โดน HacK ครับ พี่น้อง เมื้อเที่ยงนี้ เอง ใครโดนก็ไปแก้ตาม

[wichaith]

ข้อความที่ขึ้นเมื่อโดน HacK

^^! Ch?o c?c b?n m?nh l? T? Th? Anh Nguy?n! R?t m?ng v? ?? hack ???c site c?a b?n. Ch?c c?c b?n b?o m?t t?t h?n ^^!

[Mod edit: Hacker name reference removed]
[Mod edit: Hacker name reference removed]

มานไปทำอะไรก่ะเว็บเราบ้างนะหรอ ก็มี อยู่ 2 อย่างด้วยกันน่ะครับ คือ

ที่ โดนนี้ผมใช้ Joomla! 1.5.1 Stable Full Package แต่ตอนนี้อับเป็น Joomla_1.5.6-Stable-Full_Package.zip ไม่รู้จะโดนอีกป่าว เหอ....

1.0 มานไปแก้ configuration.php

บรรทัดที่ 3 var $offline = '0'; มาเปลี่ยนเป็น var $offline = '1'; คือทำให้ site เรา offline ครับ

บรรทัดที่ 49-52 var $sitename = '[Mod edit: Hacker name reference removed]';
var $MetaDesc = '[Mod edit: Hacker name reference removed]';
var $MetaKeys = '[Mod edit: Hacker name reference removed]';
var $offline_message = '[Mod edit: Hacker name reference removed]';

จากเดิม

var $MetaDesc = 'Joomla! - the dynamic portal engine and content management system';
var $MetaKeys = 'joomla, Joomla';
var $MetaTitle = '1';
var $MetaAuthor = '1';

หรือแล้วแต่ site เรากำหนด

เมื่อ site เรา offline ครับ ก็จะขึ้นข้อความดังรูป และตัวหนังสือ แบบนี้ครับ
[Mod edit: Hacker name reference removed]
[Mod edit: Hacker name reference removed]

หรือ

^^! Ch?o c?c b?n m?nh l? T? Th? Anh Nguy?n! R?t m?ng v? ?? hack ???c site c?a b?n. Ch?c c?c b?n b?o m?t t?t h?n ^^!

วิธีแก้ก็ เปลี่น
var $offline = '0'; สั่งให้ site onlineมาเหมือนเิดิม

2.0 มานไปแก้ password super administrator ด้วยครับ

แต่ต้องไป reset password super administrator ด้วยน่ะครับ

การแก้ password ที่โดน hack ก็ใช่วิธีไปแก้ที่ mysql เลยน่ะครับง่ายกว่า คือเอา code password ใน local ไปแทนที่ site จริงเหมือนตอน ลือ password super administrator นั้นล่ะครับพี่น้อง

ตาราง
jos_users

ีuser admin

ใน ช่อง password ของ admin จะมี code ที่เข้ารหัสไว้ นำ code นั้นไป แทนที่ ใน
ตาราง
jos_users (host จริง) แถว

user admin

ช่อง password ของ admin (copy แทนที่ อันที่อยู่ host จริงครับ)

password ที่อยู่ใน local ก็จำของตัวเองให้ได้ด้วยน่ะครับ

ฝากถามทาง forum ด้วยน่ะครับ ว่าเราจะทราบได้อย่างไร ว่าคนที่มา hack นั้นเป็นใคร ตามตัวได้มั้ย

ใร joomla มี log file ให้ดูได้อย่างไร

ตอนนี้กำลัง download logs ของ host มาดูแต่ดูไม่รู้เรื่อง อ่ะครับ

[smapan]

แจ้งตำรวจเลยดีมั้ย เห็นว่าเมืองไทยมี กม. แล้ว หึหึ
(จะรอดูความสามารถตำรวจไทย นอกจากเก็บส่วยบนถนน)

[wichaith]

เศร้าไปเลยครับ แบบนี้ 55555+

[tourismthai]

อัพเป็น 1.5.6 หรือ patch file reset.php ครับ

[thaizeal]

แบบนี้เค้าเรียกเตือนเล่นๆ เหอๆ ผมไม่คิดว่าเป็นคนไทยน่ะ อาจเป็นพวกจีน หรือแถวๆ รัสเซียก็เป็นได้เพราะพวกนี้อันดับหนึ่ง มันจัดตั้งทีมขึ้นมาแล้วแข่งกันแฮก ว่าใครสำเร็จก่อนกัน แต่ก็ดีหน่อยว่ามันไม่ได้เข้ามาทำลาย แค่เข้ามาประกาศศักดา เมื่อวานjoomla.org ก็โดน
ไม่เหมือนพวกแฮกที่แอบฝังโทรจัน พวกนี้ร้ายกว่ามาก

เว็บคุณโดนแฮกแสดงว่าเริ่มดังแล้วครับ อิอิ

[joom_rock]

มีวิธีไหนที่จะป้องกันหรือเป็นการเตรียมตัวเราให้พร้อมที่สุดเวลาโดน hack ได้หรือเปล่าคะ โดนปุ๊ป ทำวิธีนี้เวบก็ขึ้นใหม่เป็นปกติ อะไรประมาณนี้น่ะค่ะ

[smapan]

backup ทุกอาทิตย์ ทั้ง DB+Files... แต่ถ้าเว็บเล็กๆ เดือนละครั้งยังสบายๆเลยครับ

[wichaith]

ขอบคุณทุกท่านสำหรับคำแนะนำ ผมเองคงต้อง backup บ่อยขึ้นแล้วล่ะซิเนี้ย

[tumthai]

เมลล์ไปขอบคุณคนที่มาแฮกด้วยนะครับ ว่าเก่งจริงๆ แล้วให้เค้าทำวิธีแฮกมาสอนด้วย จะได้เอาไปแฮกเว็บอื่น ......

ว่าแล้วไป backup เว็บตัวเองก่อน....กิกิ

[stopdrink]

อาการนี้โดนมาแล้วครับแต่ตอนนี้โดนหนักกว่าเก่า พี่แกเล่นเปลี่ยนหน้าเว็บไปเลยครับ รบกวนช่วยหน่อยครับ joomla 1.5
เว็บนี้นะครับ http://sawee.go.th

[smapan]

เป็นหน้าถูกแฮก ที่สวยที่สุดเท่าที่เจอมาครับ หึหึ

วิธีแก้ปัญหา หลังถูก hack ต้องเอาไฟล์ที่ back up เดิมทับให้หมดครับ + database ด้วยครับ
ถ้าไม่เคย back up เลยนี่น่าห่วงนะครับ เพราะ ถึง แก้ไฟล์เดิมกลับมาได้ ก็ไม่รู้ว่า คนที่ hack เค้ามาเปิด back door ไว้ที่ไหนบ้าง

สรุปถ้า สามารถ restore web ได้ ให้รีบเลยครับ + อัพเดตเป็นตัวล่าสุด
ถ้าไม่ได้ back up ไว้ ก็ ให้ กู้เว็บมาให้ได้ก่อน แล้ว(ถ้าสามารถ)ติดตั้งใหม่หมด ด้วย version ล่าสุด โดยใช้ไฟล์ที่ download จาก เว็บหลักเท่านั้นครับ


อ้อ อย่าลืมนะครับ คนที่ hack web เราได้ ไม่จำเป้นต้องเปลี่ยนหน้าเว็บนะครับ เค้าอาจจะรอเปิดประตูหลัง อยู่เงียบๆ ถ้าวันไหนเค้าคิดว่าจะหาประโชยน์จากเราได้ วันนั้นเค้าเล่นงานเราหนัก แน่ครับ ขอให้ทุกเว็บ back up +update version ล่าสุดด้วยครับ

[wichaith]

เพิ่มเติมครับทุกท่าน

วันนี้ไดทำการ backup site ตัวเองครับ

แล้วเจอของดีครับ

ตอนที่โดน Hack อุ่ะครับ มานไปฝั่ง Virusไว้ที่ Host เราด้วยครับ

เป็น BackDoor-DNF Type Trojan ครับ

มานจะฝั่งไว้ใน /images ของ Host ท่านน่ะครับ กรุณาไปลบออกด้วยครับ

[wichaith]

http://www.idesign.in.th/administrator/index.php

ผมสั่ง protect ไ้ว้แล้วครับ administrator

แต่เวลา กด Cancel กลับได้หน้าตาอย่างในรุปครับ


แบบนี้แสดงว่า ยังมี่ Code ของ Hacker อนู่ใน Host ใช้มั้ยครับ

เหมือน ประมาณว่า เค้า ทำ Redirect ไว้อ่ะครับ ประมาณนั้น เลยครับ

แต่ถ้า log in เข้าไปก้ไม่เป็น ไร

เลยอยากถามว่า Code นั้นนั้นอยังอยู่ ใน ใน www เว็บของผมคนเดียวหรือ ของคนอื่นที่อยู่ใน server เดียวกัน ด้วยป่าวครับ เป็นไปได้มั้ยที่
จะอยู่กับของคนอื่นด้วย

เพิ่มเติมได้ที่

http://www.mambo.or.th/forum/index.php/ ... 342.0.html

ขอคำแนะนำ วิธีป้องกัน ด้วยน่ะครับ

[nakz]

ตัว Backup + Restore ตัวไหนใช้งานได้ดีมั่งครับ

ผมใช้ JoomlaPack - AJAX powered backup and restore อยู่ครับ

ใช้ backup ได้ทั้ง site + DB แต่ยังไม่เคยลอง Restore ดู

แต่มันไม่สามารถกำหนดให้ Automatic Backup ได้ ต้องมา login แล้ว Backup เองเลื่อยๆ

มีตัว Backup + Restore ตัวอื่นๆ แนะนำบ้างมั๊ยครับ

[arunsiam]

joomlapack ก็ใช้ได้ดีอยู่แล้วครับ

[wichaith]

ที่ผมเคยโดน ก็ database กับ index.php ในทุก folder แล้วก็ passoword super administrator

แล้ว Hacker บ้าง ราย สามารถ hack ftp user ได้ด้วยน่ะครับ

อยากน้อย ถ้า จะ backup ก็คิดดูแล้วกัน จะหา tolls ไหนมาใช้

ตอน นี้ ผม protect ไว้ หลาย ส่วน เลยครับ

และที่สำคัญ อย่าลืม อับเดจ tolls ที่ใช้ เป็นประจำ เมื่อ มี path ใหม่ออกมา น่ะครับ


ผมโดน โทรจัน (Trojan) ด้วยครับตอนนี้ โหดมากๆๆๆ

[thaizeal]

เว็บสวยดี

[kukujang]

ตอนนี้จะยังโดนอีกป่าวครับเนี่ย เสียวจัง

[wut_s]

https://www.watmaetum.com/administrator/ ทำงัยดีมันลิ้งเซฟจะแก้ไงดีครับเข้าไม่ได้เลยครับ

[somchaijdk]

เว็บเพื่อนโดนไปเมื่อวาน อาการเดียวกันเป๊ะ เหมือนจะเป็น script bot มา hack หรือเปล่าไม่แน่ใจโดนกันหลายเว็บ

[arunsiam]

เศร้า ผมก็ไม่ได้ upgrade มานานแล้ว จะ upgrade ก็กลัวเว็บพัง เสี่องไปก่อน อาศัย backup ข้อมูลไว้

[babyhunsa]

ผมก็โดน Hacked ปลายเดือน สิงหาคม ไม่รู้มันวาง สคริป ที่ไหน ผมไปหาเวบผมเองจาก Keyword ใน Google ลองคลิกแค่นั้นแหละ แทนที่จะไปที่เวบผม พวกเล่น Redirect ไปเวบโป๊เฉย (แหะ ผมชอบดูครับ) สะใจ
โชคดี Webhost ที่ผมเช่า มีการ Backup ข้อมูลให้เลยขอให้เขา Restore ให้ 2 วันก่อนเกิดเหตุ (แหะๆ ใช้ Host ดีก็ช่วยได้เหมือนกัน) แก้ได้ครับ นี่ขนาดเวบกำลังพึ่งเขียนพวก Hack เฉยเลย
ขอเข้าเรื่องการเซ็ต chmod หน่อยครับ
* PHP files: 644
* Config files: 666
* Other folders: 755
ขอผู้รู้ (Guru) อธิบายเพิ่มเติม Config files หน่อยครับว่ามันหมายถึง ไฟล์อะไรบ้าง (ยกตัวอย่าง ให้ดู ก็ขอบคุณมากครับ)
แล้วไฟล์อื่นๆ
ส่วนพวกไฟล์อื่นๆ เช่น jpg, png, jpg, txt พวกนี้หละครับเซ็ตเป็นไรดี

ขอบคุณ GURU ครับ

[thaizeal]

ผมก็โดน Hacked ปลายเดือน สิงหาคม ไม่รู้มันวาง สคริป ที่ไหน ผมไปหาเวบผมเองจาก Keyword ใน Google ลองคลิกแค่นั้นแหละ แทนที่จะไปที่เวบผม พวกเล่น Redirect ไปเวบโป๊เฉย (แหะ ผมชอบดูครับ) สะใจ
โชคดี Webhost ที่ผมเช่า มีการ Backup ข้อมูลให้เลยขอให้เขา Restore ให้ 2 วันก่อนเกิดเหตุ (แหะๆ ใช้ Host ดีก็ช่วยได้เหมือนกัน) แก้ได้ครับ นี่ขนาดเวบกำลังพึ่งเขียนพวก Hack เฉยเลย
ขอเข้าเรื่องการเซ็ต chmod หน่อยครับ
* PHP files: 644
* Config files: 666
* Other folders: 755
ขอผู้รู้ (Guru) อธิบายเพิ่มเติม Config files หน่อยครับว่ามันหมายถึง ไฟล์อะไรบ้าง (ยกตัวอย่าง ให้ดู ก็ขอบคุณมากครับ)
แล้วไฟล์อื่นๆ
ส่วนพวกไฟล์อื่นๆ เช่น jpg, png, jpg, txt พวกนี้หละครับเซ็ตเป็นไรดี

ขอบคุณ GURU ครับ

รีไดเร็ค หรือเปิดขึ้นแล้วหน้าขาว อาการแบบนี้คิดว่าโดนฝัง iframe
แล้วเจ้าiframe มันมาจากใหน คำตอบก็คือมาได้หลายทาง แต่ส่วนใหญ่ที่พบมันจะมาจากโปรแกรม ftp ที่ใช้แคร็ก หรือไม่ก็คอมพ์โดนโทรจัน ดักพาสเวิร์ด ftp คงต้องระวังและหาวิธีป้องกันกันเอาเองครับ
เมื่อโดนแล้วจะทำอย่างไร เจ้า iframe พวกนี้ส่วนใหญ่มันจะฝังตัวอยู่ในไฟล์ index.php และ index.html ต้องเปิดมาแก้ไขทีละไฟล์ๆ (งานเข้า เหอๆ)
แต่ก่อนที่จะแก้ไขเราต้อง
1.สแกนไวรัส ลบโทรจันให้เกลี้ยงก่อน
2.เปลี่ยนพาสเวิร์ด ftp
3.แล้วค่อยมาแก้ไข
เคสล่าสุดที่ผมเคยเจอ มันมีไฟล์รูปที่เป็นไวรัสด้วยน่ะเอ่อไม่รู้มันทำได้อย่างไร ลองเข้าไปในโฟล์เดอร์ images สังเกตุชื่อรูปแปลกปลอมด้วยครับถ้าเจอลบได้เลย
ส่วนchmod ถ้าไม่แก้ไขอะไรแล้วก็ให้ปรับเป็น
files: 644
folders: 755

[babyhunsa]

รีไดเร็ค หรือเปิดขึ้นแล้วหน้าขาว อาการแบบนี้คิดว่าโดนฝัง iframe
แล้ว เจ้าiframe มันมาจากใหน คำตอบก็คือมาได้หลายทาง แต่ส่วนใหญ่ที่พบมันจะมาจากโปรแกรม ftp ที่ใช้แคร็ก หรือไม่ก็คอมพ์โดนโทรจัน ดักพาสเวิร์ด ftp คงต้องระวังและหาวิธีป้องกันกันเอาเองครับ
เมื่อโดนแล้วจะทำอย่างไร เจ้า iframe พวกนี้ส่วนใหญ่มันจะฝังตัวอยู่ในไฟล์ index.php และ index.html ต้องเปิดมาแก้ไขทีละไฟล์ๆ (งานเข้า เหอๆ)
แต่ก่อนที่จะแก้ไขเราต้อง
1.สแกนไวรัส ลบโทรจันให้เกลี้ยงก่อน
2.เปลี่ยนพาสเวิร์ด ftp
3.แล้วค่อยมาแก้ไข
เคส ล่าสุดที่ผมเคยเจอ มันมีไฟล์รูปที่เป็นไวรัสด้วยน่ะเอ่อไม่รู้มันทำได้อย่างไร ลองเข้าไปในโฟล์เดอร์ images สังเกตุชื่อรูปแปลกปลอมด้วยครับถ้าเจอลบได้เลย
ส่วนchmod ถ้าไม่แก้ไขอะไรแล้วก็ให้ปรับเป็น
files: 644
folders: 755

ตอบได้ประเด็นเลยครับ
แต่ปัญหา ปัจจุบัน ไม่รู้ว่าปัญหา หรือว่า ดี ก็ไม่รู้ ผมมี บอท มาเยี่ยม เวบผมวันละไม่ต่ำกว่าสันละ 1,500 ครั้ง ลองแวะไปดูเวบผม ดูตรง Stat Counter ฝั่งคอลัมน์ซ้ายล่างครับ อย่าคิดว่าตนเข้าเยอะนะครับ เป็น บอท เกือบ 95% (ตัวเลขจาก Google Analytic คนจริงๆ เข้าโดยเฉลี่ย 60-70 คน) ผมก็ต้องคิดว่าบอทมันมันเข้ามาเก็บข้อมูล เวบมีการอับเดทบ่อย แต่ผมว่ามันมามากครับ ใครมีความรู้เรื่องนี้ช่วยแนะนำหน่อยครับ

[arunsiam]

ล่าสุดปรับมาเป็น 1.5.20 แล้วครับ กลัวโดนเหมือนกัน

[dollyplus]

โดนด้วครับ โดนแบบไม่รู้ตัวเลย

[amulet108]

ผมก็โดน ไป 2 ครั้ง

[aofmaya002]

ยังไม่เคยโดน ครับ แต่ เป็นประโยนช์ สำหรับผมมากๆ เลย ครับ ต้องระมัดระวังให้มากขึ้นแล้วสิ นะ ครับ