เว็ปไซต์โดนแฮค สร้าง .htaccess ไว้เปนหมื่นไฟล์

[Tentzy]

เนื่องจาก เว็ปทุกเว็ปในโฮสต์ ใช้ wordpress ไม่สามารถเข้าไปแก้ไขหลังบ้านได้ ขึ้น 403 forbidden You don't have permission to access this resource.
ติดต่อโฮสต์มาหลายวัน แจ้งว่า มี malware มาสร้าง .htaccess ไว้เต็มไปหมด
ผมได้ทำการไล่ลบทั้งหมด เหลือไว้เฉพาะในโฟลเดอร์ public_html
...........
จนมาถึงไฟล์ .htaccess ในโฟลเดอร์ public_html ซึ่งภายในมันมีโค้ดดังนี้

<FilesMatch ".(PhP|php5|suspected|phtml|py|exe|php|asp|Php|aspx)$">
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch "^(postfs.php|votes.php|index.php|wjsindex.php|lock666.php|font-editor.php|ms-functions.php|contents.php|jsdindex.php|wp-login.php|load.php|template-load.php)$">
Order allow,deny
Allow from all
</FilesMatch>
AddType application/x-httpd-cgi .sh
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>

ผมลองแก้ไขไฟล์ด้วย โค้ดอื่นๆตามที่ดูในเว็ปโดยใส่
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>

เว็ปกลับมาใช้งานได้ ไม่กี่วิ ขึ้น 403 forbidden เหมือนเดิม
กลับมาดู .htaccess ในโฟลเดอร์ public_html มันกลายเป็นโค้ดแบบด้านบนสุดเหมือนเดิม
ไม่ว่าจะลบ จะedit จะแก้ permission เป็น 644 (มันเปน 555 อัตโนมัติ)
จนหมดปัญญา  ไม่รู้จะแก้ยังไงดีครับ
ทางโฮสตแจ้งเพิ่มเติมว่า ให้ผมแก้โค้ดภายใน index.php ซึ่งอาการเดียวกันคือ
ไม่ว่าจะแก้ จะลบ จะ edit permission กี่รอบ มันจะกลับไปเป็นแบบแรกเสมอครับ

พอจะทราบวิธีไหมครับ ว่าควรแก้ตรงไหน

[dermapond]

ลักษณะแบบนี้ คาดว่ามีไฟล์ที่ติดมัลแวร์หลายไฟล์ทำงานอัตโนมัติตลอดเวลาครับ

ก่อนอื่นอย่าลืมสำรองไฟล์ก่อนครับ
อาจจะต้องใช้ความชำนาญหน่อยนะครับ โดยการลบไฟล์ในโฟรเดอร์ wp-admin , wp-include แล้วเอาต้นฉบับ wordpress มาลงแทน ส่วนในโฟรเดอร์ wp-content ลองลบโฟรเดอร์ theme ออกก่อน ต้องลองลบออก ถ้ายังไม่ได้ผลต้องทะยอยลบปลั๊กอินทีละอันออก หลังจากนั้นติดตั้งปลั๊กอิน wordfence สแกนไวรัสทันที แล้วลบออกทั้งหมดครับ

[icez]

ต้องให้ทาง host ช่วย clear process ออก+หยุดการทำงานของเว็บไปก่อนครับ ไม่งั้นก็ clear ไม่ได้

[thongmarine]

ปกติ Host จะมี Backup ข้อมูลให้เรา เป็นระยะๆ นะครับ ถ้ามี ให้ไฟล์ ออกให้หมด แล้วลบทิ้งให้หมด แล้ว ดึง Backup เก่าล่าสุด มา Restore


แต่ Host อะไรนะ ไม่มี แอนตี้ มัลแวร์ให้เรา

[icez]

แต่ Host อะไรนะ ไม่มี แอนตี้ มัลแวร์ให้เรา

host ส่วนใหญ่ไม่มีหรอกครับ

[rayongall]

หายขาดมีทางเดียวทำใหม่

[Akira007]

  ขอบคุณสำหรับแนวทางแก้ไขที่ทุกท่านมาแชร์นะครับ

[Tentzy]

ขอบคุณทุกท่านครับผม สำหรับข้อแนะนำดีดี ดีกว่า support ของ Host อีก

ส่วนเรื่อง backup ผมสอบถามไปแล้ว เค้าไม่มีครับ มีล่าสุดคือ นานมาก(น่าจะเปนที่ผมแบ๊คอัพไว้เอง)

เดี๋ยววันนี้จะลองลุยต่อตามคำแนะนำของทุกท่านครับ ขอบคุณครับ

[thaimakemoney]

ขอเล่าประสบการณ์ตรงนะครับ

ผมเคยเช่า SEO  hosting ในไทยเจ้าหนึ่ง เลือก 40 IP จ่ายรายเดือน

ลงเว็บครบ 40 เว็บ เว็บถูกเจอะเละเทะ
ผมทำเรื่องขอคืนเงิน เขาบอก เว็บถูกเจาะไม่ใช่ความผิดของเขา ไม่คืนเงิน

จากนั้นผมไปเช่าอีกเจ้าหนึ่ง มันก็ไม่เห็นมีปัญหาอะไรทั้ง 40 เว็บ

[Tentzy]

ลักษณะแบบนี้ คาดว่ามีไฟล์ที่ติดมัลแวร์หลายไฟล์ทำงานอัตโนมัติตลอดเวลาครับ

ก่อนอื่นอย่าลืมสำรองไฟล์ก่อนครับ
อาจจะต้องใช้ความชำนาญหน่อยนะครับ โดยการลบไฟล์ในโฟรเดอร์ wp-admin , wp-include แล้วเอาต้นฉบับ wordpress มาลงแทน ส่วนในโฟรเดอร์ wp-content ลองลบโฟรเดอร์ theme ออกก่อน ต้องลองลบออก ถ้ายังไม่ได้ผลต้องทะยอยลบปลั๊กอินทีละอันออก หลังจากนั้นติดตั้งปลั๊กอิน wordfence สแกนไวรัสทันที แล้วลบออกทั้งหมดครับ

ทำตามวิธีนี้ ได้ผลทุกเว็ปในโฮสต์ครับ แก้ไขได้เรียบร้อย ขอขอบพระคุณมากครับ

[ivar]

ถามเป็นความรู้ค่ะ อันนี้คาดว่าโดนยังไงค่ะจาก ftp หรือจาก plugin wordpress

[ratary]

มาเก็บข้อมูล ขอบคุณครับ

[champooko1]

ขอเล่าประสบการณ์ตรงนะครับ

ผมเคยเช่า SEO  hosting ในไทยเจ้าหนึ่ง เลือก 40 IP จ่ายรายเดือน

ลงเว็บครบ 40 เว็บ เว็บถูกเจอะเละเทะ
ผมทำเรื่องขอคืนเงิน เขาบอก เว็บถูกเจาะไม่ใช่ความผิดของเขา ไม่คืนเงิน

จากนั้นผมไปเช่าอีกเจ้าหนึ่ง มันก็ไม่เห็นมีปัญหาอะไรทั้ง 40 เว็บ

อันนี้ +1 ให้ด้วยครับ เคยใช้อยู่เจ้านึงไม่มีปัญหาเลย 5-7 ปี พอย้ายมาอีกเจ้ามีแต่มัลแวร์ให้แก้ทุกเดือน ผมละงงจริงๆ

[Akira007]

ขอเล่าประสบการณ์ตรงนะครับ

ผมเคยเช่า SEO  hosting ในไทยเจ้าหนึ่ง เลือก 40 IP จ่ายรายเดือน

ลงเว็บครบ 40 เว็บ เว็บถูกเจอะเละเทะ
ผมทำเรื่องขอคืนเงิน เขาบอก เว็บถูกเจาะไม่ใช่ความผิดของเขา ไม่คืนเงิน

จากนั้นผมไปเช่าอีกเจ้าหนึ่ง มันก็ไม่เห็นมีปัญหาอะไรทั้ง 40 เว็บ

อันนี้ +1 ให้ด้วยครับ เคยใช้อยู่เจ้านึงไม่มีปัญหาเลย 5-7 ปี พอย้ายมาอีกเจ้ามีแต่มัลแวร์ให้แก้ทุกเดือน ผมละงงจริงๆ

เจออย่างนี้...เหนื่อยแทนเลยครับ
แต่ก็ยินดีด้วยที่เจอปัญหา และย้ายไปเจ้าอื่นที่ช่วยแก้ปัญหาได้ในระยะยาว ที่สำคัญไม่ต้องมานั่งปวดหัวแก้ปัญหาเดิมๆซ้ำๆกันครับ

[Akira007]

ลักษณะแบบนี้ คาดว่ามีไฟล์ที่ติดมัลแวร์หลายไฟล์ทำงานอัตโนมัติตลอดเวลาครับ

ก่อนอื่นอย่าลืมสำรองไฟล์ก่อนครับ
อาจจะต้องใช้ความชำนาญหน่อยนะครับ โดยการลบไฟล์ในโฟรเดอร์ wp-admin , wp-include แล้วเอาต้นฉบับ wordpress มาลงแทน ส่วนในโฟรเดอร์ wp-content ลองลบโฟรเดอร์ theme ออกก่อน ต้องลองลบออก ถ้ายังไม่ได้ผลต้องทะยอยลบปลั๊กอินทีละอันออก หลังจากนั้นติดตั้งปลั๊กอิน wordfence สแกนไวรัสทันที แล้วลบออกทั้งหมดครับ

ทำตามวิธีนี้ ได้ผลทุกเว็ปในโฮสต์ครับ แก้ไขได้เรียบร้อย ขอขอบพระคุณมากครับ

ขอบคุณครับที่มาช่วย confirm วิธีการแก้ไขปัญหา ต้องเก็บไว้อ้างอิง เผื่อเจอปัญหาในอนาคต
เห็นความสำคัญของการ backup ไฟล์บ่อยๆขึ้นมาทันที  

[seohomepro]

แวะมาเก็บข้อมูลค่ะ

[Gain]

น่ากลัว ไม่อยากเจอกับตัวเลย คงเพลียไปหลายวัน 

[piangfaa]

ขอบคุณ dermapond
เอาไว้มีโอกาสจะใช้บริการ Nokhosting นะ
พอดีช่วงนั้น VPS NVMe แพ็คเกจที่จะใช้มันยังไม่มี เห็นบอกอีก 2-3 เดือน เลยจำใจไปสิงคโปร์

[dermapond]

ขอบคุณ dermapond
เอาไว้มีโอกาสจะใช้บริการ Nokhosting นะ
พอดีช่วงนั้น VPS NVMe แพ็คเกจที่จะใช้มันยังไม่มี เห็นบอกอีก 2-3 เดือน เลยจำใจไปสิงคโปร์

ยินดีให้บริการครับ ขอบคุณครับ 

[sunflowerlady77]