ช่วยด้วยครับ!! เว็บบอร์ด SMF โดนมือดีแฮค ใครพอมีความรู้รบกวนหน่อยครับ

เรื่องมีอยู่ว่าเว็บผมโดนใครก็ไม่รู้เข้ามาแฮค ID ADMIN ของเว็บบอร์ด SMF มา 3 วันแล้ว

โดยที่รหัสผ่านของ ID ADMIN นั้น มันตรงกับรหัสผ่านของอีเมล์ เสร็จแล้วทีนี้มันก็เลยเนียนเข้ามาเช็คอีเมล์ผม เพื่อหวังผลประโยชน์นิดหน่อย

ผมสังเกตความผิดปกติมาได้ประมาณเกือบ 3 สัปดาห์แล้ว อีเมล์บางฉบับโดนลบ แต่แรกๆ ก็ไม่ได้สนใจอะไร

จนกระทั่งเมื่อ 3 วันก่อน เค้าตอบอีเมล์ของผมแถมลบอีเมล์ทิ้งอีก ผมก็รู้ตัวจนได้เช็ค IP ใน log ของ gmail ก็ปรากฏว่าช่วงเวลาดังกล่าว มีคนเข้ามาจริง เป็นจากที่อื่น

ก็เลยไล่เช็คในบอร์ด SMF ปรากฏว่าเค้าเข้า ID ADMIN ของบอร์ด SMF ผมได้ แต่ก็ไม่ได้มีเจตนาอะไร นอกจากปรับ Class Member ให้เป็นแบบอื่น เช่นให้เป็น VIP Member

วันแรกผมก็ได้ทำการเปลี่ยนพาส ADMIN + EMAIL + ชื่อ login ทันที ไม่รู้เหมือนกันว่าเค้าแฮคเข้ามาได้ยังไง พอเปลี่ยนได้สักพัก ID ADMIN ผมก็โดนเปลี่ยนอีเมล์กับรหัสผ่านอีก แถมสามารถรู้ชื่อ login ใหม่ของผมด้วย

ซึ่งแน่นอนว่าเราเป็นเจ้าของเว็บตัวจริง สามารถเปลี่ยนกลับมาได้อยู่แล้ว ก็ทำการแก้ไขกลับมาให้เป็นปกติ พร้อมทั้งแบน IP นั้นไป จากนั้นก็ตรวจไฟล์ใน FTP ว่ามันมีใครแอบยัดอะไรมาหรือเปล่าก็ไม่เจออะไร มันก็เงียบไป

วันต่อมาคราวนี้มันสร้าง ID ในเว็บบอร์ด SMF ที่โคลนตัว ID ADMIN มาเลยครับ ทั้งจำนวนกระทู้ ลายเซ็น คะแนนความดี รูปภาพ AVATAR สิทธิ์ต่างๆ บนเว็บ ผมก็ไม่รู้ว่าเค้าทำได้ยังไง พอลบไอดีแบนไปอีก ก็เข้าไปใน FTP เพื่อตรวจสอบดู ปรากฏว่าเจอไฟล์ ไฟล์นึง น่าจะเป็นไฟล์ที่เค้ายัดเข้ามา (แต่ตรงนี้ก็ไม่รู้อีกว่ายัดเข้ามาได้ยังไง เพราะไอดีกับพาสของ FTP มันไม่เหมือนกับ ADMIN) ผมก็จัดการลบไฟล์นั้นทิ้งไป ดูละเอียดแล้วไฟล์อื่นไม่น่าจะมีปัญหา แล้วก็เปลี่ยนพาสใหม่หมดเลย ทั้ง DA / SQL / FTP / ADMIN แบนไอพีมันด้วย วันที่ 2 นี้ ไอพีที่เค้าใช้เข้ามาไม่เหมือนวันแรกครับ วันแรกมาจากเชียงใหม่ วันที่สอง มาจาก กรุงเทพ

จนกระทั่งวันที่ 3 ผมก็คิดว่าคงเข้ามาไม่ได้แล้วล่ะ เปลี่ยนทุกอย่างหมดแล้ว แต่มันก็เข้ามาอีก แต่ไม่ได้เข้ามายุ่งใน EMAIL เราแล้ว คาดว่าจะไม่รู้พาสจริง แต่ยังสามารถเข้ามาสร้างไอดีที่โคลน ID ADMIN ได้อยู่ ซึ่งตรวจสอบดูก็พบว่าเป็น IP ที่มาจาก ม.ขอนแก่น แล้วมันก็ทำการทดสอบ ลองสร้างไอดี ปรับ CLASS เล่นดู สุดท้ายผมก็ทำอะไรไม่ได้ ได้แต่แบน IP แล้วเค้าก็หายไปอีกครั้งหนึ่ง ซึ่งอาจจะกลับมาอีกในเร็วๆ นี้

1. ผมสงสัยว่าเครื่องคอมผมโดนไวรัสหรือเปล่า
2. SMF เวอร์ชั่นล่าสุดมีรูรั่ว
3. โฮสต์ที่ใช้เป็นเซิร์ฟเวอร์ของเราไปวางเองครับ

ไอพีต้องสงสัย ล่าสุด

202.12.97.125
202.12.97.111

อีเมล์ต้องสงสัย

[email protected]

Facebook ของผู้ต้องสงสัย

hxxp://www.facebook.com/#!/profile.php?id=100001083190391&v=wall&ref=search

จากเหตุการณ์ดังกล่าว เพื่อนๆ มีคำแนะนำในการจัดการเรื่องนี้อย่างไรกันบ้างครับ

รบกวนช่วยหน่อยนะครับ เดือดร้อนจริงๆ ไม่เคยเจอแบบนี้มาก่อน

พอจะมีใครทราบปัญหา บ้างหว่า 

ไม่เคยเจอแบบนี้ครับ น่ากลัวจัง เคยเจอแต่วาง tag script iframe

อ่านดูยังกะเจมส์บอนด์ 555+++ กัดไม่ปล่อยจริงๆ เบื่อพวกแฮคเกอร์เนอะ วันๆไม่มีอะไรทำนอกจากแฮกเว็บชาวบ้าน

น่ากลัวจัง คนไทยหรือเปล่าครับ

อ้างถึงจาก: taki ใน 09 มิถุนายน 2010, 20:07:00
ไม่เคยเจอแบบนี้ครับ น่ากลัวจัง เคยเจอแต่วาง tag script iframe

tag script iframe เคยเจอมาแล้วครับ โดนพี่ Google แบนไปหลายวันเลย

แต่ปัญหานี้ผมเครียดมาก เพราะถ้ามีสิทธิเข้า ADMIN ได้ จะลบข้อมูลทั้งบอร์ดก็ยังได้เลย

ปัญหาคือผมไม่รู้ว่าเค้าทำได้ยังไง เลยไม่รู้ว่าจะกันยังไง

ถามผู้เชี่ยวชาญมาแล้วหลายท่าน ก็ไม่เคยมีใครเจอแบบนี้

ไม่รู้ว่าพลาดอะไรง่ายๆ หรือเปล่า

  อยากรู้ว่าใช้ host ไหนครับ

เอาอีกแล้ว พวกนิสัยเสีย

มีมือสีดำๆ แวะวนอยู่แถวๆ นี้ด้วยมั้ย รายงานตัวด่วน

จับไปห้องเกย์ ใน cafe ซะ ถ้าจับได้

เป็นกำลังใจให้ครับ 

คนเก่งน่าจะเป็นคนดีด้วยน่ะครับไม่ควรทำแบบนี้
นึกถึงใจเขาใจเราบ้าง
เห็นใจครับ

น่าจะรั่วที่ phpmyadmin ครับ
เครื่องคอมติด key logger รึป่าวเช็คเครื่องตัวเองดูก่อนครับ
คอมเราเองอาจจะเป็นต้นตอของปัญหาที่มองข้ามไม่ได้เลย

อาจจะมีการใส่สคริปต์เข้าไปในไฟล์บางไฟล์ของเราในเว็บก็ได้ครับ
หรือ ในคอมของเรามี trojan ส่งข้อมูลเวลาเราพิมพ์
หรือ มีพวก spyware หรืออะไรก็เเล้วเเต่ มันอาจจะไปหาkey ใน cookie เครื่องเราก็ได้ครับ
เวลาเราเข้า  browser เเล้วให้มันจำค่า ตรงนี้ก็ิอันตรายครับ
ไม่ทราบใช้ anti virus อะไรครับ
แล้ว firewall ของค่ายไหนคับ

anti virus ของ NOD32 ครับ

เดี๋ยววันนี้จะใช้คอมเครื่องอื่นลองเปลี่ยน USERNAME + PASS อีกทีครับ

ถ้าเครื่องผมโดนฝังโทรจัน มันน่าจะแฮคเข้ามาในอีเมล์ได้

ต้องเป็นที่อะไรสักอย่าง

ขอบคุณทุกกำลังใจด้วยครับ

ลอง bitdefender สิครัีบ
และ ตามด้วย firewall ของ comodo4 สุดยอดมาก (บอกเราทุกอย่างเวลาเน็ตจะมีการส่งข้อมูลอะไรจากเครื่องเรา
เครื่องผมก่อนหน้านี้ มีโทรจัน ตอนนั้นไมไ่ด้สนใจ สุดท้ายหลังจากถูกแฮก เว็บ
ก็เพิ่งจะสังเกตุ ว่าไอ้ตัวที่เรากดยอมไห้ส่งคำร้่องจากเครื่องเราไป เวลามันถามนี่ มันเป็นโทรจันกะลังส่งข้อมูลไป 

ลบ Windows ทิ้ง ลง Linux เลย ไม่ก็แปลงเป็น Mac OS สะเลย

น่ากลัวจัง เครื่องผมก็มีโปรแกรมที่ใช้ keygen, crack เยอะเหมือนกัน

ผมก็ โดนแบบนี้เมื่อ ไม่กี่วันก่อนครับ

โดนแบบนี้เป๊ะๆเลย  เปลี่ยน pass ของ admin ครับ

เข้าใจว่าเป็น ต่างชาติ

เพราะตอนโดน ผมโดน สแปม มา เป็น ร้อยโพส เป็น พันลิ้ง

ผมไล่ลบโพสอยู่ดีๆ  admin ผมก็โดนถีบออกมา  แล้วพี่แกเล่นเปลี่ยน pass กับ email  admin 

ผมเลยลบ บอร์ดทิ้งไปเลย

พึ่งลง smf ได้ อาทิตย์เดียว  มีแค่ 10 กว่าโพสเอง  pr ก็ 0

พี่แกยังมาแฮกอีก

........

อ้างถึงจาก: ET ใน 10 มิถุนายน 2010, 01:41:13
ผมก็ โดนแบบนี้เมื่อ ไม่กี่วันก่อนครับ

โดนแบบนี้เป๊ะๆเลย  เปลี่ยน pass ของ admin ครับ

เข้าใจว่าเป็น ต่างชาติ

เพราะตอนโดน ผมโดน สแปม มา เป็น ร้อยโพส เป็น พันลิ้ง

ผมไล่ลบโพสอยู่ดีๆ  admin ผมก็โดนถีบออกมา  แล้วพี่แกเล่นเปลี่ยน pass กับ email  admin 

ผมเลยลบ บอร์ดทิ้งไปเลย

พึ่งลง smf ได้ อาทิตย์เดียว  มีแค่ 10 กว่าโพสเอง  pr ก็ 0

พี่แกยังมาแฮกอีก

........

มาถึงท่อนท้ายๆ ฮาเลยเรา 

แต่ที่ผมตกใจคือ เค้ามาจากหลากหลายที่ จะว่าใช้ Proxy ก็ได้ ยังงงๆ อยู่วามันหลุดมาจากตรงไหน

ตอนนี้ยังแก้ไขไม่ได้ครับ

รอดูสถานการณ์อย่างเดียว