สวัสดีครับ

นานๆทีผมจะตั้งกระทู้ที่มีสาระกับเขาบ้าง แต่ก็เอามาแชร์กันให้ได้รู้จริงๆว่าสาเหตุที่แท้จริงนั้นมาจากอะไร

เห็นช่วงนี้หลายๆท่านคงจะประสบปัญหาเว็ปไซต์โดนโจมตี ซึ่งก็เดากันไปต่างๆนาๆเกี่ยวกับสาเหตุการโดนแฮก (และมีการแตกกระทู้ออกไปหลายกระทู้)

เห็นแล้ว...ก็อดไม่ได้ที่จะสรุปสาเหตุการโดนแฮก ซึ่งรวบรวม ณ ตอนนี้ ได้คร่าวๆ ดังนี้...

1. หากท่านใช้ CMS อาทิ เช่น Wordpress , Joomla ให้ตรวจสอบว่า Script และ Plugins ของท่านอัพเดทเป็นตัวล่าสุดเรียบร้อยแล้ว

พบจากหลายสาเหตุที่เป็นช่องโหว่ของ CMS แนะนำให้รีบอัพเดทเป็นเวอร์ชั่นล่าสุดกันด้วยนะครับ (ก่อน Update อย่าลืม Backup ก่อนด้วยนะครับ)

2. DirectAdmin ใช่ครับอ่านไม่ผิดหรอกมันคือช่องโหว่ของ Direct Admin ที่เปิดให้สามารถเข้าผ่าน temporary url ผ่าน http://ip/~user/ นั่นเอง

(เครื่องของผมเครื่องนึงดั๊นลืมปิดตัวนี้ โดนไปรายนึง รีบปิดอย่างไว)

3. ความมักง่ายของการ chmod777 file, folder ใช่ครับ การ chmod 777 นั้นเป็นอันตรายอย่างมาก เพราะฉะนั้น chmod777 เฉพาะบางไฟล์ที่จำเป็นเท่านั้น อย่ามักง่าย chmod 777 ทุกไฟล์และโฟลเดอร์

4. ช่องทางการ Upload File บอกได้เลย ตรงส่วนนี้อันตรายโคตร และผมไม่แนะนำให้เปิด เพราะว่าทั้งหนักเครื่อง ดูแลยาก และเสียงต่อการโดนแฮก

ใครมีสาเหตุอื่นมาแชร์กันได้ฮะ (บทความนี้ผมขอไม่พูดถึง SQL Injection , XSS , CSRF นะครับ อยากรู้เรื่องพวกนี้อ่านเองได้เลยที่พี่กุเกิ้ล)

Update 1 สคิปที่อันตรายและจะต้องเปลี่ยนแบบด่วนๆ

http://www.thaiseoboard.com/index.php/topic,301284.msg4151571.html#msg4151571

เยี่ยมครับ

มาเก็บความรู้ เว็บผมโดนแฮกก็ได้คุณ iLhay ช่วยไว้ 

ฮิตจริงครับเรื่องนี้! +1 สำหรับวิธี

อ้างถึงจาก: Freeze ใน 27 ธันวาคม 2012, 01:29:38
มาเก็บความรู้ เว็บผมโดนแฮกก็ได้คุณ iLhay ช่วยไว้ 

เครื่องที่ท่านอยู่นี่แหละฮะที่ผมไม่ได้ปิด ip/~user/

สาเหตุที่โดนก็หลักๆ chmod 777 กับ ip/~user/ 2 ตัวนี้เลยฮะ

 

เยี่ยมมากครับ

ขอบคุณจ้า สำหรับความรู้ดีๆ

Cookie มีผลมั้ยครับ ? 

ผมก็โดน แต่น้องที่ดูแลเว็บเค้าบอกว่า มันเข้ามาผ่านโฮสโดยตรง
ไม่ได้เข้าผ่านเว็บไซต์เราโดยตรง
เพราะรหัสในการเข้าถึงข้อมูลยังคงเดิม ไม่ได้ถูกแก้ไข

ขอบคุณสำหรับความรู้ดีๆ 

ได้ความรู้เยอะเลยครับ

ขอบคุณครับ 

แจ่มครับ 

อัพเดทนะครับ

สคิปตัวนี้...เข้ามาทางการ upload ไฟล์อย่างแน่นอนครับ

เมื่อกี๊ผมนั่งดูพี่ icez ไล่วิธีการเข้ามา และ script ของมันอยู่

การโจมตีนี้ maxsite ทุกเวอร์ชั่นเป็นหมดครับ ใครที่ใช้อยู่ เตรียมตัวเปลี่ยนสคิปได้เลยครับเพราะเจ้าของสคิปหยุดพัฒนาไปแล้ว

อ้างถึงจาก: natterwoods ใน 27 ธันวาคม 2012, 01:33:52
ผมก็โดน แต่น้องที่ดูแลเว็บเค้าบอกว่า มันเข้ามาผ่านโฮสโดยตรง
ไม่ได้เข้าผ่านเว็บไซต์เราโดยตรง
เพราะรหัสในการเข้าถึงข้อมูลยังคงเดิม ไม่ได้ถูกแก้ไข

เอ่อ ทำความเข้าใจใหม่ก็ดีนะครับ

การโดนเจาะ ไม่จำเป็นว่าข้อมูลการเข้าถึงพวกนี้จะต้องถูกเปลี่ยนนะครับ
เพราะโดยมาก hacker ไม่จำเป็นต้องใช้ข้อมูลพวกนั้นเลย (ยกเว้นเป็นการเจาะผ่านเครื่องที่เซฟรหัส ftp ไว้)
เคสที่โดนกันช่วงนี้ก็อัพ script เข้ามาผ่านรูรั่วของหน้าเว็บตรงๆ เลย ไม่ได้ต้องใช้หรือต้องแก้รหัสผ่านอะไรซักนิด
รหัสผ่าน ftp ก็ไม่ต้องรู้ รหัสผ่านเว็บก็ไม่ต้องเอา รหัสผ่าน admin ก็ไม่ต้องใช้
อัพไฟล์ได้ก็ไม่ทำไงครับ เข้าผ่าน script ที่ตัวเองอัพอีกที ซึ่งก็ไม่เกี่ยวกับรหัสผ่านของคุณอีกอยู่ดี
เพราะงั้น การไม่โดนเปลีย่นรหัสผ่านไม่ได้หมายความว่าเว็บคุณไม่โดนเจาะครับ

ขอบคุณจ้า

ขอบคุณครับ

ต้องหันมาใส่ใจเรื่องนี้บ้างล่ะ

มีครั้งหนึ่ง wordpress ของผมโดน  มันมีไฟล์หนึ่งที่แทรกเข้ามาใน โฮส ผมเลยลองรันไฟล์นั้นดูปรากฏว่า  หน้านั้น มันรู้หมดเลยว่าโฮสเราไอพีอะไร เราใช้พาสอะไร ไฟล์ไหนเป็นโหมดอะไร และสามารถเปลี่ยนโหมดได้แค่คลิ๊กเลือก   สามารถอัพโหลด อะไรก็ได้  มันสุดยอดจริง ๆ 

ตามที่คุณไอซ์บอกเลย พวก nulled ทั้งหลาย 

ขอบคุณครับ

ตรงนี้ปิดอย่างไรครับ http://ip/~user/ เผื่อว่ายังไม่ได้ทำครับ