แล้วพอเราสรุปได้ว่า
เป็นฝีมือจาก owner หรือ apache
แล้วจะทำยังไงต่อดีครับ
จริงๆ ต้องเป็น ftp หรือ apache ครับ
ถ้าเป็น ftp นั้นหมายความว่าเขาได้รหัสผ่าน ftp มาจากที่อื่นแล้วทำการล็อกอินโดยตรง
อันนี้ต้องดูแลในการใช้รหัสผ่านตัวนี้
- ห้ามเอาไปใช้ปนกับเว็บสาธารณะ เช่น เอาไปใช้เป็นรหัสผ่านเข้าเว็บบอร์ดอื่น
- ดูแลคอมตัวเอง ไวรัส โทรจัน อย่าให้มี
- อย่าไปใช้ตอนที่ใช้กับคอมสาธารณะ เช่น ร้านเน็ต (ความปลอดภัยมันต่ำ)
- ถ้าเป็นไปได้ ใช้ SFTP (FTP เอา sniffer ดักได้รหัสผ่านตรงๆ เลย)
ส่วนถ้าเป็น apache อันนี้เกิดจากว่ามีช่องโหว่ให้สามารถทำ cross site scripting (เรียก xss ไม่งั้นมันจะซ้ำกับ css) หรือ code inject
ซึ่งการที่ไฟล์นั้นมี owner เป็น apache แปลว่าคนแฮกมีข้อจำกัดที่ว่ายังไม่ได้รหัสผ่านของ ftp
เลยทำให้ต้องอาศัยวิธีนี้แทน วิธีนี้ถูกเรียกกว่า remote code execution (การรันโค้ดให้ทำงานจากภายนอก)
โดยต้องดูแลเรื่อง
- ใช้โปรแกรม สคริปที่เป็นเวอร์ชั่นล่าสุด หรือถ้ามีแบบก็ควรยึดแบบ stable เป็นหลัก (บางทีมีทั้ง beta , nightly-builds)
- ใช้โปรแกรมที่เป็นมาตรฐาน ในกรณีเป็นโปรแกรมที่มีสิทธิ์การทำงานได้ถึง root เช่น web cp
อันนี้ต้องเลี่ยงการใช้ opensource สักนิด เพราะการที่โค้ดเปิด มันทำให้แฮกเกอร์สามารถศึกษาโค้ดนั้นได้ละเอียดขึ้น
- กำหนด permission ของโฟลเดอร์และไฟล์ให้ปลอดภัย คือกำหนดสิทธิ์ในการเขียนทับ เข้าถึง
กรณีฝั่ง linux หรือ unix มาตรฐาน ไฟล์จะเป็น 644 โฟลเดอร์จะเป็น 755
จะทำให้ไม่สามารถเขียนแก้ไขอะไรได้ นอกจากการกระทำของ user เจ้าของนั้นๆ ไป
ส่วนถ้าโฮสฝั่ง windows ผมไม่ทราบจริงๆ อันนี้ต้องลองค้นเพิ่มดูเอง
ตอนนี้ผมนึกได้แค่นี้ ผมว่าในบอร์ดมีคนมาเสริมได้อีกนะ ใครเสริมได้ก็มาแชร์เพิ่มหน่อยนะครับ
พัฒนาเว็บไซต์
