สวัสดีครับ
นานๆทีผมจะตั้งกระทู้ที่มีสาระกับเขาบ้าง แต่ก็เอามาแชร์กันให้ได้รู้จริงๆว่าสาเหตุที่แท้จริงนั้นมาจากอะไร
เห็นช่วงนี้หลายๆท่านคงจะประสบปัญหาเว็ปไซต์โดนโจมตี ซึ่งก็เดากันไปต่างๆนาๆเกี่ยวกับสาเหตุการโดนแฮก (และมีการแตกกระทู้ออกไปหลายกระทู้)
เห็นแล้ว...ก็อดไม่ได้ที่จะสรุปสาเหตุการโดนแฮก ซึ่งรวบรวม ณ ตอนนี้ ได้คร่าวๆ ดังนี้...
1. หากท่านใช้ CMS อาทิ เช่น Wordpress , Joomla ให้ตรวจสอบว่า Script และ Plugins ของท่านอัพเดทเป็นตัวล่าสุดเรียบร้อยแล้ว
พบจากหลายสาเหตุที่เป็นช่องโหว่ของ CMS แนะนำให้รีบอัพเดทเป็นเวอร์ชั่นล่าสุดกันด้วยนะครับ (ก่อน Update อย่าลืม Backup ก่อนด้วยนะครับ)
2. DirectAdmin ใช่ครับอ่านไม่ผิดหรอกมันคือช่องโหว่ของ Direct Admin ที่เปิดให้สามารถเข้าผ่าน temporary url ผ่าน http://ip/~user/ นั่นเอง
(เครื่องของผมเครื่องนึงดั๊นลืมปิดตัวนี้ โดนไปรายนึง รีบปิดอย่างไว)
3. ความมักง่ายของการ chmod777 file, folder ใช่ครับ การ chmod 777 นั้นเป็นอันตรายอย่างมาก เพราะฉะนั้น chmod777 เฉพาะบางไฟล์ที่จำเป็นเท่านั้น อย่ามักง่าย chmod 777 ทุกไฟล์และโฟลเดอร์
4. ช่องทางการ Upload File บอกได้เลย ตรงส่วนนี้อันตรายโคตร และผมไม่แนะนำให้เปิด เพราะว่าทั้งหนักเครื่อง ดูแลยาก และเสียงต่อการโดนแฮก
ใครมีสาเหตุอื่นมาแชร์กันได้ฮะ (บทความนี้ผมขอไม่พูดถึง SQL Injection , XSS , CSRF นะครับ อยากรู้เรื่องพวกนี้อ่านเองได้เลยที่พี่กุเกิ้ล)
Update 1 สคิปที่อันตรายและจะต้องเปลี่ยนแบบด่วนๆ
http://www.thaiseoboard.com/index.php/topic,301284.msg4151571.html#msg4151571
เยี่ยมครับ
มาเก็บความรู้ เว็บผมโดนแฮกก็ได้คุณ iLhay ช่วยไว้ ;D
ฮิตจริงครับเรื่องนี้! +1 สำหรับวิธี
อ้างถึงจาก: Freeze ใน 27 ธันวาคม 2012, 01:29:38
มาเก็บความรู้ เว็บผมโดนแฮกก็ได้คุณ iLhay ช่วยไว้ ;D
เครื่องที่ท่านอยู่นี่แหละฮะที่ผมไม่ได้ปิด ip/~user/
สาเหตุที่โดนก็หลักๆ chmod 777 กับ ip/~user/ 2 ตัวนี้เลยฮะ
:'( :'(
เยี่ยมมากครับ
(http://img816.imageshack.us/img816/6146/img4485.jpg)
ขอบคุณจ้า สำหรับความรู้ดีๆ
Cookie มีผลมั้ยครับ ? :wanwan012:
ผมก็โดน แต่น้องที่ดูแลเว็บเค้าบอกว่า มันเข้ามาผ่านโฮสโดยตรง
ไม่ได้เข้าผ่านเว็บไซต์เราโดยตรง
เพราะรหัสในการเข้าถึงข้อมูลยังคงเดิม ไม่ได้ถูกแก้ไข
ขอบคุณสำหรับความรู้ดีๆ :wanwan017: :wanwan017:
ได้ความรู้เยอะเลยครับ
ขอบคุณครับ :wanwan003: :wanwan003:
แจ่มครับ :wanwan013:
อัพเดทนะครับ
สคิปตัวนี้...เข้ามาทางการ upload ไฟล์อย่างแน่นอนครับ
เมื่อกี๊ผมนั่งดูพี่ icez ไล่วิธีการเข้ามา และ script ของมันอยู่
การโจมตีนี้ maxsite ทุกเวอร์ชั่นเป็นหมดครับ ใครที่ใช้อยู่ เตรียมตัวเปลี่ยนสคิปได้เลยครับเพราะเจ้าของสคิปหยุดพัฒนาไปแล้ว
อ้างถึงจาก: natterwoods ใน 27 ธันวาคม 2012, 01:33:52
ผมก็โดน แต่น้องที่ดูแลเว็บเค้าบอกว่า มันเข้ามาผ่านโฮสโดยตรง
ไม่ได้เข้าผ่านเว็บไซต์เราโดยตรง
เพราะรหัสในการเข้าถึงข้อมูลยังคงเดิม ไม่ได้ถูกแก้ไข
เอ่อ ทำความเข้าใจใหม่ก็ดีนะครับ
การโดนเจาะ ไม่จำเป็นว่าข้อมูลการเข้าถึงพวกนี้จะต้องถูกเปลี่ยนนะครับ
เพราะโดยมาก hacker ไม่จำเป็นต้องใช้ข้อมูลพวกนั้นเลย (ยกเว้นเป็นการเจาะผ่านเครื่องที่เซฟรหัส ftp ไว้)
เคสที่โดนกันช่วงนี้ก็อัพ script เข้ามาผ่านรูรั่วของหน้าเว็บตรงๆ เลย ไม่ได้ต้องใช้หรือต้องแก้รหัสผ่านอะไรซักนิด
รหัสผ่าน ftp ก็ไม่ต้องรู้ รหัสผ่านเว็บก็ไม่ต้องเอา รหัสผ่าน admin ก็ไม่ต้องใช้
อัพไฟล์ได้ก็ไม่ทำไงครับ เข้าผ่าน script ที่ตัวเองอัพอีกที ซึ่งก็ไม่เกี่ยวกับรหัสผ่านของคุณอีกอยู่ดี
เพราะงั้น การไม่โดนเปลีย่นรหัสผ่านไม่ได้หมายความว่าเว็บคุณไม่โดนเจาะครับ
ขอบคุณจ้า
ขอบคุณครับ
ต้องหันมาใส่ใจเรื่องนี้บ้างล่ะ :wanwan017:
มีครั้งหนึ่ง wordpress ของผมโดน มันมีไฟล์หนึ่งที่แทรกเข้ามาใน โฮส ผมเลยลองรันไฟล์นั้นดูปรากฏว่า หน้านั้น มันรู้หมดเลยว่าโฮสเราไอพีอะไร เราใช้พาสอะไร ไฟล์ไหนเป็นโหมดอะไร และสามารถเปลี่ยนโหมดได้แค่คลิ๊กเลือก สามารถอัพโหลด อะไรก็ได้ มันสุดยอดจริง ๆ :wanwan044:
ตามที่คุณไอซ์บอกเลย พวก nulled ทั้งหลาย :wanwan009: :wanwan009: :wanwan009:
ขอบคุณครับ
ตรงนี้ปิดอย่างไรครับ http://ip/~user/ เผื่อว่ายังไม่ได้ทำครับ
smf มันชอบบังคับให้ chmod 777 ด้วยสิ
ขอบคุณครับ
ได้ความรู้เพิ่มเติม ขอบคุณค่ะ
:wanwan017:
ขอบคุณมากครับ :wanwan017:
:wanwan017: ขอบคุณครับ
สคริป D.K shell เป็นสคริปสำหรับดัดแปลงแก้ไขโฮสต์เลย เว็บผมเคยโดนแต่อีก Shell หนึ่ง ที่พวก Hacker ชอบใช้แฮคโฮสต์
ส่วนเรื่องเว็บไทยโดนแฮคเยอะเพราะฮสต์ชื่อดังของเราโดนแฮคไปแล้วครับ :wanwan001:
https://www.facebook.com/permalink.php?story_fbid=454736821255261&id=100002876939063
http://hostyim.com/customer/MyPDF/unlimited.html
http://www.thaihosttalk.com/showthread.php/71888-%E0%B9%80%E0%B8%88%E0%B9%89%E0%B8%B2%E0%B8%82%E0%B8%AD%E0%B8%87-Hostyim-%E0%B8%A1%E0%B8%B2%E0%B8%97%E0%B8%B2%E0%B8%87%E0%B8%99%E0%B8%B5%E0%B9%89%E0%B8%AB%E0%B8%99%E0%B9%88%E0%B8%AD%E0%B8%A2
http://www.lamphunclub.com/ อันนี้ของใครครับ เห็นโดนแฮกมาหลายวันแล้ว เว็บนี้แรงซะด้วยซิ :o
มันเอาอีกแล้วแบบนี้ทุกปี การแข่งขัน ของ HACKER
:wanwan007: :wanwan007: :wanwan007:
วิธีที่เขาใช้จะมี 2 วิธีหลักๆ คือ sql injection และ ftp
จากนั้น แฮ๊กเกอร์จะเข้าไปวางไฟล์ shell script. และ ทำการก๊อปปี้ทับไฟล์ index
วิธีป้องกัน คือต้องอัพเดท CMS เป็นเวอร์ชั่นล่าสุด ปิด port และคำสั่งที่ไม่จำเป็น
ได้ตวามรู้ดีจริงๆกระทู้นี้
ข้อ 2 http://ip/~user/ นี่มันคือแบบไหนครับ
เยี่ยมครับ
มีประโยชน์มากครับ ผมไม่ค่อยรู้จักเลย :P ต้องระวังบ้างแล้ว
กำลังไล่เช็คเลย ขอบคุณครับ
อ้างถึงจาก: Alexander ใน 27 ธันวาคม 2012, 08:56:30
ขอบคุณครับ
ตรงนี้ปิดอย่างไรครับ http://ip/~user/ เผื่อว่ายังไม่ได้ทำครับ
#vi /etc/httpd/conf/extra/httpd-vhosts.confใส่ # หน้า Aliasmatch ให้ครบ
อ้างถึงจาก: เกมส์เกมส์.com ใน 27 ธันวาคม 2012, 10:56:38
ข้อ 2 http://ip/~user/ นี่มันคือแบบไหนครับ
ตัวอย่าง เวลาเช่า โฮส จะมี Temp URL ให้เรา ได้เข้าไปดูหน้าเว็บก่อน
อ้างถึงhttp://1.2.3.4/~user
ซึ่งตรง user ก็คือ User Name ที่ใช้ Login ครับ
จริงๆแล้ว การเข้าผ่าน http://ip/~user นั้นจะแฮกได้มีปัจจัยอยุ่ระดับนึงเหมือนกันครับ
กรณีนี้ผมคิดว่าจะเป็นการมาทาง upload มากกว่ามาทาง ip/~user นะครับ
แต่อย่างไรก็ตามแต่...ผมก็คิดว่าปิดไว้เป็นหนทางที่ดีที่สุดครับ
ได้อัพเดตแล้วที่ thaihosttalk ค่ะ ขอบพระคุณสำหรับข้อมูลอีครั้งหนึ่งค่ะ
ขอบคุณครับ เข้ามาเก็บความรุ้
ขอบคุณครับ ช่วงนี้ระบาดหนักจริงๆ :wanwan003:
อ้างถึงจาก: Irsaro ใน 27 ธันวาคม 2012, 09:02:41
smf มันชอบบังคับให้ chmod 777 ด้วยสิ
เฉพาะบางที่ครับ :)
อย่างของผมไม่ต้อง chmod777 เลย ฮะ
อ้างถึงจาก: Irsaro ใน 27 ธันวาคม 2012, 09:02:41
smf มันชอบบังคับให้ chmod 777 ด้วยสิ
ขึ้นกับ host นั้นๆว่าใช้ php ระบบแบบใดครับ
ของผมไม่ต้อง chmod ตั้งนานละ แต่ลูกค้ามัก chmod เองตลอด ต้องตามแก้ตลอด
อ้างถึงจาก: iLhay ใน 27 ธันวาคม 2012, 01:25:29
สวัสดีครับ
นานๆทีผมจะตั้งกระทู้ที่มีสาระกับเขาบ้าง แต่ก็เอามาแชร์กันให้ได้รู้จริงๆว่าสาเหตุที่แท้จริงนั้นมาจากอะไร
เห็นช่วงนี้หลายๆท่านคงจะประสบปัญหาเว็ปไซต์โดนโจมตี ซึ่งก็เดากันไปต่างๆนาๆเกี่ยวกับสาเหตุการโดนแฮก (และมีการแตกกระทู้ออกไปหลายกระทู้)
เห็นแล้ว...ก็อดไม่ได้ที่จะสรุปสาเหตุการโดนแฮก ซึ่งรวบรวม ณ ตอนนี้ ได้คร่าวๆ ดังนี้...
1. หากท่านใช้ CMS อาทิ เช่น Wordpress , Joomla ให้ตรวจสอบว่า Script และ Plugins ของท่านอัพเดทเป็นตัวล่าสุดเรียบร้อยแล้ว
พบจากหลายสาเหตุที่เป็นช่องโหว่ของ CMS แนะนำให้รีบอัพเดทเป็นเวอร์ชั่นล่าสุดกันด้วยนะครับ (ก่อน Update อย่าลืม Backup ก่อนด้วยนะครับ)
2. DirectAdmin ใช่ครับอ่านไม่ผิดหรอกมันคือช่องโหว่ของ Direct Admin ที่เปิดให้สามารถเข้าผ่าน temporary url ผ่าน http://ip/~user/ นั่นเอง
(เครื่องของผมเครื่องนึงดั๊นลืมปิดตัวนี้ โดนไปรายนึง รีบปิดอย่างไว)
3. ความมักง่ายของการ chmod777 file, folder ใช่ครับ การ chmod 777 นั้นเป็นอันตรายอย่างมาก เพราะฉะนั้น chmod777 เฉพาะบางไฟล์ที่จำเป็นเท่านั้น อย่ามักง่าย chmod 777 ทุกไฟล์และโฟลเดอร์
4. ช่องทางการ Upload File บอกได้เลย ตรงส่วนนี้อันตรายโคตร และผมไม่แนะนำให้เปิด เพราะว่าทั้งหนักเครื่อง ดูแลยาก และเสียงต่อการโดนแฮก
ใครมีสาเหตุอื่นมาแชร์กันได้ฮะ (บทความนี้ผมขอไม่พูดถึง SQL Injection , XSS , CSRF นะครับ อยากรู้เรื่องพวกนี้อ่านเองได้เลยที่พี่กุเกิ้ล)
Update 1 สคิปที่อันตรายและจะต้องเปลี่ยนแบบด่วนๆ
http://www.thaiseoboard.com/index.php/topic,301284.msg4151571.html#msg4151571
เสียวเลย....
:wanwan015:
คุณหลาย เจ๋งมากครับ :wanwan003: