Tentzy
Newbie
พลังน้ำใจ: 0
 ออฟไลน์
กระทู้: 8
|
 |
« เมื่อ: 05 พฤษภาคม 2021, 17:02:48 » |
|
เนื่องจาก เว็ปทุกเว็ปในโฮสต์ ใช้ wordpress ไม่สามารถเข้าไปแก้ไขหลังบ้านได้ ขึ้น 403 forbidden You don't have permission to access this resource.
ติดต่อโฮสต์มาหลายวัน แจ้งว่า มี malware มาสร้าง .htaccess ไว้เต็มไปหมด
ผมได้ทำการไล่ลบทั้งหมด เหลือไว้เฉพาะในโฟลเดอร์ public_html
...........
จนมาถึงไฟล์ .htaccess ในโฟลเดอร์ public_html ซึ่งภายในมันมีโค้ดดังนี้
<FilesMatch ".(PhP|php5|suspected|phtml|py|exe|php|asp|Php|aspx)$">
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch "^(postfs.php|votes.php|index.php|wjsindex.php|lock666.php|font-editor.php|ms-functions.php|contents.php|jsdindex.php|wp-login.php|load.php|template-load.php)$">
Order allow,deny
Allow from all
</FilesMatch>
AddType application/x-httpd-cgi .sh
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>
ผมลองแก้ไขไฟล์ด้วย โค้ดอื่นๆตามที่ดูในเว็ปโดยใส่
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>
เว็ปกลับมาใช้งานได้ ไม่กี่วิ ขึ้น 403 forbidden เหมือนเดิม
กลับมาดู .htaccess ในโฟลเดอร์ public_html มันกลายเป็นโค้ดแบบด้านบนสุดเหมือนเดิม
ไม่ว่าจะลบ จะedit จะแก้ permission เป็น 644 (มันเปน 555 อัตโนมัติ)
จนหมดปัญญา ไม่รู้จะแก้ยังไงดีครับ
ทางโฮสตแจ้งเพิ่มเติมว่า ให้ผมแก้โค้ดภายใน index.php ซึ่งอาการเดียวกันคือ
ไม่ว่าจะแก้ จะลบ จะ edit permission กี่รอบ มันจะกลับไปเป็นแบบแรกเสมอครับ
พอจะทราบวิธีไหมครับ ว่าควรแก้ตรงไหน
|
|
|
|
« แก้ไขครั้งสุดท้าย: 05 พฤษภาคม 2021, 17:05:16 โดย Tentzy »
|
บันทึกการเข้า
|
|
|
|
dermapond
Verified Seller
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 127
ออฟไลน์
กระทู้: 1,750
|
|
« ตอบ #1 เมื่อ: 05 พฤษภาคม 2021, 18:00:06 » |
|
ลักษณะแบบนี้ คาดว่ามีไฟล์ที่ติดมัลแวร์หลายไฟล์ทำงานอัตโนมัติตลอดเวลาครับ
ก่อนอื่นอย่าลืมสำรองไฟล์ก่อนครับ
อาจจะต้องใช้ความชำนาญหน่อยนะครับ โดยการลบไฟล์ในโฟรเดอร์ wp-admin , wp-include แล้วเอาต้นฉบับ wordpress มาลงแทน ส่วนในโฟรเดอร์ wp-content ลองลบโฟรเดอร์ theme ออกก่อน ต้องลองลบออก ถ้ายังไม่ได้ผลต้องทะยอยลบปลั๊กอินทีละอันออก หลังจากนั้นติดตั้งปลั๊กอิน wordfence สแกนไวรัสทันที แล้วลบออกทั้งหมดครับ
|
|
|
|
|
บันทึกการเข้า
|
|
|
|
icez
Verified Seller
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 296
ออฟไลน์
กระทู้: 2,886
|
|
« ตอบ #2 เมื่อ: 05 พฤษภาคม 2021, 18:12:30 » |
|
ต้องให้ทาง host ช่วย clear process ออก+หยุดการทำงานของเว็บไปก่อนครับ ไม่งั้นก็ clear ไม่ได้
|
|
|
|
|
บันทึกการเข้า
|
THZHost  SSD Hosting ไทย/สิงคโปร์ พร้อม firewall ป้องกันการยิงเว็บ + scan ไวรัสในเว็บ
|
|
|
thongmarine
คนรักเสียว
พลังน้ำใจ: 1
ออฟไลน์
กระทู้: 191
|
|
« ตอบ #3 เมื่อ: 05 พฤษภาคม 2021, 20:07:56 » |
|
ปกติ Host จะมี Backup ข้อมูลให้เรา เป็นระยะๆ นะครับ ถ้ามี ให้ไฟล์ ออกให้หมด แล้วลบทิ้งให้หมด แล้ว ดึง Backup เก่าล่าสุด มา Restore
แต่ Host อะไรนะ ไม่มี แอนตี้ มัลแวร์ให้เรา
|
|
|
|
|
บันทึกการเข้า
|
|
|
|
icez
Verified Seller
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 296
ออฟไลน์
กระทู้: 2,886
|
|
« ตอบ #4 เมื่อ: 05 พฤษภาคม 2021, 21:57:26 » |
|
แต่ Host อะไรนะ ไม่มี แอนตี้ มัลแวร์ให้เรา
host ส่วนใหญ่ไม่มีหรอกครับ |
|
|
|
|
บันทึกการเข้า
|
THZHost SSD Hosting ไทย/สิงคโปร์ พร้อม firewall ป้องกันการยิงเว็บ + scan ไวรัสในเว็บ
|
|
|
rayongall
สมุนแก๊งเสียว
พลังน้ำใจ: 13
ออฟไลน์
กระทู้: 512
|
|
« ตอบ #5 เมื่อ: 05 พฤษภาคม 2021, 23:40:44 » |
|
หายขาดมีทางเดียวทำใหม่
|
|
|
|
|
บันทึกการเข้า
|
|
|
|
Akira007
คนรักเสียว
พลังน้ำใจ: 1
ออฟไลน์
กระทู้: 128
|
|
« ตอบ #6 เมื่อ: 06 พฤษภาคม 2021, 06:02:15 » |
|
 ขอบคุณสำหรับแนวทางแก้ไขที่ทุกท่านมาแชร์นะครับ
|
|
|
|
|
บันทึกการเข้า
|
|
|
|
Tentzy
Newbie
พลังน้ำใจ: 0
ออฟไลน์
กระทู้: 8
|
|
« ตอบ #7 เมื่อ: 06 พฤษภาคม 2021, 08:42:30 » |
|
ขอบคุณทุกท่านครับผม สำหรับข้อแนะนำดีดี ดีกว่า support ของ Host อีก
ส่วนเรื่อง backup ผมสอบถามไปแล้ว เค้าไม่มีครับ มีล่าสุดคือ นานมาก(น่าจะเปนที่ผมแบ๊คอัพไว้เอง)
เดี๋ยววันนี้จะลองลุยต่อตามคำแนะนำของทุกท่านครับ ขอบคุณครับ
|
|
|
|
|
บันทึกการเข้า
|
|
|
|
|
|
Tentzy
Newbie
พลังน้ำใจ: 0
ออฟไลน์
กระทู้: 8
|
|
« ตอบ #9 เมื่อ: 06 พฤษภาคม 2021, 10:54:14 » |
|
ลักษณะแบบนี้ คาดว่ามีไฟล์ที่ติดมัลแวร์หลายไฟล์ทำงานอัตโนมัติตลอดเวลาครับ
ก่อนอื่นอย่าลืมสำรองไฟล์ก่อนครับ
อาจจะต้องใช้ความชำนาญหน่อยนะครับ โดยการลบไฟล์ในโฟรเดอร์ wp-admin , wp-include แล้วเอาต้นฉบับ wordpress มาลงแทน ส่วนในโฟรเดอร์ wp-content ลองลบโฟรเดอร์ theme ออกก่อน ต้องลองลบออก ถ้ายังไม่ได้ผลต้องทะยอยลบปลั๊กอินทีละอันออก หลังจากนั้นติดตั้งปลั๊กอิน wordfence สแกนไวรัสทันที แล้วลบออกทั้งหมดครับ
ทำตามวิธีนี้ ได้ผลทุกเว็ปในโฮสต์ครับ แก้ไขได้เรียบร้อย ขอขอบพระคุณมากครับ |
|
|
|
|
บันทึกการเข้า
|
|
|
|
ivar
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 75
ออฟไลน์
กระทู้: 2,787
|
|
« ตอบ #10 เมื่อ: 06 พฤษภาคม 2021, 11:14:03 » |
|
ถามเป็นความรู้ค่ะ อันนี้คาดว่าโดนยังไงค่ะจาก ftp หรือจาก plugin wordpress
|
|
|
|
|
บันทึกการเข้า
|
|
|
|
ratary
คนรักเสียว
พลังน้ำใจ: 1
ออฟไลน์
กระทู้: 106
|
|
« ตอบ #11 เมื่อ: 06 พฤษภาคม 2021, 13:30:17 » |
|
มาเก็บข้อมูล ขอบคุณครับ
|
|
|
|
|
บันทึกการเข้า
|
|
|
|
champooko1
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 103
ออฟไลน์
กระทู้: 2,515
|
|
« ตอบ #12 เมื่อ: 06 พฤษภาคม 2021, 14:46:27 » |
|
ขอเล่าประสบการณ์ตรงนะครับ
ผมเคยเช่า SEO hosting ในไทยเจ้าหนึ่ง เลือก 40 IP จ่ายรายเดือน
ลงเว็บครบ 40 เว็บ เว็บถูกเจอะเละเทะ
ผมทำเรื่องขอคืนเงิน เขาบอก เว็บถูกเจาะไม่ใช่ความผิดของเขา ไม่คืนเงิน
จากนั้นผมไปเช่าอีกเจ้าหนึ่ง มันก็ไม่เห็นมีปัญหาอะไรทั้ง 40 เว็บ
อันนี้ +1 ให้ด้วยครับ เคยใช้อยู่เจ้านึงไม่มีปัญหาเลย 5-7 ปี พอย้ายมาอีกเจ้ามีแต่มัลแวร์ให้แก้ทุกเดือน ผมละงงจริงๆ |
|
|
|
|
บันทึกการเข้า
|
|
|
|
Akira007
คนรักเสียว
พลังน้ำใจ: 1
ออฟไลน์
กระทู้: 128
|
|
« ตอบ #13 เมื่อ: 06 พฤษภาคม 2021, 15:08:39 » |
|
ขอเล่าประสบการณ์ตรงนะครับ
ผมเคยเช่า SEO hosting ในไทยเจ้าหนึ่ง เลือก 40 IP จ่ายรายเดือน
ลงเว็บครบ 40 เว็บ เว็บถูกเจอะเละเทะ
ผมทำเรื่องขอคืนเงิน เขาบอก เว็บถูกเจาะไม่ใช่ความผิดของเขา ไม่คืนเงิน
จากนั้นผมไปเช่าอีกเจ้าหนึ่ง มันก็ไม่เห็นมีปัญหาอะไรทั้ง 40 เว็บ
อันนี้ +1 ให้ด้วยครับ เคยใช้อยู่เจ้านึงไม่มีปัญหาเลย 5-7 ปี พอย้ายมาอีกเจ้ามีแต่มัลแวร์ให้แก้ทุกเดือน ผมละงงจริงๆ เจออย่างนี้...เหนื่อยแทนเลยครับ แต่ก็ยินดีด้วยที่เจอปัญหา และย้ายไปเจ้าอื่นที่ช่วยแก้ปัญหาได้ในระยะยาว ที่สำคัญไม่ต้องมานั่งปวดหัวแก้ปัญหาเดิมๆซ้ำๆกันครับ  |
|
|
|
|
บันทึกการเข้า
|
|
|
|
Akira007
คนรักเสียว
พลังน้ำใจ: 1
ออฟไลน์
กระทู้: 128
|
|
« ตอบ #14 เมื่อ: 06 พฤษภาคม 2021, 15:12:31 » |
|
ลักษณะแบบนี้ คาดว่ามีไฟล์ที่ติดมัลแวร์หลายไฟล์ทำงานอัตโนมัติตลอดเวลาครับ
ก่อนอื่นอย่าลืมสำรองไฟล์ก่อนครับ
อาจจะต้องใช้ความชำนาญหน่อยนะครับ โดยการลบไฟล์ในโฟรเดอร์ wp-admin , wp-include แล้วเอาต้นฉบับ wordpress มาลงแทน ส่วนในโฟรเดอร์ wp-content ลองลบโฟรเดอร์ theme ออกก่อน ต้องลองลบออก ถ้ายังไม่ได้ผลต้องทะยอยลบปลั๊กอินทีละอันออก หลังจากนั้นติดตั้งปลั๊กอิน wordfence สแกนไวรัสทันที แล้วลบออกทั้งหมดครับ
ทำตามวิธีนี้ ได้ผลทุกเว็ปในโฮสต์ครับ แก้ไขได้เรียบร้อย ขอขอบพระคุณมากครับ ขอบคุณครับที่มาช่วย confirm วิธีการแก้ไขปัญหา ต้องเก็บไว้อ้างอิง เผื่อเจอปัญหาในอนาคต เห็นความสำคัญของการ backup ไฟล์บ่อยๆขึ้นมาทันที  |
|
|
|
« แก้ไขครั้งสุดท้าย: 06 พฤษภาคม 2021, 15:13:32 โดย Akira007 »
|
บันทึกการเข้า
|
|
|
|
seohomepro
ก๊วนเสียว
พลังน้ำใจ: 10
ออฟไลน์
กระทู้: 455
|
|
« ตอบ #15 เมื่อ: 06 พฤษภาคม 2021, 17:22:27 » |
|
แวะมาเก็บข้อมูลค่ะ
|
|
|
|
|
บันทึกการเข้า
|
|
|
|
Gain
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 94
ออฟไลน์
กระทู้: 1,426
|
|
« ตอบ #16 เมื่อ: 07 พฤษภาคม 2021, 15:51:34 » |
|
น่ากลัว ไม่อยากเจอกับตัวเลย คงเพลียไปหลายวัน  |
|
|
|
|
บันทึกการเข้า
|
|
|
|
piangfaa
Newbie
พลังน้ำใจ: 1
ออฟไลน์
กระทู้: 19
|
|
« ตอบ #17 เมื่อ: 10 พฤษภาคม 2021, 06:40:34 » |
|
ขอบคุณ dermapond เอาไว้มีโอกาสจะใช้บริการ Nokhosting นะ พอดีช่วงนั้น VPS NVMe แพ็คเกจที่จะใช้มันยังไม่มี เห็นบอกอีก 2-3 เดือน เลยจำใจไปสิงคโปร์  |
|
|
|
|
บันทึกการเข้า
|
|
|
|
dermapond
Verified Seller
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 127
ออฟไลน์
กระทู้: 1,750
|
|
« ตอบ #18 เมื่อ: 10 พฤษภาคม 2021, 14:54:56 » |
|
ขอบคุณ dermapond เอาไว้มีโอกาสจะใช้บริการ Nokhosting นะ พอดีช่วงนั้น VPS NVMe แพ็คเกจที่จะใช้มันยังไม่มี เห็นบอกอีก 2-3 เดือน เลยจำใจไปสิงคโปร์ ยินดีให้บริการครับ ขอบคุณครับ |
|
|
|
|
บันทึกการเข้า
|
|
|
|
sunflowerlady77
คนรักเสียว
พลังน้ำใจ: 2
ออฟไลน์
กระทู้: 188
|
|
« ตอบ #19 เมื่อ: 12 พฤษภาคม 2021, 10:14:25 » |
|
|
|
|
|
|
บันทึกการเข้า
|
|
|
|
|
พัฒนาเว็บไซต์
