ต่อไป »

[noobi]

อันนี้ โค๊ด ที่ view source ได้

  <!DOCTYPE html PUBLIC> <html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <title>ชื่อเวบ.com</title>
    <style type="text/css">*{margin:0; padding:0; border: 0;} html, body {height: 100%;}</style>
</head>
<body width="100%" height="100%">
<noscript><meta http-equiv="refresh" content="0;url=http://imptestrm.com/rg-erdr.php?_dnm=ชื่อเวบ.com&_cfrg=2&_drid=as-drid-2555965863243342&_bkt=9727" /><center><p style="padding:1em; font-size:1.5em;">For search results please <a href="http://imptestrm.com/rg-erdr.php?_dnm= ชื่อเวบ.com&_cfrg=2&_drid=as-drid-2555965863243342&_bkt=9727" style="text-decoration:underline; color:#0000EE;">CLICK HERE</a>.</p></center></noscript>
<div id="rmgblock" width="100%" height="100%"></div>
<script type="text/javascript" src="http://imptestrm.com/rg-main.p...p?_srg=1&bkt=9727&dmn= ชื่อเวบ.com&folio=394494536"></script>
<script type="text/javascript" language="JavaScript" src="http://pagead2.googlesyndicati...pps/domainpark/show_afd_ads.js "></script>
<script type="text/javascript"> function collectHeight(){try{var e=Math.max(document.documentElement.clientHeight,document.body.scrollHeight,document.documentElement.scrollHeight,document.body.offsetHeight,document.documentElement.offsetHeight);document.getElementById("rmgblock").style.height=e "px"}catch(e){}}try{window.onresize=collectHeight;collectHeight()}catch(e){} </script>
</body></html>

เป็น  wordpress / ลบ แล้วลงใหม่ หลายรอบแล้ว เป็นเหมือนเดิม อย่างเมื่อคืนก็ใช้งานได้ปกติ ตื่นเช้ามา ก็เป็น เฉพาะไซต์นี้ เพราะเพิ่งย้ายโฮสต์มาที่ใหม่ Bluehost

พอเข้าหน้าผ่าน subdomain main domain [เวบไซต์.maindomain.com ] มันก็แจ้งไวรัสที่นี่เลย


แก้ไม่หายสักที ทีแรก นึกว่าลบ ลง ล้างใหม่ มันจะหาย พอ เวบอัพได้ ไม่กี่ชั่วโมงก็กลับมาเป็นอีก เมื่อก่อนอยู่ hostgator ไม่เคยเป็น พอย้ายมาที่ใหม่ เวบแรก ก็เป็นเลย
ไม่รู้เกี่ยวกับโฮสต์เปล่า แต่ เจ้าหน้าที่ support เขาบอกไม่เกี่ยวกับ host เขาเลยไม่ได้ช่วยอะไร

[Meaw-IE]

มันฟ้องว่า Wordpress Theme มีไฟล์ที่เป็นไวรัสรึปล่าวครับ 

[coolsweet]

เข้ามาดูด้วยครับผม

[noobi]

ลบไฟล์ทิ้ง ลบ ดาต้าเบสทิ้งหมด เวบขึ้นหน้า hosting ที่เราฝากไว้ ปกติ

ดาวน์โหลด wordpress มาใหม่ แตกไฟล์ บน host แรกๆ ก็จะใช้งานได้ปกติ เข้าได้ จัดการได้

ผ่านไปประมาณ 2-3 ชั่วโมง ติดไวรัสอีกแระ  เข้าเวบไม่ได้ เข้า wp-admin ไม่ได้ เวบนี้ index หลายหน้าด้วย โดนเลย

ไม่รู้มันฝังค่าไว้ยังไง

[newbie-pro]

เอาเว็บมาโชว์หน่อยสิครับ เอาไอ้ที่ไม่มีมูลค่าก็ได้

จะได้ช่วยดู

[JeffyPluS]

reset password ใหม่ ทั้งระบบ หรือยังครับ

[tenzamak]

ผมจะบอกว่า ไม่เกี่ยวกับโฮส จะหาว่าผมเข้าข้างโฮสไหมเนี่ย เพราะผมให้บริการเหมือนกัน

เจอมาแทบจะร้อยเปอร์เซน ไม่นับพวก permission 777 ยัน .jpg นะ

ส่วนใหญ่ล้วนแล้วแต่ติดพราะ เครื่องที่ใช้อัพโหลดไฟลื มีไวรัส  แก้ไปล้านรอบก็ไม่หายหรอกครับ

ผมเลยแอบเปลี่ยนพาส ftp สรุปหายขาด  คุณลองไปไล่สแกนไวรัสในเครื่องก่อนนะครับ


ปล. เดานิดๆ สแกนไวรัส ใช้ nod32 ป่ะครับ (เดาขำๆ เพราะ 9ใน10 ที่ติดใช้ nod32)

[LIKEPLAZA]

มาเก็บเป็นความรู้ด้วยคน

[noobi]

เป็นเวบนี้เวบเดียว แล้ว ก็เพิ่งเป็นตอนย้ายโฮส ไปที่ใหม่ด้วย ตอนอยู่โฮสเดิมไม่เคยเจอ ไม่รู้ไปติดช่วงไหน

เวบใหม่ ที่เพิ่งอัพไปวันนี้ ไฟล์ต้นฉบับเดียวกัน ยังไม่เคยฟ้องไวรัส ไม่เจอปัญหาใดๆ เหมือนเวบนั้น

สแกนไวรัส ทั้งเครื่อง ไปสองรอบ ไม่เจอสักตัว ตอนนี้ใช้ Avast อยู่

พาสเวิร์ด ของ FTP, User name ของ database เปลี่ยนใหม่ ทุกครั้ง ที่ลงใหม่ ใช้ตัว Gen PASS ที่ติดมากับโฮสเลย คีย์แข็งๆทั้งนั้น ทำใหม่ทุกรอบที่คิดว่า มันอาจติดเพราะสาเหตุ นี้ นั้น 4-5 รอบแล้ว

ตอนนี้ ไม่หวังแล้ว ทำเวบใหม่ ซื้อ โดเมนใหม่ ทำ อัพขึ้นโฮสใหม่ ที่เพิ่งซื้อ ยังไม่เจอปัญหาใดๆ

-- ขอบคุณ สำหรับทุกคำตอบ --

[BrainFreeze]

ผมจะบอกว่า ไม่เกี่ยวกับโฮส จะหาว่าผมเข้าข้างโฮสไหมเนี่ย เพราะผมให้บริการเหมือนกัน

เจอมาแทบจะร้อยเปอร์เซน ไม่นับพวก permission 777 ยัน .jpg นะ

ส่วนใหญ่ล้วนแล้วแต่ติดพราะ เครื่องที่ใช้อัพโหลดไฟลื มีไวรัส  แก้ไปล้านรอบก็ไม่หายหรอกครับ

ผมเลยแอบเปลี่ยนพาส ftp สรุปหายขาด  คุณลองไปไล่สแกนไวรัสในเครื่องก่อนนะครับ


ปล. เดานิดๆ สแกนไวรัส ใช้ nod32 ป่ะครับ (เดาขำๆ เพราะ 9ใน10 ที่ติดใช้ nod32)

ผมเห็นด้วยตามที่คุณ tenzamak บอกครับ เว็บที่ติดไวรัส เว็บที่ถูกเจาะระบบส่วนใหญ่ติดจาก เครื่องคอมพิวเตอร์ของลูกค้าที่ใช้งานที่บ้านหรือที่ออฟฟิศ
โดนไวรัส มัลแวร์ ขโมย ftp user password แล้วอัพโหลดตัวเองเข้าไป ถึงทำเว็บใหม่ถ้าเครื่องที่คุณใช้มีไวรัส พออัพโหลดเว็บใหม่เข้าไป
ก็ติดอยู่ดีครับ กี่รอบก็ติด ไม่ว่าจะย้ายไปโฮสไหนก็ตามติดที่นั่นครับ

จากประสบการณ์ลูกค้าผมเองหลายท่าน ถ้าแจ้งมาว่าเว็บติดไวรัส ผมจะดูก่อนเป็นไวรัสที่แทรก script มั้ย ถ้าใช่แทรกเข้ามาที่ไฟล์ index home หรือไฟล์ js มั้ย
ถ้าใช่อีกผมจะถามว่าใช้ filezilla มั้ย ใช้โปรแกรมทำเว็บ หรือโปรแกรม ftp แบบแครกบ้างมั้ย ถ้าใช่ ผมจะเข้าไปหา ftp log ว่ามีการเขื่อมต่อเข้ามาเมื่อไหร่
เข้ามาด้วย ip อะไร ส่วนใหญ่ ip ต่างประเทศเข้ามา แล้วถามลูกค้าว่า ftp log ที่เข้ามานี่ใช่คุณมั้ย ถ้าไม่ใช่ก็สรุปได้เลยครับ โดนขโมยรหัสผ่่าน ftp จากเครื่องลูกค้าแน่นอน

กรณีด้านบน ถ้าต้องการแก้ให้หายชัวร์ผมแนะนำ format เครื่องลงโปรแกรมใหม่ครับ โปรแกรม ftp แบบเสียเงิน หรือโปรแกรมทำเว็บแบบเสียเงิน
ถ้าใช้ crack เสี่ยงทั้งนั้นเลี่ยงได้พยายามเลี่ยง (เสี่ยงที่ตัว crack นี่แหละครับ) ถ้าใช้ Filezilla โปรแกรมนี้ไม่เข้ารหัส password ถ้าเครื่องเราติดไวรัส ก็โดนทันทีครับ
แนะนำ wsftp หรือ winscp แทน ฟรี แถมดีด้วยครับ หน้าตาอาจใช้ยากหน่อยเท่านั้นเอง

กรณีอื่นๆ ถ้าไม่ติดจาก โดนขโมย ftp user password แล้ว login มาแทรกไฟล์ แต่เป็นการรั่วจาก script เว็บ ผมจะดู date modified ของทั้งเว็บลูกค้าครับ
ว่าโดนที่ไฟล์ไหนบ้าง เพราะไฟล์ที่โดนแทรก script หรือไฟล์ที่โดนวาง backdoor หรือไฟล์แปลกปลอมมักจะมี date modifiled ที่ใหม่กว่าแล้ววิเคระห์ว่า hacker เข้ามายังไง
ส่วนใหญ่จะรั่วจาก cms หรือส่วนเสริมที่ไม่อัพเดท หรือ directory ที่ upload ได้ พวก directory เก็บไฟล์ เก็บรูป หรือ directory ที่ permission ไม่ปลอดภัยครับ
วิธีแก้แบบนี้ ต้องแก้ที่ script หรือ cms ที่ใช้ครับ อัพเดทให้เป็นรุ่นล่าสุด แก้ให้ script ไม่มีจุดรั่วไหล ส่วนเสริมไหน มีข่าวว่าไม่ปลอดภัยเลิกใช้ชั่วคราวจนกว่าจะมีการอัพเดทครับ

ปกติเมื่อเว็บถูกเจาะลูกค้าหลายท่านสงสัยว่าเพราะ  server ผู้ให้บริการไม่ปลอดภัย เว็บที่ฝากไว้เลยโดน hack ผมขออกความเห็นส่วนตัวว่า เป็นไปได้ครับที่จะเกิดจากกรณี server ตั้งค่าไว้ไม่ดีไม่ปลอดภัย
แต่อยากให้ท่านลองคิดมุมกลับว่า ถ้า hacker เจาะได้เพราะเครื่อง server ผู้ให้บริการไม่ปลอดภัย ทำไมบน shared host ลูกค้าเยอะแยะมีไม่ต่ำกว่าร้อยเว็บแน่นอนต่อ server เครื่องนึง
ทำไมเว็บท่านโดนคนเดียว เว็บอื่นไม่โดนด้วย หรือว่าเว็บท่านไม่ปลอดภัยเอง หรือระบบที่ท่านใช้งานมีจุดรั่วไหลเอง ......... ถ้า server ผู้ให้บริการไม่ปลอดภัยเวลาโดนเจาะโดนทั้งเครื่องแน่นอนครับ