SMF โดน Hack หน้าเว็บไฟล์ Index.php ทั้งหมดถูกเปลี่ยนใครรู้วิธีแก้ช่วยที

Meen2007 · 20 ธันวาคม 2010, 10:44:57

โดนมา 3-4 รอบแล้วหาสาเหตุไม่เจอว่าช่องทางการเข้ามายิงเปลี่ยน index.php ของเว็บไซต์ทั้งหมดให้เปลี่ยนไปมาจากไหน
เปลี่ยน User-Pass แล้วก็ไม่หาย ว่าจะลองเปลี่ยน Pass ของ DB SMF ดูไม่รู้จะหายใหม
index.php ของเว็บไซต์ทั้งหมดไม่ว่าในตัวเว็บไซต์หลักและในส่วนของเว็บบอร์ดโดนเปลี่ยนหมด

เปลี่ยนเป็นแบบนี้ ยิงใส่ index มายาวประมาณ 2531 บรรทัด (นี่คัดมาเพียงบางส่วน)

โค้ด เลือก

<font id="a_f6bb84b2"  color="green"  style="height: 0;overflow: hidden;width: 0; position: absolute; font-family:Courier; font-size:8px" >
<a href='http://ziem-trans.pl/factors1121'>factors1121</a><br>

<p><a href='http://ziem-trans.pl/fake1173'>fake1173</a></p>

<b><a href='http://mojgolden.eu/cave1209'>cave1209</a></b>

<a href='http://ziem-trans.pl/factor0117'>factor0117</a><br>

<li>clarinets</li>

<li><a href='http://penitentes.net/crema1103'>crema1103</a></li>

<li><a href='http://postbag.co.za/camera070'>camera070</a></li>

<li><a href='http://mediasignage.pl/care1209'>care1209</a></li>

<div><a href='http://postbag.co.za/camera175'>camera175</a></div>
<p><a href='http://okno.radom.pl/county76'>county76</a></p>

<div><a href='http://okno.radom.pl/court0219'>court0219</a></div>
<li><a href='http://mediasignage.pl/care1197'>care1197</a></li>

causally<br>

<p>devises</p>

<a href='http://okno.radom.pl/cover242'>cover242</a><br>

<li><a href='http://mojgolden.eu/center272'>center272</a></li>

<b><a href='http://penitentes.net/cure0202'>cure0202</a></b>

<b>distension</b>

<p>cheeriest</p>

<a href='http://postbag.co.za/calle129'>calle129</a><br>

<a href='http://szerszamkeszlet.com/della113'>della113</a><br>

<div><a href='http://mojgolden.eu/casio1117'>casio1117</a></div>
<li><a href='http://okno.radom.pl/courses1206'>courses1206</a></li>

<p><a href='http://ziem-trans.pl/fair1158'>fair1158</a></p>

<div>archangel</div>
<b><a href='http://szerszamkeszlet.com/denver174'>denver174</a></b>

<a href='http://mojgolden.eu/caused1196'>caused1196</a><br>

<b>capabler</b>

<b>barnyards</b>

<a href='http://postbag.co.za/canada0168'>canada0168</a><br>

<p>beautician</p>

<b>corvet</b>

<li>edgier</li>

<b><a href='http://mediasignage.pl/card096'>card096</a></b>

<div><a href='http://szerszamkeszlet.com/denver073'>denver073</a></div>
<div><a href='http://postbag.co.za/canada147'>canada147</a></div>
<b><a href='http://postbag.co.za/camp1102'>camp1102</a></b>

<li><a href='http://okno.radom.pl/cover243'>cover243</a></li>

<li><a href='http://ziem-trans.pl/fanfiction0280'>fanfiction0280</a></li>

<div><a href='http://mediasignage.pl/carlos1265'>carlos1265</a></div>
<div><a href='http://postbag.co.za/canal1220'>canal1220</a></div>
<li>doings</li>

butchering<br>

<div>blown</div>
<b><a href='http://szerszamkeszlet.com/deluxe023'>deluxe023</a></b>

<p>ensnarer</p>

<b><a href='http://mojgolden.eu/castle1146'>castle1146</a></b>

<b><a href='http://ziem-trans.pl/failed142'>failed142</a></b>

<li>ethanols</li>

<b>bibliographies</b>

<div><a href='http://postbag.co.za/camera067'>camera067</a></div>
erudite<br>

<p><a href='http://postbag.co.za/camping1120'>camping1120</a></p>

<div><a href='http://mediasignage.pl/card1147'>card1147</a></div>
archaically<br>

<b><a href='http://penitentes.net/current1213'>current1213</a></b>

<b><a href='http://ziem-trans.pl/exit14'>exit14</a></b>

antipasto<br>

<b><a href='http://mojgolden.eu/center290'>center290</a></b>

<div><a href='http://mediasignage.pl/capital131'>capital131</a></div>
<div><a href='http://penitentes.net/creed085'>creed085</a></div>
<li><a href='http://penitentes.net/cream026'>cream026</a></li>

<li><a href='http://ziem-trans.pl/factory1127'>factory1127</a></li>

<b><a href='http://mojgolden.eu/castle136'>castle136</a></b>

<li><a href='http://ziem-trans.pl/eyes184'>eyes184</a></li>

<b><a href='http://penitentes.net/custom1238'>custom1238</a></b>

<p><a href='http://mediasignage.pl/care0187'>care0187</a></p>

<p>atrip</p>

<p>beknighted</p>

<li><a href='http://szerszamkeszlet.com/description117'>description117</a></li>

<p><a href='http://mediasignage.pl/care1199'>care1199</a></p>

<b><a href='http://penitentes.net/curry218'>curry218</a></b>

<a href='http://szerszamkeszlet.com/diagram1285'>diagram1285</a><br>

วิธีแก้ของผมทำได้เพียงแค่ อัพ index.php ของเดิมใส่กลับคืนไปแต่ 2-3วันมันยิงใส่กลับเข้ามาอีก
ใครรู้วิธีแก้ช่วยที

Horakung · 20 ธันวาคม 2010, 10:57:53

--*-- วิธีซับมิต bl แบบใหม่เหรอเนี้ย

@StarexVIP · 20 ธันวาคม 2010, 11:00:37

เลวมาก

oatofvrteam · 20 ธันวาคม 2010, 11:01:14

สาย dark hat

aczaa · 20 ธันวาคม 2010, 11:21:58

ผมแนะนำให้เช็คที่เครื่องคอมที่บ้านด้วยครับ อาจจะโดนดักพาสจากโปรแกรม FTP ครับ

bot2o · 20 ธันวาคม 2010, 11:30:24

โดน hack ได้เพราะ script มีบัก ก้อ อัพเกรด script
แต่ถ้า OS มีบัก ก้อต้องแจ้งเจ้าของ host ให้เขาลง patch หรือ upgrade os
เปลี่ยน passwd ของเรา แล้วก้อ เช็คพวก spyware ในเครื่องเรา

pungplai · 20 ธันวาคม 2010, 12:45:38

เซ็งเลย

itportal · 20 ธันวาคม 2010, 13:47:36

อ้างถึงจาก: bot2o ใน 20 ธันวาคม 2010, 11:30:24
โดน hack ได้เพราะ script มีบัก ก้อ อัพเกรด script
แต่ถ้า OS มีบัก ก้อต้องแจ้งเจ้าของ host ให้เขาลง patch หรือ upgrade os
เปลี่ยน passwd ของเรา แล้วก้อ เช็คพวก spyware ในเครื่องเรา

เพิ่มเติม หากใช้ FTP แนะนำว่า ไม่ต้อง save password ครับ :

Meen2007 · 20 ธันวาคม 2010, 14:03:00

ใช้ FireZilla มันเซฟ Host User Pass เอง ทำไม่ให้มันเซฟยังไง?

ล่าสุดลองเปลี่ยน Pass DB ที่ SMF และเซทพาสใหม่ที่ Settings_bak.php แต่กลับบอกว่า ฐานข้อมูลยุ่งไม่ว่างไว้ลองใหม่ประมาณนี้รอเป็น ชม.ไม่สำเร็จ
เลยเปลี่ยนกลับมาใช้ของเดิม ใช้ได้ แต่เคยเปลี่ยนที่เว็บอื่นก็ connect ได้แต่ครั้งนี้กลับไม่ได้

ขอบคุณทุกๆคำแนะนำ

ใครมีประสบการณ์มาแชร์กันได้เรื่อยๆนะครับ

Get_start_google_adwords · 20 ธันวาคม 2010, 14:43:22

เคยโดนเหมือน กัน
http://forums.sem.or.th/index.php/topic,24407.msg210384.html

gootooyoo · 20 ธันวาคม 2010, 14:48:12

index.php ลองวิธีนี้ดู หน้าจะ ใช่ได้ เปลี่ยนค่า permission 755 หรือ 777 เป็น 666

Shin69 · 20 ธันวาคม 2010, 14:58:34

ผมเคยโดนอ่ะ เหมือนโดนดัก Save FTP Password ไปครับ

ตอนแรกก็ทำแบบคุณแหละ แล้วก็โดนอีก เลย ใช้วิธีคลีนไฟล์ อัพขึ้นไปทับเลยครับ ใช้เครื่องอื่น login เปลี่ยน FTP password แล้วคลีนเครื่องตัวเองก่อนลอง FTP ใหม่ด้วย Password ใหม่

ปล. ต้องคลีนไฟล์ให้สะอาดจริงๆ นะ ถ้าเป็นตัวเดียวกะที่ผมเคยโดน ลบไวรัสไม่หมด มันก็มาใหม่

Meen2007 · 20 ธันวาคม 2010, 15:02:29

ตอนนนี้ลองตั้งค่า permission index.php ทั้งหมดเป็น 444 คือห้ามเขียนทับทุกกรณี ไม่รู้จะได้ผลใหม

iCafe · 20 ธันวาคม 2010, 15:39:48

อ้างถึงจาก: Meen2007 ใน 20 ธันวาคม 2010, 15:02:29
ตอนนนี้ลองตั้งค่า permission index.php ทั้งหมดเป็น 444 คือห้ามเขียนทับทุกกรณี ไม่รู้จะได้ผลใหม

ถ้า ftp รั่ว ยังไงก็โดน

BenzVam · 20 ธันวาคม 2010, 15:48:45

มาเป็นกำลังใจให้ครับ

ผมก็กลัวว่าจะโดนสักวันเหมือนกัน

Shin69 · 20 ธันวาคม 2010, 16:18:24

อ้างถึงจาก: iCafe ใน 20 ธันวาคม 2010, 15:39:48
อ้างถึงจาก: Meen2007 ใน 20 ธันวาคม 2010, 15:02:29
ตอนนนี้ลองตั้งค่า permission index.php ทั้งหมดเป็น 444 คือห้ามเขียนทับทุกกรณี ไม่รู้จะได้ผลใหม

ถ้า ftp รั่ว ยังไงก็โดน

จริงครับ ถ้าโดนเจาะรหัส FTP ยังไงๆ มันก็มาอีกแน่นอน

princmeen · 20 ธันวาคม 2010, 16:42:49

SMF 1.1.12 ล่าสุดยังโดน

iCafe · 20 ธันวาคม 2010, 16:46:30

อ้างถึงจาก: princmeen ใน 20 ธันวาคม 2010, 16:42:49
SMF 1.1.12 ล่าสุดยังโดน

ก็บอกไปแล้วว่า ถ้า พาส ftp รั่วก็โดนทั้งนั้นหล่ะครับ

Akarawat · 20 ธันวาคม 2010, 16:47:36

ลองเช็ค log ดูสิครับว่ามันเข้ามาทางไหน
ไช่ ftp แน่หรือเปล่า
แล้วเว็บอื่น ๆ ในโฮสเดียวกันโดนด้วยมั้ย

เครื่องลูกค้าผมเคยโดน replace index ทั้งเครื่องเลย
เป็นเพราะ kernel version เก่ามีช่องโหว่ครับ

thekoper · 20 ธันวาคม 2010, 16:50:29

ผมยังไม่เคยโดนนะครับ

แต่น่ากลัวใช้ได้เลยทีเดียว