ทำเว็บมานมนานไม่เคยโดน.....
เมื่อประมาณ 1 เดือนกว่าๆ ผมโดนเจาเว็บเกือบทุกอาทิตย์ จะว่าเจาะก็ไม่ได้ คงเป็นเพราะความที่เราคิดว่าจะไม่โดนมั้ง ใครมันจะเก่งขนาดนั้น... คิดไปเรื่อย
จนมาเจอกับตัวเองจนได้ คิดว่าสยองมากๆ.................. !!!!!!!!!!!!!!!!!!!
What is a hacker? [wikipedia.org]
ในปัจจุบัน "แฮกเกอร์" นั้นใช้ใน 2 ความหมายหลัก ในทางที่ดี และ ไม่ค่อยดีนัก ความหมายที่เป็นที่นิยม และพบได้บ่อยในสื่อนั้น มักจะไม่ดี โดยจะหมายถึง อาชญากรคอมพิวเตอร์. ส่วนในทางที่ดีนั้น "แฮกเกอร์" ยังใช้ในลักษณะของคำติดปาก หมายถึง ความเป็นพวกพ้อง หรือ สมาชิกของกลุ่มคอมพิวเตอร์ นอกเหนือจากนี้ คำว่า "แฮกเกอร์" ยังใช้หมายถึงกลุ่มของผู้ใช้คอมพิวเตอร์ โดยเฉพาะโปรแกรมเมอร์ที่มีความสามารถในระดับผู้เชี่ยวชาญ ตัวอย่าง เช่น "นายลินัส ทอร์วอลด์ (Linus Torvalds) ผู้สร้างลินุกซ์ นั้นเป็นแฮกเกอร์อัจฉริยะ "
จดหมายจาก google เมื่อคุณโดยเจาะเว็บ
Dear site owner or webmaster of artnanastudio.com,
We recently discovered that some of your pages can cause users to be infected with malicious software. We have begun showing a warning page to users who visit these pages by clicking a search result on Google.com. Below is an example URL on your site which can cause users to be infected (space inserted to prevent accidental clicking in case your mail client auto-links URLs): http://ocean.artnanastudio .com/ Here is a link to a sample warning page: http://www.google.com/interstitial?url=http%3A//ocean.artnanastudio.com/ We strongly encourage you to investigate this immediately to protect your visitors. Although some sites intentionally distribute malicious software, in many cases the webmaster is unaware because: 1) the site was compromised 2) the site doesn't monitor for malicious user-contributed content 3) the site displays content from an ad network that has a malicious advertiser
If your site was compromised, it's important to not only remove the malicious (and usually hidden) content from your pages, but to also identify and fix the vulnerability. We suggest contacting your hosting provider if you are unsure of how to proceed. StopBadware also has a resource page for securing compromised sites: http://www.stopbadware.org/home/security Once you've secured your site, you can request that the warning be removed by visiting http://www.google.com/support/webmasters/bin/answer.py?answer=45432 and requesting a review. If your site is no longer harmful to users, we will remove the warning.
Sincerely, Google Search Quality Team หน้าเว็บจะขึ้นคำเตือนแบบนี้
สคริปต์แทรก บางตัวจะเป็นแบบนี้
ก่อนหน้านั้นเกือบปี ผมโดนเจาะเว็บ www.artnanastudio.com ผมไปโทษ ผู้ให้บริการโฮสติ้ง ไปต่อว่าเค้าต่างๆ นาๆ ว่าไม่ดูแลปกป้องให้ เว็บผมอยู่รอดปลอดภัย มันน่าแปลกที่เจ้าหน้าที่ไม่อธิบายให้ผมได้รับรู้ถึงกรรมวิธีการแฮ็กร์ รึว่าพวกเค้าไม่เข้าใจเหมือนกัน สิ่งที่ผมทำตอนนั้น คือ ย้ายโฮสต์ ย้ายทันที ยอมเสียเงินแต่ไม่ยอมเสียเว็บ โฮสต์นั้น คือ www.servertoday.com และย้ายมาที่ www.appservhosting.com และมาโดนเจาะที่นี่อีกครั้ง แทบจะทุกอาทิตย์ ผมแก้ มันแทรกสคริปต์ เป็นแบบนี้ประจำ สิ่งที่ ผู้บริการโฮสติ้งแนะนำ มีดังนี้
ไวรัสติดเว็บมันมาจากไหน ??? ปัญหาไวรัสเกิดจาก PC ติด Trojan/Virus ทำให้ตัวไวรัสนั้น เอารหัสผ่านที่เรา Save ไว้ในโปรแกรม FTP ที่ใช้อัพโหลดเว็บไปใช้ในการแทรกสคิปไวรัส หลักการคือ "ขโมยรหัสผ่าน FTP" แล้วส่งต่อไปยังปลายทาง และปลายทางเอารหัสผ่านนี้ ดูดข้อมูลในเว็บเราแล้วแทรก Script Virus แล้วทำการ FTP อัพโหลดทับลงไป นี่แหละปัญหาไวรัสที่ติดเว็บ
*** สาเหตุที่ติดไวรัสจากเว็บ มีปัญหามาจาก เครื่อง PC เราไม่ได้ลง XP Service Pack 3 ขึ้นไป และไม่ได้อัพเกรด IE เป็น IE Version 8 *** *** เวลาเราเผลอเข้าเว็บที่มี Script ไวรัส ก็จะโดนไวรัสในเว็บนั้นๆ แทรก Trojan ลงมาในเครื่องเรา ทำให้เครื่องเราติดไวรัสไปด้วย ***
วิธีแก้ปัญหา 1. ให้ไปลบ FTP User ทิ้งให้หมด ลบที่ไหน ? ลบใน Control ระบบ ใน /vhcs2 -> FTP Account 2. Format PC ทิ้งทันทีไม่ต้อง Scan ใดๆ ทั้งสิ้น เพราะมันฝังไปในเครื่องจน Anti Virus หาไม่เจอแล้ว !! 3. กลับจาก Format PC ให้เข้าไปใน /vhcs2 แล้ว Add FTP Account มาใหม่ *** โดยกำหนดให้ User & Passwd ใหม่ต่างจากที่ติดไวรัสก่อนหน้า *** 4. FTP เข้าไปไล่ลบ Script ที่ถูกแทรก 5. ไวรัสมาจากไหน ? มาจากคนที่ใช้ IE6 เข้าเว็บที่ติดไวรัส ทำให้โดนต่อเป็นทอดๆ วิธีแก้คืออัพเกรดเป็น IE8 หรือไม่ก็หา Firefox มาลง รับรองหายแน่นอน 6. ถ้ามี Webmaster หลายคน และใช้ FTP เดียวกัน นั่นแหละไวรัสมาจากคนใดคนหนึ่ง
การแก้ไข เมื่อโดนแทรกสคริปต์ iframe ในเว็บของท่าน หากเว็บของท่านมีการขึ้น alert ของ Anti-virus หรือ เมื่อท่านค้นหาข้อมูลใน Google แล้ว พบว่า เว็บไซต์ของท่านมีข้อความเตือนว่ามีไวรัส เป็นอันตรายหากเปิดเว็บนี้ เป็นต้น นั่นเป็นไปได้ว่า เว็บท่านโดนแทรกสคริปต์ iframe เข้าแล้ว
สาเหตุมาจาก : เครื่องทางฝั่ง Client มี malware หรือ trojan มันจะแฮ็ก Username และรหัสผ่าน ของ FTP แล้วมันจะแก้ไขไฟล์ชื่อ index ทั้งหมดของเว็บในระบบทั้งหมด โดยการแทรกสคริปต์ iframe หรือ javascript ต่างๆ นานา ไว้ใกล้กับส่วนแท็กเปิด หรือแท็กปิดของ BODY ทำให้เมื่อมีคนเปิดเว็บของท่าน จะเปิดช้าลง และสคริปต์ iframe จะลิงค์ไปที่เว็บไซต์ที่มีไวรัส ทำให้ Anti-virus ขึ้นเตือน หรือมีการรันโปรแกรมบางตัว
อีกสาเหตุหนึ่งที่มีความเป็นไปได้ คือ โปรแกรม FTP ของท่านที่ใช้การ crack มา มีรูรั่วที่ทางผู้พัฒนาวางยาไว้
วิธีตรวจสอบเบื้องต้น เปิด View Source ดูสคริปต์ทั้งหมดว่ามี iframe แทรกอยู่ไหม ถ้ามีละก็ มีสิทธิ์โดนเข้าแล้วล่ะ อิอิ
วิธีแก้ไข 1. เปลี่ยนรหัสผ่าน FTP ใหม่ โดยตั้งให้ยากที่สุด มีทั้งตัวใหญ่-เล็ก อักขระพิเศษ ปนกัน 2. แก้ไขไฟล์ชื่อ index ทั้งหมดในเว็บ ไม่ว่าจะนามสกุลใดก็ตาม หาสคริปต์ iframe และลบมันทิ้งซะ 3. หาโปรแกรม Anti-virus อัพเดตล่าสุดมาลง และสแกนเครื่องของท่านทั้งหมด แนะนำ ESET Smart Security หรือ Kaspersky ล่าสุด 4. เว็บที่ใช้ CMS เช่น Joomla Mambo phpNuke ควรมั่นอัพเดต patch ล่าสุดอย่างสม่ำเสมอ เพราะส่วนใหญ่ CMS มักจะมีรูโหว่ให้ hacker เจาะเข้ามาได้บ่อยครั้ง 5. ใช้โปรแกรม FTP อย่างถูกกฎหมาย หรือใช้ของฟรีที่อัพเดตล่าสุด และไม่ควร save username และ password ไว้ (แนะนำโปรแกรม FTP ฟรีของ Filezilla แต่ต้องลงตัว installer ล่าสุดนะครับ) 6. อย่าเปิด permission เป็น 777 ของไฟล์ และโฟลเดอร์ทั้งหมดโดยไม่จำเป็น เพราะไม่เพียงแต่ถูกแทรกสคริปต์เท่านั้น ท่านอาจจะโดนวางไฟล์ด้วย และถูกรันส่งสแปมออกไปเป็นจำนวนมหาศาล จนถูก blacklist IP ได้ จะเดือดร้อนทั้ง IP ส่งอีเมล์ไปโดนบล็อค 7. หากท่านยังใช้ Internet Explorer 6 อยู่โปรดอัพเกตเป็น IE 8
ตอนนี้ ยังไม่จบนะครับ ยังต้องระวังภัย 100% หลายๆ คนเรื่องรู้ปัญหานี้ดี แต่อีกมากมายหลายคนไม่รู้เรื่อง ไม่คิดว่ามี ก็ขอให้ปลอดภัยตลอดแล้วกัน หากเราทำเว็บแล้วจบเลยไม่มีการ FTP หรือการโอนไฟล์ขึ้นอินเตอร์เน็ตอีกให้ลบ FTP ทิ้งไปเลย ก็สบายใจหายห่วง ส่วนผมเป็นประเภทขยัน โอนไฟล์ทุกวันแก้ไขกันตลอด เพราะว่าต้องทำ SEO เว็บด้วย เลยตกเป็นเป้าที่หอมหวานของเหล่านักลองของโปรแกรมเมอร์จอมกวนโอ้ย.. !!!
จากการตรวจสอบ log file ของเซิร์ฟเวอร์ ip address ที่เจาะเข้ามาเป็นของประเทศรัสเซียและสวิสเซอร์แลนด์ แต่จะเอาแน่นอนไม่ได้ เพราะหากมีฝีมือระดับนี้แล้ว การปลอม ip ไม่ใช่เรื่องยาก แต่ก็ต้องขอบใจ ที่ไม่ลบทิ้ง ไม่ทำลายฐานข้อมูล (แต่ถ้าจะให้ดี อย่าได้มาข้องแวะอีกเลย) กลายเป็นว่าการทำงานเกียวกับ FTP ต่างๆ ต้องระวังเป็นอย่างมาก ไม่ใช่อะไรหรอก พี่แกเล่น เจาะทุกเว็บที่เอา FTPไปได้ เราต้องแก้เว็บลูกค้าทั้งหมด ลูกค้าชาวบ้านไม่เท่าไร พอจะเข้าใจ ลูกค้าคนรวย เศรษฐีทั้งหลายไม่ยอมเข้าใจ เฮ้อ เหนื่อยใจ ก็มันโดนทุกเว็บเราเองยังโดนเลย ยังไม่ได้แก้เลย งานอื่นก็ค้างคา..... เซ็งจริงๆ จะว่าไปแล้ว เงินของคนจนและเงินของคนรวยก็มีค่าเท่ากัน แต่ทำไม !! คนรวยๆ ถึงอยากได้ทุกอย่างก่อนคนจนเสมอ หรือว่านี่เป็นยุคบูชาคนรวย ว่าแล้วพรุ่งนี้ซื้อหวยดีกว่า.... การแก้ไขต้องใช้ความพยายาม หากโดน 20-30 เว็บ ก็ไม่ต้องนอนกันเลย...
ลืมบอกไป เมื่อแก้ไขเรียบร้อยแล้ว เช่น โอนไฟล์เว็บไปทับ (ให้ดีี่สุด ลบให้หมดก่อน แล้วค่อยโอน)เราจะต้องแจ้ง google ให้ยกเลิกการเตือนหน้าเว็บเรา ไม่เช่นนั้น มันจะติดไปตลอดกาลนาน
**** ไม่เชื่อก็ต้องเชื่อ ลูกค้าบางราย พูดทำนองว่า เราปล่อยไวรัสลงเว็บเพื่อหารายได้ บางทีเจ้าของโฮสต์มันยังคิดแบบนั้นเลย ถามจริงๆ เถอะไปหลบอยู่หลุมไหน.... ปวดหัว อย่าอธิบายเลยครับ รีบแก้แล้วรีบไปให้ห่างๆ จะดีที่สุด ถนอมหยักสมองเราไว้ เอาเวลามาทำเว็บเที่ยวรัสเซียดีกว่า คุณว่าไหม ++++ 555555 |