[สอบถามครับ]เว็บโดนแฮ็ก

เริ่มโดย bosstaft, 28 มกราคม 2016, 10:16:12

หัวข้อก่อนหน้า - หัวข้อถัดไป

0 สมาชิก และ 1 ผู้มาเยือน กำลังดูหัวข้อนี้

พิมพ์
ลง หน้า1
การกระทำของผู้ใช้

bosstaft

28 มกราคม 2016, 10:16:12
ตอนนี้ดูแลเว็บให้บริษัทนึงอยู่แล้ว เว็บโดนแฮ้กเมื่อสัปดาห์ก่อนครับ ก็ทำการกู้ฐานข้อมูลและลบไฟล์ แปลกปลอมออก (มี shell) เปลี่ยนรหัสผ่านทั้งหมด ตรวจสอบไฟล์ .htaccess  มีสคริปแปลกๆ แปลไม่ออกก็เลยลบทิ้งไป
ตอนนี้ก็เลยงงๆว่ามันเข้ามาจากทางไหน เพราะจนถึงตอนนี้มันยังแฮกได้อยู่แบบชิวๆ โดยทิ้ง textnote ไว้ให้ใน server ว่า hacked  :P

ตัวเว็บทำการ Rewrite Url
หน้าสำหรับส่งเมล์ไม่มี Upload file
แต่หน้าสมั้ครงานมีช่องให้ อัพรูป ผู้สมั้คร และ ไฟล์ resume โดยใช้ javascript เช็ค นามสกุล อนุญาติให้อัพแค่ jpg / docx / pdf

ตอนแรกสงสัยว่าโดย sql injection แต่ไม่ใช่เพราะมันยัด shell เข้ามา
ก็เลยเล็งไปที่ช่องสำหรับการอัพโหลดภาพต่างๆจากหน้าสมัครงาน

(ก่อนหน้านั้นมีเมล์ที่ใช้อักขระพิเศษส่งมาจากหน้า contact ซึ่งไม่มีช่อง upload ก็เฉยๆ เพราะมันส่งเมล์เลย ไม่ได้มีการบันทึกข้อมูลหรืออัพโหลดอะไรไว้บน server )

ตอนนี้มันยัง แฮกได้อยู่ เลยนั่งดู log ไฟล์ที่มันอัพโหลด (มันก็ลบ log ออกไป) ไฟล์ท่มันอัพโหลดใช้ชื่อ Account ในการที่เป็น Owner ในการอัพเลยครับ


แต่ลองดู log ผมส่งสัย log นึงตามด้านล่างว่ามันคืออะไรครับ

184.22.9.1 - - [28/Jan/2016:09:18:03 +0700] "GET /house_img/thum-MTQ0NDcxOTMxMw==1.jpg HTTP/1.0" 200 271 "http://ชื่อเว็บเรา.co.th/\xe0\xb8\xa3\xe0\xb8\xb1\xe0\xb8\x9a\xe0\xb8\xaa\xe0\xb8\xa3\xe0\xb9\x89\xe0\xb8\xb2\xe0\xb8\x87\xe0\xb8\x9a\xe0\xb9\x89\xe0\xb8\xb2\xe0\xb8\x99/36/\xe0\xb9\x81\xe0\xb8\x9a\xe0\xb8\x9a\xe0\xb8\x9a\xe0\xb9\x89\xe0\xb8\xb2\xe0\xb8\x99\xe0\xb8\x95\xe0\xb8\xb2\xe0\xb8\xa1\xe0\xb8\x87\xe0\xb8\x9a\xe0\xb8\x9b\xe0\xb8\xa3\xe0\xb8\xb0\xe0\xb8\xa1\xe0\xb8\xb2\xe0\xb8\x93/1.html" "Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko"

ลองเข้าตามลิงคืนี้ก็ขึ้น 404 ครับ (ตามที่เขียน .htaccess ไว้)

อยากถามเพื่อขอความรู้เพิ่มเติมครับ
ขายส่งชุดเด็กอ่อนแรกเกิด - 9 เดือน
สินค้าผลิตในประเทศ คุณภาพส่งออก
ส่งตรงจากโรงงานไม่ผ่านโบ้เบ้

kondam

#1
28 มกราคม 2016, 10:29:01
ช่วยดัน รอเก็บความรู้ครับ
:wanwan017:
ขอแนะนำ : :wanwan034:

1. จดโดเมน ต่ออายุ godaddy ลด 40% ถูกที่สุดในตอนนี้! [direct=http://bit.ly/2HhtxzY]คลิก[/direct]

2.จดโดเมน + private 8.88$ [namecheap]   [direct=http://bit.ly/2kuZoG4]คลิก[/direct]

3.แนะนำคลาวด์โฮสติ้งไทย ที่ผมใช้อยู่ [Thaidata]   [direct=https://goo.gl/Jvpgzs]คลิก[/direct]

wattasin

#2
28 มกราคม 2016, 11:07:51
เอาใจช่วยนะครับ  :-X
[direct=http://witsava.com]เครื่องเป่าแอลกอฮอล์[/direct] [direct=http://witsava.com]เครื่องวัดแอลกอฮอล์[/direct]
[direct=http://witsava.com]เครื่องตรวจวัดแอลกอฮอล์[/direct] [direct=http://witsava.com]เครื่องตรวจแอลกอฮอล์[/direct]

CopterMaster

#3
28 มกราคม 2016, 13:17:37
ขอดูเว็บหน่อยครับ เผื่อจะรู้ว่าโหว่ตรงไหน
ติด Banner ให้เว็บผม 1 เดือน
แลกกับ สคริปหาเพื่อนออนไลน์ (จ้างเขียน)
สนใจ PM

ThaNaButS

#4
28 มกราคม 2016, 14:41:18 แก้ไขล่าสุด: 28 มกราคม 2016, 14:43:36 โดย ThaNaButS
หน้าสมัครงานครับ เพราะใช้ javascript เช็ค นามสกุล อนุญาติให้อัพแค่ jpg / docx / pdf

คิดว่าทางนี้แหละครับ ผมว่าไม่ควรใช้ javscript เช็คนะครับ

ลองง่ายเลยครับ แค่ปิดไม่ให้บราวเซอร์ใช้ javascript น่าจะอัพโหลดไฟล์นามสกุลอื่นๆได้แล้ว หรือไม่ก็สั่ง post เข้าตรงๆไปที่เว็บ อีกอย่างยากขึ้นมาหน่อยก็ใช้เครื่องมือช่วยครับมีสอนตามยูทูป อิอิ

ส่วนยังแฮกได้อยู่ก็เพราะ อาจจะมี backdoor วางไว้อยู่อีกครับ

icez

#5
28 มกราคม 2016, 15:03:44
อ้างถึง" โดยใช้ javascript เช็ค นามสกุล "

.....


ตามด้านบนเลยครับ
[direct=http://www.thzhost.com/]THZHost[/direct] SSD Hosting ไทย/สิงคโปร์ พร้อม firewall ป้องกันการยิงเว็บ + scan ไวรัสในเว็บ

baidu2014

#6
28 มกราคม 2016, 16:24:57
อ้างถึงจาก: wattasin ใน 28 มกราคม 2016, 11:07:51
เอาใจช่วยนะครับ  :-X

ในลายเซนต์มันคือสูตรใช่มั้ยครับ  :wanwan019:
[direct=https://yaseeder.com/]ยาปลุกเซ็กส์[/direct] - [direct=https://9zeed.com/]ยาปลุกเซ็กส์[/direct]
พิมพ์
ขึ้น หน้า1
การกระทำของผู้ใช้