เว็บโดนแฮ็คเมื่อคืนใช้จูมลาทำสงสัยอย

fox4 · 28 มีนาคม 2013, 11:17:41

ขอเล่าก่อนนะครับ เมื่อวานประมาณ 7.00-12.00 ผมรู้สึกว่าเว็บที่ผมกำลังทำมันอืดมากครับ ผมทำหลายเว็บใช้โฮสเดียวกัน แต่เว็บอื่นโหลดไวกว่าเว็บที่ผมกำลังทำเยอะมากครับ ผมเลยสงสัยแต่คิดว่าเป็นที่โฮสและคอมที่ใช้งานนานเกินไป ก้ไม่ได้เอะใจอะไรครับ พอตกดึกประมาณตี 1 ผมเข้าหน้า admin ในจูมลาได้แต่ใส่รหัสแล้วไม่ผ่าน เลยไปหาวิธีแก้จากเน็ตและในบอร์ด เขาให้ไปดูที่ phpmyadmin ผมก็เข้าไปดูที่ user อะไรนี่แหละครับจำไม่ได้พบว่า มัน password อะไรไม่รู้ครับ ที่นี้ก็ไปดูไฟล์คอนฟิกแล้วก็เทียบกับอันที่ไม่โดนเลยมั่นใจครับว่าโดนแฮ็ค ผมก็เลย ftpลบไฟล์ทิ้งหมดลงใหม่ พอลบหมดมันคาอยู่ไฟล์นึงนอกโฟล์เดอ public_html ครับชื่อ black ดอทอะไรจำไม่ได้ครับพอเห็นก็ยิ่งมั่นใจครับว่าโดนจริงๆ ผมเลยมาคิดว่าตอนที่เว็บอื่นอาจกำลังโดนแฮ็คอยู่หรือป่าว

ที่นี้ก็มาถึงข้อสงสัยนะครับ เว็บที่โดนแฮ็ค เป็นเว็บที่ผมกำลังทำยังไม่ได้โปรโมทบอกใคร และเมื่อวานซืนได้มีคนมาขอเป็นเพื่อนในเฟสก็คนในบอร์ดนี่แหละครับ และระหว่างนั้นผมได้โหลดปลั๊กอินตัวนึงมาใช้ก้เลยเดาเอาแบบไม่มีความรู้ไม่มีข้อมูลแน่ชัดนะครับคือ
1.ผมสงสัยคนในบอรืดนี่แหละครับแฮ็คด้วยเหตุผล 2-3 ข้อ แต่ไม่ขอบอกนะครับ เพราะเขาอาจไม่รู้เรื่องอะไรเลยก็ได้
2.สงสัยปลั็กอินตัวนี้ครับ เพราะพอลงมันรู้สึกแปลกๆ http://www.joomlack.fr/en/joomla-extensions/moocoverflow-ck

ทั้งหมดก็เป็นความสงสัยนะครับ ก็ไม่คิดว่าต้องใช่นะครับ เพราะผมลบแล้วลงใหม่ทำใหม่ มันยังไม่เสร็จดีก้เลยยังไม่ซีเรียสอะไร และต้องขอโทษที่ให้ข้อมูลคนอ่านไม่ชัดเจนนะครับ เอามาเล่าให้ฟังเพื่อท่านใดมีความเห็นแล้วเป็นประโยชน์กับผู้อ่านครับ เสริมนิดครับผมใช้จูมลา 2.5.9 นะครับ

smapan · 28 มีนาคม 2013, 11:21:03

เป็นไปได้ว่า เอกเทนชั่นมีรูรั่วครับ

เวลาโหลดเอกเทนชั่น แนะนำ ให้โหลดจาก http://extensions.joomla.org เท่านั้นครับ

fox4 · 28 มีนาคม 2013, 11:30:46

อ้างถึงเป็นไปได้ว่า เอกเทนชั่นมีรูรั่วครับ

เวลาโหลดเอกเทนชั่น แนะนำ ให้โหลดจาก http://extensions.joomla.org เท่านั้นครับ

ผมก็เข้าไปโหลดผ่านเว็บจูมลานะครับ เป็นไปได้ที่เขาจะแฝงโค้ดอะไรแบบให้มันรันเองได้ไหมครับ

smapan · 28 มีนาคม 2013, 11:56:38

อ้างถึงจาก: fox4 ใน 28 มีนาคม 2013, 11:30:46
อ้างถึงเป็นไปได้ว่า เอกเทนชั่นมีรูรั่วครับ

เวลาโหลดเอกเทนชั่น แนะนำ ให้โหลดจาก http://extensions.joomla.org เท่านั้นครับ
ผมก็เข้าไปโหลดผ่านเว็บจูมลานะครับ เป็นไปได้ที่เขาจะแฝงโค้ดอะไรแบบให้มันรันเองได้ไหมครับ

ส่วนขยายที่ติดตั้งมีชื่ออะไรบ้างครับ และในโฮสมีเว็บอะไรบ้างครับ อาจจะรั่วมาจากเว็บอื่นก็ได้ครับ

jojyxword · 28 มีนาคม 2013, 12:03:03

ผมว่า plugin น่าจะมีปัญหามากว่าครับ ความเห็นผมนะ ไม่น่าจะใช่คนที่สงสัย

ผมเองไม่ใช่เซียน joomla แต่ก็ใช้ joomla มา 2-3 ปี โดนแฮกมาหลายครั้งครับ

ที่เคยเจอบ่อยๆ

จุดเด่นคือ ใส่ plugin ปุ๊บ ไม่เกิน 3 วัน ปั๊บ เลย นั่นแหละ ใช่ 90%

อาจจะไม่ใช่เขาใส่อะไรมา แต่มันโหว่ มากกว่าครับ

fox4 · 28 มีนาคม 2013, 12:03:14

ในโฮสมีเว็บผมเว็บเดียวครับ www.webloveyou.com เว็บนี้เลย ส่วนขยายก็มีแค่สไลด์เหมือนตอนนี้เลยครับเพราะกำลังทำ

nuvatchai · 28 มีนาคม 2013, 12:05:42

น่ากลัว แต่ปกติผมเห็น Joomla มีประจำครับ

fox4 · 28 มีนาคม 2013, 12:06:07

อ้างถึงผมว่า plugin น่าจะมีปัญหามากว่าครับ ความเห็นผมนะ ไม่น่าจะใช่คนที่สงสัย

ผมเองไม่ใช่เซียน joomla แต่ก็ใช้ joomla มา 2-3 ปี โดนแฮกมาหลายครั้งครับ

ที่เคยเจอบ่อยๆ

จุดเด่นคือ ใส่ plugin ปุ๊บ ไม่เกิน 3 วัน ปั๊บ เลย นั่นแหละ ใช่ 90%

อาจจะไม่ใช่เขาใส่อะไรมา แต่มันโหว่ มากกว่าครับ

ครับส่วนตัวก้ไม่ได้สงสัยอะไรจริงจริงครับ เพียงคิดว่าแนวโน้มน่าจะประมาณนี้ครับ เดียวคนที่เขาหมายถึงมาอ่านเเล้วจะรู้สึกไม่ดีก็ต้องขอโทษด้วยนะครับ

fox4 · 28 มีนาคม 2013, 12:07:00

นี่ก็กลัวของลูกค้าจะโดน ก็ว่าจะไปนั่งไล่ bzckup อยู่ครับ

fox4 · 28 มีนาคม 2013, 12:10:48

แต่ทำใหม่อีกรอบก็ดีครับเพราะต้องการนำเสนอข้อมูลใหม่ให้ลูกค้าเข้าใจที่ผ่านมารับงานราคาโปรโมชั่นเหนื่อยมากเลยครับ ถือโอกาสทำข้อมูลใหม่พอดี

bunnachart · 28 มีนาคม 2013, 12:30:08

จูมล่า 1.5 หรือเปล่าครับ ถ้าใช่ คือสิ้นสุดการอัพเดท มันมีรั่วครับ ผมก็โดนครับ เลยอัพเป็น 2.5 แทน
มันเป็นที่ตัว จูมล่า ครับ

ตอนนี้ก็ 2.5 กำลังจะอัพเป็น 3 แต่รออยู่

bunnachart · 28 มีนาคม 2013, 12:43:53

อ้างถึงจาก: fox4 ใน 28 มีนาคม 2013, 12:03:14
ในโฮสมีเว็บผมเว็บเดียวครับ www.webloveyou.com เว็บนี้เลย ส่วนขยายก็มีแค่สไลด์เหมือนตอนนี้เลยครับเพราะกำลังทำ

โหลดปลั๊กอิน มาปิดตัว
http://www.webloveyou.com/administrator/

ก็จะดีนะครับ ใช้ตัว plg_easycalccheckplus_v2.5-7 ก็ได้ มันจะให้ใส่ Token ตอนเข้าระบบจัดการ ถ้าจะใช้ CMS แนะนำนะครับ
อย่าว่าลงเสร็จแล้วลอยตัว ต้องทันสมัยด้วย เรื่องความปลอดภัยอัพเดทอย่าได้ขาด เรื่องอื่นสอบถามเพิ่มนะครับ

bunnachart · 28 มีนาคม 2013, 12:46:09

อีกที่น่าลงถ้าเป็น Plugins สำหรับนำคำว่า meta name="generator" content="Joomla! - Open Source Content Management"
ออก plg_byebyegenerator นะครับ

fox4 · 28 มีนาคม 2013, 15:17:03

เคยอ่านนานมาแล้วไม่ได้เก็บข้อมูลไว้ ตัวเสริมที่ซ่อนหน้า adminได้นี่ชื่อตัวเสริมอะไรครับ ตอนนี้ผมป้องกันโดยใช้ตัวเสริมของ siteground ไม่ทราบว่าท่านใดใช้อยู่บ้างครับแล้วพอรีวิวความสามารถของมันได้ไหมครับ

nessit · 28 มีนาคม 2013, 15:21:55

extensions ก็มีส่วนครับแต่น้อยมากๆ (แต่ถ้าเว็บโหลดช้านี้มีส่วนมากๆ ที่ใช้ extensions บางตัว) ที่สำคัญตั้งรหัส ให้มีตัวเลขและตัวอักษรพิมเล็กใหญ่ จะช่วยได้มากเรื่องโดนแฮ็ค ถ้าตั้งเป็นตัวเลขอย่างเดียวมีโอการโดยแฮคถึง 70-80 % ครับ ส่วนโอกาศสมัครยูสใหม่แล้วเข้าระบบ admin นั้นโอการเป็นไปได้เท่ากับ 0 ครับเพราะระบบ joomla นั้นตอนสมัครสมาชิก ก็เป็นแค่ กลุ่ม registered(ผู้ลงทะเบียน) ไม่ใช่ super users (ผู้ดูแล) จึงไม่มีสิทธิ์เข้าถึงส่วนผู้ดูแล
แต่ก็มีอีกอย่างหนึ่งคือ ธีม ถ้าโหลดมาใช้ แล้วใช้เข้าระบบในหน้าแรกอาจมามีการดักจับข้อมูลครับโดยเพราะที่มีการเข้า Base64Encode ซ้ำซ้อน (คือไม่ว่าจะถอดรหัสอย่างไรก็รหัสยาวเรื่อยๆ ให้สงสัยไว้ก่อนจะดีที่สุด)
ส่วนตัว 2.5 นี้น่าปลอดภัยสุดแล้วในตอนนี้ เพราะ 3 ยังไม่ค่อย o เท่าไร ส่วน1.5 ไม่ต้องพูดถึงโอการโดนแฮ็คสูงกว่าเพื่อนเพราะหยุดพัฒนาสักพักใหญ่แล้ว

ทั้งหมดก็เพียงคาดการและประสบการของผมครับอาจจะใช่หรือไม่ลองคิดกันนะครับ

ปล.ผมไม่ได้เก่งผมก็มั่วๆไปครับ ไม่ว่าจะจูมล่าหรือ cms ตัวอื่นถ้ารหัสตัวเลขอย่างเดียวคุณอาจจะไม่ใช่ผู้ดูแลเว็บนั้นต่อไป

***เบอร์โทรห้ามใช้เป็นรหัสผ่านเด็ดขาด (หลายคนคงใช้อยู่แน่ๆ)

iak1 · 28 มีนาคม 2013, 15:24:18

โดนแฮกเข้าหน้า Admin มีโอกาสถูกฝัง Shell script

อ่าน ตรวจสอบเว็บโดนแฮก
http://basic-hack.blogspot.com/2012/07/security-web-site-hacker-admin.html

fox4 · 28 มีนาคม 2013, 15:33:17

ผมใช้ artisteer ของแท้ทำเทลมเพลตครับแต่ต้องยอมรับว่าประมาทด้วยที่ตั้งรหัสเป็นตัวเลขหมดเลยครับ คือเพิ่งเริ่มทำได้ 2 วัน เราก็คิดว่าไม่เปนไร ที่ไหนได้โดนซะเเว้ว แต่โชคดีที่ยังก็อปพวกภาพที่ตกแต่งไว้มาได้ครับ ตอนนี้ถึงจะลบไฟล์จูมลาทิ้งไปหมดแล้วแต่ว่าโฟลเดออื่นที่ไม่เกี่ยวข้องก็ไม่รู้ว่าโดนฝังอะไรไว้หรือป่าว คือโฮสเขาจะให้มา 3-4 โฟลเดอร์ใช้ไหมครับพอเราลงจูมลาเราอัพไฟล์ไปที่ public_html ใช้ไหมครับ ไอโฟลเดอร์นอกเหนือจากนี้ไม่เเทบไม่เคยเข้าดูเลยไม่ว่า มันจะส่งผลอะไรไหมครับ

bunnachart · 28 มีนาคม 2013, 22:16:55

public_html ในนี้ลบทิ้งได้หมดเลยครับ

bunnachart · 28 มีนาคม 2013, 22:17:49

อ้างถึงจาก: fox4 ใน 28 มีนาคม 2013, 15:17:03
เคยอ่านนานมาแล้วไม่ได้เก็บข้อมูลไว้ ตัวเสริมที่ซ่อนหน้า adminได้นี่ชื่อตัวเสริมอะไรครับ ตอนนี้ผมป้องกันโดยใช้ตัวเสริมของ siteground ไม่ทราบว่าท่านใดใช้อยู่บ้างครับแล้วพอรีวิวความสามารถของมันได้ไหมครับ

ตัวนี้ครับ plg_easycalccheckplus_v2.5-7

fox4 · 29 มีนาคม 2013, 02:02:06

เออ...จำได้อีกข้อผิดสังเกตนึงครับขณะทำ ระบบมันขี้นว่า เข้าระบบในส่วนผู้ดูแล3คน ปกติมันจะ1ใช่ไหมครับ ตอนเเรกเห็น2 ก่อนก็ยังรู้สึกเฉยๆครับ แต่มีอยู่จังหวะช่วงนึงมันขึ้น เข้าระบบในส่วนผู้ดูแล 3 คนครับ เเปลกใจมากครับตอนที่เห็นแต่ไม่ได้คิดอะไร

เว็บโดนแฮ็คเมื่อคืนใช้จูมลาทำสงสัยอย

iak1