[ไม่ทำต่อแล้ว] PHP Virus Remover AJAX v2.S By EThaiZone

[EThaiZone]

ไม่ทำต่อแล้วนะครับ ใครจะเอาไปพัฒนาต่อก็เชิญครับ
ด้วยเหตุผลว่าไม่มีเวลา และงานคงค้างยังมาก

ขอโทษด้วยครับ พบกันโปรเจ็คหน้า ถ้าว่าง

โจ้



Detail
เป็นชุดโค้ดที่เขียนขึ้นมาเพื่อรับมือกับปัญหาพวกเว็บที่โดนแทรกโค้ด
ทั้งโดน js php iframe แต่ตอนนี้จะรองรับได้แค่ไม่กี่ตัว

ดังนั้น... ตามนี้ (ขออ้างอิงจากอีกกระทู้ ขี้เกียจพิมพ์ใหม่)

ตอนนี้เปิดรับไฟล์ที่คิดว่าติดปัญหาโทรจันนะครับ
โดนให้อัพโหลดไฟล์เข้าเว็บอะไรก็ได้ แล้วส่งลิงค์มาให้ผมทาง PM

หรือถ้าใครหาไฟล์ที่เป็นปัญหาไม่เจอ ก็ให้แบ็กอัพทั้งโฟลเดอร์มัน
แล้วส่งมาให้ผมครับ รับรองข้อมูลจะไม่ถูกเปิดเผย ไม่ถูกเอาไปใช้อย่างอื่น
นอกจากทำการหาโค้ดที่เป็นปัญหา ได้เอามาเขียน regex เพื่อจัดการมันออกครับ

Version Update
#   v2.S   -   แก้ Core ชุดใหญ่ และ Optimize Regex (V.2 Stable Version)
#   v2.9   -   แก้ปัญหาเพิ่มเติมตามกระทู้ และ PM แจ้งมา
#   v2.8   -   ตัดการตรวจ css, tpl, txt และ inc
#   v2.7   -   เพิ่มการรองรับโค้ด JS แบบเข้ารหัส
#   v2.6   -   ปรับปรุงโค้ดจัดการ Iframe ใหม่
#   v2.5   -   ปรับปรุงโค้ดจัดการ Iframe ใหม่
#   v2.4   -   แตกไลน์แยกออกเป็น Dreamhost Edition
#   v2.3   -   แก้ระบบการตรวจหาโฟลเดอร์ (ปัญหาจากการใช้บน Dreamhost)
#   v2.2   -   ปรับปรุงการแสดงผลทั้งหมด
#   v2.1   -   ปิด Core ตรวจ (PHP/Backdoor/POST/Eval) gumblar.cn (Click)
#   v2.0   -   ยกระบบเป็น AJAX Single File
#   v1.3   -   ปรับแก้การแสดงผล (บั๊ก)
#   v1.2   -   เพิ่มการรองรับอีก 3 ชนิด
#   v1.1   -   เพิ่มการรองรับอีก 3 ชนิด
#   v1.0   -   เวอร์ชั่นเฉพาะกิจ

Code Download
แบ็กอัพเว็บเก่าก่อนใช้ด้วยนะครับ กันพัง
สคริปนี้ไม่มีผลกับ mysql

For Cpanel/DirectAdmin Hosting (รันที่โดเมนหลักของโฮส มันจะลบโดเมนใกล้เคียงบนระบบให้)
php_virus_remover_ajax.php
(PHP) MD5 Hash : DDCDD5A21153B5FDB4273B0DFD439570

For Dreamhost (รันที่โดเมนไหนก็ได้ มันจะลบโดเมนใกล้เคียงบนระบบให้)
php_virus_remover_ajax_dreamhost_edition.php
(PHP) MD5 Hash : 362718F7EA63B82BDB5E42231AD88648

ืทั้งสองเวอร์ชั่นโหลดที่นี้

โค้ด เลือก ขยาย

http://file.upsiwa.com/download.php?file=3263d0ee4ac79e696086086fcdb1df5a
แล้วคลายซิบ จะใช้ตัวไหนก็แล้วแต่ครับ

Type: PHP Script
Encoding: UTF-8

Howto
ใช้ง่ายมากๆ คลาย zip อัพขึ้นโฮส เปิดหน้าเว็บแล้วทำตามหน้าจอ
กดปุ่มครั้งแรกเพื่อตรวจหาไฟลืที่จำเป็นต้องแก้ พอขึ้น FEC: Success!!!
จะมีปุ่มที่สองขึ้นมา ให้กดเพื่อทำการตรวจแก้จริงๆ เมื่อขึ้น FSF: Success!!! แปลว่าเสร็จแล้วครับ

ไม่ต้องตั้งค่าอะไรทั้งสิ้น เขียนให้รองรับทั้งระบบไฟล์ windows และ unix
ใช้เสร็จแล้วควรลบออกนะครับ ไม่งั้นใครมารัน จะเห้นว่าบนโฮสท่านมีไฟล์อะไรบ้างหมดเลยนะครับ
สามารถ rename เป็นชื่ออะไรก็ได้นะครับ ยืดหยุ่นในตรงนี้
ไม่สามารถแอดเป็น cron job ได้นะครับ เพราะทำงานแบบ ajax

เมื่อแก้ปัญหาเสร็จแล้ว

ผมเพิ่งติดไปหายไม่เกิน 3 วันคับ น่าจะหายแล้ว
ผมติดทุกเว็ปเลย

เมื่อแก้ไวรัสหมดแล้วไป request ให้ google มา review ใหม่คับ

1.submit web ของ google ใหม่
2.request ไปทาง webmaster tools

ขั้นตอนนี้ต้องทำเพื่อปรับสถานะ "ไซต์นี้อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ"
แถมเป็นการตรวจด้วยว่าเว็บเรามีปัญหาอะไรหลงเหลืออีกไหม

บทความ
การตรวจสอบ "ไซต์นี้อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ" คุณโดนอะไร?
PHP Virus Remover ทำงานยังไง
เจอปัญหา Permission denied และ fwrite fclose

โปรคเช็คการอัพเดตในกระทู้นี้เป็นระยะๆ  
เกือบลืม โปรดมั่นใจว่าได้มีแบ็กอัพเก็บไว้แล้ว  

ถ้ามีปัญหาในการใช้ ก็ PM มาคุยได้นะครับ
แต่อาจต้องขอการเข้าถึง FTP ด้วย

เกือบลืม เป็นสคริปที่แก้ปัญหาที่ปลายเหตุนะครับ จริงๆ ไม่ควรตั้งชื่อแนวนี้ แต่ไม่รู้จะตั้งอะไร
วิธีแก้ต้นเหตุจริงๆ คือระวังเรื่อง FTP Client ที่ใช้ เพราะหลายคนชอบใช้ของเถื่อน
แล้วพอใช้แล้วโดนไปคน บางโฮสที่ security ต่ำ ก็พาลโดนกันทั้งหมด
ด้วยเหตุแค่ว่าคนแฮกเขาได้ FTP เข้ายิงไฟล์ php มาแล้ว

ดังนั้นโปรดระวัง หันมาใช้ filezilla แทนดีกว่า เพราะของฟรี
หรือถ้าโฮสรับ sftp ก็ใช้แทนซะ (หาบน share host ดูท่าจะยาก)
ไม่งั้นก็อัพไฟล์ผ่าน browser ของตัว CP แทน
เพราะเราอัพผ่าน https ยังดีกว่าทียังมีการเข้ารหัส

เครื่องที่มีปัญหาก็อย่าลืมล้างให้สะอาดด้วย (แนะนำ Eset, Kaspersky, Norton)
พวกนี้เป็นปัญหาใหญ่จริงๆ เพราะมาจากแคร็กของโปรแกรมเถื่อน
เวลา่โหลดอะไรก็ควรระวัง

[g-ji]

อัพขึ้นโฮส แล้ว รันหน้านั้นได้เลยชิมิ

จะมีบ้างมั้ยหว่า

[payu]

+1 ครับ คุณโจ้

ตอนแรกอยากทำมาแจกเหมือนกัน .. แต่ project ไม่ไปถึงไหน เลยได้แต่คิด
ที่ผมคิดไว้คือ
- script จะ backup ไฟล์ที่กำหนดไว้ทั้งหมด (อาจจะแค่ php, html) ในทุก folder แยกต่างหากไว้ในที่ปลอดภัย แล้วเก็บ md5 หรือ crc ไว้เพื่อตรวจสอบ
- run cron ตามเวลาที่ตั้งไว้ อาจจะทุกวันเพื่อตรวจสอบการเปลี่ยนแปลงของไฟล์
- ถ้าไฟล์ที่ตรวจสอบมี md5 หรือ crc เปลี่ยนไป ก็ให้เอาที่ backup ไว้กลับมาทับโดยอัตโนมัติครับ

เทคนิคนี้มีข้อเสียนิดนึง ถ้าเราแก้ไขไฟล์ จะต้องแน่ใจว่าไม่โดน hack และจะต้อง run script เพื่อ backup ต้นฉบับไว้ทุกครั้ง

[ต่อ]

สุดๆครับ ถ้าอยู่ใกล้ๆจะพาไปเลี้ยง เอ็มเก คุ๊กกี้ :

[EThaiZone]

+1 ครับ คุณโจ้

ตอนแรกอยากทำมาแจกเหมือนกัน .. แต่ project ไม่ไปถึงไหน เลยได้แต่คิด
ที่ผมคิดไว้คือ
- script จะ backup ไฟล์ที่กำหนดไว้ทั้งหมด (อาจจะแค่ php, html) ในทุก folder แยกต่างหากไว้ในที่ปลอดภัย แล้วเก็บ md5 หรือ crc ไว้เพื่อตรวจสอบ
- run cron ตามเวลาที่ตั้งไว้ อาจจะทุกวันเพื่อตรวจสอบการเปลี่ยนแปลงของไฟล์
- ถ้าไฟล์ที่ตรวจสอบมี md5 หรือ crc เปลี่ยนไป ก็ให้เอาที่ backup ไว้กลับมาทับโดยอัตโนมัติครับ

เทคนิคนี้มีข้อเสียนิดนึง ถ้าเราแก้ไขไฟล์ จะต้องแน่ใจว่าไม่โดน hack และจะต้อง run script เพื่อ backup ต้นฉบับไว้ทุกครั้ง

น่าสนใจนะครับ เห็นด้วยนเลย จะให้ดีก็ต้องทำลิสไฟล์เก็บทั้ง hashfile ด้วย
และจัดการเข้ารหัสไฟล์ backup ทั้งหมด รวมทั้ง rename เป็นค่า hash อื่น
เพราะเมื่อวา่นผมได้คุยกันสองท่าน ที่เจอปัญหาเรื่องนี้
(ต้องขอบคุณที่ให้ผมเข้า FTP กับ CP ของท่านด้วยนะ)

พฤติกรรมของคนทำ เหมือนกับว่า
เอาพาส ftp จาก ftp client ที่โดนแครก
เพิ่มพาสเข้าระบบมัน แล้วระบบมันจะยิง ftp มาอัพโหลดไฟล์ตามเกณฑ์ที่มันต้องการ
ที่โดนจะพวกไฟล์ที่มีชื่อแนวๆ index main function config
จะมีโดนพิเศษมาหน่อยก็เช่น wp-db ของ WP

แต่ต้องยอมรับจุดหนึ่ง มันเล่นทุกโฟลเดอร์เลย
อันนี้แหละที่เผลอๆ script backup มันจะซวยไปด้วย

ฝากบอกอีกหลายท่าน
วิธีดีสุด คือระวังเรื่องการใช้ของเถื่อน ต้องป้องกันก่อนที่จะเกิด
โค้ดที่ผมเขียนในกระทู้นี้ไว้เป็นแค่เครื่องมือแ้ก ไม่ใช่ป้องกัน
เป็นการแก้ปลายเหตุล้วนๆ

ปล. โปรดแบ็กอัพไฟล์ก่อนใช้  (ลืมบอก)

[SearchMarketing]

ที่แท้ก้อเข้าทาง ftp นี่เอง ความรู้ใหม่ขอบคุณครับ

[sir_15]

+1 มันลบปื๊ดเดียวเองจ่ะง่ายมากเลย

แต่มันติดอันอื่นๆอีกน่ะน้องโจ้ อันเก่าไป อันใหม่มา(ที่จิงอันเดิมแต่เราหาไม่เจอ) 

มีหลายๆคนเจอนะคะ ตรวจเว็บของท่านดีๆว่ามีการแก้ไขผิดปกติไหม ของกิวแก้ทั้งโฮสเลยทุกโดเมน ห่างกันประมาณ 30 วินาที ลองตรวจๆกันดูนะคะ

[ball6847]

ถ้าไฟล์แบ็คอัพไว้เป็น zip จะโดนป่ะ   

[TAXZe]

ถ้าไฟล์แบ็คอัพไว้เป็น zip จะโดนป่ะ  

zip+pass ด้วย

antivirus ยังทำอะไรไม่ได้เลย 

ไวรัสตัวนี้ปีก่อนๆก็มี เกิดจาก ftp โดนดักพาส

filezilla ยังโดนเลย

[EThaiZone]

+1 มันลบปื๊ดเดียวเองจ่ะง่ายมากเลย

แต่มันติดอันอื่นๆอีกน่ะน้องโจ้ อันเก่าไป อันใหม่มา(ที่จิงอันเดิมแต่เราหาไม่เจอ) 

มีหลายๆคนเจอนะคะ ตรวจเว็บของท่านดีๆว่ามีการแก้ไขผิดปกติไหม ของกิวแก้ทั้งโฮสเลยทุกโดเมน ห่างกันประมาณ 30 วินาที ลองตรวจๆกันดูนะคะ

ตามนั้นเลย gumblar.cn มันเล่นหลายเวอร์ชั่นมากๆ
ตอนนี้เขียนเพิ่มไปอัีกแล้วครับ พยายามเขียนให้รัดกุม ยืดหยุนนิดๆ
เพราะถ้ายืดหยุนมากเกินไป กลัวแม้แต่มันอ่าน jquery แล้วจะเข้าใจว่าเป็นอันตราย
ดังนั้นโค้ดนี้อาจกิน cpu นิดส์ๆ ตามจำนวนไฟล์

ถ้าไฟล์แบ็คอัพไว้เป็น zip จะโดนป่ะ   

ไม่โดนครับ คิดว่างั้น

-----------------------------

กรณีบนโฮสคุณ sir_15 เจอเหตุการณ์ดังนี้
- แทรกโค้ด php ลงส่วนหัวสุด ของไฟล์ php
- แทรกโค้ด js ลงท้ายสุด ของไฟล์ js
- สร้างไฟล์ image.php บนโฟลเดอร์ image

ซึ่งท้ายสุดนี้เป็น backdoor

-----------------------------

เออใช่ เดียวอาจออกเป็นเวอร์ชั่น dreamhost เพราะเห็นมันโดนทุกโฟลเดอร์ในนั้น
ระบบโฟลเดอร์ต่างจากโฮสที่ช้ cpanel ทั่วไป

เดี๋ยวดูอีกทีหนึ่ง  

[g-ji]

สรุปคนเขียนมันเทพใช่มั้ยเนี้ย 

ขอบคุณ คุณโจ้มากๆ 

[EThaiZone]

ถ้าไฟล์แบ็คอัพไว้เป็น zip จะโดนป่ะ  

zip+pass ด้วย

antivirus ยังทำอะไรไม่ได้เลย 

ไวรัสตัวนี้ปีก่อนๆก็มี เกิดจาก ftp โดนดักพาส

filezilla ยังโดนเลย

พวก sniffer เหรอครับ

อันนี้ต้องยอมรับเลย sniffer ดักพา่ส ftp ได้
แต่มันจะโดนกันน้อย ถ้าใช้พวก eset หรือ kaspersky

จริงอยู่ว่า avast กับ avg พวกนี้จะตรวจปัญหาบนหน้าเว็บเจอ
แต่จริงๆ มันไม่ใช่ตัวโทรจันจริงๆ เพราะมันไม่ได้มีการโหลดแพ็กเกจอันตรายเพิ่มเติม

ที่กลับกัน แม้พวก eset หรือ kaspersky จะไม่เจอพวกนี้
จริงๆ ที่ไม่เจอก็เพราะมันไม่จัดว่ามันอันตรายแก่ผู้ใช้ (แต่อันตรายกับเจ้าของเว็บ เพราะเสียทราฟิคให้)

ดังนั้นต้องกลับมามองครับ จริงอยู่ หลายคนว่า avast กับ avg มันตรวจเจอ
แต่คนที่ใช้ก็ยังโดนไอ้พวกนี้ใช่ปะครับ

ส่วนผมไม่เคยใช้ avast กับ avg ใช้แต่ eset แต่ไม่เคยโดนไอ้พวกนี้เลย

ตรงนี้น่าคิดไหมครับ  

[ndesigns]

ขอบคุณคับโจ้ ผมโดน .cn เล่นงานอีกแล้ว

[EThaiZone]

ขอบคุณคับโจ้ ผมโดน .cn เล่นงานอีกแล้ว

ถ้าโดนอะไร ก็ส่งไฟล์เจ้าปัญหาเข้ามาทาง pm ครับ
เพราะผมจะได้มาเขียน ไว้เผื่อคนอื่นโดน มันจะได้ช่วยลบได้ และลบง่ายขึ้น

แต่ถ้าหาไม่เจอ หรือไม่ชัวร์ กลัวหาไม่หมด
แบ็กอัพมาทั้งโฟลเดอร์แล้วส่งมาให้ผมเลย รับรองข้อมูลไม่รั่ว
เพราะถ้าคิดชั่ว มันเสียชื่อ EThaiZone พอดี

อยากจะอยู่กันนานๆ รอ TSB อายุครบ 10 ปี อะไรแบบนั้น 

[peglui]

ว้าว ๆ ขอบคุณคร้าบบบ พี่เก่งมาก ๆ อะ >_< แบบว่่าขอติดตาม กับเอาความรู้ไปใช้มาหลายกระทู้

ขอให้หายยุ่งไว ๆ นะคร้าบ แล้วจะรอพี่มาเขียนบทความให้อ่านอีก

[GoooooooooGle]

โอ้วพระเจ้าจอร์ด มันยอดมาก

[EThaiZone]

เดียวเปิด donate จะได้เข้าทำนองของฟรีไม่มีในโลก 

แนะนำให้เลี่ยงเลยนะครับ พวกโปรแกรมเถื่อนแนวแครก
ไม่ใช่แต่กับเฉพาะ FTP Client อย่าง Cuteftp
เชื่อไหม ทั้งคุณ sir_15 และอีกท่าน (ลูกค้าเก่าผม) ทั้งคู่ใช่ Cuteftp  อย่างไม่น่าเชื่อ

คุณ sir_15 โดน gumblar.cn เล่น
ส่วนอีกคนโดน iframe เล่นแทรกหลังโ้ค้ด
มันดันไปแทรก ในโค้ด xml music streaming ที่ผมเคยเขียนให้ลูกค้า
มันเลยฟังเพลงไม่ออกซะงั้น

ก็ตามนั้นเลย จริงๆ โปรแกรมแคร็กตัวอื่นก็มีครับ
แนะนำให้ใช้พวก eset หรือ kaspersky เลย

เพราะผมเคยแม้แต่โหลดจากลาปเป็ด ระหว่างโหลดก็โดน eset ตัด network ทิ้งซะงั้น
แล้วมันก็บอกไฟล์จากลาปเป็ดอันตราย โหลดอีกกี่รอบมันก็ตัดทุกรอบทั้งที่ยังโหลดไม่เสร็จ

อุๆ ของเขาดีจริงๆ  :

และ ของฟรีไม่มีในโลก (ยกเว้นโฮสฟรีของไทยเสียว อันนี้ฟรีจริงๆ)

[GoooooooooGle]

เดียวเปิด donate จะได้เข้าทำนองของฟรีไม่มีในโลก 

แนะนำให้เลี่ยงเลยนะครับ พวกโปรแกรมเถื่อนแนวแครก
ไม่ใช่แต่กับเฉพาะ FTP Client อย่าง Cuteftp
เชื่อไหม ทั้งคุณ sir_15 และอีกท่าน (ลูกค้าเก่าผม) ทั้งคู่ใช่ Cuteftp  อย่างไม่น่าเชื่อ

คุณ sir_15 โดน gumblar.cn เล่น
ส่วนอีกคนโดน iframe เล่นแทรกหลังโ้ค้ด
มันดันไปแทรก ในโค้ด xml music streaming ที่ผมเคยเขียนให้ลูกค้า
มันเลยฟังเพลงไม่ออกซะงั้น

ก็ตามนั้นเลย จริงๆ โปรแกรมแคร็กตัวอื่นก็มีครับ
แนะนำให้ใช้พวก eset หรือ kaspersky เลย

เพราะผมเคยแม้แต่โหลดจากลาปเป็ด ระหว่างโหลดก็โดน eset ตัด network ทิ้งซะงั้น
แล้วมันก็บอกไฟล์จากลาปเป็ดอันตราย โหลดอีกกี่รอบมันก็ตัดทุกรอบทั้งที่ยังโหลดไม่เสร็จ

อุๆ ของเขาดีจริงๆ  :

และ ของฟรีไม่มีในโลก (ยกเว้นโฮสฟรีของไทยเสียว อันนี้ฟรีจริงๆ)

เปิดเว็บให้ดาวโหลดจริงจังเลยครับ
ส่งไปให้ไทยแวเผยแพร่ รับรองรวย

[TAXZe]

ถ้าไฟล์แบ็คอัพไว้เป็น zip จะโดนป่ะ  

zip+pass ด้วย

antivirus ยังทำอะไรไม่ได้เลย 

ไวรัสตัวนี้ปีก่อนๆก็มี เกิดจาก ftp โดนดักพาส

filezilla ยังโดนเลย

พวก sniffer เหรอครับ

อันนี้ต้องยอมรับเลย sniffer ดักพา่ส ftp ได้
แต่มันจะโดนกันน้อย ถ้าใช้พวก eset หรือ kaspersky

จริงอยู่ว่า avast กับ avg พวกนี้จะตรวจปัญหาบนหน้าเว็บเจอ
แต่จริงๆ มันไม่ใช่ตัวโทรจันจริงๆ เพราะมันไม่ได้มีการโหลดแพ็กเกจอันตรายเพิ่มเติม

ที่กลับกัน แม้พวก eset หรือ kaspersky จะไม่เจอพวกนี้
จริงๆ ที่ไม่เจอก็เพราะมันไม่จัดว่ามันอันตรายแก่ผู้ใช้ (แต่อันตรายกับเจ้าของเว็บ เพราะเสียทราฟิคให้)

ดังนั้นต้องกลับมามองครับ จริงอยู่ หลายคนว่า avast กับ avg มันตรวจเจอ
แต่คนที่ใช้ก็ยังโดนไอ้พวกนี้ใช่ปะครับ

ส่วนผมไม่เคยใช้ avast กับ avg ใช้แต่ eset แต่ไม่เคยโดนไอ้พวกนี้เลย

ตรงนี้น่าคิดไหมครับ  

nod32 ดักได้ครับ ยืนยันอีกเสียง

แต่อยากใช้ norton 2009

เขาว่าเทพสุดแล้วในขณะนี้

[EThaiZone]

หวังว่า norton จะดีกว่าช่วงปีสองปีที่แล้ว
ช่วงนั้นมันอืดจริงๆ หมายถึงความสามารถมันอะ
ยังกะนักวิจัยเขานกเขาไม่ขัน เลยโดนพวก kas eset ชิงไปซะงั้น

ตอนนี้คุณ sir_15 ช่วยเป็นหนูทดลองเวอร์ชั่นบน dreamhost
เมื่อคืนถึงตีสองกว่าๆ ได้มั้ง นั่งช่วยเป็นหนูทดลอง

บอกตามตรงตอนแรกไม่กล้าแจก เพราะกลัวคนใช้มีปัญหาแล้วเราจะซวย
เลยพยายามเอา % ที่อาจเกิดความผิดพลาด ไปลงที่การทำงานของระบบแทน
คือโค้ดจะทำงานหนักกว่าหน่อย แต่ % การผิดพลาดจะลดลง