เครื่องที่ผมใช้นี้เป็นเครื่อง colo นะครับ
อาการคือ ถ้าหากเราเข้าเว็บใน ip นี้ เป็นครั้งแรก (สำหรับผู้ที่ไม่เคยเข้าเว็บใดเว็บหนึ่งใน ip นี้มาก่อน)
พอเข้าเว็บแล้ว หากมีการกด click link ใดๆ ในหน้าเว็บ เว็บก็จะเด้งเข้าเว็บรัสเซีย
แต่หากเด้งเข้าเว็บรัสเซียมา 1 ครั้งแล้ว ก็จะไม่พบอาการอีกแล้ว จนกว่าจะ restart internet หรือ router ใหม่
ซึ่งปัญหานี้ทำให้คนเข้าเว็บมาครั้งแรก จะไม่สามารถเข้าถึงเว็บของผมได้ครับ
ตอนนี้ให้เพื่อนที่เค้าเป็นเรื่อง host ดูให้ เค้าบอกว่าไฟล์จะอยู่ที่ usr/sbin/suexec
พอลบแล้ว สักพักมันก็จะเข้ามาใหม่
ซึ่งยังไม่พบว่าเข้ามาช่องทางใด
ตอนนี้ freeze เอาไว้ ถึง freeze เอาไว้ก็ยังเจออาการอยู่
แก้ปัญหาเฉพาะหน้าโดยการ restart service จะทำให้อาการหายไปสัก 30 นาที
ก็จะกลับมาเป็นใหม่
ตัวอย่างครับ
http://www.youtube.com/watch?v=pLbKILSG7Do
ขอบคุณมากนะครับ
ลองดู ไฟล์ .htaccess และไฟล์ index.php หรือ index.html เพิ่มเติมด้วยได้มั้ยครับว่ามีการวาง redirect ไว้แถวนั้นมั้ย
ลองหา code แปลกปลอม หรือ javascript ครับ
แต่ถ้ามั่นใจว่าโดนเจาะที่ Server เลยไม่ใช่แค่เว็บ ผมแนะนำให้ backup ข้อมูลแล้วติดตั้ง os ใหม่ดีกว่าครับ
เพราะไม่รู้ว่า hacker วาง backdoor ไว้ตรงไหนบ้างมั้ยครับ
ลองหาที่ .htaccess และ index แล้วไม่เจอครับผม
ทางเจ้าหน้าที่ host บอกว่าเจอใน [COLOR=#333333]usr/sbin/suexec ต้องเข้า root น่ะครับ
ส่วนเรื่องติดตั้ง os ใหม่ เดี๋ยวจะลองไปพิจารณาดูครับผม
ขอบคุณมากครับ[/COLOR]