Discuz Thai

 ลืมรหัสผ่าน
 สมัครสมาชิก

ข้อตกลงการใช้งานกระดานข่าวดิสคัสไทย DiscuzThai Agreement (English Version) ประกาศดิสคัสไทย - ทำเนียบดิสคัสภาษาไทย

Discuz! X3.5 Thai R20240520 Rev.9 (NEW) [วิดีโอช่วยสอน] อัปเกรด Discuz! X3.4 เป็น X3.5 Discord ของ Discuz! Thai Community อย่างเป็นทางการ

Discuz! X3.4 Thai R20220811 (REV.75) สิ้นสุดการสนับสนุน Discuz! X3.4 ภาษาไทยตั้งแต่วันนี้เป็นต้นไป (ขอแนะนำให้อัปเกรดเป็น X3.5 แทน)

ค้นหา
แท็กยอดนิยม: ดิสคัสภาษาไทย Discuz Thai
เจ้าของ: shaw

[X1.5] Discuz!i ของผมโดนโจมตีครับ เละเลย

  [คัดลอกลิงก์]
tongect โพสต์ 2010-11-6 07:20:39
Gumblar : สุดยอดโทรจัน - ปั่นหัวนักท่้องเว็บ

มันเป็น code ของ Trojan ชื่อ Gumblar เพื่อนของไวรัสซึ่้งก่อกวนผู้ใช้คอมพิวเตอร์และอินเทอร์เน็ตเหมือนกัน โทรจันตัวนี้แพร่ระบาดไปอย่างรวดเร็วแม้กระทั่งเว็บไซต์ดังๆ เช่น Tennis.com, Variety.com และ Coldwellbanker.com ก็ยังติดเข้าไปด้วย โดยการเข้าไปที่โปรแกรม FTP ของเครื่องแล้วมองหาไฟล์ต่างๆ ในเว็บเซิร์ฟเวอร์ แล้วฝังตัวเองไว้ในไฟล์นั้นโดยหน้าตา code ที่ถูกฝังเข้าไปก็เป็นอย่างข้างต้น

IBM Internet Security Systems ให้รายเอียดว่า "Gumblar is a botnet that infects Web servers and  infected Web site visitors for the purposes of installing malcode  on Personal Computers (PCs) that redirects end-user Google searches to fraudulent Web sites." ซึ่งหมายความว่า "Gumblar เป็น botnet ที่จะติดเซิร์ฟเวอร์และผู้เข้าเว็บไซต์ที่มีตัวมันอยู่ โดยจะติดตั้ง malcode (โปรแกรมก่อกวนต่างๆ ) บนเครื่องคอมพิวเตอร์ ซึ่งผู้ใช้ Google ค้นหาข้อมูลจะถูก redirect พาไปยังเว็บไซต์เป้าหมาย (เว็บหลอกลวง) ต่างๆ"

..... Gumblar เริ่มออกระับาดเดือนมีนาคม 2009 และัในเดือนพฤษภาคมก็เพิ่มขึ้นกว่า 188% พบว่าข้อมูลเว็บไซต์ทั่วโลกที่ติด Trojan แล้ว Gumblar ครองแชมป์อันดับหนึ่งถึง 42% รู้จักกันในชื่อว่า Troj/JSRedir-R หรือ Troj/PHPMod-A และรองชนะเลิศอันดับที่ 1 คือ Mal/Iframe-F ที่ครองไปอยู่ 7% เห็นได้ว่า Gumblar ทิ้งห่างอย่างขาดรอย

(http://4.bp.blogspot.com/_jyd6Q0DLJKk/SpYv_uNl76I/AAAAAAAAAGo/X-Y-n3TUEFM/s320/malwaregraph-may6-13.jpg)

..... การโจมตีของ Gumblar แบ่งเป็นช่วงๆ หลังจากเริ่มเมื่อเดือนมีนาคมจนระบาดไปมากแล้ว พอถึงราวต้นเดือนพฤษภาคมเหล่าเว็บมาสเตอร์ก็เริ่มทยอยกำจัด และในขณะเดียวกัน Gumblar ก็ได้เปลี่ยน code ตัวเองโดยสร้าง code ใหม่โดย Javascript ที่ซับซ้อน เมื่อ code ได้เปลี่่ยนไปแล้วก็ทำให้โปรแกรม Antivirus ต่างๆ ตรวจไม่พบอีกเพราะ Signature ที่เปลี่ยนไป
การทำงานของ Gumblar
..... สำหรับฝั่ง Client Side หรือเครื่องผู้ใช้ที่ติืด Gumblar จะใช้ช่องโหว่ (Exploit) Adobe Reader และ Flash ไปแก้ไขผลการ Search จาก Google เมื่อใช้ Internet Explorer ในการค้นหาข้อมูล และเข้าใช้โปรแกรม FTP ที่มีอยู่ในเครื่่องเข้าไปใส่ Code โดยวิธีการที่เรียกว่า Code Injection เข้าไปในไฟล์ประเภท .php .js .html ฯลฯ ทำให้เมื่อมีผู้เข้าใช้เว็บไซต์นั้นแทนที่จะแสดงหน้าเว็บเพจที่ถูกต้อง กลับถูก Redirect ไปยังเว็บไซต์จีนเว็บหนึ่งแต่ใช้โฮสในรัสเซีย และต่อจากนั้นก็จะพยายามเปิดไฟล์ PDF และ SWF ที่ยังมีช่องโหว่ความปลอดภัยอยู่ แล้วติดตั้ง malware ชื่อ Troj/Daonol-Fam

..... การโจมตีของ Gumblar แบ่งเป็นช่วงๆ หลังจากเริ่มเมื่อเดือนมีนาคมจนระบาดไปมากแล้ว พอถึงราวต้นเดือนพฤษภาคมเหล่าเว็บมาสเตอร์ก็เริ่มทยอยกำจัด และในขณะเดียวกัน Gumblar ก็ได้เปลี่ยน code ตัวเองโดยสร้าง code ใหม่โดย Javascript ที่ซับซ้อน เมื่อ code ได้เปลี่่ยนไปแล้วก็ทำให้โปรแกรม Antivirus ต่างๆ ตรวจไม่พบอีกเพราะ Signature ที่เปลี่ยนไป

ลักษณะอาการหลังจากติด Gumblar แล้ว

   1. Gumblar อาจถูกติดตั้งโดยไม่รู้ตัว จากการ Download โปรแกรมต่างๆ พวก Freeware/Shareware ซึ่งอาจมี Gumblar ติดมาด้วย เมื่อติดตั้งแล้ว Gumblar สามารถเปลี่ยนแปลงระบบความปลอดภัยได้ ก็สามารถแอบส่งข้อมูลสำคัญออกไป
   2. Gumblar คอยดูพฤติกรรมการท่องเว็บของผู้ใช้ หรือดูการกดแป้น ต่างๆ ทั้งหมด ส่งกลับไป ต่อจากนั้นก็วิเคราะห์แล้วส่งโฆษณาที่เกี่ยวข้องกับพฤติกรรมกลับมา และขายพฤติกรรมการท่องเว็บและข้อมูลสำคัญต่างๆ ของผู้ใช้ให้กับคนอื่นต่อๆ ไป หากเป็นข้อมูลสำคัญอย่างเช่นการใช้ธนาคารทางอินเทอร์เน็ต อาจสร้างความเสียหายเป็นอย่างสูงได้
   3. Gumblar จะส่งป๊อบอัพโฆษณามารบกวน เมื่อได้รับข้อมูลพฤติกรรมการท่องเว็บแล้ว ก็จะส่งโฆษณามารบกวนตลอดในขณะใช้งานอินเทอร์เน็ต หรือแม้่กระทั่งขณะทำงานอย่างอื่น หรือเมื่อคอมพิวเตอร์ยังไม่ได้ใช้งานแล้วเปิดทิ้่งไว้
   4. Gumblar อาจเปลี่ยนแปลงค่าต่างๆ ใน Web browser และส่งเราไปยังหน้าอื่นๆ หรือติดตั้งทูลบาร์ต่างๆ บน Browser และไม่สามารถเอาออกได้
   5. Gumblar ทำให้ระบบโดยรวมของเครื่องช้าลง หากสังเกตได้ว่าเครื่องทำงานช้าลง หรือค้างบ่อยๆ เนื่องจากมีโปรแกรมอื่นทำงานแย่งทรัพยากรระบบแบบซ่อนตัวอยู่ (resident) สันนิษฐานได้ว่าเครื่องติดโปรแกรมต่างๆ ที่ไม่ต้องการรวมถึง Gumblar เช่นกัน

Credit : Toni Maxx
 เจ้าของ| shaw โพสต์ 2010-11-6 22:36:44
ตอบกระทู้ tongect ตั้งกระทู้

แจ่มแจ้ง ชัดแจ๋วแหววเลย ขอบคุณมากเลยสำหรับข้อมูลดีๆ
อย่างน้อยทำให้รู้ว่าเราโดนอะไรเข้าไปบ้าง
oom โพสต์ 2010-11-7 01:48:09
ใชโฮสที่มีคุณภาพครับ ปลอดภัยกว่ากันเยอะ ผมก็เคยโดนฝังไอเฟรมมาแล้ว
sit-sit โพสต์ 2010-11-7 07:48:17
ใช้ host ของที่ไหน ครับ รบกวน เอามา ลงด้วย จะได้ไม่มีใครไปใช้ เพราะ Security มันสูง เกินไป ถึงได้ กำหนดให้ ทำการ Write ไฟล์ php ท้บ ลงไปได้อีก
thatrisavepay โพสต์ 2010-11-7 11:21:15
อันตรายจริงๆ
akito โพสต์ 2010-11-7 13:06:20
ผมใช้ windows7 64bit
ไม่มีไวรัสครับ

windows xp เก่า โบราณ ผ่านมา 10 ปีแล้ว
 เจ้าของ| shaw โพสต์ 2010-11-7 20:28:19
ต้นฉบับโพสต์โดย sit-sit เมื่อ 2010-11-7 07:48
ใช้ host ของที่ไหน ครับ รบกวน เอามา ลงด้วย จะได้ไม่มีใค ...

Host ที่ผมใช้เจ้าเวปนี้อยู่ ระบบเขาเยี่ยมดีอยู่แล้วครับ ซัพพลายรวดเร็วดีมาก
งานนี้คงไม่ใช่ความผิดของHost หรอกครับ  คิดว่าถ้าหากเป็นปัญหาที่ FTP ล่ะก็
เข้าใจว่าเป็นที่ผมเอง ที่ไปเปิดช่องCHMOD เอาไว้เองมากกว่า ทำ 777 ไว้แล้ว
ไม่ปรับคืนค่าเป็น 755/644 น่ะครับ เป็นบทเรียนซะมากกว่า
apsaktoam โพสต์ 2010-11-8 00:02:16
โฮสดอกบัวหรือป่าว
Gintoguy โพสต์ 2010-11-8 19:10:10
ปัญหาใหม่ที่หน้ากลัว
zabza27701 โพสต์ 2010-11-8 19:26:20
อนิจจา~ Discuz ไม่ปลอดภัยอีกแล้วหรือนี่?
ขออภัย! คุณไม่ได้รับสิทธิ์ในการดำเนินการในส่วนนี้ กรุณาเลือกอย่างใดอย่างหนึ่ง ลงชื่อเข้าใช้ | สมัครสมาชิก

รายละเอียดเครดิต

รายชื่อผู้กระทำผิด|Archiver|ดิสคัส ไทย Follow us: Become a fan on facebook. Follow us on Twitter.

GMT+7, 2024-11-22 00:47

Powered by Discuz! X3.4, Rev.66

Copyright © 2001-2021 Tencent Cloud. Licensed

ตอบกระทู้ ขึ้นไปด้านบน ไปที่หน้ารายการกระทู้