ไวรัสที่ติดเข้าเว็บ มาจากไหน? (ตอนที่ 2-เซียงเหล่งนึ่งฯ)

การแพร่กระจายมี 2 แบบ 
1. แบบไวรัส แบบนี้ไม่น่ากลัว ถ้าในเครื่องคนทำเว็บมีแอนติไวรัสที่ดีพอ
    ทดสอบได้โดยการอัพไฟล์แล้ว ลองโหลดกลับมาเช็ค  ปกติมักจะเป็นกับเครื่องเซิฟเวอร์มากกว่า
    เพราะมันจะกินไฟล์ นามสกุลนั้นๆ ในโอเอสที่มันทำงานได้ เช่น .พีเอชพี  ในลีนุก

    พูดง่ายๆคือถ้าเครื่องเซิฟเวอร์ของเราหรือของโฮสต์ติด มันก็จะติดทุกไฟล์นามสกุลนั้นๆ-ทุกเว็บ-
    แก้โดยโดยการใช้คำสั่งจิปาถะของลีนุกแต่มันเสียเวลา โดยมากเขาก็ฟอร์แม็ตกัน
    แต่มันเดือดร้อนคนทำเว็บที่อยู่ในเครื่องนั้น  

2. แบบเจตนาปล่อย  แบบนี้ก็มี โดนกันมาเยอะ แฮ็คแล้วก็ทิ้งชื่อตัวเองไว้ให้เจ้าของเว็บด่าเล่นๆ 
    หรือแค่ปล่อยสคริปมาฝังในไฟล์เท่านั้น เกิดขึ้นได้ยังไง 

    แน่นอนพาสเวิดเอฟทีพี เป็นสิ่งที่ควรดูเป็นอันดับแรกตามหลักการ  แต่ต่อให้เขาไม่มีพาสเวิดเอฟทีพี 
    เขาก็เจาะได้ถ้าเราเปอร์มิสชั่นเป็น 777 ทิ้งเอาไว้ 


อื่นๆ

อ้างจาก: tendo ที่ 17, มีนาคม  2009, 10:04:08 pm

อ้างจาก: TANA ที่ 17, มีนาคม  2009, 08:57:40 pm

ใช่ครับโดนไวรัส 
โซนไอทีก็เคยเจอ
http://svz.in.th/node/virus-in-zone-it.html

ครับ แล้วไม่ทราบว่ามีวิธีีแก้ไขหรือป้องกันยังไงครับ ผมเพิ่งเข้าไปลบสคริปท์มันออกไป (ลบด้วยมือ) ทุกไฟล์ index และเซ็ท chmod เป็น 644 ส่วนโฟลเดอร์เป็น 755 และรีเซ็ท pass เข้า FTP ใหม่ น่าจะพอเพียงรึยังครับเนี่ย 

อ้างจาก: เซียวเหล่งนึ่ง ที่ 17, มีนาคม  2009, 03:43:07 pm

อ้างจาก: tendo ที่ 17, มีนาคม  2009, 02:52:27 pm

แก้ได้แล้วครับ ผมเจอโค้ด html แทรกในบรรทัดสุดท้ายในไฟล์ index.php ทุกหน้า ไม่รู้มันมาได้ยังไง พอลบออกก็หายแล้วครับ

สแปม.. เอชทีเอ็มแอล  

การทำงาน 
มันจะแทรกโค๊ด ไอเฟรม.. เข้าไปในทุกไฟล์ที่เป็นอินเด็ก

ผลกระทบ 
แอนติไวรัสจะมองว่าไฟล์เหล่านั้นคือโทรจัน 

แก้ปัญหา
- ลบด้วยมือ ทุกไฟล์ที่มีคำว่าอินเด็ก
- รันสคริปพีเอชพี ลบบรรทัดนี้ออก (อันนี้ทำไม่เป็น

การป้องกัน
ไม่เซ็ต 777 

อ้างจาก: เซียวเหล่งนึ่ง ที่ 18, มีนาคม  2009, 01:18:57 pm

สแปมกากพวกนี้ทำงานคล้ายกัน 
กินไฟล์เซ็ตติ้งมั่ง กินไฟล์อินเด็กมั่ง

อยู่ที่เราผู้ดูแลเว็บจะรอบคอบไหม
บางคน chmod 777 จนเคยชิน หรือเปลี่ยน 777 เพื่อให้ทำงานง่ายขึ้น
แต่ดันลืมเปลี่ยนกลับ  พอโดนสแปมทีก็อ้วกเลย

อย่าง เอสเอ็มเอฟ นึกดูว่ามีไฟล์อินเด็กกี่ไฟล์ ..  แทบจะทุกโฟลเดอร์ นั่งลบ นั่งอัพ 
ใช้เวลาเป็นชั่วโมง 

ดังนั้นการเปอร์มิสชั่น chmod จึงสำคัญ
Read  อ่าน 
Write  เขียน 
Execute ประมวลผล 
ถ้า 777 ก็จะหมายถึง ใครก็ได้จากไหนก็ได้ อ่านเว็บเราได้ เขียนไฟล์ทับหรืออัพได้ ประมวลผลไฟล์ต่างๆได้ 

อ้างจาก: เซียวเหล่งนึ่ง ที่ 18, มีนาคม  2009, 09:04:26 pm

อ้างจาก: คนหลงทาง ที่ 18, มีนาคม  2009, 07:45:59 pm

   ข้อสังเกตุอีกข้อ 1 คือ โดน SPAM HTML แล้วสำหรับบร์อด smf จะกดแสดงตัวอย่างไม่ได้ 


justusers.net/forum/index.php?topic=2633.0

ปัญหาอีกอย่างคือ ถ้า โดน SPAM HTML แล้ว ตัวสะแกนของคนที่เข้าประจำจะไม่แสดงเลย

จริงหรือเปล่า 

1. ไม่เคยสังเกตุเหมือนกันว่าเว็บที่โดนจะมีอาการพิเศษแบบไม่แสดงตัวอย่างไหม 
ต้องลองเว็บของคนอื่นๆที่โดนเข้าไปว่ามีอาการคล้ายของท่านเทนโด ตามกระทู้ 2633.0 หรือไม่
หรืออีกอย่าง เอาโค๊ดไปแปะเว็บตัวเองแล้วลองเลย 555+ (อันนี้อย่าทำดีกว่า)

2.ตัวสะแกนของคนที่เข้าประจำจะไม่แสดงเลย 
** ไม่ใช่แน่นอน ถ้าแอนติไวรัสยังสุขภาพดีอยู่  เข้าแล้วมันต้องเด้งแน่นอน
ทั้งแอนติไวรัส แอนติสปายแวร์เด้งหมดแหละ 

อีกอย่างคือไม่รู้ว่ามันมีการส่งสคริปออกไปไหม หรือส่งเมล์หรือเปล่า 
ถ้ามันมีการส่ง เดี๋ยวทางโฮสต์อาจจะส่ง จดหมายรัก มาหาเราได้

อ้างถึง

โทรจันมาจากไหน
มาจากการอัพไฟล์ที่มีโทรจันขึ้นโฮสต์ โดยอาจจะรู้เท่าไม่ถึงการณ์  

เพราะฉะนั้นการให้สิทธิ์ใช้งานเอฟทีพี ควรพิจารณาให้ดีว่าจะให้ใครใช้ได้บ้าง
และไฟล์ธีมแปลกๆ หรือไฟล์ที่ไม่รู้จัก -ซอฟแวร์-คีเจน  ไม่ควรอัพขึ้นโฮสต์ 
เพราะนั่นจะเป็นต้นเหตุของสคริปแทรกพวกนี้

อ้างจาก: เซียวเหล่งนึ่ง ที่ 17, พฤษภาคม  2009, 05:22:45 pm

จะ777 ทั้งบอร์ดก็ได้ แต่ทำเสร็จแล้วก็ต้องกลับคืน 755 ไม่งั้นเสร็จได้ง่ายๆ 

หรือไม่อีกวิธีคือ ก่อนลงเราก็ดูซะก่อนว่ามันต้องใช้ไดเรคทอรี่ไหนบ้าง ก็ทำเฉพาะที่จำเป็นให้เป็น 777
เสร็จแล้วค่อยปรับคืน 

แต่ก็ยังมีบางโฟลเดอร์ที่ทำเสริม จำเป็นต้อง 777 ไว้ตลอด อย่างโฟลเดอร์อัพโหลด หรือแชท 

สำหรับ เอสเอ็มเอฟ การ 777 ทั้งบอร์ดก็แน่นอนว่าโดนสคริปไฟล์เอชทีเอ็มแอลแน่นอน 
ซีเอ็มเอสอย่างอื่นก็เหมือนกัน  นุ๊ก แมมโบ จุมลา  ขืน 777 ก็โดนแฮ็คทั้งนั้น
เวิดเพรส 777 ทิ้งไว้ บทความบล็อกที่เขียนมีสิทธิ์หายเกลี้ยง