คุณอยู่ที่นี่

โดนแฮ็กอีกแล้ว จริง ๆ เลยครับคราวนี้ ขาประจำเจ้าเดิม

รูปภาพของ ctfthai
เขียนโดย ctfthai เมื่อ 27 มิถุนายน, 2016 - 14:03

อยากจะแก้ไม่ให้ แอ็กเกอร์เข้ามาอีก แบบ expire ตลอดชีพนะครับ

ผม

1.backup ฐานข้อมูลใน phpmyadmin ไว้ วันที่ 26-6-59

2.backup ข้อมูลทั้งหมดใน sever ที่อยู่ใน public_html > site ไว้ วันที่ 26-6-59

จะพอช่วยกู้กลับมาได้มั้ยครับ

ช่วยเหลือด้วยครับ ผมทำไม่เป็นครับว่าจะต้องทำอย่างไรไม่ให้โดนแฮ็ก ผมก็จะเจอแบบนี้ครับ 1 อาทิตย์ครั้ง 2-3 อาทิตย์ครั้ง แต่คราวนี้เจอหนักครับ เข้าไปใน sever ตรงส่วนที่เป็น public_html > sites > default > files นะครับ พอเข้าไปที่ files โล่งเลยครับ หมดเลย ไม่มีไฟล์อะไรอีกแล้ว แต่ตรงตอนที่เข้า folder public_html มันมี folder นี้ของมันมาครับ PPLNEW2016 กับ alg แล้วก็มีไฟล์ 1337.php , index.php , sh.php , unzip.php เป็นแบบนี้ครับ 

เมื่อก่อนข้อมูลไม่หาย ผมก็เอา index.php โหลดทับเข้าไปก็ใช้ได้ แต่ตอนนี้เกลี้ยง 

แล้วผมลองเอาฐานข้อมูลจาก phpmyadmin ที่ backup ไว้มา "นำเข้า" ก็จะปรากฎข้อความเป็นสีแดง

-- -- dump ตาราง `actions` -- INSERT INTO `actions` (`aid`, `type`, `callback`, `parameters`, `label`) VALUES ('comment_publish_action', 'comment', 'comment_publish_action', '', 'Publish comment'), ('comment_unpublish_action', 'comment', 'comment_unpublish_action', '', 'Unpublish comment'), ('comment_save_action', 'comment', 'comment_save_action', '', 'Save comment'), ('node_publish_action', 'node', 'node_publish_action', '', 'Publish content'), ('node_unpublish_action', 'node', 'node_unpublish_action', '', 'Unpublish content'), ('node_make_sticky_action', 'node', 'node_make_sticky_action', '', 'Make content sticky'), ('node_make_unsticky_action', 'node', 'node_make_unsticky_action', '', 'Make content unsticky'), ('node_promote_action', 'node', 'node_promote_action', '', 'Promote content to front page'), ('node_unpromote_action', 'node', 'node_unpromote_action', '', 'Remove content from front page'), ('node_save_action', 'node', 'node_save_action', '', 'Save content'), ('s[...]


ผมว่าโดนหนักแล้วครับแบบนี้ คืนนี้ว่างไหมครับ เดี๋ยวผมช่วยดูและแก้ไขครับ

admin@drupal.in.th

คือผมไว้ใจนะครับ เดี๋ยวผมส่งไฟล์ไปให้ดีมั้ยครับ ไฟล์ฐานข้อมูล(sql) , user , password ส่งให้ทางอีเมล์ ได้มั้ยครับ คือผมไม่ได้อยู่ที่หน้าคอมพ์นะครับ หรืออื่น ๆ บอกได้เลยครับ 

ทางโฮส เค้าแจ้งมาอย่างนี้ครับ แต่ผมไม่เข้าใจว่าคืออะไร

ปัญหามาจากเว็บที่รั่วจาก code ครับ ถ้าไม่แก้หรือหาทางรู้ว่ามันเข้ามาจากตรงไหน ก็ยังจะโดนเจาะอยุ่เหมือนเดิมครับ

ปรกติ rule ป้องกันเราใส่ mod_sec ไว้รองรับ อยุ่แล้วครับ แต่ถ้า code ไม่มีการอับเดตหรือหมั่น patch ความปลอดภัยก็จะเป็นช่องโหว่ให้เจาะได้ครับ

ว่างและสะดวกช่วงไหน เมล์มาคุยได้ครับ ผมว่าต้องไล่หากันยาวเลย

ตอนนี้ผมเอาข้อมูลทั้งหมดที่ผม backup จาก sever ไว้เมื่อวันศุกร์ที่ 24 มิ.ย.59 (โดนแฮ็กน่าจะ 25-27 มิ.ย.59) มา upload ขึ้น sever ใหม่ทั้งหมด แต่พอเปิดดู www.chumchonthai.or.th จะเป็นหน้าขาวครับ  ไม่มีหน้าแฮ็กเกอร์แล้ว

ตอนนี้ผมไม่รู้จะทำอะไรต่อไป ทำไม่ถูกแล้วครับว่าจะต้องทำยังไงต่อ