Discuz!i ของผมโดนโจมตีครับ เละเลย

shaw · โพสต์ 2010-11-4 22:54:31

แก้ไขครั้งสุดท้ายโดย shaw เมื่อ 2010-11-4 23:05

แก้ไขครั้งสุดท้ายโดย shaw เมื่อ 2010-11-4 23:05

Discuz X1.5 ของผมโดนโจมตีครับ โดนซะเรียบเลย มีใครเคยโดนบ้างครับ
มันเหมือนกันเป็น RoBot ที่ตามกลิ่น Discuz มาน่ะครับ มันฝังตัวไปหลายไฟล์เลยครับ
ผมพึ่งติดตั้งได้ไม่นาน 21/10/53 ยังไม่มีกระทู้อะไรเลย กำลังหัดเซ็ทค่าอยู่ ไม่ได้เข้ามา
2-3 วัน วันนี้มาเข้าตอนประมาณ 3 ทุ่ม โดนซะเลย NOD32 มันเตือนตามนี้เลยครับ

ด้วยความที่ผมอยากจะรู้ว่ามันฝังอะไรไว้ ใครเป็นคนยิงมา ผมเลยเข้าไป ftp ตามไป view ที่ไฟล์
index.php แค่ดูมันยังไม่ให้ดูเลยครับ Nod32 มันเตือนอีก ผมเลยส่งเพื่อนผมนักรบเดนตาย
ไม่กลัว HDD พัง เข้าไปแอบเปิดดูมาได้ดังรูปนี้ครับ

จะเห็นว่าส่วนหัว บรรทัดแรก ถูกแทนที่ด้วยตัวอักษรเต็มไปหมด เข้าใจว่าเป็นโปรแกรมไวรัส
ที่จะถูกเรียกให้รันก่อนใครเลย ล่างล่างๆของ index.php เป็นปกติดี เมื่อตามดูไฟล์อื่นๆอีกว่า
นอกจากไฟล์นี้แล้ว มีไฟล์อื่นอีกแล้วเปล่าที่โดนเข้าด้วย ผลปรากฏว่าบานเลยครับ เพื่อนผมตรวจ
แล้วแจ้งมาว่า ไฟล์ต่างๆเหล่านี้ติดไวรัสเริ่มเมื่อ 4/11/53 เวลาเริ่มประมาณ 10.36น. จากนั้นแต่ละไฟล์ที่
ติดไวรัสตัวนี้ จะมีเวลาไล่เลี่ยกันมาเป็นวินาทีเลยที่เดียว หากเป็นคนHackเข้ามาคงไม่สามารถทำเร็วได้
หลายไฟล์ขนาดนี้ คาดว่าคงเป็น RoBot แน่ที่เข้ามานะครับ

อยากดูว่าหน้าตาเป็นยังไงดูได้ที่นี้เลยครับ ( ยังไงก็เปิด Anti Virus ไว้นะครับ)
"http://www.sbuynow.com/foxboard3"

unisexx · โพสต์ 2010-11-4 23:27:42

ไม่ขอดูดีกว่า อิอิ

เราก็เคยโดนเหมือนกัน เหตุการณ์แบบนี้ มันฝังลงทุกน้าเรียบแปล้...

นั่งลบเองเหนื่อย ถึงจะใช้ fizscript ก็ใช่ว่าจะออกหมด

ทางที่ดีให้รีบเปลี่ยน ยูเซอร์/พาส ของ ftp แล้วพยายาม backup ฐานข้อมูลบ่อยๆ เผื่อมีปัญหาได้ลบแล้วลงใหม่ง่ายดาย...

MinT · โพสต์ 2010-11-5 00:10:34

ตอบกระทู้ shaw ตั้งกระทู้

ปัญหานี้เกิดจากการใช้เครื่ืองคอม ที่ไม่สะอาดอัพโหลดข้อมูล ครับ
เป็นเหตุให้โดนโจมตีได้ง่าย โดยเฉพาะถ้าใช้โปรแกรม crack
และเข้าเว็บที่ไม่ปลอดภัย ต่อเครื่องเรา สปายแวร์ หาโปรแกรมบล็อกยากครับ

peterza · โพสต์ 2010-11-5 07:56:33

เป็นที่เครื่องมากกว่ามั้งครับ ก็ตามที่พี่มิ้นบอก ว่างๆๆลองสแกนไวรัสในเครื่องดูหน่อยก็ดีนะครับ ไม่แน่ นานๆๆอาจจะโดน google เตือน หรือไม่ก็ ทางโฮสจัดการ ก็เป็นไปได้

jaideejung007 · โพสต์ 2010-11-5 10:02:31

ลบไฟล์ดิสคัสออกทั้งหมดเลยครับ

อย่าเก็บ และอย่าแก้ไขเลย ถึงแก้ไข มันเสีย มากกว่าได้

สำรอง DB และ โฟลเดอร์ config ไว้ นอกนั้นลบทิ้งออกให้หมด

dsiwarsza · โพสต์ 2010-11-5 11:59:23

เช็คคอมของท่านก่อนแล้ว
เอาตัวดังเดิมมาลงล้วเอาไฟล์ภาษาไทยทับครับผม
อาจจะช่วยแก้ปัญหาในส่วนนี้บ้าง

Onlyones · โพสต์ 2010-11-5 12:20:48

ไม่ได้โดนครับ

อันนี้ไป Upload ไฟล์แปลกๆเข้าไปแน่เลย

โดยส่วนใหญ่ก็เป็น virus ที่อยู่ในเครื่องนั้นแหละครับเขียนเข้าไป

shaw · โพสต์ 2010-11-5 13:54:11

ลบหมดเกลี้ยงงงงงง ... เลย ดูซิมันจะเอาอะไรมาใส่อีก

ก่อนลบตะกี้ ทำใจกล้าเข้าไปแอบเปิดดู index.php ทั้งหลายที่มีอยู่ในนั้น
มีบางไฟล์ถูกเข้ามาแก้อีกนะ (ModifyDate 5/11/53) โดยทำไฟล์ลิ้งค์อีกที่หนึ่ง
และลดขนาดของตัวเองลงเหลือ 1KB แต่หากเป็นไฟล์ไวรัสที่เอามาให้ดู
จะมีขนาด 4-7KB แสดงว่ายังไม่เลิก งั้นสละเรือเลยดีกว่า

สรุป มันกินทั่วไปหมด ผมมี Discuz 2ตัว , SMF ที่ไม่ได้ใช้ 1 ตัว , Joomla 1 ตัว มันกินหมด
เข้าใจว่า มันตามกลิ่น Discuz เข้ามา เหมือนสมัยก่อน ที่มันชอบตามกลิ่นJoomla

หมายเหตุ เครื่งผม Clear ครับ No Virus แน่นอน คงเป็นที่มันเจาะเข้ามาได้แหละครับ
หมั่นตรวจดู CHMOD กันด้วยนะครับ ก่อนจะโดนแบบผมเข้าให้น่ะ

apsaktoam · โพสต์ 2010-11-5 14:10:51

คุ้น เหมือน ไวรัส ที่ ตามไฟล์ ถ้า ถูกก๊อป~เซ็นเซอร์~ ไปทางที่ไหน จะกระโดดตามแล้วขยายตัว แตกไฟล์ ไปทุกโฟล์เดอร์ ใน ฟาติชั่นั้น ฟอแมตอย่างเดียว โปรแกรม ทุกตัวโดนหมด ปลดภัยแต่ พวก . rar

peemzaza28 · โพสต์ 2010-11-5 17:28:32

อะโห น่ากลัวแหะ แบบนีผมมว่า ลงใหม่เลย น่าจะเป็นการตัดปัญหาส่วนนี้ได้ดีนะครับ

บัญชี		จำสถานะนี้ไว้ในครั้งหน้า	ลืมรหัสผ่าน
รหัสผ่าน			สมัครสมาชิก

[X1.5] Discuz!i ของผมโดนโจมตีครับ เละเลย

ขออภัย! โพสต์นี้มีไฟล์แนบหรือรูปภาพที่ไม่ได้รับอนุญาตให้คุณเข้าถึง