Block IP ต่างประเทศเอาไม่อยู่แล้วครับ ไวรัส iframำ ยังติด

ems · July 14, 2009, 8:26pm

เจอล่าสุดครับ
118.175.131.133 UNKNOWN user [14/Jul/2009:12:49:14 +0000] “STOR index1.php” 226 5332
118.175.131.133 UNKNOWN user [14/Jul/2009:12:49:31 +0000] “STOR index.php” 226 5332
118.175.131.133 UNKNOWN user [14/Jul/2009:12:51:41 +0000] “STOR index.php” 226 5332
118.175.131.133 UNKNOWN user [14/Jul/2009:12:51:42 +0000] “STOR index1.php” 226 5332
118.175.131.133 UNKNOWN user [14/Jul/2009:12:51:43 +0000] “STOR index2.php” 226 3365

ip จาก TOT เลยเป็นไงล่ะ

pizzaman911 · July 14, 2009, 8:29pm

ย้ายไปหมวด Technical ให้ครับ

kke · July 14, 2009, 8:47pm

ผมเคยแสดงความเห็นไปแล้วว่า block ip ต่างประเทศมันแก้ปัญหาที่ปลายเหตุ

และจากที่ผมแกะ code ดู มันมี list ของเว็บที่ติดไวรัสอยู่ด้วย
คิดว่าการ ftp น่าจะมาจากเว็บที่ติดไวรัส หรือ เครื่องของคนที่เปิดเว็บที่ติดไวรัส
ดังนั้นหากเว็บไทยติดไวรัส ก็จะตกเป็นเหยื่อ แพร่กระจายไวรัสต่อไปได้ด้วย

ดังนั้น ip ที่เข้ามาแก้ไขไฟล์จึงมีหลากหลายประเทศ และทั้งหมดเป็น ip ของเหยื่อทั้งนั้น

maxlogic · July 14, 2009, 8:55pm

ตัวไวรัส จะหาเหยื่อเพิ่มไปเรื่อย ๆ ครับ

ท่าว่าในไทยคงติดกันได้ที่แล้ว เลยมีอยู่ใน list ครับ

kke · July 14, 2009, 9:02pm

ใครทำโฮสติ้งกันอยู่ เริ่มแจ้งลูกค้าให้ ป้องกันและติดตั้ง antivirus ได้แล้วครับ
เพราะผลกระทบเกิดในวงกว้าง ติดแค่ user เดียวก็ทำให้ ip ถูก blacklist ได้แล้ว

ีuser ใหนติดครั้งแรกก็แจ้งปัญหาและสาเหตุไปให้แก้ไข ติดครั้งที่ 2 ต้องตักเตือน ถ้ายังมีครั้งที่ 3

ICOM · July 14, 2009, 9:21pm

ถามแบบไม่รู้เรื่องรู้ราวมากนัก

ถ้าเราจะ สั่งให้ server ค้นหา iframe ในระบบแล้วนับไว้ (สมมุติว่าตอนนี้ยังไม่ติดไวรัส แต่เป็นการตั้งใจใช้คำสั่ง iframe เพื่อแสดงข้อมูล) อาจจะตั้งเวลาให้เช็คทุกๆ 3 - 6

Jimmy · July 14, 2009, 10:08pm

ผมว่าทางแก้น่าจะเป็น ใช้ ftp server ที่สามารถใช้ antivirus scan หลังมีการ upload ไฟล์ น่าจะช่วยได้ แต่มันมีเพียงไม่กี่อันที่สามารถใช้ได้ แต่อ่านจะต่างๆประเทศเขาว่าถ้า set ให้เป็น sftp จะกันได้ แต่ทั้งสองอย่างยังไม่ได้ทดลองเลย

mean · July 14, 2009, 10:57pm

ถามแบบไม่รู้เรื่องรู้ราวมากนัก

ถ้าเราจะ สั่งให้ server ค้นหา iframe ในระบบแล้วนับไว้ (สมมุติว่าตอนนี้ยังไม่ติดไวรัส แต่เป็นการตั้งใจใช้คำสั่ง iframe เพื่อแสดงข้อมูล) อาจจะตั้งเวลาให้เช็คทุกๆ 3 - 6 ชั่วโมง แล้วเอาผลมาเปรียบเทียบกัน ถ้ามากกว่าเดิมในจำนวนที่ตั้งใว้ (มีเวบไหนติดเข้าแล้ว) ให้มีการแจ้งเตือน admin แบบนี้จะโหลดเครื่องมากไปไหม

โหลดมากพอตัวครับพี่ธี
เพราะการ Scan นั้นจะเป็นการเปิดไฟล์ขึ้นมาอ่าน แล้วค้นหาครับ ซึ่งใช้เวลา พอสมควร โดยเฉพาะเว็บด้วยแล้ว
และอย่างยิ่งเว็บสำเร็จรูปต่างๆ ไฟล์เยอะครับ วิธีการที่ดีที่สุดต้องป้องกันจากการอับโหลด ขึ้นมาบนเซิร์ฟเวอร์ ครับ
เคยหาเจออยู่ เดี่ยวจะลองค้นอีกทีครับ

ปล. นานๆ สักสัปดาห์ละครั้ง ลอง Search สักทีก็ดีเหมือนกันนะครับ

pizzaman911 · July 14, 2009, 11:21pm

ถามแบบไม่รู้เรื่องรู้ราวมากนัก

ถ้าเราจะ สั่งให้ server ค้นหา iframe ในระบบแล้วนับไว้ (สมมุติว่าตอนนี้ยังไม่ติดไวรัส แต่เป็นการตั้งใจใช้คำสั่ง iframe เพื่อแสดงข้อมูล) อาจจะตั้งเวลาให้เช็คทุกๆ 3 - 6 ชั่วโมง แล้วเอาผลมาเปรียบเทียบกัน ถ้ามากกว่าเดิมในจำนวนที่ตั้งใว้ (มีเวบไหนติดเข้าแล้ว) ให้มีการแจ้งเตือน admin แบบนี้จะโหลดเครื่องมากไปไหม

ตั้ง cronjob ให้รันตอนดึกสงัดครับ เลี่ยงอย่าให้ชนกับเวลา backup นะครับ

kke · July 15, 2009, 4:05am

[quote author=ICOM link=topic=21067.msg199780#msg199780 date=1247581289]
ถามแบบไม่รู้เรื่องรู้ราวมากนัก

ถ้าเราจะ สั่งให้ server ค้นหา iframe ในระบบแล้วนับไว้ (สมมุติว่าตอนนี้ยังไม่ติดไวรัส แต่เป็นการตั้งใจใช้คำสั่ง iframe เพื่อแสดงข้อมูล) อาจจะตั้งเวลาให้เช็คทุกๆ 3 - 6

ICOM · July 15, 2009, 8:57am

^
^
ขอบคุณมากครับ เดี๋ยวลองเอาไปใช้ดู

ThaiTumweb · July 15, 2009, 2:12pm

มันเลี่ยงไม่ได้ที่จะแก้ที่ปลายเหตุ พฤติกรรม user ปรับเปลี่ยนยากครับ คือพูดง่ายๆใช้อย่างเดียวว่างั้น

คงวิธีเดียวแล้วคือ สแกนตอนเอาไฟล์ขึ้นมา ตัว proftp นี่ดูแล้วพอมีช่องทางสแกน iframe ได้หลังจากอ่านบทความของ ไอซ์ ทีใช้ clamav scan iframe คราวนี้ทาง ftp ก็น่าจะกันได้

ส่วนอัพทาง Files manager ของ da นี่ คงต้องรัน cron ให้ clamscan

mean · July 15, 2009, 3:08pm

แหล่มดีนะครับพี่แมน หา index ก่อนเพื่อน
แต่เท่าที่พบบางที index ไม่ติดก็มีนะครับ

ที่สำคัญเลย เดี่ยวนี้ มี php code ฝั่งซะด้วย นอกจาก javascript และ iframe แล้ว
ยังปวดหัวตูปๆ กับส่งเมล์เข้า hotmail ไม่ได้เพราะไอ้เจ้า CGI แท้ๆ

ว่างๆ ไปเช็คกันดูบ้างนะครับ
https://www.senderscore.org/

บอกเลยว่า ไม่มีคะแนนเป็นเรื่องที่ดีนะครับ ไม่ใช่ไม่มีคะแนนแล้วเดีย่วจะน้อยใจ
เพราะทั้ง hotmail และ yahoo อ้างอิงจากที่นี่ เป็นสำคัญครับ

bestthaihost · July 15, 2009, 3:54pm

ถ้าต้องการเอา command ของคุณแมนไปตั้ง corn
ผมแนะนำว่า ควรตั้งเป็นทุกวันครับ แล้ว เพิ่ม agrument นี้ลงใปในคำสั่ง find

-mtime -1

จะเป็นการ ค้นหาเฉพาะไฟล์ที่มีการเปลี่ยนแปลงภายใน 24 ชม ครับ

kpen · July 16, 2009, 2:42pm

ผมว่า iframe มันน่ากลัวน้อยกว่าเจอะ perl น่ะครับเพราะเจอะแอบ ftp มาวางส่ง spam เครื่องเน่าแถมติด blacklist อีก เจอะถี่ๆปวดหัวเหมือนกันครับ ไม่รู้ว่ามีอะไร scan ได้บ้าง clamav ช่วยไม่ได้เลย

thaiman2521 · July 16, 2009, 3:01pm

ผมแจ้งลูกค้าแล้ว ซวยหนักเลย
เค้ากลับเหมือนไม่เชื่อ บอกว่าเป็นเพราะโฮสเรา ไม่เกี่ยวกับเค้า
จะให้เราแก้ให้เค้าอย่างเดียว ไม่สน ไม่ทำอะไรทั้งนั้น

kke · July 16, 2009, 4:03pm

ของผมเปลี่ยน pass da+ftp ใหม่โดยไม่ต้องแจ้งให้ทราบ และปิดหน้า lost password ของ DA ไว้ด้วย
จนกว่าลูกค้าจะแจ้งว่า scan virus และกำจัดออกไปเรียบร้อยแล้ว
ส่วนไฟล์ที่โดนแทรก iframe ผมแก้ไขออกให้เพราะใช้เวลาไม่นานและทำได้ง่ายกว่าลูกค้ามานั่นแก้เองทีละไฟล์

ช่วงนี้ต้องปิด CGI ให้หมดทุก user ไว้ก่อน ป้องกัน dark.cgi กับ coms.cgi หลักๆเป็น 2 ตัวนี้แหละ
การตรวจพบไม่ยากสามารถตั้ง cron จับได้เพราะมีชื่อไฟล์ที่เป็น pattern ของมันเอง คือมันต้อง uplaod dark.cgi เข้ามา และคอยลบ log ไฟล์ฃื่อ _0.mx - _9.mx , _a.mx - _Z.mx ซึ่งจะปรากฎให้เห็นในไฟล์ access.log ของ ftp

kpen · July 16, 2009, 10:52pm

ของผมเปลี่ยน pass da+ftp ใหม่โดยไม่ต้องแจ้งให้ทราบ และปิดหน้า lost password ของ DA ไว้ด้วย
จนกว่าลูกค้าจะแจ้งว่า scan virus และกำจัดออกไปเรียบร้อยแล้ว
ส่วนไฟล์ที่โดนแทรก iframe ผมแก้ไขออกให้เพราะใช้เวลาไม่นานและทำได้ง่ายกว่าลูกค้ามานั่นแก้เองทีละไฟล์
ช่วงนี้ต้องปิด CGI ให้หมดทุก user ไว้ก่อน ป้องกัน dark.cgi กับ coms.cgi หลักๆเป็น 2 ตัวนี้แหละ
การตรวจพบไม่ยากสามารถตั้ง cron จับได้เพราะมีชื่อไฟล์ที่เป็น pattern ของมันเอง คือมันต้อง uplaod dark.cgi เข้ามา และคอยลบ log ไฟล์ฃื่อ _0.mx - _9.mx , _a.mx - _Z.mx ซึ่งจะปรากฎให้เห็นในไฟล์ access.log ของ ftp

ขอบคุณครับพี่แมน

pakorn · July 16, 2009, 11:09pm

CGI เอง disable ใน php.ini ช่วยได้ไหมครับ

icez · July 16, 2009, 11:10pm

cgi is not process by php, but web server itself directly execute that cgi file