เดี๋ยวผมจะมาว่าวให้ฟัง

เล่นเอาหาเป็ชาติเลย

อันนนี้ Hacker ครับผม

อ้างถึงจาก: onlyones ใน 21 ธันวาคม 2010, 11:12:02
เดี๋ยวผมจะมาว่าวให้ฟัง

เล่นเอาหาเป็ชาติเลย

อันนนี้ Hacker ครับผม

พิมพ์ผิดหรือเปล่าครับ 

อ้างถึงจาก: darksammer ใน 21 ธันวาคม 2010, 11:17:10

อ้างถึงจาก: onlyones ใน 21 ธันวาคม 2010, 11:12:02
เดี๋ยวผมจะมาว่าวให้ฟัง

เล่นเอาหาเป็ชาติเลย

อันนนี้ Hacker ครับผม

พิมพ์ผิดหรือเปล่าครับ 

ไม่ผิดหรอกครับถูกแล้วละ

ผมหาให้ละรอเจ้าของานมาชี้แจงดีกว่าผมหาให้ละ

โชคดีทุกท่าน

ค้ามั่นใจว่าเขียนเองนะครับ ผมเดาว่า password ง่ายเกินไป และสั้นเกินไป ควรตั้งให้ยาวอย่างน้อย 8 ตัว และไม่ใช่คำทั่วไป เช่น password, mama, 123456789 แต่ควรเป็น ,7'0tcVUdmerjv,7'gsiv เป็นต้น (ลองพิมพ์รหัสนี้โดยใช้แป้นภาษาไทยดูครับ )

1.เปลี่ยนรหัส hosting และที่เกี่ยวข้องทั้งหมดรวมถึง โปรแกรม อัพโหลดที่ใช้ ดูนะครับ 
2.ตรวจสอบสคริปว่ายัดโค้ดผ่านฟอร์มได้เปล่า 

แค่ 2 ข้อนี้หล่ะครับ ลองตรวจสอบดู

ส่วนตัวผมว่าเว็บใหม่ และเขียนเองถ้ารัดกุมในระดับหนึ่งไม่น่าโดนง่ายขนาดนั้นนะครับ นอกจากเป็นเหตุผลอื่น... 

ให้ผู้รับงานหาโฮตอื่นลง ไม่ก็ Test ไปที่เครื่องผู้รับงาน ไม่ก็เวลาโดนแฮ๊กก็ให้ อัพไฟล์ไปทับของเดิม ไม่เห็นจะยากนะ จะได้ตัดปัญหาเรื่องงานไม่เสร็จแล้วประวิงเวลา
จะได้ไปแก้ปัญหาอื่นต่อ โฮตแฮ๊กงานก็ย้ายโฮตไม่ก็แจ้งผู้ดูแล มืออาชีพทั้งนั้น น่าจะมีทางออก

พอดีได้ติดต่อคุยกับท่าน papaponsak และได้รหัสผ่านต่างๆมา  ผมก็ได้ทำการตรวจสอบด้วยวิธีการต่างๆจนกระทั้งเรียบร้อยนี้คือสรุปผลของผมนะครับ

สิ่งที่เจอ
1. มีการ Login Dec 21, 2010 at 09:58   180.183.237.60 จาก Ip นี้เข้าไปที่ Direct Admin ได้
2. Database PHPMyAdmin บางส่วนหายไป
3. ค้นพบหน้า http://www.chlorophyllshop.com/myfile/JJSTYJSTYYJSTYJSTYJSTYJJYTJSYTJSYTYTJYTSJTYSJSJYSTJSYTJYJYJSYTJYSJHJHJS.php
4. ซึ่งด้านบนนั้นเป็นหนึ่งใน Trojan เลื่องลือในวงการมืด
5. หมายเลข IP 180.183.237.60 ได้สั่ง Run หน้า C99 นั้นขึ้นมา

สมมุติฐาน
1A. เกิดเหตุการณ์ Script รั่วทำให้ผู้ใช้สามารถ Upload ไฟล์โปรแกรม BackDoor ขึ้นมาได้
2A. และต่อมาก็ได้ทำการแก้ไข Script และก่อกวนท่านทุกวัน
3A. และ hacker นั้นได้ทำการเขียน Script ปรับแต่งอะไรบางส่วนเพื่อให้สามารถได้มาซึ่งการเข้าไปสู่สิทธิ์ Admin

1B. รหัสผ่านของ DirectAdmin ของท่านได้รั่วออกไปด้วยวิธีการต่างๆ(Trojan)
2B. แก้ Script ของท่านและยำไปจนถึง PHPMyAdmin
3B. Upload C99 ขึ้นมาเพื่อว่าเจ้าของรู้ตัวและได้เปลี่ยนรหัส Hacker จะได้เข้ามาเยี่ยมได้อยู่


วิธีการแก้ไข
1. ล้าง Virus ในเครื่องให้หมดรวมไปถึงระวังรหัสผ่านไปสู่มือบุคคลอื่นไม่ว่าจะมาจากการ แอบดู การจดไว้ที่ต่างๆ
2. ตรวจสอบหาช่องโหว่ต่างๆที่ปรากฏขึ้น
3. ดูที่เราเขียนไปว่าโดนเพิ่มอะไรไปหรือเปล่า
4. 777 บางทีก็ไม่ WOrk นะเพราะว่าใครเขียนอะไรก็ได้ลองดู 666 หรือไม่ก็อย่างอื่เพื่อความปลอดภัย
5. ลบ C99 ทิ้งไปซะ
6. เมื่อเกิดปัญหา Log File เท่านั้นคือพระเจ้า
7. คิดไม่ออกแล้ว

ส่งท้าย
สิ่งที่ผมอยากบอกคือว่าให้ระวังไว้ให้มากนะครับ hacker มีหลายหลายประเภท หลายรูปแบบ วิธีการจู่โจมนับวันยิ่งอัตรายยิ่งขึ้น ขอให้ระวังเอาไว้รู้เขารู้เรารบร้อยครั้งชนะ 100 ครั้ง

และเมื่อเกิดความขัดแย้งกันขึ้นมา  ผมอยากให้รับฟังความคิดเห็นของอีกฝ่ายนะครับ มาทำความเข้าใจ พูดคุยกัน เพื่อหาทางออกที่ดีที่สุด

และที่ผมช่วยนี้นั้นไม่ต้องการอะไรทั้งสิ้นและผมยังคิดไ่ม่ออกว่าช่วยทำไม

คำพูดสุดท้ายจากผมคือ โชคดีครับทุกท่าน
(อ่าน Log 2 ชั่วโมงนี้มันสุดๆไปเลย ตาลาย 555+ )

อ้างถึงจาก: onlyones ใน 21 ธันวาคม 2010, 11:44:00
พอดีได้ติดต่อคุยกับท่าน papaponsak และได้รหัสผ่านต่างๆมา  ผมก็ได้ทำการตรวจสอบด้วยวิธีการต่างๆจนกระทั้งเรียบร้อยนี้คือสรุปผลของผมนะครับ

สิ่งที่เจอ
1. มีการ Login Dec 21, 2010 at 09:58   180.183.237.60 จาก Ip นี้เข้าไปที่ Direct Admin ได้
2. Database PHPMyAdmin บางส่วนหายไป
3. ค้นพบหน้า http://www.chlorophyllshop.com/myfile/JJSTYJSTYYJSTYJSTYJSTYJJYTJSYTJSYTYTJYTSJTYSJSJYSTJSYTJYJYJSYTJYSJHJHJS.php
4. ซึ่งด้านบนนั้นเป็นหนึ่งใน Trojan เลื่องลือในวงการมืด
5. หมายเลข IP 180.183.237.60 ได้สั่ง Run หน้า C99 นั้นขึ้นมา

สมมุติฐาน
1A. เกิดเหตุการณ์ Script รั่วทำให้ผู้ใช้สามารถ Upload ไฟล์โปรแกรม BackDoor ขึ้นมาได้
2A. และต่อมาก็ได้ทำการแก้ไข Script และก่อกวนท่านทุกวัน
3A. และ hacker นั้นได้ทำการเขียน Script ปรับแต่งอะไรบางส่วนเพื่อให้สามารถได้มาซึ่งการเข้าไปสู่สิทธิ์ Admin

1B. รหัสผ่านของ DirectAdmin ของท่านได้รั่วออกไปด้วยวิธีการต่างๆ(Trojan)
2B. แก้ Script ของท่านและยำไปจนถึง PHPMyAdmin
3B. Upload C99 ขึ้นมาเพื่อว่าเจ้าของรู้ตัวและได้เปลี่ยนรหัส Hacker จะได้เข้ามาเยี่ยมได้อยู่


วิธีการแก้ไข
1. ล้าง Virus ในเครื่องให้หมดรวมไปถึงระวังรหัสผ่านไปสู่มือบุคคลอื่นไม่ว่าจะมาจากการ แอบดู การจดไว้ที่ต่างๆ
2. ตรวจสอบหาช่องโหว่ต่างๆที่ปรากฏขึ้น
3. ดูที่เราเขียนไปว่าโดนเพิ่มอะไรไปหรือเปล่า
4. 777 บางทีก็ไม่ WOrk นะเพราะว่าใครเขียนอะไรก็ได้ลองดู 666 หรือไม่ก็อย่างอื่เพื่อความปลอดภัย
5. ลบ C99 ทิ้งไปซะ
6. เมื่อเกิดปัญหา Log File เท่านั้นคือพระเจ้า
7. คิดไม่ออกแล้ว

ส่งท้าย
สิ่งที่ผมอยากบอกคือว่าให้ระวังไว้ให้มากนะครับ hacker มีหลายหลายประเภท หลายรูปแบบ วิธีการจู่โจมนับวันยิ่งอัตรายยิ่งขึ้น ขอให้ระวังเอาไว้รู้เขารู้เรารบร้อยครั้งชนะ 100 ครั้ง

และเมื่อเกิดความขัดแย้งกันขึ้นมา  ผมอยากให้รับฟังความคิดเห็นของอีกฝ่ายนะครับ มาทำความเข้าใจ พูดคุยกัน เพื่อหาทางออกที่ดีที่สุด

และที่ผมช่วยนี้นั้นไม่ต้องการอะไรทั้งสิ้นและผมยังคิดไ่ม่ออกว่าช่วยทำไม

คำพูดสุดท้ายจากผมคือ โชคดีครับทุกท่าน
(อ่าน Log 2 ชั่วโมงนี้มันสุดๆไปเลย ตาลาย 555+ )

ขอบคุณมากๆค่ะที่ช่วยแนะนำและติดต่อทางผู้ทำให้นะคะ ยังไม่ทราบเลยว่าน้องเขาจะแก้ไขให้ได้ไหมเพราะเข้าไปดูที่เวปก็ยังเหมือนเดิมค่ะ ขอบคุณมากๆนะคะ

อ้างถึงจาก: onlyones ใน 21 ธันวาคม 2010, 11:44:00
พอดีได้ติดต่อคุยกับท่าน papaponsak และได้รหัสผ่านต่างๆมา  ผมก็ได้ทำการตรวจสอบด้วยวิธีการต่างๆจนกระทั้งเรียบร้อยนี้คือสรุปผลของผมนะครับ

สิ่งที่เจอ
1. มีการ Login Dec 21, 2010 at 09:58   180.183.237.60 จาก Ip นี้เข้าไปที่ Direct Admin ได้
2. Database PHPMyAdmin บางส่วนหายไป
3. ค้นพบหน้า http://www.chlorophyllshop.com/myfile/JJSTYJSTYYJSTYJSTYJSTYJJYTJSYTJSYTYTJYTSJTYSJSJYSTJSYTJYJYJSYTJYSJHJHJS.php
4. ซึ่งด้านบนนั้นเป็นหนึ่งใน Trojan เลื่องลือในวงการมืด
5. หมายเลข IP 180.183.237.60 ได้สั่ง Run หน้า C99 นั้นขึ้นมา

สมมุติฐาน
1A. เกิดเหตุการณ์ Script รั่วทำให้ผู้ใช้สามารถ Upload ไฟล์โปรแกรม BackDoor ขึ้นมาได้
2A. และต่อมาก็ได้ทำการแก้ไข Script และก่อกวนท่านทุกวัน
3A. และ hacker นั้นได้ทำการเขียน Script ปรับแต่งอะไรบางส่วนเพื่อให้สามารถได้มาซึ่งการเข้าไปสู่สิทธิ์ Admin

1B. รหัสผ่านของ DirectAdmin ของท่านได้รั่วออกไปด้วยวิธีการต่างๆ(Trojan)
2B. แก้ Script ของท่านและยำไปจนถึง PHPMyAdmin
3B. Upload C99 ขึ้นมาเพื่อว่าเจ้าของรู้ตัวและได้เปลี่ยนรหัส Hacker จะได้เข้ามาเยี่ยมได้อยู่


วิธีการแก้ไข
1. ล้าง Virus ในเครื่องให้หมดรวมไปถึงระวังรหัสผ่านไปสู่มือบุคคลอื่นไม่ว่าจะมาจากการ แอบดู การจดไว้ที่ต่างๆ
2. ตรวจสอบหาช่องโหว่ต่างๆที่ปรากฏขึ้น
3. ดูที่เราเขียนไปว่าโดนเพิ่มอะไรไปหรือเปล่า
4. 777 บางทีก็ไม่ WOrk นะเพราะว่าใครเขียนอะไรก็ได้ลองดู 666 หรือไม่ก็อย่างอื่เพื่อความปลอดภัย
5. ลบ C99 ทิ้งไปซะ
6. เมื่อเกิดปัญหา Log File เท่านั้นคือพระเจ้า
7. คิดไม่ออกแล้ว

ส่งท้าย
สิ่งที่ผมอยากบอกคือว่าให้ระวังไว้ให้มากนะครับ hacker มีหลายหลายประเภท หลายรูปแบบ วิธีการจู่โจมนับวันยิ่งอัตรายยิ่งขึ้น ขอให้ระวังเอาไว้รู้เขารู้เรารบร้อยครั้งชนะ 100 ครั้ง

และเมื่อเกิดความขัดแย้งกันขึ้นมา  ผมอยากให้รับฟังความคิดเห็นของอีกฝ่ายนะครับ มาทำความเข้าใจ พูดคุยกัน เพื่อหาทางออกที่ดีที่สุด

และที่ผมช่วยนี้นั้นไม่ต้องการอะไรทั้งสิ้นและผมยังคิดไ่ม่ออกว่าช่วยทำไม

คำพูดสุดท้ายจากผมคือ โชคดีครับทุกท่าน
(อ่าน Log 2 ชั่วโมงนี้มันสุดๆไปเลย ตาลาย 555+ )

+1

อ้างถึงจาก: kirana_a23 ใน 21 ธันวาคม 2010, 11:50:50

ขอบคุณมากๆค่ะที่ช่วยแนะนำและติดต่อทางผู้ทำให้นะคะ ยังไม่ทราบเลยว่าน้องเขาจะแก้ไขให้ได้ไหมเพราะเข้าไปดูที่เวปก็ยังเหมือนเดิมค่ะ ขอบคุณมากๆนะคะ

ครับก็ต้องให้เวลาเขาหน่อยครับ

เขียน Script ไม่ยากหรอกครับ  แต่แก้ไข Bug ยากกว่ากันเยอะเลย

ลืมบอกไปอย่างหนึ่งครับ

ข้อมูลของผมยังไม่ใช่ข้อสรุปนะครับ  เขาอาจจะไม่ใช้วิธีการนี้หมดก็ได้

ที่ผมวิเคราห์ไปนั้นเป็นประมาณ 30% ของ Log ทั้งหมด
อีก 70 ยังครับ

โดนก่อนกวน แบบนี้เลย หรอ ทำไมต้อง กวนเว็บคุณล่ะ ? เว็บอื่นทำไมเขาไม่กวน มันน่าคิดน่ะ มันต้องมีสาเหตุ อะไรบางอย่าง สิใช่ม่ะ

ไม่ทราบค่ะว่าทำไม เพราะเมื่อก่อนก็ไม่เคยโดน แล้วอีกอย่างเวปธรรมดามากด้วยค่ะ
ขอบคุณทุกๆท่านที่แสดงความคิดเห็นนะคะ

พี่ papaponsak ไม่ได่มีเจตน่าก่อกวนเวป หรอกครับ เพราะงานนี้ไปได้ทั้ง สคริป และ server ครับ

งานนี้ต้องเข้าใจกันครับ

เด๋วถ้าพี่เค้าทำเสร็จผมจะให้ลองอัพลงบนโฮสผมดูก่อน รอหน่อยครับ

ถ้าไม่โดนก็แสดงว่าไปที่ server แล้วครับ

ผมว่าเว็บไม่เส็ดแล้วเค๊าโกหกคุณป่าวว่าเส็ดเพราะผมเคยทำครับ อิอิอิ
อันนี้แค่แสดงความคิดเห็น

อ้างถึงจาก: wornnoncook ใน 21 ธันวาคม 2010, 14:56:36
พี่ papaponsak ไม่ได่มีเจตน่าก่อกวนเวป หรอกครับ เพราะงานนี้ไปได้ทั้ง สคริป และ server ครับ

งานนี้ต้องเข้าใจกันครับ

เด๋วถ้าพี่เค้าทำเสร็จผมจะให้ลองอัพลงบนโฮสผมดูก่อน รอหน่อยครับ

ถ้าไม่โดนก็แสดงว่าไปที่ server แล้วครับ

ขอบคุณมากค่ะ ที่ทุกท่านช่วยดูให้นะคะ

อ้างถึงจาก: santi2007 ใน 21 ธันวาคม 2010, 14:59:11
ผมว่าเว็บไม่เส็ดแล้วเค๊าโกหกคุณป่าวว่าเส็ดเพราะผมเคยทำครับ อิอิอิ
อันนี้แค่แสดงความคิดเห็น

เพราะเหตุนี้แหละค่ะ กระทู้นี้จึงเกิดขึ้นมา

วิธีง่ายๆเท่าที่นึกได้ หากสงสัยว่าคนที่เราจ้างหาขออ้าง(แฮคตัวเอง) เพื่อต่อเวลาไปเรื่อยๆเพราะงานไม่เสร็จหรือไม่

- ให้คนทำเอาสคริปไปลงในโฮสใหม่ หรือโฟลเดอร์ที่ยังไม่มีลิงค์มาจากที่ใดทั้งสิ้น ใช้ .co.cc ก็ได้ โฮสใหม่เลยก็ดี จะได้ตัดข้ออ้างเรื่องไวรัส หรือรูโหว่บนโฮส
- เวลา FTP ให้ใช้ ไฟล์ manager ของโฮส upload เอา ก็จะตัดข้ออ้างเรือง FTP client มีวางดักมัลแวร์ได้

คือถ้าทำแบบนี้ แฮคเกอร์ที่ไหนมันก็ไม่มีทางรู้แล้วหล่ะ ว่าเราเอาเวบไปลงที่ไหน

หรือจะตรวจง่ายกว่านั้น คือให้เอาสคริปมาลงใน PC เราซะเลย แล้วตรวจงานโดยไม่ต้องต่อเนต
ถ้ามันยังแฮคได้อีกนี่บ้าไปแล้ว 55

คนทำเว็บจะต้องรอบคอบ FTP Software พวก Crack เลิกใช้ได้แล้วครับ หาของแท้มาใช้เลยดีกว่า
อาชีพของเรา ลงทุนหน่อย 1000+ ต่อปีเอง มีหลายเจ้าให้เลือกใช้ สะบายใจกว่ากันเยอะ