A-AA+then

เว็บไซต์ติดสคริปต์ไวรัส

1,399
เว็บไซต์ที่หน่วยงานมีปัญหาคือมีมัลแวร์บางตัวเขียนสคริปต์ <iframe>ลงไปในไฟล์ index ทำให้ติด backlist ของ google นอกจากนั้นยังติดไปยังไฟล์ php ทำให้สคริปต์ error  scan ด้วย antivirus อย่าง kasper ก็ไม่เจอ ใครพอมีวิธีแก้ไขปัญหาบ้างครับ

2 ความคิดเห็น

1. เปลี่ยน username + password ของ ftp,phpmyadmin,cp...... ทั้งหมด
2. นำแบคอัปกลับมาใช้ ถ้าไม่มีก็ สม....

ไวรัสอาจอยู่บนทุกที่บน Server ดังนั้นให้ตรวจสอบไฟล์ ทุกไฟล์บน Server ด้วยตัวเอง โดยการ View Source ไฟล์ทุกไฟล์ แล้วดูว่ามีไฟล์ใดที่มีข้อความที่เราไม่ได้เขียนหรือไม่ หรือบางที อาจมีไฟล์ใดๆ ที่ถูกเพิ่มเข้ามาโดยไม่ใช่ของเราก็เป็นได้

จุดสังเกตุไวรัส

1. โค้ด iframe ที่อยู่ผิดที่ผิดทาง URL แปลกๆ หรือ iframe ที่ไม่แสดงผล
2. โค้ดที่ถูกเข้ารหัสไว้ ปกติจะเป็นโค้ดที่อ่านไม่ออก ซึ่งโดยทั่วๆไป เราไม่จำเป็นต้องเข้ารหัสโค้ด ในกรณีนี้ ถ้าเราเป็นคนเขียนโค้ดเอง จะดูไม่ยาก
3. ไฟล์ที่ไม่ใช่ของเรา บางครี้งเราอาจพบว่ามีบางไฟล์ที่ถูกอัปโหลดขึ้นไปยัง server โดย hacker ได้ การจะรู้ว่าไฟล์ใดเป็นไฟล์ปกติหรือไม่นั้นค่อนข้างยาก ถ้าไม่มี backup หรือไม่ใช่คนเขียนเว็บนั้นๆ ดังนั้นอาจต้องทำการสังเกตุโค้ดนั้นๆเอาเองแหละว่ามันสมควรจะเป้นไวรัสหรือเปล่า แต่ก็โชคดีนิดนึง ที่ไฟล์ ประเภทนี้สามารถตรวจเจอได้ด้วย antivirus และไฟล์ประเภทนี้ อาจมี หรือยู่ในที่ๆ ไม่ควรอยู่ก็ได้นะครับ หรือแม้แต่ไม่ใช่นามสกุล php

สิ่งที่ควรทำ

1. เปลี่ยน pass ทั้งหมดที่เกี่ยวข้องของเรา ของ server ของ admin
2. View Soure ไฟล์ทุกไฟล์ บน Server ด้วย text editor ย้ำว่าทุกไฟล์ อย่าพลาดแม้แต่ไฟล์เดียว คนที่เขียนไวรัสเขาคงไม่เขียนในที่หาง่ายๆให้เราเจอหรอก
3. ตรวจสอบ อุด ช่องโหว่ของเว็บไซต์ให้ดี อันนี้อาจต้องใช้ประสบการณ์นิดนึง
4. แบคอัปเว็บอย่างสมำ่เสมอ เราจะไม่ปวดหัวกับการ View Source ถ้าเรามี backup ที่พร้อมใช้งาน และ backup นั้น ต้องเก็บให้ปลอดภัยจากไวรัสอย่างแท้จริง
1

พยายามอย่าใช้โปรแกรม crack ครับเพราะเป็นโปรแกรมที่จะมีไวรัสแฝงมาได้ง่ายที่สุด

แนะนำให้ backup ซอร์สโค้ดอย่างที่อาจารย์แนะนำด้วยครับ
ถ้า backup ซอร์สโค้ดทั้งหมดแล้วจึงค่อยลองใช้โปรแกรมข้างล่างดูครับ
http://cakephp.jitwitya.com/post/anti-iframe-script
http://php.deeserver.net/phpbb/viewtopic.php?f=10&t=670
http://www.thaicreate.com/php/forum/028407.html

2
^