มีไฟล์แปลก ๆ อัพโหลดเข้ามาที่โฮสต์ แล้วก็มีการแก้ไขโค้ดในไฟล์ของเรา

เริ่มโดย wch2013, 26 กรกฎาคม 2015, 22:03:04

หัวข้อก่อนหน้า - หัวข้อถัดไป

0 สมาชิก และ 1 ผู้มาเยือน กำลังดูหัวข้อนี้

พิมพ์
ลง หน้า1
การกระทำของผู้ใช้

wch2013

26 กรกฎาคม 2015, 22:03:04
มันเกิดจากอะไรครับ แล้วก็ทางโฮสต์แจ้งมาว่ามีการยิงอีเมล์ออกมาจากไฟล์ ๆ นึงด้วย ซึ่งผมไม่ได้เป็นคนทำขึ้นมาถูกอัพมาจากใครหรือที่ไหนก็ไม่ทราบเหมือนกัน

อยากจะขอคำปรึกษาจากสมาชิกไทยเสียวหน่อยครับว่า ปัญหานี้ต้องแก้ยังไงได้บ้างครับ

รบกวนแนะนำด้วยครับ

ขอบคุณครับ

:wanwan017:

tenzamak

#1
26 กรกฎาคม 2015, 23:10:43
ดูสคิปก่อนครับ ว่าเก่าหรือป่าว ถ้าเก่าต้องอัพเดท
permission เซ็ตไว้ยังไง  บางท่านเซ็ต 777 ยัน jpg แบบนี้ก็ไม่น่ารอด
อีกกรณีคือ คอมที่ใช้ติดไวรัส หาโหลด avast ตัวฟรีมาลองสแกน

ผมเดาเล่นๆ  ท่านใช้ nod32 หรือป่าว ผมเจอคนติดพวกนี้ ถาม 10 ใช้ nod32 ซะ 8

Freeze

#2
26 กรกฎาคม 2015, 23:30:00
โดนแบบนี้เหมือนกันเลยครับ กำลังหาทางแก้ไขอยู่เหมือนกัน  :wanwan031:
ทำวันนี้ !! ให้เหมือนกับวันสุดท้ายของชีวิต ~ [direct=[/direct]

iczykung

#3
26 กรกฎาคม 2015, 23:46:10
ไม่เว็บรั่ว  ก็ เครื่องที่ใช้ทำเว็บมีไวรัสครับ
Affiliate Hosting สูงสุด 10% (ได้ทุกรอบบิล..รวมถึงต่ออายุ) สนใจ PM  [direct=https://coopnix.co.th]Cloud Enterprise Hosting (cPanel/DirectAdmin) [/direct][direct=https://coopnix.co.th]Enterprise SAS VPS[/direct]
[direct=https://coopnix.co.th]   Cloud Enterprise SSD VPS by VMWare  [/direct]
✔ CPU up to 40 Core ✔ Ram up to 128GB ✔ Disk up to 512GB ✔ Unmetered Bandwidth 
✔ High Availability nodes ✔ Cloud SSD Enterprise Storage ✔ 20Gbps Cluster Network ✔ Free DDoS Protection

wch2013

#4
26 กรกฎาคม 2015, 23:49:12
อ้างถึงจาก: tenzamak ใน 26 กรกฎาคม 2015, 23:10:43
ดูสคิปก่อนครับ ว่าเก่าหรือป่าว ถ้าเก่าต้องอัพเดท
permission เซ็ตไว้ยังไง  บางท่านเซ็ต 777 ยัน jpg แบบนี้ก็ไม่น่ารอด
อีกกรณีคือ คอมที่ใช้ติดไวรัส หาโหลด avast ตัวฟรีมาลองสแกน

ผมเดาเล่นๆ  ท่านใช้ nod32 หรือป่าว ผมเจอคนติดพวกนี้ ถาม 10 ใช้ nod32 ซะ 8

ใช้ NOD32 ครับ

Permission Set เป็น 755 หรือ 644 ก็โดนอะครับ

tenzamak

#5
27 กรกฎาคม 2015, 00:02:23
อ้างถึงจาก: wch2013 ใน 26 กรกฎาคม 2015, 23:49:12
อ้างถึงจาก: tenzamak ใน 26 กรกฎาคม 2015, 23:10:43
ดูสคิปก่อนครับ ว่าเก่าหรือป่าว ถ้าเก่าต้องอัพเดท
permission เซ็ตไว้ยังไง  บางท่านเซ็ต 777 ยัน jpg แบบนี้ก็ไม่น่ารอด
อีกกรณีคือ คอมที่ใช้ติดไวรัส หาโหลด avast ตัวฟรีมาลองสแกน

ผมเดาเล่นๆ  ท่านใช้ nod32 หรือป่าว ผมเจอคนติดพวกนี้ ถาม 10 ใช้ nod32 ซะ 8

ใช้ NOD32 ครับ

Permission Set เป็น 755 หรือ 644 ก็โดนอะครับ

ทำไมซื้อหวยไม่ถูกแบบนี้  โหลด avast มาสแกนแทนครับ แล้วเปลี่ยนพาส ftp แล้วแก้เวบครับ

wch2013

#6
27 กรกฎาคม 2015, 00:15:10
อ้างถึงจาก: tenzamak ใน 27 กรกฎาคม 2015, 00:02:23
อ้างถึงจาก: wch2013 ใน 26 กรกฎาคม 2015, 23:49:12
อ้างถึงจาก: tenzamak ใน 26 กรกฎาคม 2015, 23:10:43
ดูสคิปก่อนครับ ว่าเก่าหรือป่าว ถ้าเก่าต้องอัพเดท
permission เซ็ตไว้ยังไง  บางท่านเซ็ต 777 ยัน jpg แบบนี้ก็ไม่น่ารอด
อีกกรณีคือ คอมที่ใช้ติดไวรัส หาโหลด avast ตัวฟรีมาลองสแกน

ผมเดาเล่นๆ  ท่านใช้ nod32 หรือป่าว ผมเจอคนติดพวกนี้ ถาม 10 ใช้ nod32 ซะ 8

ใช้ NOD32 ครับ

Permission Set เป็น 755 หรือ 644 ก็โดนอะครับ

ทำไมซื้อหวยไม่ถูกแบบนี้  โหลด avast มาสแกนแทนครับ แล้วเปลี่ยนพาส ftp แล้วแก้เวบครับ

ลองโหลดมาใช้ดูละครับ แสกนแล้วโปรแกรมแจ้งมาตามรูปด้านล่าง คือ ไม่พบภัยคุกคามใด ๆ

ทีนี้น่าจะเป็นที่ตัวสคิปแล้วใช่ปะครับ

tenzamak

#7
27 กรกฎาคม 2015, 00:27:29
script ใหม่หรือครับ ลองดู version แล้ว permission เป็นยังไง

wch2013

#8
27 กรกฎาคม 2015, 09:17:08
อ้างถึงจาก: tenzamak ใน 27 กรกฎาคม 2015, 00:27:29
script ใหม่หรือครับ ลองดู version แล้ว permission เป็นยังไง

เป็น script ที่เขียนขึ้นเองครับ
ส่วน permission ก็มี 777 เฉพาะโฟลเดอร์ที่ต้องอัพโหลดรูปขึ้นไปเท่านั้นเอง
ที่เหลือก็จะเป็น 644, 755

แต่โฟลเดอร์ที่มีไฟล์แปลก ๆ อัพเข้ามาก็ไม่ได้ set เป็น 777 นะครับ

ไม่ทราบว่าพอมีวิธีที่ set ให้ปลอดภัยกว่านี้ไหมครับ

ขอบคุณครับ

iczykung

#10
27 กรกฎาคม 2015, 09:29:51
อ้างถึงจาก: wch2013 ใน 27 กรกฎาคม 2015, 09:17:08
อ้างถึงจาก: tenzamak ใน 27 กรกฎาคม 2015, 00:27:29
script ใหม่หรือครับ ลองดู version แล้ว permission เป็นยังไง

เป็น script ที่เขียนขึ้นเองครับ
ส่วน permission ก็มี 777 เฉพาะโฟลเดอร์ที่ต้องอัพโหลดรูปขึ้นไปเท่านั้นเอง
ที่เหลือก็จะเป็น 644, 755

แต่โฟลเดอร์ที่มีไฟล์แปลก ๆ อัพเข้ามาก็ไม่ได้ set เป็น 777 นะครับ

ไม่ทราบว่าพอมีวิธีที่ set ให้ปลอดภัยกว่านี้ไหมครับ

ขอบคุณครับ



chmod จะไม่มีผลนะครับ  ถ้า hosting ใช้  mod_ruid2  หรือ php fastcgi
Affiliate Hosting สูงสุด 10% (ได้ทุกรอบบิล..รวมถึงต่ออายุ) สนใจ PM  [direct=https://coopnix.co.th]Cloud Enterprise Hosting (cPanel/DirectAdmin) [/direct][direct=https://coopnix.co.th]Enterprise SAS VPS[/direct]
[direct=https://coopnix.co.th]   Cloud Enterprise SSD VPS by VMWare  [/direct]
✔ CPU up to 40 Core ✔ Ram up to 128GB ✔ Disk up to 512GB ✔ Unmetered Bandwidth 
✔ High Availability nodes ✔ Cloud SSD Enterprise Storage ✔ 20Gbps Cluster Network ✔ Free DDoS Protection

darkknightza

#11
10 สิงหาคม 2015, 11:18:12
เวรละสิ
[direct=http://make-more-moneyy.blogspot.com/2012/10/adfly.html]หาเงินวันละ350บาท มั่นคง จ่ายมาสิบปีแล้ว[/direct]
[direct=https://www.popads.net/users/refer/519628]หารายได้กับ popup เจ้านี้ เรทแรงคลิ๊ก[/direct]
Hosting อันดับ 1 คุณภาพสูง ราคาถูก จัดเลย[direct=https://support.hostneverdie.com/aff.php?aff=504][/direct]
โดเมนเนมสวยๆ ราคาถูก จดกับเราสิ[direct=https://my.thaidatahosting.com/aff.php?aff=227]ที่นี่

wsnhosting

#13
10 สิงหาคม 2015, 14:04:53
ลองดู log ตั้งแต่วันที่เริ่มส่งเมล์ออกครับ
น่าจะเห็นอะไรแปลกบ้างน่ะ
:P

super18xxx

#14
01 กันยายน 2015, 10:47:04
มันมีวิธีเจาะอยู่ครับ ^_^ ใช้วิธีหา หน้าที่เอ่อเร่อ  :wanwan004: ..............

oilaoy

#15
01 กันยายน 2015, 11:10:13
ลอง PM เว็บที่มีปัญหามาดูครับ
อาจพอช่วยวิเคราะห์ปัญหาให้ได้ครับ

:wanwan003:

ZYB3R_F1ST

#16
01 กันยายน 2015, 11:49:02
โดนฝังสคริปครับ ใช้วิธีอัพโหลดไฟล์เข้าไปที่เป้าหมาย ละแก้ chmod ระบบได้เลย  :-X
[direct=https://bit.ly/3j8euul]VPS SSD[/direct]   เช่า VPS Windows, VPS Linux ราคาถูก เพียง 389.- รองรับเกมออนไลน์ ฟรีกันยิง
[direct=https://bit.ly/2YKRLx7]Dedicated Server [/direct] Dedicated เริ่มต้น 2500.-
[direct=https://jvh.co.th/vps-ssd/][/direct]

abcoat

#17
01 กันยายน 2015, 18:28:02
มีหลายสาเหตุนะครับ

-HACK ทางช่องโหว่ของสคิป
วิธีนี้ต้องลบสคิปที่แปลกปลอมออกไปให้หมด ดูว่าไฟล์ไหนที่ไม่ได้ใช่หรือไม่ได้เกี่ยวข้องกับเราก้อลบออกไปเลยครับ
พยายามอย่าใช้สคิปฟรีที่มาจากแหล่งที่เชื่อถือไม่ได้

-HACK ทางรหัสผ่าน FTP
เปลี่ยนรหัสFTP ให้ยากๆ แล้วอย่าให้คอมจดจำรหัสใน FTP / หมั่นอัพเดทโปรแกรม FTP ( Filliza ) หรืออะไรพวกนี้
scan ว่าในเครื่องที่อัพไฟล์ มี spyware ฝังอยู่ไหม

เอาใจช่วยครับบ :wanwan003: :wanwan003:

ขายเบอร์มือถือสวย เบอร์มงคลราคาถูกที่สุดในประเทศ
[direct=http://www.bergoogle.com]เบอร์มงคล  [direct=http://www.bergoogle.com/เบอร์มงคลราคาถูก]เบอร์สวย
[direct=http://www.tabiensuay.com]ทะเบียนสวย  [direct=http://www.bergoogle.com/เบอร์มงคลราคาถูก]เลขมงคล

PTizzi

#18
02 กันยายน 2015, 02:29:44
เป็นเหมือนกันเลยค่ะ สคริปเขียนเอง

โดนฝังสคริปส่งอีเมลออก / โดนวาง iframe / ล่าสุดโดนรีเซ็ตรหัสผ่าน

โดนเกือบทุกโดเมนในโฮสเลยค่ะ

ไม่รู้จะแก้ยังไงแล้ว ฮือ ๆ  T^T   :'( :'(

// ใช้สแกนไวรัสของ Kaspersky อยู่ค่ะ

" หมั่นคอยดูแลสิ่งที่หวัง แล้วจะสมหวังดั่งตั้งใจ "

amazegu

#19
02 กันยายน 2015, 09:10:33
ผมโดนไปสองสามโดเมน เมลไหลวันละ 700 ฉบับ ดีที่กำหนดให้ส่งได้ต่อวันแค่นั้น
วิธีการแก้ไขของผมคือ
1.ตรวจสอบสคริปต์ตรงระบบอัปโหลดไฟล์ก่อนเลย ผมเพิ่มระบบเช็คไฟล์ที่อัปด้วยว่าข้างในไม่มีมีโค้ดซ่อนอยู่ ขนาดผมเขียนเช็ค mime อะไรหมดแล้วยังหลุดมาได้
โค้ด เลือก

$content = file_get_contents($_FILES['file']['tmp_name']);
if (preg_match('/\<\?php/i', $content)) die();


2.พวกโฟลเดอร์ที่ให้อัปโหลดไฟล์ขึ้นไป หรือพวกโฟลเดอร์ log cache ทั้งหลาย มันต้อง chmod777 เราต้องใช้ .htaccess ดักไม่ให้มันรันสคริปต์ได้
โค้ด เลือก

<FilesMatch "\.(php|php3?|phtml)$"> 
         Order Deny,Allow
         Deny from All
</FilesMatch>

3.ตรวจสอบไฟล์แปลกๆ ในระบบ
4.เปลี่ยนรหัสผ่าน ftp

ตอนนี้เงียบไปแล้ว รอดูว่าจะโดนอะไรอีกมั๊ย  :P :P :P
พิมพ์
ขึ้น หน้า1
การกระทำของผู้ใช้