เมื่อผู้ให้บริการแจ้งว่าเว็บไซต์ของเรามี phishing เราจะแก้ไขยังไงครับ

มีเมล์มาบอกพร้อม url ครับ แรกๆ ก็เข้าไปลบ ผ่านไปไม่นาน ผู้ให้บริการก็ได้แจ้งมาอีก ด้วย url เดิม แต่ไม่รู้จะแก้ไขยังไงต่อแล้ว เพราะไฟล์ก็ลบไปแล้ว ลองใช้ clamscan ดูก็ไม่มีอะไร แล้วต่อไปผมควรทำไงต่อดีครับ :875328cc:

ขั้นแรกบล๊อค ขาออกเว็บที่เขาแจ้งมาก่อนเลยครับ แล้วหาวิธีแก้

ลองเช็คอะไรแปลกๆ ตามคู่มือนี้ครับ

bit.ly/180O7v2

  • เปลี่ยน password ของ ftp ก่อนเลย หรือถ้าเป็นไปได้ เปลี่ยนของ control panel ด้วยก็ดี
  • เช็ค virus ทั้งบนเว็บและเครื่องที่ใช้ ftp
  • ตรวจเช็คสิทธิของ folder ต่างๆบนเว็บ
  • เช็ค file ประหลาดๆบนเว็บ อาจจะรวมถึง folder ต่างๆด้วย
    นึกออกแค่นี้ก่อนครับ

apache block ขาออกยังไงครับ

เครื่องได้ลง iptables ไหมครับ

หรือถ้าใช้ directadmin ก็ลง csf ได้เลยครับ ใช้ง่ายดี ผมก็ใช้อยู่ครับ

ปกติลงไว้อยู่แล้วครับ default config ตอนนี้ทำได้แค่เปลี่ยน password ครับ ไม่รู้จะโดนอีกหรือเปล่า

เครื่องที่ใช้งานเป็น Windows หรือเปล่าครับ ถ้าใช่ ก็ scan หาในเครื่องก่อนเลยครับ

ที่พบมากสุดคือ script ที่ใช้มีช่องโหว่ ต้องแก้ที่การ update script

ดูไฟล์ที่ถูกวางว่ามี owner เป็น apache หรือเป็น user
ถ้าเป็น user ก็น่าจะมาจาก ftp เข้ามาวาง(ตรวจสอบได้จาก ftp log) แบบนี้เปลี่ยน passwd ftp ใหม่ก็จบ
แต่ถ้าเป็น apache (ลง apache แบบปกติทั่วไป) ก็จะมาจากวางไฟล์ผ่านช่องโหว่ของ script ใน folder ที่ chmod 777 เอาไว้ แบบนี้ต้องแก้ที่ช่องโหว่ script หรือเปลี่ยน folder จาก 777 เป็น 755 ไว้ก่อน
ส่วน apache ที่ใช้ php แบบ cgi หรือลง mod-ruid2 ไฟล์ที่วางผ่าน script จะมี owner เป็น user ก็ต้องไปลองดู ftp log ถ้าไม่มีใน ftp log ก็แปลว่าน่าจะมาทางช่องโหว่ script และแบบนี้ chmod กันไม่อยู่เพราะ 755 ก็อัพไฟล์ได้อยู่แล้ว

และอาจจะใช้ .htaccess กันไม่ให้เรียกไฟล์ .html .php ใน folder ที่ chmod 777 ไว้ (ส่วนมากจะเป็น folder ให้อัพโหลดภาพหรือไฟล์ต่างๆซึ่งมักจะเป็น .jpg .pdf …) แบบนี้ถึงถูกวางไฟล์ .php ก็จะเรียกใช้งานไม่ได้


<FilesMatch "\.(php|php3|php4|php5|php6|phtml|html?)$">
    Order Deny,Allow
    Deny from All
</FilesMatch>

ปล. module ที่ใช้กันเยอะและรั่วคือ gallery

ผมเคยเป็นแบบนี้ คุยกับลูกค้าอยู่ หลายวัน โดนด่าทุกวัน บอกให้สแกนไวรัสในเครื่องก็ไม่ยอม โทษแต่ผม ครั้งสุดท้ายผมแอบเปลี่ยนรหัสผ่านหนี เชื่อไหมว่าหายขาด

คุยด้วยหลักฐานครับ เอา log ของ ftp ส่งให้เค้าดูก็ได้ครับ

ของผมก็เจอ ip ต่างประเทศทั้งนั้น