  <link href="http://img11.shop-pro.jp/PA01058/458/css/3/top.css?cmsp_timestamp=20130214160354" rel="stylesheet" type="text/css"/>
  <link href="http://sundaysports.jp/?mode=rss" rel="alternate" title="rss" type="application/rss+xml"/>
  <meta content="#title#" property="og:title"/>
  <meta content="#description#" property="og:description"/>
</head>
<body>
  <img alt="" height="1" src="http://sundaysports.jp//acclog001.shop-pro.jp/li.php?st=1&pt=10001&ut=0&at=PA01058458&v=20170306125902&re=&cn=9c50be798a894ec7000a0765d08b3746" style="margin:0px;padding:0px;border:none;position:absolute;top:0px;left:0px;" width="1"/>
  <img alt="" height="1" src="http://sundaysports.jp//acclog002.shop-pro.jp/li.php?st=1&pt=10001&ut=0&at=PA01058458&v=20170306125902&re=&cn=9c50be798a894ec7000a0765d08b3746" style="margin:0px;padding:0px;border:none;position:absolute;top:0px;left:0px;" width="1"/>
  <div class="container">
   <div class="header">
   <h1>
   税込10,000円以上のお買い上げで送料無料
   </h1>
   <div class="header-menu">
   <a href="/?mode=f1">
   会社紹介
   </a>
   ｜
   <a href="/?mode=sk#payment">
   #keywords#
   </a>
   ｜
   <a href="/?mode=sk#delivery">
   配送方法・送料
   </a>
   ｜
   <a href="/?mode=inq&shop_id=PA01058458">
   お問合せ
   </a>
   ｜
   <a href="/?mode=myaccount">
   ログイン
   </a>
   ｜
   <a href="/?mode=cart_inn">
   カートを見る
   </a>
   </div>
   </div>
   <div class="side">
   <img src="http://sundaysports.jp//img11.shop-pro.jp/PA01058/458/etc/sidebar_top.gif"/>
   <br/>
   <div class="sidemenu">
   <a href="/./">
   トップページへ
   </a>
   <div id="group-list">
   </div>
   <h1>
   <strong>
   商品検索
   </strong>
   </h1>
   <form action="http://sundaysports.jp/" id="search" method="GET">
   <input name="mode" type="hidden" value="srh"/>
   <select name="cid" style="width:147px;">
   <option value="">
   全ての商品から
   </option>
   <option value="449695,0">
   ＵＳＡグローブ,ミット
   </option>
   <option value="426044,0">
   硬式グローブ
   </option>
   <option value="426045,0">
   軟式グローブ
   </option>
   <option value="426047,0">
   #description#・キャッチャーミット
   </option>
   <option value="426287,0">
   軟式キャッチャーミット
   </option>
   <option value="426289,0">
   軟式ファーストミット
   </option>
   <option value="426290,0">
   軟式金属・カーボンバット
   </option>
   <option value="426294,0">
   硬式・軟式木製バット・マスコットバット
   </option>
   <option value="2068549,0">
   #title#
   </option>
   <option value="978628,0">
   スパイク
   </option>
   <option value="426297,0">
   バッティンググラブ
   </option>
   <option value="426296,0">
   ウェア類・リストバンド
   </option>
   <option value="1426747,0">
   バッグ
   </option>
   <option value="645965,0">
   メンテナンス用品
   </option>
   <option value="545277,0">
   別注野球用品（非売品）
   </option>
   <option value="2011689,0">
   #description#（展示品）
   </option>
   </select>
   <input name="keyword" style="margin:5px 5px 0px 0px;width:100px;" type="text"/>
   <input type="submit" value="検索"/>
   </form>
   <div id="group-list">
   </div>
   <h1>
   <strong>
   商品カテゴリー
   </strong>
   </h1>
   <a href="/?mode=cate&cbid=449695&csid=0">
   ＵＳＡグローブ,ミット
   </a>
   <br/>
   <a href="/?mode=cate&cbid=426044&csid=0">
   硬式グローブ
   </a>
   <br/>
   <a href="/?mode=cate&cbid=426045&csid=0">
   軟式グローブ
   </a>
   <br/>
   <a href="/?mode=cate&cbid=426047&csid=0">
   #description#・キャッチャーミット
   </a>
   <br/>
   <a href="/?mode=cate&cbid=426287&csid=0">
   軟式キャッチャーミット
   </a>
   <br/>
   <a href="/?mode=cate&cbid=426289&csid=0">
   軟式ファーストミット
   </a>
   <br/>
   <a href="/?mode=cate&cbid=426290&csid=0">
   軟式金属・カーボンバット
   </a>
   <br/>
   <a href="/?mode=cate&cbid=426294&csid=0">
   硬式・軟式木製バット・マスコットバット
   </a>
   <br/>
   <a href="/?mode=cate&cbid=2068549&csid=0">
   #title#
   </a>
   <br/>
   <a href="/?mode=cate&cbid=978628&csid=0">
   スパイク
   </a>
   <br/>
   <a href="/?mode=cate&cbid=426297&csid=0">
   バッティンググラブ
   </a>
   <br/>
   <a href="/?mode=cate&cbid=426296&csid=0">
   ウェア類・リストバンド
   </a>
   <br/>
   <a href="/?mode=cate&cbid=1426747&csid=0">
   バッグ
   </a>
   <br/>
   <a href="/?mode=cate&cbid=645965&csid=0">
   メンテナンス用品
   </a>
   <br/>
   <a href="/?mode=cate&cbid=545277&csid=0">
   別注野球用品（非売品）
   </a>
   <br/>
   <a href="/?mode=cate&cbid=2011689&csid=0">
   #description#（展示品）
   </a>
   <br/>
   <div id="group-list">
   </div>
   <h1>
   <strong>
   取り扱いブランド
   </strong>
   </h1>
   <span class="group-list-link">
   <a href="/?mode=grp&gid=65128">
   ＵＳＡ野球用品
   </a>
   <br/>
   </span>
   <span class="group-list-link">
   <a href="/?mode=grp&gid=65129">
   #title#
   </a>
   <br/>
   </span>
   <span class="group-list-link">
   <a href="/?mode=grp&gid=65130">
   ミズノ
   </a>
   <br/>
   </span>
   <span class="group-list-link">
   <a href="/?mode=grp&gid=65131">
   久保田スラッガー
   </a>
   <br/>
   </span>
   <span class="group-list-link">
   <a href="/?mode=grp&gid=65132">
   シュアプレイ（ＳＰ）
   </a>
   <br/>
   </span>
   <div id="group-list">
   </div>
   <h1>
   カート
   </h1>
   <a href="/?mode=cart_inn">
   ＞＞カートの中を見る
   </a>
   
   <div id="group-list">
   </div>
   <h1>
   店長のコーナー
   </h1>
   坂詰
   <br/>
   はじめましてサンデースポーツネットショップ店長の坂詰です。
   <br/>
   海外輸入のグローブや、スパイクはもちろん、国内メーカー品も取り揃えております。
   <br/>
   当店をよろしくお願いします。
   <br/>
   <br/>
   <a href="">
   ＞＞店長ブログを見る
   </a>
   
   </div>
   </div>
   <div class="main">
   <h1>
   #title#
   </h1>
   #content#
   <h2>
   #title#
   </h2>
   </div>
   <div class="footer">
   <a href="/./">
   トップページ
   </a>
   ｜
   <a href="/?mode=f1">
   会社紹介
   </a>
   ｜
   <a href="/?mode=privacy">
   プライバシーポリシー
   </a>
   ｜
   <a href="/?mode=sk#payment">
   #keywords#
   </a>
   ｜
   <a href="/?mode=sk#delivery">
   配送方法・送料
   </a>
   ｜
   <a href="/?mode=sk">
   #keywords#に基づく表記
   </a>
   ｜
   <a href="/?mode=inq&shop_id=PA01058458">
   お問合せ
   </a>
   ｜
   <a href="/?mode=myaccount">
   ログイン
   </a>
   <br/>
   <br/>
   </div>
   <div class="bottom">
   <br/>
   </div>
  </div>
</body>
</html>

สรุปการแก้ไข
ผมไม่สามารถแก้ไขด้วยการค้นหาแล้วลบทิ้งเองได้ ทางต้นสังกัดของ server ก็ไม่สามารถรันสคริปต์ เอาเจ้า backdoor ออกได้
ผมจึงใช้วิธีสุดท้ายคือ ลบทิ้งทั้ง User แล้ว add new user ใหม่ ติดตั้งไฟล์ joomla เวอร์ชั่นเดิมใหม่หมด โดยการเอาฐานข้อมูลเดิมมาใช้งาน ปัญหาที่เกิดจึงจบลง


« แก้ไขครั้งสุดท้าย: 30 กันยายน 2018, 17:15:14 โดย Meen2007 »	บันทึกการเข้า

หัวน้ำพุ Fountain Nozzle

ปั๊มน้ำ Pump

icez

Verified Seller
หัวหน้าแก๊งเสียว

พลังน้ำใจ: 296

ออฟไลน์

กระทู้: 2,879

Re: จูมล่า 3.5.1 โดนเว็บญี่ปุ่น Hack แอบแทรกลิงค์จน index ล่วงหมด ลบทิ้งมันสร้างใหม่

« ตอบ #1 เมื่อ: 24 กันยายน 2018, 22:56:37 »

upgrade ด่วนครับ... ช่องโหว่ให้โดนเจาะเยอะมาก

https://www.blognone.com/node/86658

https://www.blognone.com/node/88471


	บันทึกการเข้า

THZHost

SSD Hosting ไทย/สิงคโปร์ พร้อม firewall ป้องกันการยิงเว็บ + scan ไวรัสในเว็บ

Meen2007

สมุนแก๊งเสียว

พลังน้ำใจ: 123

ออฟไลน์

กระทู้: 573

« ตอบ #2 เมื่อ: 24 กันยายน 2018, 23:20:35 »

อ้างจาก: icez ที่ 24 กันยายน 2018, 22:56:37

upgrade ด่วนครับ... ช่องโหว่ให้โดนเจาะเยอะมาก

https://www.blognone.com/node/86658

https://www.blognone.com/node/88471

ขอบคุณนะครับ

แล้วที่ถูก Hack อยู่ ไม่ทราบว่าจะแก้ไขอย่างไรดีครับ เข้าขั้นมืด เพราะลบแล้วมันสร้างใหม่ แถม เขียน .htaccess = Deny from all (Google แจ้ง ถูกบล็อกโดย robots.txt)


	บันทึกการเข้า

หัวน้ำพุ Fountain Nozzle

ปั๊มน้ำ Pump

hugball

คนรักเสียว

พลังน้ำใจ: 2

ออฟไลน์

กระทู้: 126

« ตอบ #3 เมื่อ: 24 กันยายน 2018, 23:50:28 »

ขอให้แก้ไขได้โดยเร็วนะครับ wanwan003


	บันทึกการเข้า

ไฮไลท์ฟุตบอล

maneemeena

คนรักเสียว

พลังน้ำใจ: 8

ออฟไลน์

กระทู้: 189

« ตอบ #4 เมื่อ: 25 กันยายน 2018, 10:35:10 »

ข้อเสียของ joomla อย่างหนึ่งคือไฟล์เยอะมาก ตอนติดตั้งบางคนชอบตั้งค่า permission เป็น 777 พอโดนวาง backdoor ที ไม่รู้ว่ามันไปแทรกสคริปต์ไว้ที่ไหนบ้าง
ลองติดต่อทางโฮสต์ว่ามีสคริปต์สำหรับสแกนโค้ดสำหรับ joomla หรือเปล่า อีกทางคืออัปเกรด โดยการติดตั้งใหม่แล้วอัปเกรดฐานข้อมูลแทนครับ


	บันทึกการเข้า

WinPickup

สมุนแก๊งเสียว

พลังน้ำใจ: 15

ออฟไลน์

กระทู้: 782

« ตอบ #5 เมื่อ: 25 กันยายน 2018, 10:39:32 »

อ้างจาก: icez ที่ 24 กันยายน 2018, 22:56:37

upgrade ด่วนครับ... ช่องโหว่ให้โดนเจาะเยอะมาก

https://www.blognone.com/node/86658

https://www.blognone.com/node/88471

ขอบคุณครับ


	บันทึกการเข้า

รถขนของ
รถรับจ้าง
รถกระบะให้เช่า
เช่ารถกระบะ
เช่ารถห้องเย็น

kingzjame

ก๊วนเสียว

พลังน้ำใจ: 8

ออฟไลน์

กระทู้: 346

« ตอบ #6 เมื่อ: 25 กันยายน 2018, 10:48:50 »

หลอนเลย


	บันทึกการเข้า

ดูหนังออนไลน์

037hd

ดูหนังฟรี

HurricaneSalmon

Newbie

พลังน้ำใจ: 1

ออฟไลน์

กระทู้: 80

« ตอบ #7 เมื่อ: 25 กันยายน 2018, 10:57:52 »

เฮือกๆ น่ากลัวจุง wanwan009


	บันทึกการเข้า

http://www.HurricaneSalmon.com

Meen2007

สมุนแก๊งเสียว

พลังน้ำใจ: 123

ออฟไลน์

กระทู้: 573

« ตอบ #8 เมื่อ: 25 กันยายน 2018, 12:02:52 »

อ้างจาก: maneemeena ที่ 25 กันยายน 2018, 10:35:10

ใช่ครับ จูมล่าโฟลเดอร์เยอะมาก ผมลองแก้ด้วยการลบโฟลเดอร์ที่มันใส่ไฟล์เข้ามาออกทิ้งทั้งโฟล์เดอร์เลย
แต่มันก็ย้ายไปสร้างใส่ในโฟล์เดอร์อื่นแทนอีก อัตโนมัติได้อย่างง่ายดายในทันทีทันใดเลยด้วย คือลบทิ้งออกมันก็สร้างได้ใหม่ ไม่รู้มันใช้วิธีใด
ทางเดียวที่ผมคิดไว้ตอนนี้คือ สร้างใหม่หมด แล้วลบทิ้งไฟล์ของเก่าทั้งหมด แล้วเอา ฐานข้อมูลเดิมมาใช้ ไม่รู้จะเวิร์คใหม


	บันทึกการเข้า

หัวน้ำพุ Fountain Nozzle

ปั๊มน้ำ Pump

Meen2007

สมุนแก๊งเสียว

พลังน้ำใจ: 123

ออฟไลน์

กระทู้: 573

« ตอบ #9 เมื่อ: 25 กันยายน 2018, 22:54:26 »

ถามผู้รู้เรื่อง Host ครับ โดนวางไฟล์ Hack ไว้นอก root เลย ต้องแก้ยังไง

จากรูปภาพ มันไปสร้างโฟลเดอร์วางไฟล์ .xml ซึ่งเต็มไปด้วยคำสั่งลิงค์แต่ละหน้าเว็บของมัน โดยผูกไว้กับโดเมนหลักของผม
ซึ่งตำแหน่งของมัน อยู่ที่ด้านนอกเลย ชื่อ public_htmltemp กับ public_htmlrobots.txt ซึ่ง 2ไฟล์นี้ผมลบแล้วมันก็สร้างกลับขึ้นมาใหม่ทันที

คำถามคือ กรณีแบบนี้ผมต้องทำอย่างไรครับ
ถึงแม้ผมจะทำเว็บใหม่กลับขึ้นมาใหม่ได้ แต่ปัญหาก็คงยังอยู่เช่นเดิมอีก


	บันทึกการเข้า

หัวน้ำพุ Fountain Nozzle

ปั๊มน้ำ Pump

icez

Verified Seller
หัวหน้าแก๊งเสียว

พลังน้ำใจ: 296

ออฟไลน์

กระทู้: 2,879

« ตอบ #10 เมื่อ: 26 กันยายน 2018, 00:42:57 »

ดูเหมือนจะมี backdoor process รันค้างอยู่เลยครับ ต้องให้ทาง host ช่วยเช็ค + kill ทิ้งล่ะครับแบบนี้


	บันทึกการเข้า

THZHost

SSD Hosting ไทย/สิงคโปร์ พร้อม firewall ป้องกันการยิงเว็บ + scan ไวรัสในเว็บ

Meen2007

สมุนแก๊งเสียว

พลังน้ำใจ: 123

ออฟไลน์

กระทู้: 573

« ตอบ #11 เมื่อ: 26 กันยายน 2018, 00:57:31 »

อ้างจาก: icez ที่ 26 กันยายน 2018, 00:42:57

ได้ครับ แจ้ง Host ไปแล้ว และผมก็ทำเว็บกลับมาได้แล้ว แต่อยู่ใน sub โดเมนอื่น รอเคลียร์ โดเมนของโฮสท์ปัญหานี้ให้จบจะย้ายมา
หรือไม่ก็ลบทิ้งทั้งโฮสนี้ไปเลยแล้วสร้าง Add New User ขึ้นมาใหม่ แบบนี้จะได้ใหมครับ (แบบหลังนี่รอทางโฮสหากแก้ไม่ได้)
ขอบคุณมากครับ