สงสัยเว็บ drupal ผมจะโดนมัลแวร์อะไรสักอย่าง
February 27, 2010
อาการคือเมื่อเข้าเว็บแล้ว สักพักมันจะถูก forward เข้าไปที่ http://joycerer.com/red4.php ซึ่งเป็นเว็บทำหน้าตาเหมือนโปรแกรม scan เครื่องแล้วจะหลอกให้เราดาว์นโหลดไฟล์
จะแก้ยังไงดีครับ logon เข้า admin ก็ไม่ได้มัน forward ไปเว็บบ้านั่นตลอดเลย
ทดลองได้ที่ http://www.w55club.com
script ที่ encode
script ที่ encode ไว้ล่างสุดก่อน tag body คืออะไรครับ
น่าจะเป็น script
น่าจะเป็น script ที่มาจากโมดูล google analytics ครับ
มีทั้งใช่และไม่ใช่ครับ
มีทั้งใช่และไม่ใช่ครับ ลองพิจารณาโค๊ดต่อไปนี้
ลองเซฟรูปไปไว้ในเครื่องนะครับ
ลองเซฟรูปไปไว้ในเครื่องนะครับจะไ้ด้เห็นเต็มๆ
อากาศแบบนี้คือ โดน inject
อากาศแบบนี้คือ โดน inject code แน่นอน ให้เช็ค file page.tpl.php ครับ โดยเฉพาะส่วนล่างๆ ตรงใกล้ๆ legal-notice
แล้วทีนี้ก็ต้องมาพิจารณาว่า ถูก inject ได้อย่างไร โดยเฉพาะอย่างยิ่ง ทาง ftp
ไม่ต้องมองไกลครับ ftp user/password มีใครบ้างที่ access เข้ามาหาไฟล์นั้นได้ ไม่ต้องคิดอีกว่าตั้งไว้ยากแล้ว ปัจจุบันมันหลุดได้ทุกทาง เปลี่ยน password อีกที แล้วหาทางใช้ ftp ที่ secure กว่าปัจจุบันครับ
อากาศแบบนี้คือ โดน inject
อากาศแบบนี้คือ โดน inject code แน่นอน ให้เช็ค file page.tpl.php ครับ โดยเฉพาะส่วนล่างๆ ตรงใกล้ๆ legal-notice
แล้วทีนี้ก็ต้องมาพิจารณาว่า ถูก inject ได้อย่างไร โดยเฉพาะอย่างยิ่ง ทาง ftp
ไม่ต้องมองไกลครับ ftp user/password มีใครบ้างที่ access เข้ามาหาไฟล์นั้นได้ ไม่ต้องคิดอีกว่าตั้งไว้ยากแล้ว ปัจจุบันมันหลุดได้ทุกทาง เปลี่ยน password อีกที แล้วหาทางใช้ ftp ที่ secure กว่าปัจจุบันครับ
.ลองแก้ตามที่บอกดูแล้วหายครับ
.ลองแก้ตามที่บอกดูแล้วหายครับ ... ขอบคุณทั้ง2ท่านมากๆที่เข้ามาช่วยเหลือครับ