ThaiSEOBoard.com

กระทู้นี้ขอพื้นที่เตือนภัยเพื่อนๆ ที่ชอบดาวน์โหลด ธีม ฟรี จากเว็บไซด์ต่างๆ นะครับ ผมชอบดาวน์โหลดมาใช้ครับ เพราะมันสวยดี วันนึงผมก็เจอดีเข้าจนได้ ระหว่างที่ผม top ดู process ของ VPS ผม เห็นความผิดปกติบางอย่างครับ มันมี apache รัน ssh-scan เป็น สิบๆ อัน โอ้วอะไรกันเนี่ย รู้สึกตะหงิดๆ เลยไป search หาข้อมูลใน google ครับ

ปรากฎว่า ฝรั่งเค้าคุยกันว่าอาจจะโดน Hack เข้าให้แล้ว  :wanwan031: โดยให้ผมใช้คำสั่ง cd /tmp แล้ว ls -lha เพื่อดู list รายชื่อ ไฟล์ที่ถูกซ่อนไว้ในโฟลเดอร์ tmp ครับ แล้วก็โป๊ะเชะ!  :wanwan010: มันเข้ามาจริงๆ ด้วยครับ มีโฟลเดอร์ สองอันแล้วก็ zip ไฟล์อันนึง ทั้งหมดถูกรันโดย apache (ขออภัยนะครับถ้าอ่านแล้วงง ผมไม่เก่งเรื่อง server เลย อธิบายตามที่ผมเข้าใจน่ะครับ) ผมเข้าไปสำรวจ เท่าที่ดูโปรแกรมตัวนี้มัน ดาวน์โหลดตัวเองมาลงแล้ว ทำการรันเพื่อสุ่มเอา user และ password ของ VPS ผม และน่าจะทำการเมลล์ออกไปยัง Hacker (เห็นมี script send email ด้วย)  :wanwan035: ผมเห็นรายการสุ่มมันเป็นหางว่าวเลย แต่มันยังไม่ได้ไปครับ  :wanwan035:

ทีนี้ทำไมถึงเกี่ยวกับ ฟรี themes อันที่จริงกระผมไม่แน่ใจนักครับ เพราะผมจะไม่ใช้ root login เข้าโดยตรงเพื่อป้องกันการโดน Hack อยู่แล้วชั้นนึง จากการปรึกษาพี่ที่รู้จักกัน เขาแนะนำว่า มันน่าจะมาจาก Themes ที่เราโหลดฟรีมานั่นแหละ ตรง footer ของ themes พวกนี้ มันจะถูก encode เอาไว้ พี่เค้าถามผมว่า "แล้วเมิงรู้เหรอ ว่าเขาใส่อะไรไว้บ้าง" .... เออ ถูกของเขา ไอ่ตัวที่มันมา scan หา password นี่มันก็รันด้วย apache ไม่มีการ login จาก user อื่นใด VPS นี่กระผมก็ใช้คนเดียว password ก็คิดว่า secure พอ

ผมกับพี่ๆ อาจจะ สันนิษฐานผิดก็ได้ แต่ยังไงก็อยากมาเตือนไว้ด้วยความหวังดีนะครับ เพราะเราไม่เห็นจริงๆ ว่า ไอ้ code ที่เขาใส่ไว้มันทำอะไรบ้าง

ผมเองก็ยังอ่อนประสบการณ์ เจอแบบนี้ตอนนี้เลยลบ themes ที่ดาวน์โหลดมาหมดแล้ว ตอนนี้จิตตก คอยดู top ตลอดเลยครับว่ามีไรแปลกๆ รันอีกรึป่าว  :P

โหลดจากเว็บไหนมาครับเนี่ย  :P

แหะๆ ตอนนั้น โหลดมั่วอ่าครับ แบบ search จาก google แล้วเข้าไปดูเลย  :P มือใหม่น่ะครับตอนนั้น ตอนนี้ก็ยังไม่เก่านะ

เดี๋ยวนี้ผมทำ theme ใช้เองแล้วล่ะ ปลอดภัย ไม่ซ้ำใครด้วย

บางทีมันก็ยัดไว้ในฟังชั่นตรวจดูดีๆครับ นี่จากธีมที่โหลดมาเอง
เปิดดูลิ้งค์เว็บตัวเองดันเจอเว็บโป๊โผล่มา หาในฟุตเตอร์ไม่มี
ดันเจอ encode เอาไว้ ในฟังก์ชั่นซะงั้น

ทางที่ดีก็หาธีมที่ไม่มีการเข้ารหัสอะไรไว้อ่ะครับดีที่สุด หรือไม่ควรก็ decodeดูก่อนว่าเค้าวางยาอะไรไว้  :wanwan009:

อ้างถึงจาก: asshur ใน 10 กุมภาพันธ์ 2011, 13:57:32
บางทีมันก็ยัดไว้ในฟังชั่นตรวจดูดีๆครับ นี่จากธีมที่โหลดมาเอง
เปิดดูลิ้งค์เว็บตัวเองดันเจอเว็บโป๊โผล่มา หาในฟุตเตอร์ไม่มี
ดันเจอ encode เอาไว้ ในฟังก์ชั่นซะงั้น

โห เจอเว็บโป๊เลย เป็นผมอาจจะแอบนั่งดูก่อนลบ  :-[

อ้างถึงจาก: fOrSeo ใน 10 กุมภาพันธ์ 2011, 13:58:37
ทางที่ดีก็หาธีมที่ไม่มีการเข้ารหัสอะไรไว้อ่ะครับดีที่สุด หรือไม่ควรก็ decodeดูก่อนว่าเค้าวางยาอะไรไว้  :wanwan009:

ไม่กล้าโหลดแล้วคร๊าบ เข็ดเลย  :wanwan035:

กลัวเลย  อ่ะ

ช่วงนี้อะไรๆ ก็ต้องระวังมากขึ้น ขอบคุณคำแนะนำดีๆ ด้วยครับ  :wanwan009:

อาการนี้เคยเจอเหมือนกันครับ...เพราะเว็บจีจี เตือนว่าเว็บนี้อาจเป็นอันตรายต่อคอมพิวเตอร์

เจอฝังโค้ดที่ footer เหมือนกัน  :P

กำลังนั่งโหลดธีมฟรีอยู่เลยค่ะ เบรคแทบไม่ทัน  :P
น่ากลัวอ่ะ ขอบคุณนะคะ

ครับ ต้องระวังกันมากขึ้น ผมโหลดมาผมจะไม่เอาลิงค์ของผู้จัดทำธีม ออกนะครับ ผมถือว่า เอาของเขามาใช้ก็ช่วยโฆษณาให้เขาหน่อย แต่เจอฝังแบบนี้น่ากลัวอ่ะครับ คงต้องงดเลย แต่ส่วนธีม ฟรี พี่ๆ ที่แนะนำเค้าบอกว่า โหลดจาก wordpress เองไว้ใจได้อยู่ครับ เพราะก่อนที่จะเอาไปขึ้น wordpress ได้ก็ต้องผ่านการตรวจสอบเหมือนกัน  :-[

ยังไงก็ระวังๆ กันบ้างก็ดีครับ  :wanwan011:

 :-X น่ากลัวจัง ต้องระวังมากขึ้น

เอ่อ...คือ เราจะดูยังไงครับ ไอ้ topๆ เนี่ย.. ไม่เป็นอะไรเลย...

 :o

โหลดฟรีมาเหมือนกันค่ะ ดูยังไงเนี่ย เวบขายของด้วย เง้ออออ เขียนเองก็ไม่เป็น
น่ากลัวมากเลยยยย

top เป็นคำสั่งใน linux นะครับ ผมใช้ VPS เลยต้องใช้พวกนี้ ยังมือใหม่อยู่ไม่ค่อยรู้เรื่องหรอกครับ แต่ส่วนท่านที่ใช้ share server มันคงเจาะเข้ามายากหน่อย เพราะส่วนใหญ่ share server คงมีเจ้าหน้าที่คอยดูแล แต่ VPS มันต้องดูแลเองน่ะครับ  :wanwan008:

ถ้ามีท่านผู้รู้เรื่องเกี่ยวกับ server รบกวนให้คำแนะนำท่านอื่นๆ ด้วยนะครับ ผมไม่รู้จริงๆ ถ้ารู้จะรีบบอกเลยครับ

ขอบคุณเจ้าของกระทู้ ผมเพิ่งโดนมา เข้า directadmin ไม่ได้เลย โดนทั้งยวง ต้องแก้ถึง pass root เลย อันตรายมาก

อ้างถึงจาก: mammoth! ใน 10 กุมภาพันธ์ 2011, 14:43:02
ขอบคุณเจ้าของกระทู้ ผมเพิ่งโดนมา เข้า directadmin ไม่ได้เลย โดนทั้งยวง ต้องแก้ถึง pass root เลย อันตรายมาก

:wanwan009: เหวอ โดนหนักกว่าผมอีก พวกนี้มันจะ Hack อะไรกันนักกันหนา สร้างความเดือดร้อนจริงๆ เลย  :wanwan010:

อ้างถึงจาก: Shin69 ใน 10 กุมภาพันธ์ 2011, 14:41:39
top เป็นคำสั่งใน linux นะครับ ผมใช้ VPS เลยต้องใช้พวกนี้ ยังมือใหม่อยู่ไม่ค่อยรู้เรื่องหรอกครับ แต่ส่วนท่านที่ใช้ share server มันคงเจาะเข้ามายากหน่อย เพราะส่วนใหญ่ share server คงมีเจ้าหน้าที่คอยดูแล แต่ VPS มันต้องดูแลเองน่ะครับ  :wanwan008:

ถ้ามีท่านผู้รู้เรื่องเกี่ยวกับ server รบกวนให้คำแนะนำท่านอื่นๆ ด้วยนะครับ ผมไม่รู้จริงๆ ถ้ารู้จะรีบบอกเลยครับ

คือ เราจะดูยังไงครับ ผมก็ใช้ VPS เหมือนกัน เวลาเค้าคุยกันเรื่องรันคำสั่งไรนี่...ผมงงเต๊กเลยครับ ไม่รู้จะไปยังไง พิมพ์คำสั่งที่ตรงรูไหน มือใหม่ยิ่งกว่า5555 จะถามผู้ให้บริการก็เกรงใจเพราะน่าจะเป็นเรื่องง่ายๆ หะๆๆ

น่ากัวอ่ะ  :wanwan009:

+1 ขอบคุณคับที่มาเตือน  :wanwan017:

Plug-in ก็อันตรายเหมือนกันดูดีๆ น้ะครับโดนมาแล้ว :wanwan010:

อ้างถึงจาก: mcca_kop ใน 10 กุมภาพันธ์ 2011, 14:52:56
Plug-in ก็อันตรายเหมือนกันดูดีๆ น้ะครับโดนมาแล้ว :wanwan010:

จริงเหรอครับ  :wanwan009: ภัยรอบตัวเลยสิเนี่ย

ผมว่าคนที่ใช้ share server ก็ต้องระวังเหมือนกันนะ อย่างน้อยๆ ก็ลองเช็คว่ามี folder แปลกปลอม โผล่มาบ้างรึป่าวก็ยังดี

น่ากลัวนะเนี่ย ผมเองก็ชอบโหลดมาใช้บ่อยๆเหมือนกัน

สงสัยอยู่เหมือนกันครับ ว่าทำไมมีคนเข้าเว็บแต่ไม่มีคนคลิกเลย หรือมันขึ้นโฆษณาของคนอื่นหว่า

เมื่อวันก่อนลองธีมของ templatic ติดตั้งปุ๊บมันบอกว่าให้ แทรกโค้ดอะไรสักอย่างที่ .config.php พอแทรกเสร็จ ให้คลิกที่นี่  db หายเรียบ ดีนะ backup ไว้ก่อน   :P

อ้างถึงจาก: flukenakrab ใน 10 กุมภาพันธ์ 2011, 15:07:27
สงสัยอยู่เหมือนกันครับ ว่าทำไมมีคนเข้าเว็บแต่ไม่มีคนคลิกเลย หรือมันขึ้นโฆษณาของคนอื่นหว่า

เมื่อวันก่อนลองธีมของ templatic ติดตั้งปุ๊บมันบอกว่าให้ แทรกโค้ดอะไรสักอย่างที่ .config.php พอแทรกเสร็จ ให้คลิกที่นี่  db หายเรียบ ดีนะ backup ไว้ก่อน   :P

:wanwan009: ลบ ดาต้าเบส??? โห มันจะทำเพื่อ

:wanwan044:ไว้ใจไม่ได้เลยพวกนี้เหอะๆๆ

ขอดูโค้ดที่ encode ไว้หน่อยสิครับ อยากรู้ว่าหน้าตาเป็นยังไง วันหลังจะได้ลองค้นหาใน theme ที่โหลดมาก่อน

น่ากลัว ขอเก็บขอมูลก่อน :o

อ้างถึงจาก: suphot.s ใน 10 กุมภาพันธ์ 2011, 15:28:09
ขอดูโค้ดที่ encode ไว้หน่อยสิครับ อยากรู้ว่าหน้าตาเป็นยังไง วันหลังจะได้ลองค้นหาใน theme ที่โหลดมาก่อน

ต้องขอโทดด้วยครับผมโหลดมาหลาย ธีมเลยไม่รู้ว่าอันไหนที่เป็นตัวร้าย เลยแก้ด้วยการลบทั้งหมดครับ ส่วนการ encode ลองดูได้เลยครับแทนที่ footer จะเป็น html ปกติ มันจะกลายเป็น ตัวอักษร รหัส มั่วไปหมดอ่านไม่รู้เรื่องน่ะครับ ตอนนี้ไม่มีตัวอย่างให้ เพราะลบซะเกลี้ยง (จิตตกน่ะครับ)  :-[

 :( โหลดฟรี ใครๆ ก็ชอบ ดันเป็นงี้ซะอีก
:o ต้องระวังตัวมากขึ้นอ่ะ

เสียวสันหลังวาบเลยงานนี้ :P

ไม่น่ากลัวหรอกครับถ้าเช็คเป็นหรือดูเป็นว่าธีมนั้นเจ้าของเค้าใส่อะไรแปลกปลอมลงไปด้วยมั้ย
แต่ถ้าดูไม่เป็น โหลดธีมฟรีมาก่อนอัพขึ้นwp ก็ตรวจสอบดูก่อน ถ้าอันไหนไม่น่าไว้ใจก็อย่าไปใช้

โหลดมาเรื่อยเลยอ่ะค่ะ แต่ไม่ค่อยได้ใช้เลยเหมือนกัน :P
หลังทำเองตลอดเลย รอดตัวไปที  :P

ส่วนใหญ่ที่ให้ดาวโหลดฟรีจะฝังสคริปแฮคหรือฝังเพื่อเอา Backlink ไว้ครับ โดยการใช้ eval ทริคเล็กๆน้อยๆคือ ก่อนใช้งานให้ใช้ Dreamweaver เปิดไฟล์สักไฟล์ของ Theme หรือสคริปต่างๆ แล้วกด Ctrl+F จากนั้นในส่วนของ Find in: เลือกเป็น Folder... แล้วใส่คำว่า eval(

ตัวอย่างบางชุด

อ้างถึง<?php eval(base64_decode('Pz4gCQkJPGRpdiBjbGFzcz0iZml4Ij48L2Rpdj4NCgkJDQoJCTwvZGl2PjwhLS0vY29sdW1ucyAtLT4NCgkJDQoJCTxkaXYgY2xhc3M9ImZsaWNrciI+PD9waHAgZ2V0X2ZsaWNrcnJzcygpOyA/PjwvZGl2PjwhLS0vZmxpY2tyIC0tPg0KCQkNCgkJPGR
pdiBpZD0iZm9vdGVyIj4NCgkJCTxwPiBQb3dlcmVkIGJ5IDxhIGhyZWY9Imh0dHA6Ly93b3JkcHJlc3N0aGVtZXNmb3JmcmVlLmNvbS8iPldvcmRwcmVzcyB0aGVtZXMgZnJlZTwvYT4uIDxhIGhyZWY9Imh0dHA6Ly9sYXB0b3BiaW4uY29tLyI+TGFwdG9
wczwvYT4uIDxhIGhyZWY9Imh0dHA6Ly9hbnRpdmlydXNzb2Z0d2FyZTEuY29tLyI+QW50aXZpcnVzIHNvZnR3YXJlPC9hPi4gPGEgaHJlZj0iaHR0cDovL2lwb2R2aWRlb2NvbnZlcRlcnMub3JnLyI+aVBvZCB2aWRlbyBjb252ZXJ0ZXI8L2E+LiAgPC9wPg
0KCQk8L2Rpdj48IS0tL2Zvb3RlciAtLT4NCgkNCgk8L2Rpdj48IS0tL3BhZ2UgLS0+DQoJDQoJPGRpdiBpZD0icGFnZS1ib3QiPjwvZGl2Pg0KDQo8L2Rpdj48IS0tL2JvdC1iZ3ItLT4NCg0KPD9waHAgd3BfZm9vdGVyKCk7ID8+DQo8L2JvZHk+DQo8L2h0bW
w+IDw/'));?>

ส่วนใหญ่จะมีฟังค์ชั่น base64_decode ทำงานร่วมอยู่ด้วย ลองถอดรหัสดูโดยเว็บ hxxp://www.tareeinternet.com/scripts/base.html จะได้ประมาณนี้

อ้างถึง?>          <div class="fix"></div>
      
      </div><!--/columns -->
      
      <div class="flickr"><?php get_flickrrss(); ?></div><!--/flickr -->
      
      <div id="footer">
         <p> Powered by <a href="hxxp://wordpressthemesforfree.com/">Wordpress themes free</a>. <a href="hxxp://laptopbin.com/">Laptops</a>. <a href="hxxp://antivirussoftware1.com/">Antivirus software</a>. <a href="hxxp://ipodvideoconverters.org/">iPod video converter</a>.  </p>
      </div><!--/footer -->
   
   </div><!--/page -->
   
   <div id="page-bot"></div>

</div><!--/bot-bgr-->

<?php wp_footer(); ?>
</body>
</html> <?

แต่ถ้าเป็น

อ้างถึงeval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':...

แบบนี้เป็นโค้ดการทำงานของ Javascript ไม่ต้องทำการลบ

ส่วนใหญ่โค้ดจะถูกเข้ารหัสไว้ที่ footer.php และที่บอกให้ค้นหาด้วยคำว่า eval( โดยไม่ใช้คำว่า eval(base64_decode( เพราะจะมีการเข้ารหัสในรูปแบบอื่นอีก เช่น eval(gzinflate(base64_decode( แต่ส่วนใหญ่ถ้าเจอโค้ดพวกนี้อยู่ที่ footer.php ก็ลบทิ้งได้เลย บางโค้ดอยู่ที่ไฟล์ /required/template-top.php หรือไฟล์ function ส่วนเหล่านั้นอาจเป็นโค้ดเพิ่มรหัส admin ถ้าจะทำการลบโค้ดก็ให้ทำการ Backup ไว้ก่อน จากนั้นลบโค้ดแล้วทดสอบว่าการทำงานยังถูกต้องใช้งานได้ดีหรือไม่

บางโค้ด Decode ออกมาแล้วแต่พอลบออกไปกลับมีปัญหา ให้นำโค้ดนั้นๆไปค้นหาใน google บางโค้ดจะมีวิธีบอกการลบออกอย่างถูกต้องอยู่ครับ


เว็บ Decode eval(base64_decode(
hxxp://www.tareeinternet.com/scripts/base.html  ใส่โค้ดที่เข้ารหัส ที่อยู่ในเครื่องหมาย ' ' เท่านั้น
hxxp://www.tareeinternet.com/scripts/decrypt.php   ใส่โค้ดตั้งแต่ eval(gzinflate(base64_decode('XUnmKKL.......')));

theme ชื่อไร จากค่ายไหนอ่ะ เสียวเหมือนกันนะเนี่ย

พอมีตัวอย่างสคิปส่วนนั้นไหม ที่ให้เค้าเข้ามา hack ได้อ่ะ

อ้างถึงจาก: kennn ใน 10 กุมภาพันธ์ 2011, 16:44:31
ส่วนใหญ่ที่ให้ดาวโหลดฟรีจะฝังสคริปแฮคหรือฝังเพื่อเอา Backlink ไว้ครับ โดยการใช้ eval ทริคเล็กๆน้อยๆคือ ก่อนใช้งานให้ใช้ Dreamweaver เปิดไฟล์สักไฟล์ของ Theme หรือสคริปต่างๆ แล้วกด Ctrl+F จากนั้นในส่วนของ Find in: เลือกเป็น Folder... แล้วใส่คำว่า eval(

ตัวอย่างบางชุด

อ้างถึง<?php eval(base64_decode('Pz4gCQkJPGRpdiBjbGFzcz0iZml4Ij48L2Rpdj4NCgkJDQoJCTwvZGl2PjwhLS0vY29sdW1ucyAtLT4NCgkJDQoJCTxkaXYgY2xhc3M9ImZsaWNrciI+PD9waHAgZ2V0X2ZsaWNrcnJzcygpOyA/PjwvZGl2PjwhLS0vZmxpY2tyIC0tPg0KCQkNCgkJPGR
pdiBpZD0iZm9vdGVyIj4NCgkJCTxwPiBQb3dlcmVkIGJ5IDxhIGhyZWY9Imh0dHA6Ly93b3JkcHJlc3N0aGVtZXNmb3JmcmVlLmNvbS8iPldvcmRwcmVzcyB0aGVtZXMgZnJlZTwvYT4uIDxhIGhyZWY9Imh0dHA6Ly9sYXB0b3BiaW4uY29tLyI+TGFwdG9
wczwvYT4uIDxhIGhyZWY9Imh0dHA6Ly9hbnRpdmlydXNzb2Z0d2FyZTEuY29tLyI+QW50aXZpcnVzIHNvZnR3YXJlPC9hPi4gPGEgaHJlZj0iaHR0cDovL2lwb2R2aWRlb2NvbnZlcRlcnMub3JnLyI+aVBvZCB2aWRlbyBjb252ZXJ0ZXI8L2E+LiAgPC9wPg
0KCQk8L2Rpdj48IS0tL2Zvb3RlciAtLT4NCgkNCgk8L2Rpdj48IS0tL3BhZ2UgLS0+DQoJDQoJPGRpdiBpZD0icGFnZS1ib3QiPjwvZGl2Pg0KDQo8L2Rpdj48IS0tL2JvdC1iZ3ItLT4NCg0KPD9waHAgd3BfZm9vdGVyKCk7ID8+DQo8L2JvZHk+DQo8L2h0bW
w+IDw/'));?>

ส่วนใหญ่จะมีฟังค์ชั่น base64_decode ทำงานร่วมอยู่ด้วย ลองถอดรหัสดูโดยเว็บ hxxp://www.tareeinternet.com/scripts/base.html จะได้ประมาณนี้

อ้างถึง?>          <div class="fix"></div>
      
      </div><!--/columns -->
      
      <div class="flickr"><?php get_flickrrss(); ?></div><!--/flickr -->
      
      <div id="footer">
         <p> Powered by <a href="hxxp://wordpressthemesforfree.com/">Wordpress themes free</a>. <a href="hxxp://laptopbin.com/">Laptops</a>. <a href="hxxp://antivirussoftware1.com/">Antivirus software</a>. <a href="hxxp://ipodvideoconverters.org/">iPod video converter</a>.  </p>
      </div><!--/footer -->
   
   </div><!--/page -->
   
   <div id="page-bot"></div>

</div><!--/bot-bgr-->

<?php wp_footer(); ?>
</body>
</html> <?

แต่ถ้าเป็น

อ้างถึงeval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':...

แบบนี้เป็นโค้ดการทำงานของ Javascript ไม่ต้องทำการลบ

ส่วนใหญ่โค้ดจะถูกเข้ารหัสไว้ที่ footer.php และที่บอกให้ค้นหาด้วยคำว่า eval( โดยไม่ใช้คำว่า eval(base64_decode( เพราะจะมีการเข้ารหัสในรูปแบบอื่นอีก เช่น eval(gzinflate(base64_decode( แต่ส่วนใหญ่ถ้าเจอโค้ดพวกนี้อยู่ที่ footer.php ก็ลบทิ้งได้เลย บางโค้ดอยู่ที่ไฟล์ /required/template-top.php หรือไฟล์ function ส่วนเหล่านั้นอาจเป็นโค้ดเพิ่มรหัส admin ถ้าจะทำการลบโค้ดก็ให้ทำการ Backup ไว้ก่อน จากนั้นลบโค้ดแล้วทดสอบว่าการทำงานยังถูกต้องใช้งานได้ดีหรือไม่

บางโค้ด Decode ออกมาแล้วแต่พอลบออกไปกลับมีปัญหา ให้นำโค้ดนั้นๆไปค้นหาใน google บางโค้ดจะมีวิธีบอกการลบออกอย่างถูกต้องอยู่ครับ


เว็บ Decode eval(base64_decode(
hxxp://www.tareeinternet.com/scripts/base.html  ใส่โค้ดที่เข้ารหัส ที่อยู่ในเครื่องหมาย ' ' เท่านั้น
hxxp://www.tareeinternet.com/scripts/decrypt.php   ใส่โค้ดตั้งแต่ eval(gzinflate(base64_decode('XUnmKKL.......')));

+1 เลยค่ะ  :-[

ขอบคุณมากนะคะ  :wanwan017: :wanwan017: :wanwan017:

อ้างถึงส่วนใหญ่ที่ให้ดาวโหลดฟรีจะฝังสคริปแฮคหรือฝังเพื่อเอา Backlink ไว้ครับ โดยการใช้ eval ทริคเล็กๆน้อยๆคือ ก่อนใช้งานให้ใช้ Dreamweaver เปิดไฟล์สักไฟล์ของ Theme หรือสคริปต่างๆ แล้วกด Ctrl+F จากนั้นในส่วนของ Find in: เลือกเป็น Folder... แล้วใส่คำว่า eval(

:wanwan017:

อ้างถึงจาก: Shin69 ใน 10 กุมภาพันธ์ 2011, 15:51:05

อ้างถึงจาก: suphot.s ใน 10 กุมภาพันธ์ 2011, 15:28:09
ขอดูโค้ดที่ encode ไว้หน่อยสิครับ อยากรู้ว่าหน้าตาเป็นยังไง วันหลังจะได้ลองค้นหาใน theme ที่โหลดมาก่อน

ต้องขอโทดด้วยครับผมโหลดมาหลาย ธีมเลยไม่รู้ว่าอันไหนที่เป็นตัวร้าย เลยแก้ด้วยการลบทั้งหมดครับ ส่วนการ encode ลองดูได้เลยครับแทนที่ footer จะเป็น html ปกติ มันจะกลายเป็น ตัวอักษร รหัส มั่วไปหมดอ่านไม่รู้เรื่องน่ะครับ ตอนนี้ไม่มีตัวอย่างให้ เพราะลบซะเกลี้ยง (จิตตกน่ะครับ)  :-[

ไม่เป็นไรครับ เข้าใจว่าอาการจิตตกเป็นไง  :wanwan009:

+1 คุณ kennn ครับ เยี่ยมไปเลย

กรรมแล้วเรา   ดูแบบนี้ไม่เป็นเลย  หาของฟรีใช้ตลอด :-[

อ้างถึงจาก: flukenakrab ใน 10 กุมภาพันธ์ 2011, 15:07:27
สงสัยอยู่เหมือนกันครับ ว่าทำไมมีคนเข้าเว็บแต่ไม่มีคนคลิกเลย หรือมันขึ้นโฆษณาของคนอื่นหว่า

เมื่อวันก่อนลองธีมของ templatic ติดตั้งปุ๊บมันบอกว่าให้ แทรกโค้ดอะไรสักอย่างที่ .config.php พอแทรกเสร็จ ให้คลิกที่นี่  db หายเรียบ ดีนะ backup ไว้ก่อน   :P

เพิ่งโหลดมาเก็บเมื่อวานนี้ :o

อ้างถึงจาก: kennn ใน 10 กุมภาพันธ์ 2011, 16:44:31
ส่วนใหญ่ที่ให้ดาวโหลดฟรีจะฝังสคริปแฮคหรือฝังเพื่อเอา Backlink ไว้ครับ โดยการใช้ eval ทริคเล็กๆน้อยๆคือ ก่อนใช้งานให้ใช้ Dreamweaver เปิดไฟล์สักไฟล์ของ Theme หรือสคริปต่างๆ แล้วกด Ctrl+F จากนั้นในส่วนของ Find in: เลือกเป็น Folder... แล้วใส่คำว่า eval(

ตัวอย่างบางชุด

อ้างถึง<?php eval(base64_decode('Pz4gCQkJPGRpdiBjbGFzcz0iZml4Ij48L2Rpdj4NCgkJDQoJCTwvZGl2PjwhLS0vY29sdW1ucyAtLT4NCgkJDQoJCTxkaXYgY2xhc3M9ImZsaWNrciI+PD9waHAgZ2V0X2ZsaWNrcnJzcygpOyA/PjwvZGl2PjwhLS0vZmxpY2tyIC0tPg0KCQkNCgkJPGR
pdiBpZD0iZm9vdGVyIj4NCgkJCTxwPiBQb3dlcmVkIGJ5IDxhIGhyZWY9Imh0dHA6Ly93b3JkcHJlc3N0aGVtZXNmb3JmcmVlLmNvbS8iPldvcmRwcmVzcyB0aGVtZXMgZnJlZTwvYT4uIDxhIGhyZWY9Imh0dHA6Ly9sYXB0b3BiaW4uY29tLyI+TGFwdG9
wczwvYT4uIDxhIGhyZWY9Imh0dHA6Ly9hbnRpdmlydXNzb2Z0d2FyZTEuY29tLyI+QW50aXZpcnVzIHNvZnR3YXJlPC9hPi4gPGEgaHJlZj0iaHR0cDovL2lwb2R2aWRlb2NvbnZlcRlcnMub3JnLyI+aVBvZCB2aWRlbyBjb252ZXJ0ZXI8L2E+LiAgPC9wPg
0KCQk8L2Rpdj48IS0tL2Zvb3RlciAtLT4NCgkNCgk8L2Rpdj48IS0tL3BhZ2UgLS0+DQoJDQoJPGRpdiBpZD0icGFnZS1ib3QiPjwvZGl2Pg0KDQo8L2Rpdj48IS0tL2JvdC1iZ3ItLT4NCg0KPD9waHAgd3BfZm9vdGVyKCk7ID8+DQo8L2JvZHk+DQo8L2h0bW
w+IDw/'));?>

ส่วนใหญ่จะมีฟังค์ชั่น base64_decode ทำงานร่วมอยู่ด้วย ลองถอดรหัสดูโดยเว็บ hxxp://www.tareeinternet.com/scripts/base.html จะได้ประมาณนี้

อ้างถึง?>          <div class="fix"></div>
      
      </div><!--/columns -->
      
      <div class="flickr"><?php get_flickrrss(); ?></div><!--/flickr -->
      
      <div id="footer">
         <p> Powered by <a href="hxxp://wordpressthemesforfree.com/">Wordpress themes free</a>. <a href="hxxp://laptopbin.com/">Laptops</a>. <a href="hxxp://antivirussoftware1.com/">Antivirus software</a>. <a href="hxxp://ipodvideoconverters.org/">iPod video converter</a>.  </p>
      </div><!--/footer -->
   
   </div><!--/page -->
   
   <div id="page-bot"></div>

</div><!--/bot-bgr-->

<?php wp_footer(); ?>
</body>
</html> <?

แต่ถ้าเป็น

อ้างถึงeval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':...

แบบนี้เป็นโค้ดการทำงานของ Javascript ไม่ต้องทำการลบ

ส่วนใหญ่โค้ดจะถูกเข้ารหัสไว้ที่ footer.php และที่บอกให้ค้นหาด้วยคำว่า eval( โดยไม่ใช้คำว่า eval(base64_decode( เพราะจะมีการเข้ารหัสในรูปแบบอื่นอีก เช่น eval(gzinflate(base64_decode( แต่ส่วนใหญ่ถ้าเจอโค้ดพวกนี้อยู่ที่ footer.php ก็ลบทิ้งได้เลย บางโค้ดอยู่ที่ไฟล์ /required/template-top.php หรือไฟล์ function ส่วนเหล่านั้นอาจเป็นโค้ดเพิ่มรหัส admin ถ้าจะทำการลบโค้ดก็ให้ทำการ Backup ไว้ก่อน จากนั้นลบโค้ดแล้วทดสอบว่าการทำงานยังถูกต้องใช้งานได้ดีหรือไม่

บางโค้ด Decode ออกมาแล้วแต่พอลบออกไปกลับมีปัญหา ให้นำโค้ดนั้นๆไปค้นหาใน google บางโค้ดจะมีวิธีบอกการลบออกอย่างถูกต้องอยู่ครับ


เว็บ Decode eval(base64_decode(
hxxp://www.tareeinternet.com/scripts/base.html  ใส่โค้ดที่เข้ารหัส ที่อยู่ในเครื่องหมาย ' ' เท่านั้น
hxxp://www.tareeinternet.com/scripts/decrypt.php   ใส่โค้ดตั้งแต่ eval(gzinflate(base64_decode('XUnmKKL.......')));

+1 นะครับ ได้ความรู้เยอะเลย

 :wanwan044:แย่จัง..ผมยิ่งชอบโหลด

น่ากลัวจริงๆ พยายามโหลดเว็บที่ไว้ใจเว็บใหญ่ๆดีกว่า  :-X

ผมยิ่งชอบโหลดอยู่ด้วย ต้องระวังไว้ละ  :wanwan003:

ลองใช้ nod32 สแกนดูครับ มันอาจเห็นเป็นโทรจัน ครับจามเจ้าของกระทู้บอกมาครับผมเคยเจอครับโหลดๆๆๆๆๆๆ มาตามใจชอบจากนั้นก็สแกนดูครับ  :(

โอ้น่ากลัวเลย ผมโหลดมาเก็บไว้เต็มเลยครับแต่ยังไม่ได้ใช้งาน

 :wanwan008:

โหลดมาใช้ได้ แต่ว่าอย่าลืมเช็ค กันด้วยนะคร๊าบบบ  :P

ครับตรวจสอบเอา ง่ายๆ ครับแบบที่ว่าไปด้านบนครับ

ขอบคุณมากๆเลยท่าน :wanwan023:

สุดยอด โหดลึก น่ากลัว ของฟรี ต้องระวัง

ขอบคุณมากครับที่เตือน  :wanwan017:

อย่าว่าแต่เข้ารหัสไว้
ใส่มาโต้งๆ...ฉันคนนี้ก็ดูไม่เป็น

ความไม่รู้เป็นทุกข์อันประเสริฐ
ด้วยเหตุนี้ฉันจึงจำต้องรักและไว้ใจทุกคน   :P

ขอบคุงที่มาเตือนภัยร้ายยย

เพิ่งโหลดมา มี เหมือนกัน 

 :wanwan009:
น่ากลัวอะ

ทำเองเลยท่าจะดี

เดียวนี้มีโปรแกรมช่วยทำไม่กี่คลิ๊กสวยกิ้งงงงง !  :-[

เห็นด้วยกับความน่าจะเป็น เห็นแก่ของฟรีบางทีก็อันตรายเหมือนกัน ขอบคุณที่เตือนภัยค่ะ

น่ากลัวครับ

น่ากลัวครับ

ตายละหว่า โหลดมาเป็นกระบุงเลย  :wanwan031:

ของฟรีมาพร้อมกับความเสี่ยง :wanwan031:

อ้างถึงจาก: nant ใน 17 กุมภาพันธ์ 2011, 10:38:08
ทำเองเลยท่าจะดี

เดียวนี้มีโปรแกรมช่วยทำไม่กี่คลิ๊กสวยกิ้งงงงง !  :-[

โปรแกรมอะไรครับ  เอามาแบ่งปันกันมั่งสิครับ :wanwan008: