ถ้าโดนยัดไฟล์เข้า FTP มันน่าจะเกิดจากรอยรั่วตรงไหนได้บ้างครับ

[intel432]

ถ้าโดนยัดไฟล์เข้า FTP มันน่าจะเกิดจากรอยรั่วตรงไหนได้บ้างครับ

เว็บมีแต่เว็บบอร์ด SMF ครับ

แล้วรู้สึกว่าคนแฮคเนี่ย สามารถยัดไฟล์ตัวนึงเข้ามาในเซิร์ฟเวอร์ได้ เป็นไฟล์ PHP ที่เอาไว้เปิดใช้งาน FTP

คือเวลาเปิด URL ไฟล์นี้มันจะเหมือนกับว่าใช้โปรแกรม FTP อยู่

แต่ผมแปลกใจว่าเค้าสามารถยัดไฟล์นี้เข้ามาได้อย่างไร

พอจะมีสาเหตุไหนบ้างครับ แล้วมีวิธีทางแก้ยังไงบ้าง

ขอบคุณมากครับ

[EThaiZone]

ลองตรวจ owner ของไฟล์ที่โดนยัดสิครับ ว่าโดนอัพผ่านทาง ftp หรือโดนเขียนด้วยระบบ (apache)
พวก cp อย่าง da ก็ตรวจได้ง่ายๆ หรือในโปรแกรม ftp พวก filezilla ก็ดูได้

ถ้้าowner เป็น ftp ก็แปลว่าไฟล์นี้โดนอัพมาทาง ftp และเป็น backdoor
ถ้าเป็นอย่างอื่น เช่น apache แปลว่าไฟล์นี้โดน crossing script แล้วสั่งให้ apache เขียนเก็บไว้
เพื่อง่ายต่อการแฮกขั้นต่อไป และเป็น backdoor

[intel432]

ขอบคุณท่าน EThaiZone มากครับ

ช่วยตอบกระทู้ผมทั้งสองกระทู้เลย แต่ผมดันลบไฟล์ไปซะแล้ว

ไม่ทันได้สังเกตว่าเป็นแบบไหน = ="

[EThaiZone]

เอาใจช่วยครับ ดูถ้าท่านจะเจอพวกไฟล์แนว c99 r57 อะไรพวกนี้
เป็นสคริปในฝันของผมตัวหนึ่งเลย ตัวเดียวครบครัวทั้งเป็น file manager และรัน shell ได้
แต่ที่ว่าเป็นในฝัน คือไฟล์เดียวทำงานได้ทุกอย่าง โค้ดทุกอย่างรวมอยู่ในไฟล์เดียว

จริงๆ ถ้าบนโฮสมี antivirus มันจะตีพวกนี้เป็น backdoor ด้วย (จับลบหมด)
แต่ผมก็ไม่เคยลอง antivirus ฝั่งทางพวกลินุกส์นะ
แต่ทางฝั่ง windows พวก kaspersky มันเจอเป็นลบหมดเลย
เลยไม่ต้องห่วงเรื่องโดนอัพทาง ftp แต่โฮสทั่วไปผมก็ไม่คิดว่ามันจะลงไว้หรอก ระบบมันจะอืด

[intel432]

แล้วพอเราสรุปได้ว่า

เป็นฝีมือจาก owner หรือ apache

แล้วจะทำยังไงต่อดีครับ

[EThaiZone]

แล้วพอเราสรุปได้ว่า

เป็นฝีมือจาก owner หรือ apache

แล้วจะทำยังไงต่อดีครับ

จริงๆ ต้องเป็น ftp หรือ apache ครับ

ถ้าเป็น ftp นั้นหมายความว่าเขาได้รหัสผ่าน ftp มาจากที่อื่นแล้วทำการล็อกอินโดยตรง
อันนี้ต้องดูแลในการใช้รหัสผ่านตัวนี้
- ห้ามเอาไปใช้ปนกับเว็บสาธารณะ เช่น เอาไปใช้เป็นรหัสผ่านเข้าเว็บบอร์ดอื่น
- ดูแลคอมตัวเอง ไวรัส โทรจัน อย่าให้มี
- อย่าไปใช้ตอนที่ใช้กับคอมสาธารณะ เช่น ร้านเน็ต (ความปลอดภัยมันต่ำ)
- ถ้าเป็นไปได้ ใช้ SFTP (FTP เอา sniffer ดักได้รหัสผ่านตรงๆ เลย)

ส่วนถ้าเป็น apache อันนี้เกิดจากว่ามีช่องโหว่ให้สามารถทำ cross site scripting (เรียก xss ไม่งั้นมันจะซ้ำกับ css) หรือ code inject
ซึ่งการที่ไฟล์นั้นมี owner เป็น apache แปลว่าคนแฮกมีข้อจำกัดที่ว่ายังไม่ได้รหัสผ่านของ ftp
เลยทำให้ต้องอาศัยวิธีนี้แทน วิธีนี้ถูกเรียกกว่า remote code execution (การรันโค้ดให้ทำงานจากภายนอก)
โดยต้องดูแลเรื่อง
- ใช้โปรแกรม สคริปที่เป็นเวอร์ชั่นล่าสุด หรือถ้ามีแบบก็ควรยึดแบบ stable เป็นหลัก (บางทีมีทั้ง beta , nightly-builds)
- ใช้โปรแกรมที่เป็นมาตรฐาน ในกรณีเป็นโปรแกรมที่มีสิทธิ์การทำงานได้ถึง root เช่น web cp
อันนี้ต้องเลี่ยงการใช้ opensource สักนิด เพราะการที่โค้ดเปิด มันทำให้แฮกเกอร์สามารถศึกษาโค้ดนั้นได้ละเอียดขึ้น
- กำหนด permission ของโฟลเดอร์และไฟล์ให้ปลอดภัย คือกำหนดสิทธิ์ในการเขียนทับ เข้าถึง
กรณีฝั่ง linux หรือ unix มาตรฐาน ไฟล์จะเป็น 644 โฟลเดอร์จะเป็น 755
จะทำให้ไม่สามารถเขียนแก้ไขอะไรได้ นอกจากการกระทำของ user เจ้าของนั้นๆ ไป
ส่วนถ้าโฮสฝั่ง windows ผมไม่ทราบจริงๆ อันนี้ต้องลองค้นเพิ่มดูเอง

ตอนนี้ผมนึกได้แค่นี้ ผมว่าในบอร์ดมีคนมาเสริมได้อีกนะ ใครเสริมได้ก็มาแชร์เพิ่มหน่อยนะครับ 

[OXYGEN2]

ผมเคยติด virus ที่เครื่องตัวเอง และไปตั้งให้โปรแกรม CuteFTP มันจำรหัสไว้เลยเจอปัญหาครับ

[chui761]

ผมก็เคยโดนครับ

คอมติดไวรัส แล้วผมดันใช้ ftp user เดียวกันหลายเว็บเลย ดีที่เจอก่อน โดนไปแค่ 3 เว็บ

หลังๆ ผมเลยใช้ user pass แต่ละโดเมนไม่ซ้ำกันครับ ตอนหลัง เคยโดนอีกรอบ ก็โดนไปแค่โดเมนเดียว

หลังๆ นี้ใช้ kaspersky ก็สบายใจขึ้นเยอะครับ

[หนึ่งสุดหล่อ]

ที่เพื่อนๆเจอกันเยอะจะเป็นว่า เครื่องที่คุณใช้อยู่เนี่ย ไปเล่นเวบ 18+ หรือโหลดแคร๊ก คีย์เจน ทั้งหลาย แล้วติดสปายแวร์ ซึ่งไอ้สปายแวร์พวกเนี้ยแหล่ะครับที่มันจะวิ่งไปดูพาสเวิร์ด ftp ที่เราเซฟไว้ในโปรแกรม ftp ต่างๆ แล้วแจ้งกลับไปทางคนปล่อยอีกที หลุดกันกระจาย แล้วมันทำหลายอย่างด้วย ตั้งแต่ใส่ไฟล์แปลกๆไว้ให้รีโมเข้ามาได้ หรือแก้ไฟล์ html php เราเอาโค้ดกระจายสปายแวร์มาใส่ไว้อีก ไปจนถึงส่งสแปมออกจนทำให้ ip เราติด blacklist ก็มี (กว่าจะเอาออกได้วุ่นวายมากๆ แถม user ไม่เข้าใจว่ามันคืออะไรอีก) ยังไงลองตรวจดูให้ละเอียดในทุกๆที่ครับ

[~บอล~]

สคิบ nulled ที่แจกตามบอร์ดทั้งหลายอัตราโดน 99% อย่าใช้ดีกว่าครับ โดนมาแล้ว
พวก software crack ต่างๆ

[pizad_sura]

โดนเหมือนผมเป๊ะเลยครับ ไฟล์ชื่อ fm2.php

เปิดดูข้างในแล้วเป็นสคริปจัดการไฟล์ใน ftp แน่นอน 

[paparazo]

ตกลงมันมาได้ไงกัน เราใช้ null ส่งสัยมาทางนั้น

[intel432]

มาแล้วครับ มันอัพไฟล์มาอีกแล้ว เป็นการอัพโดย user ftp จริงๆ ด้วยครับ ของผมเอง

สงสัยจะโดนเหมือนข้างบน เดี๋ยวลองแก้แล้วไม่ใช้ ftp ก่อน

[berkbaan]

มาแล้วครับ มันอัพไฟล์มาอีกแล้ว เป็นการอัพโดย user ftp จริงๆ ด้วยครับ ของผมเอง

สงสัยจะโดนเหมือนข้างบน เดี๋ยวลองแก้แล้วไม่ใช้ ftp ก่อน

Scan Virus ในเครื่องที่ใช้ FTP ดูสิ
สงสัยจะเจอม้าหลายตัว พร้อมส่งไปทำสงครามได้เลย

[intel432]

สแกนแล้วครับ แต่ไม่พบอะไร

ใช้ Kaspersky Internet Surcurity นะครับ

[Bankai]

ลองเปลี่ยน pass แล้วใช้ sftp หรือ อีกตัว ที่มัน secure อะครับ ดัก pass ระหว่างทางไม่ได้

เครื่องใช้คนเดียวหรือเปล่า

[GillBate]

  save password ตัว FTP ไว้รึเปล่าครับ

[EThaiZone]

ลองเปลี่ยน pass แล้วใช้ sftp หรือ อีกตัว ที่มัน secure อะครับ ดัก pass ระหว่างทางไม่ได้

เครื่องใช้คนเดียวหรือเปล่า

แนะนำตามนี้เลย เห็นว่าเครื่องของตัวเอง วางเองนิครับ
ทำ SFTP เลย ชีวิตจะปลอดภัยมากขึ้น

มาแล้วครับ มันอัพไฟล์มาอีกแล้ว เป็นการอัพโดย user ftp จริงๆ ด้วยครับ ของผมเอง

สงสัยจะโดนเหมือนข้างบน เดี๋ยวลองแก้แล้วไม่ใช้ ftp ก่อน

ถ้าเปลี่ยนรหัสผ่านใหม่ แล้วมันยังได้รหัสผ่านเรื่อยๆ
ให้อารมณ์เหมือน sniffer นะครับ (เหมือนที่ผมพูดในกระทู้ที่แล้ว เรื่อง switch)

ตอนนี้ใช้ ftp client ตัวอะไรเหรอครับ?