เตือนภัย Trojan Iframe เปิดด้วย Firefox ก็ติด

kke · July 11, 2009, 1:22am

โดนกับตัววันนี้เลยครับ
แค่เปิดเว็บที่ฝัง iframe ด้วย Firefox ติดทันทีเลยครับ
เดิมคิดว่ามีแต่เฉพาะคนใช้ IE ตอนนี้มีตัวใหม่ที่ใช้ Firefox ก็ิติดได้แล้วนะครับ
antivirus เด้งว่าพบไฟล์ trojan ใน temp ขึ้นมาติดๆกัน 4 ครั้ง เปลี่ยนชื่อไปเรื่อยๆ แล้วก็เงียบไป
ก็นึกว่าคงไม่มีอะไรปรากฎว่าเมื่อเช็ค ftp log เมื่อกี้ปรากฎว่าโดนไปหลาย user เลย (เก็บ password ไว้ใน filezilla แต่ไม่ได้เปิดโปรแกรม)
ตอนนี้เลยลบ user ใน filezilla ออกไว้ก่อน แล้วก็เปลี่ยน password ใหม่หมด
ดูจาก log โดนไป 4 user จาก 8 user ที่เก็บไว้ ดีว่าเครื่องนั้นไม่ค่อยได้ใช้เลยมี account save ไว้น้อย
น่าจะเป็น trojan ตัวใหม่ที่ antivirus ยังไม่รู้จัก

สรุปตอนนี้ไม่ว่าเปิดด้วย IE หรือ Firefox ถ้าใช้ Windows ก็เสี่ยงเหมือนกันหมด

ตอนนี้ก็ไล่แก้ไฟล์ index เอา iframe ออก เสร็จไป 3 ใน 4 เว็บแล้ว
สงสัยต้องไปเล่น OSx บน Mac ไม่ก็ Ubuntu

SmileHost.Asia · July 11, 2009, 1:25am

พี่แมนใช้ antivirus อะไรครับผม เพราะเมื่อวานผมเพิ่งเปิดเว็บลูกค้าที่ฝัง <script src"…js"> ไป
ผมใช้ node32

kke · July 11, 2009, 1:28am

ใช้ avast ครับ
ปกติมันจะแจ้งเตือนตั้งแต่เปิดเว็บเลย แต่วันนี้มันไม่แจ้งเตือนตอนเปิดเว็บ แต่หลังจากนั้น 1-2 วิ
มันแจ้งเตือนว่าพบไฟล์ trojan ในเครื่องครับ พอสั่งให้ลบทิ้งก็เด้งเตือนไฟล์อื่นขึ้นมาอีก 3 ครั้งแล้วก็เงียบไป

HostingIDC.Com · July 11, 2009, 1:38am

Chrome เลยครับ

ส่วนเว็บไหนเปิดแล้วหน้าขาวๆนี่… รีบวิวซอร์ส ดูแล้วก็…

รีบเปลี่ยนพาส ftp ก่อนพวกเลย

แล้วก็นั่งทำใจนิดนึง - -"

kke · July 11, 2009, 1:48am

สงสัยต้องปิด ftp ไม่ให้ใช้งาน

SmileHost.Asia · July 11, 2009, 1:51am

งั้นลองซื้อ nod32 มาใช้งานดูครับผม

neverdie · July 11, 2009, 6:36am

Firefox ติดด้วยเหรอเนี่ย

smartnet.co.th · July 11, 2009, 7:38am

Safari for OSX ยังไม่ติดครับ

pakorn · July 11, 2009, 8:03am

แนะนำว่า
ติดตั้ง NoScript ด่วนๆครับ

The best security you can get in a web browser!
Allow active content to run only from sites you trust, and protect yourself against XSS and Clickjacking attacks.
https://addons.mozilla.org/en-US/firefox/addon/722

kke · July 11, 2009, 10:09am

เพิ่มเติม ผมใช้ FF 3.0.11 ครับ พอดีเครื่องนี้ยังไม่ได้ใช้ 3.5 แต่ก็ไม่แน่ใจว่า 3.5 จะโดนด้วยหรือเปล่า
แค่เปิดเว็บเองครับ งานเข้าทันที

แนะนำเพิ่มเติมว่า อย่า save password ไว้ใน filezilla ครับ มันเอา pass ไปจากไฟล์ config ของ filezilla ตรงๆเลย

No script น่าจะช่วยป้องกันได้

code ที่แทรก


<iframe src="http://xxx.ru:8080/......... </iframe>

ถ้ากำหนด dns ไม่ให้ไปหาเว็บ .ru ทั้งหมดได้นี่เยี่ยมเลย ใครมีวิธีมั่ง

kke · July 11, 2009, 10:17am

ใครอยากลองของก็เชิญทางนี้ครับ
http code.as.in.th/ trojan.htm

arty · July 11, 2009, 10:21am

ขอบคุณครับ

kke · July 11, 2009, 10:23am

ลงแล้วครับ ช่วยกันได้จริงๆ

ThaiTumweb · July 11, 2009, 12:32pm

ขอบคุณครับ ที่เตือนกันก่อน จะได้ไปแจ้งลูกค้าบ้าง

siamwebsolution.com · July 11, 2009, 12:34pm

เพิ่งจะรู้ว่ามีโปรแกรมดีๆแบบนี้อยู่ด้วย

sonique · July 11, 2009, 12:39pm

เว็บลูกค้าเพิ่งโดนไปหมาด ๆ เลยครับ ช่วงนี้ iframe ระบาดหนักจริง ๆ
ขอบคุณสำหรับ addon NoScript ขอนำไปลงหน่อย

siamwebsolution.com · July 11, 2009, 12:45pm

เข้ามา Ads พี่วัฒน์โดนก่อนเลย ต้องไป allow

thaidhost · July 11, 2009, 12:54pm

ขอบคุณ พี่แมนแล้วก็น้องไอซ์ครับ ที่ช่วยแชร์ เตือนภัย

obiconbig · July 11, 2009, 1:05pm

ผมเองก็โดนมาครับ index.php, html โดน :unsure: แก้ไขพักนึง

bestthaihost · July 11, 2009, 1:06pm

ขอบคุณสำหรับ Plugin ดีๆครับ