กระทู้นี้ขอพื้นที่เตือนภัยเพื่อนๆ ที่ชอบดาวน์โหลด ธีม ฟรี จากเว็บไซด์ต่างๆ นะครับ ผมชอบดาวน์โหลดมาใช้ครับ เพราะมันสวยดี วันนึงผมก็เจอดีเข้าจนได้ ระหว่างที่ผม top ดู process ของ VPS ผม เห็นความผิดปกติบางอย่างครับ มันมี apache รัน ssh-scan เป็น สิบๆ อัน โอ้วอะไรกันเนี่ย รู้สึกตะหงิดๆ เลยไป search หาข้อมูลใน google ครับ
ปรากฎว่า ฝรั่งเค้าคุยกันว่าอาจจะโดน Hack เข้าให้แล้ว
โดยให้ผมใช้คำสั่ง cd /tmp แล้ว ls -lha เพื่อดู list รายชื่อ ไฟล์ที่ถูกซ่อนไว้ในโฟลเดอร์ tmp ครับ แล้วก็โป๊ะเชะ!
มันเข้ามาจริงๆ ด้วยครับ มีโฟลเดอร์ สองอันแล้วก็ zip ไฟล์อันนึง ทั้งหมดถูกรันโดย apache (ขออภัยนะครับถ้าอ่านแล้วงง ผมไม่เก่งเรื่อง server เลย อธิบายตามที่ผมเข้าใจน่ะครับ) ผมเข้าไปสำรวจ เท่าที่ดูโปรแกรมตัวนี้มัน ดาวน์โหลดตัวเองมาลงแล้ว ทำการรันเพื่อสุ่มเอา user และ password ของ VPS ผม และน่าจะทำการเมลล์ออกไปยัง Hacker (เห็นมี script send email ด้วย)
ผมเห็นรายการสุ่มมันเป็นหางว่าวเลย แต่มันยังไม่ได้ไปครับ
ที นี้ทำไมถึงเกี่ยวกับ ฟรี themes อันที่จริงกระผมไม่แน่ใจนักครับ เพราะผมจะไม่ใช้ root login เข้าโดยตรงเพื่อป้องกันการโดน Hack อยู่แล้วชั้นนึง จากการปรึกษาพี่ที่รู้จักกัน เขาแนะนำว่า มันน่าจะมาจาก Themes ที่เราโหลดฟรีมานั่นแหละ ตรง footer ของ themes พวกนี้ มันจะถูก encode เอาไว้ พี่เค้าถามผมว่า "แล้วเมิงรู้เหรอ ว่าเขาใส่อะไรไว้บ้าง" .... เออ ถูกของเขา ไอ่ตัวที่มันมา scan หา password นี่มันก็รันด้วย apache ไม่มีการ login จาก user อื่นใด VPS นี่กระผมก็ใช้คนเดียว password ก็คิดว่า secure พอ
ส่วนใหญ่ที่ให้ดาวโหลดฟรีจะฝังสคริปแฮคหรือฝังเพื่อเอา Backlink ไว้ครับ โดยการใช้ eval ทริคเล็กๆน้อยๆคือ ก่อนใช้งานให้ใช้ Dreamweaver เปิดไฟล์สักไฟล์ของ Theme หรือสคริปต่างๆ แล้วกด Ctrl+F จากนั้นในส่วนของ Find in: เลือกเป็น Folder... แล้วใส่คำว่า
eval( ตัวอย่างบางชุด
อ้างถึง
<?php eval(base64_decode('Pz4gCQkJPGRpdiBjbGFzcz0iZml4Ij48L2Rpdj4NCgkJDQoJCTwvZGl2PjwhLS0vY29sdW1ucyAtLT4NCgkJDQoJCTxkaXYgY2xhc3M9ImZsaWNrciI+PD9waHAgZ2V0X2ZsaWNrcnJzcygpOyA/PjwvZGl2PjwhLS0vZmxpY2tyIC0tPg0KCQkNCgkJPGR
pdiBpZD0iZm9vdGVyIj4NCgkJCTxwPiBQb3dlcmVkIGJ5IDxhIGhyZWY9Imh0dHA6Ly93b3JkcHJlc3N0aGVtZXNmb3JmcmVlLmNvbS8iPldvcmRwcmVzcyB0aGVtZXMgZnJlZTwvYT4uIDxhIGhyZWY9Imh0dHA6Ly9sYXB0b3BiaW4uY29tLyI+TGFwdG9
wczwvYT4uIDxhIGhyZWY9Imh0dHA6Ly9hbnRpdmlydXNzb2Z0d2FyZTEuY29tLyI+QW50aXZpcnVzIHNvZnR3YXJlPC9hPi4gPGEgaHJlZj0iaHR0cDovL2lwb2R2aWRlb2NvbnZlcRlcnMub3JnLyI+aVBvZCB2aWRlbyBjb252ZXJ0ZXI8L2E+LiAgPC9wPg
0KCQk8L2Rpdj48IS0tL2Zvb3RlciAtLT4NCgkNCgk8L2Rpdj48IS0tL3BhZ2UgLS0+DQoJDQoJPGRpdiBpZD0icGFnZS1ib3QiPjwvZGl2Pg0KDQo8L2Rpdj48IS0tL2JvdC1iZ3ItLT4NCg0KPD9waHAgd3BfZm9vdGVyKCk7ID8+DQo8L2JvZHk+DQo8L2h0bW
w+IDw/'));?> ส่วน ใหญ่จะมีฟังค์ชั่น base64_decode ทำงานร่วมอยู่ด้วย ลองถอดรหัสดูโดยเว็บ hxxp://www.tareeinternet.com/scripts/base.html จะได้ประมาณนี้
อ้างถึง
?> <div class="fix"></div>
</div><!--/columns -->
<div class="flickr"><?php get_flickrrss(); ?></div><!--/flickr -->
<div id="footer">
<p> Powered by <a href="hxxp://wordpressthemesforfree.com/">Wordpress themes free</a>. <a href="hxxp://laptopbin.com/">Laptops</a>. <a href="hxxp://antivirussoftware1.com/">Antivirus software</a>. <a href="hxxp://ipodvideoconverters.org/">iPod video converter</a>. </p>
</div><!--/footer -->
</div><!--/page -->
<div id="page-bot"></div>
</div><!--/bot-bgr-->
<?php wp_footer(); ?>
</body>
</html> <?แต่ถ้าเป็น
อ้างถึงeval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':...
แบบนี้เป็นโค้ดการทำงานของ Javascript ไม่ต้องทำการลบ
ส่วนใหญ่โค้ดจะถูกเข้ารหัสไว้ที่ footer.php และที่บอกให้ค้นหาด้วยคำว่า
eval( โดยไม่ใช้คำว่า
eval(base64_decode( เพราะจะมีการเข้ารหัสในรูปแบบอื่นอีก เช่น
eval(gzinflate(base64_decode( แต่ส่วนใหญ่ถ้าเจอโค้ดพวกนี้อยู่ที่ footer.php ก็ลบทิ้งได้เลย บางโค้ดอยู่ที่ไฟล์ /required/template-top.php หรือไฟล์ function ส่วนเหล่านั้นอาจเป็นโค้ดเพิ่มรหัส admin ถ้าจะทำการลบโค้ดก็ให้ทำการ Backup ไว้ก่อน จากนั้นลบโค้ดแล้วทดสอบว่าการทำงานยังถูกต้องใช้งานได้ดีหรือไม่
บางโค้ด Decode ออกมาแล้วแต่พอลบออกไปกลับมีปัญหา ให้นำโค้ดนั้นๆไปค้นหาใน google บางโค้ดจะมีวิธีบอกการลบออกอย่างถูกต้องอยู่ครับ
เว็บ Decode eval(base64_decode(
hxxp://www.tareeinternet.com/scripts/base.html ใส่โค้ดที่เข้ารหัส ที่อยู่ในเครื่องหมาย ' ' เท่านั้น
hxxp://www.tareeinternet.com/scripts/decrypt.php ใส่โค้ดตั้งแต่ eval(gzinflate(base64_decode('XUnmKKL.......')));
ที่มา:
http://www.thaiseoboard.com/index.php?topic=174215.0
