ขอคำแนะนำ เว็บโดนแฮกเมื่อวานนี้ครับ

[nay-banana]

เข้าเว็บมาตกใจแทบแย่ครับ ไปไงมาไงก็ไม่ทราบได้
เข้า ftp ไปดูก็ปรากฏว่ามีไฟล์ index.html เพิ่มเข้ามา 1 ไฟล์ครับ
ก็จัดการลบออก เว็บก็กลับมาใช้งานได้ตามปรกติ

แต่กลัวว่าสักวัน หรือ ไม่นานมันจะกลับมาอีก ก็เลยอยากขอคำแนะนำท่านที่เคยเจอ
หรือมีแนวทางป้องกัน แก้ไข ช่วยชี้แนะหน่อยครับ

ขอบคุณล่วงหน้าครับ...

[elmoro]

น่ากลัวจุง 

[VadiForte]

สงสัยท่าน 777 ไว้ทุก Folder หรือเปล่าครับ 

[BrainFreeze]

ลองดู file date modified ครับว่าล่าสุดไฟล์ที่มี date modified ต่างจากไฟล์อื่นที่ท่านไม่ได้ไปแตะต้องมีไฟล์อะไรบ้าง เพื่อวิเคระห์ว่า hacker เข้ามาได้อย่างไร และค้นหา backdoor ที่อาจวางไว้ hack ซ้ำครับ

การป้องกัน
- ตรวจสอบ directory และ file permission (directory ไม่ควรเกิน 755 file ไม่ควรเกิน 644)
- หากใช้ script ที่ไม่ได้เขียนเองหรือ cms ให้ลองตรวจสอบ version update ดูครับถ้ามีให้รีบอัพเดท
- เปลี่ยนรหัสผ่านทั้งหมดที่เกี่ยวข้องกับเว็บไซต์นี้
- หากใช้ cms พวก plugin ส่วนเสริม และ template ที่ไม่ใช้ให้ลบออกทั้งหมด
- หากใช้ cms พวก file version.txt หรือ readme.txt ในเว็บไซต์ให้ลบออกให้หมดไม่ให้ hacker ค้นหาได้ว่าเป็นเราใช้ cms version ที่มีช่องโหว่

[nay-banana]

ขอบคุณทุก ๆ ท่านครับ สำหรับข้อแนะนำ

[nay-banana]

ลืมเอาโค้ดจากไฟล์แปะให้ดูครับ

****************************
<title>HACKED BY SHAHIN.SH</Title>
<style type="text/css">
.shahin {color: #3366ff}
</style>
<script type="text/javascript">
function MM_swapImgRestore() { //v3.0
  var i,x,a=document.MM_sr; for(i=0;a&&i<a.length&&(x=a)&&x.oSrc;i  ) x.src=x.oSrc;
}
function MM_preloadImages() { //v3.0
  var d=document; if(d.images){ if(!d.MM_p) d.MM_p=new Array();
    var i,j=d.MM_p.length,a=MM_preloadImages.arguments; for(i=0; i<a.length; i  )
    if (a.indexOf("#")!=0){ d.MM_p[j]=new Image; d.MM_p[j  ].src=a;}}
}

function MM_findObj(n, d) { //v4.01
  var p,i,x;  if(!d) d=document; if((p=n.indexOf("?"))>0&&parent.frames.length) {
    d=parent.frames[n.substring(p 1)].document; n=n.substring(0,p);}
  if(!(x=d[n])&&d.all) x=d.all[n]; for (i=0;!x&&i<d.forms.length;i  ) x=d.forms[n];
  for(i=0;!x&&d.layers&&i<d.layers.length;i  ) x=MM_findObj(n,d.layers.document);
  if(!x && d.getElementById) x=d.getElementById(n); return x;
}

function MM_swapImage() { //v3.0
  var i,j=0,x,a=MM_swapImage.arguments; document.MM_sr=new Array; for(i=0;i<(a.length-2);i =3)
   if ((x=MM_findObj(a))!=null){document.MM_sr[j  ]=x; if(!x.oSrc) x.oSrc=x.src; x.src=a[i 2];}
}
</script>
<body onload="MM_preloadImages('http://pcpersia.org/up/uploads/ea34a3660b9610f02ee0fdf599d3b569.jpg')"><center>
<h1><br />IRANIAN HACKERS WERE HERE <br /><br />HACKED BY SHAHIN.SH <br /><br />PCPERSIA SECURITY TEAM <br /><br />WWW.PCPERSIA.ORG <br /><br /><span style="color: #3366ff;">https://www.facebook.com/pcpersia.shahin.sh</span></h1>
<p><span class="shahin"><a href="http://pcpersia.org" onmouseout="MM_swapImgRestore()" onmouseover="MM_swapImage('Image1','','http://pcpersia.org/up/uploads/ea34a3660b9610f02ee0fdf599d3b569.jpg',1)"><img src="http://pcpersia.org/up/uploads/0756fa57252c819c8fe2c9843cb4d208.jpg" alt="THE FLAG IS UP IRAN" name="Image1" width="720" height="540" border="0" id="Image1" /></a></span></p>
</center>

[sys2528]

น่ากลัวจุงเบย 

[sunriseone]

ได้ความรู้เพิ่มอีกแล้ว 

[picpost1234]

เครื่องคุณติดมัลแวร์ครับ มันจะขโมย user  password ของโปรแกรม ftp ที่คุณใช้ส่งไปให้ hacker

หาโปรแกรมมาลยมัลแวร์ออกครับ ถ้าจะเอาให้แน่ใจก็ลงวินโด้ใหม่แล้วลงโปรแกรม AVG internet security มาติดตั้งครับ

[thaitanium]

deface index แบบนี้คงเจาะ root ได้แล้วครับ ถ้าเป็น share โฮสสอบถามผู้ดูแลว่าโดนเจาะรึป่าว ถ้าวางเครื่องเอง ต้องมาไล่ดูว่ามีช่องโหว่ต้องไหน ให้รีบอัพเดตครับ 

[EDWARDit]

อาการแบบนี้ผมก็เคยโดน อาการคือโดนฝังสคริปไว้ที่โฮสที่เช่า

วิธีแก้ คือ เปลี่ยนรหัสผ่าน ftp direct admin

[siamman29]

ต้องหาระบบป้องกันดีๆไว้นะครับ 

[isanstudio]

น่ากลัวมากครับ 

[picasso]

ขอบคุณด้วยครับ

[CopperCrew]

ผมเปิด 777 บางโฟลเดอร์ ชักระแวงซะแล้วสิ 

[thaiwinds]

ผมโดนมาสองสามรอบแล้วครับ

หนักทีสุดคือโฮสต์ล่มทั้งหมด แล้วข้อมูลที่เก็บมากว่า 3 ปีหายไปในสายลม


คิดๆแล้วยังเสียดายอยู่เลย

[esanza.com]

ผมว่าโดนมัลแวร์แอบส่งรหัสไปให้ hacker
Host ที่บริษัทผมก็เป็นขนาดใช้ FTP ของ cpanel ยังโดนเลย
ตอนนี้บริษัทซื้อ anti virus => Bitdefender Total Security   
มาใช้ ณ ตอนนี้ผ่านมาหลายเดือนแล้วยังไม่โดนแฮกเลยครับ