โฮสไทย Th*d**** ลง WP โดนโจมตี มีไฟล์โผล่

[tasorich]

ผมมีเช่าโฮสไว้หลายๆที่กระจายกันไป
แต่มีติดปัญหาอยู่ 1 โฮส คือ โฮส  Th*d****
โดเมนเป็นของใหม่ 3โดเมน ลง WP ไว้โดนเหมือนกันหมด

อาการมีไฟล์แปลกปลอมโผล่ พอเข้าเว็บ ก็เด้งเราไปเว็บต่างประเทศ ทั้งในส่วนของหน้าบ้าน และหลังบ้าน
เลยว่าจะไปส่งซัพพอร์ตทิคเก็ต สอบถามว่าเพราะอะไร จะแก้ยังไง
แต่เหลือบไปเห็นในหน้าโฮส เตือนให้ระวัง รีบอัพเดท WP

เอหรือผิดที่เรา เลยไปลบและลงใหม่ ลงตัวล่าสุด
พร้อมส่ง ปลั๊กอิน Wordfence Security และ WP Security
ผ่านไป 1วัน มีไฟล์โผล่มาอีกแล้ว

ผมลงทั้ง WP ตัวใหม่ล่าสุด พร้อม ปลั๊กอินเสริมความปลอดภัย
สุดท้ายก็ยังไปไม่รอด

ปัญหาแบบนี้ มันเป็นที่โฮสรั่ว หรือโดเมนผมตกเป็นเป้าโจมตีครับ


ตัวโฮส Th*d**** ดูดี มีโปรไฟล์ น่าเชื่อถือ และระบบจัดการก็โอเคนะครับ
แต่เจอแบบนี้ ผมเพลียเลย ดีนะ เว็บที่ทำ เป็นงานทดลองเฉยๆ



** โฮสอื่นของผมปกติครับ ยังไม่มีปัญหา

[tasorich]

ขอคำแนะนำหน่อยครับ สำหรับท่านที่มีประสบการณ์
ควรอยู่ต่อเพราะปัญหามันแก้ได้ หรือ ไปเถอะ อย่าไปเสียเงิน มันเสียเวลา

[NaiTan]

ลองแจ้งปัญหาไปที่โฮสให้เค้าลองช่วยตรวจสอบครับว่าสาเหตุมาจากไหนจะได้แก้ไขได้ตรงจุดครับ ถ้าโฮสช่วยอะไรไม่ได้หรือไม่มีคำแนะนำอะไรเลยก็ค่อยหาทางออกอื่นครับ

[99progame]

ผมมีเช่าโฮสไว้หลายๆที่กระจายกันไป
แต่มีติดปัญหาอยู่ 1 โฮส คือ โฮส  Th*d****
โดเมนเป็นของใหม่ 3โดเมน ลง WP ไว้โดนเหมือนกันหมด

อาการมีไฟล์แปลกปลอมโผล่ พอเข้าเว็บ ก็เด้งเราไปเว็บต่างประเทศ ทั้งในส่วนของหน้าบ้าน และหลังบ้าน
เลยว่าจะไปส่งซัพพอร์ตทิคเก็ต สอบถามว่าเพราะอะไร จะแก้ยังไง
แต่เหลือบไปเห็นในหน้าโฮส เตือนให้ระวัง รีบอัพเดท WP

เอหรือผิดที่เรา เลยไปลบและลงใหม่ ลงตัวล่าสุด
พร้อมส่ง ปลั๊กอิน Wordfence Security และ WP Security
ผ่านไป 1วัน มีไฟล์โผล่มาอีกแล้ว

ผมลงทั้ง WP ตัวใหม่ล่าสุด พร้อม ปลั๊กอินเสริมความปลอดภัย
สุดท้ายก็ยังไปไม่รอด

ปัญหาแบบนี้ มันเป็นที่โฮสรั่ว หรือโดเมนผมตกเป็นเป้าโจมตีครับ


ตัวโฮส Th*d**** ดูดี มีโปรไฟล์ น่าเชื่อถือ และระบบจัดการก็โอเคนะครับ
แต่เจอแบบนี้ ผมเพลียเลย ดีนะ เว็บที่ทำ เป็นงานทดลองเฉยๆ



** โฮสอื่นของผมปกติครับ ยังไม่มีปัญหา

ลองเช็คที่เป็น function.php โดนฝังในนั้นหรือป่าวครับ ส่วนมากจะมากับปลั๊กอินครับ

ผมแก้ให้ที่บริษัท บ่อยอยู่ครับ เพราะคนเก่าเขาไปเอา ปลั๊กอินเถื่อนมาใช้งาน

[คนธรรมดา]

ล้างระบบ re-create account ใหม่ทั้งหมดแล้วเปลี่ยนระหัสผ่านด้วยครับ plugin, theme ให้ใช้จาก wordpress จะปลอดภัยที่สุด อย่าโหลดจากข้างนอกมาใช้ครับ

[icez]

ข้อสังเกตคือเรายังแก้ไขข้อมูลไฟล์ในเว็บได้ แสดงว่าขอบเขตโดนแค่ในเว็บเรา ไม่ได้ใช้สิทธิ์ admin ระบบมาแก้ครับ
เพราะถ้าใช้สิทธิ์ admin แก้(แล้วไม่ได้ปรับสิทธิ์ให้ดีๆ) เราจะแก้ไฟล์ต่อไม่ได้

แสดงว่าปัญหายังอยู่ในเว็บเราซักจุดครับ เช็คไฟล์ทั้งหมดของเว็บ + เปลี่ยนรหัสผ่านเข้า wordpress ทุก user + ไล่ลบ user ที่ไม่ได้ใช้แล้วออกดูครับ

[mystylecreate]

จากที่อ่านรายละเอียดจาก จขกท คิดว่าไม่ได้เป็นที่โฮส คาดว่านาจะเกิดจากไม่ได้อัพเดทเวอร์ชั่น wp + plugin+ theme + อื่นๆ

ซึ่งปัญหาสามารถแก้ไขได้ได้ดังนี้
1. สำรองข้อมูลสำคัญเก็บไว้ใน pc ทั้งหมด
2. แจ้งทางผู้ให้บริการโอสติ้ง Reinstall Hosting ให้ใหม่
3. ติดตั้งสคริปใหม่โดยใช้ db และ รูปภาพเดิม ไล่ติดตั้ง  plugin, theme ใหม่
(เพื่อไม่ให้เกิดปัญหาขึ้นอีกข้อมูลเดิมสามารถนำมาใช้งานได้เฉพาะ db และรูปภาพเท่านั้น ส่วนไฟล์ php ต่างๆไม่แนะนำมาใช้งานต่อ....เพราะอาจจะมีการเข้ารหัสไฟล์ไว้แล้ว )

สำหรับแนวทางการป้องกัน
1. อัพเดท Plugin หรือ Themes และ เวอร์ชั่น wordpress เป็นล่าสุดอยู่ตลอด
2. เลี่ยงการใช้งาน Themes ฟรี
3. หากใช้ wordpress แนะนำซื้อ Themes มาใช้งาน https://themeforest.net/
4. กำหนด Password ต่างๆในทุกส่วนให้ยากขึ้น
(pass ควรเป็น pass ที่ยากต่อการ bot สุ่มได้ เช่น ตัวอักษรภาษาอังกฤษ + ผสมตัวเลข + อักขระพิเศษ)

หรือลองอ่านข้อมูลเพิ่มเติม
https://www.webbastard.net/%e0%b8%a7%e0%b8%b4%e0%b8%98%e0%b8%b5%e0%b9%81%e0%b8%81%e0%b9%89%e0%b9%80%e0%b8%a7%e0%b9%87%e0%b8%9a%e0%b9%82%e0%b8%94%e0%b8%99%e0%b9%81%e0%b8%ae%e0%b8%81/

[rayongall]

จากประสบการณ์ไม่ได้เป็นที่โฮส เป็นที่เราเองนี้ละ theme เป็นหลักเลย 

[tasorich]

ก่อนอื่นเลย ต้อง [Thanks] ขอบคุณทุกท่านมากครับ  สำหรับแนวทาง

สำหรับโฮสนี้ ผมลงไว้ 3 โดเมน
Theme ที่ใช้ ซื้อมาจาก themeforest และ elements.envato.com

ที่ผมยังกังขา คือ ผมลงใหม่หมด ไม่มีข้อมูลเดิม เพราะเป็นแค่เว็บทดลอง
ทั้ง WP ทั้ง Theme จาก themeforest
ก็ยังมีไฟล์งอก

อีก 2 โดเมน ผมลบออกไปแล้ว ว่าจะกลับไปลง เฉพาะตัว WP ดู ว่าจะเป็นยังไงบ้าง


ที่ผมเป็นห่วงและกังวล คือ ผมสามารถไว้ใจตัว WP ได้รึเปล่า หรือทำให้มันปลอดภัยยจริงๆได้ไหม
แต่โฮสอื่น ผมก็ลง WP นะครับ ใช้งานปกติ ไม่มีไฟล์งอก และไม่เคยเป็นวังกล จนมาถึงตอนนี้

เลยถือโอกาสนี้ ทดสอบ ทดลอง ดูว่า มันรั่วที่โฮส หรือรั่วที่เรา
และผมไม่มีเจตนา โทษโฮสนะครับ เพราะคงไม่มีโฮสไหน อยากให้ลูกค้าตัวเองโดนแบบนี้

[musichost]

อย่าลืมเปลี่ยนรหัสพวก Control Panel และ ftp โฮสดูด้วย
ติดตั้ง wp แบบ manual ไม่ต้องผ่านระบบติดตั้งใน Control Panel

ลง wp เปล่าๆ ทิ้งไว้ไม่ต้องลง ธีม ปลั๊กอิน ก็ใช้ว่าจะปล่อยภัย ถ้าทิ้งไว้นานๆ อันดับแรกเลยคือไฟล์สแปมมาแน่
ตามด้วยโค้ดแปลกๆ ยัดใส่ในไฟล์ธีม และไฟล์ php ต่างๆ

ในที่สุดก็ขึ้นอยู่ที่การดูแลของแต่ละเจ้าของเว็บคับว่าจะดู และมีวิธีป้องกันได้ดีขนาดไหน
อย่าเชื่อปลั๊กอินป้องกันมากเกินไป ทำใจสักหน่อย ไม่มีอะไรได้มา 100%

แต่ถ้ามันใจว่าเป็นที่โฮสลองเปลี่ยนที่คับ แล้วลองทำทุกอย่างเหมือนเดิม กับที่ทำที่โฮสเก่า  

[iCafe]

ต้องดูครับว่าไฟล์อะไร พบในส่วนไหน

[icez]

อ้อ อีกอย่างนึงนะครับ ผมเคยเจอว่า hacker จดรหัสผ่านฐานข้อมูลเอาไว้ แล้วเอาไปเข้า phpmyadmin ไป add user ใส่ database ตรงๆ ด้วยก็มี (host ไหนเป็น directadmin ถ้าได้ user/pass database ไปแล้วก็เข้าง่ายเลย) เพราะงั้น เปลีย่นรหัสผ่านฐานข้อมูลด้วยก็ดีครับ

[kihirota]

เข้ามาเก็บข้อมูล

[COW]

ต้องดูครับว่าไฟล์อะไร พบในส่วนไหน

ดูชื่อไฟล์ก่อนครับว่าเป็นไฟล์อะไร

[99progame]

ลองเช็คที่ผมบอกหรือยังครับ function.php มีไรแปลกๆในนั้นไหมส่วนใหญ่จะฝังในนี้

[tasorich]

ต้องดูครับว่าไฟล์อะไร พบในส่วนไหน

ถ้าที่เป็นรอบแรก อยู่ใน public_html เลยครับ มีหลายไฟล์
และรอบสอง ที่ลบและลงใหม่ มีมา 1ไฟล์ไปโผล่ใน wp-admin
ตัว Wordfence File Changes สแกนเจอ ครับ

ลองเช็คที่ผมบอกหรือยังครับ function.php มีไรแปลกๆในนั้นไหมส่วนใหญ่จะฝังในนี้

ผมไม่แน่ใจว่าหมายถึง ไฟล์นี้รึเปล่าครับ wp-includes/functions.php
ผมลองเปิดดูแล้ว ไล่ๆดู 6168 บรรทัด สำหรับผมปกติครับ ไม่มีบรรทัดเข้ารหัสแปลกๆ
ดูวันที่แก้ไขไฟล์ก็ ปกติ เป็นวันเดียวกับไฟลฺอื่นๆ ไม่มีการแก้ไขใดๆครับ

ตอนนี้ยังปกติดี ยังไม่มีอะไรงอกครับ

Live Traffic

[del555]

ลองดูสองทางนี้นะครับ 1. ลองเช็คดูว่ามี สคริปฝั่งมากับ plugin เปล่า 2. ลองติดต่อโฮสให้เขาเช็คดูว่ามีอะไรแปลกเปล่า

[99progame]

ต้องดูครับว่าไฟล์อะไร พบในส่วนไหน

ถ้าที่เป็นรอบแรก อยู่ใน public_html เลยครับ มีหลายไฟล์
และรอบสอง ที่ลบและลงใหม่ มีมา 1ไฟล์ไปโผล่ใน wp-admin
ตัว Wordfence File Changes สแกนเจอ ครับ

ลองเช็คที่ผมบอกหรือยังครับ function.php มีไรแปลกๆในนั้นไหมส่วนใหญ่จะฝังในนี้

ผมไม่แน่ใจว่าหมายถึง ไฟล์นี้รึเปล่าครับ wp-includes/functions.php
ผมลองเปิดดูแล้ว ไล่ๆดู 6168 บรรทัด สำหรับผมปกติครับ ไม่มีบรรทัดเข้ารหัสแปลกๆ
ดูวันที่แก้ไขไฟล์ก็ ปกติ เป็นวันเดียวกับไฟลฺอื่นๆ ไม่มีการแก้ไขใดๆครับ

ตอนนี้ยังปกติดี ยังไม่มีอะไรงอกครับ

Live Traffic

ที่ ธีมอะครับ

[tasorich]

ต้องดูครับว่าไฟล์อะไร พบในส่วนไหน

ถ้าที่เป็นรอบแรก อยู่ใน public_html เลยครับ มีหลายไฟล์
และรอบสอง ที่ลบและลงใหม่ มีมา 1ไฟล์ไปโผล่ใน wp-admin
ตัว Wordfence File Changes สแกนเจอ ครับ

ลองเช็คที่ผมบอกหรือยังครับ function.php มีไรแปลกๆในนั้นไหมส่วนใหญ่จะฝังในนี้

ผมไม่แน่ใจว่าหมายถึง ไฟล์นี้รึเปล่าครับ wp-includes/functions.php
ผมลองเปิดดูแล้ว ไล่ๆดู 6168 บรรทัด สำหรับผมปกติครับ ไม่มีบรรทัดเข้ารหัสแปลกๆ
ดูวันที่แก้ไขไฟล์ก็ ปกติ เป็นวันเดียวกับไฟลฺอื่นๆ ไม่มีการแก้ไขใดๆครับ

ตอนนี้ยังปกติดี ยังไม่มีอะไรงอกครับ

Live Traffic

ที่ ธีมอะครับ

ยังไม่ได้ดูครับ แต่คิดว่าไม่ใช่ เพราะโหลดใหม่มาจาก themeforest เลย
และอีก 2 โดเมนที่โดนพร้อมกัน ก็ใช้ คนละธีมครับ


อัพเดทล่าสุดตอนนี้ ยังปลอดภัยดี ไม่มีไฟล์งอกครับ
ทั้งแบบที่ลงปกติใช้งานจริง และ ลงเฉพาะ WP เฉยๆครับ

[nutlove]

ปัญหา เดิมๆ ครับ WP ส่วนใหญ่จะมาจากปลั๊กอินหรือไฟล์ภายใน มีการฝั่งของแถมมา เจอบ่อย ไม่เกี่ยวกับโฮสหรอกครับกรณีนี้

[ppttonline]

มาเก็บข้อมูลครับ

[wck]

เห็นตัวย่อใช้ thaishadow ไหม