คนชอบดาวน์โหลด Free Themes for Wordpress อาจโดนฝัง script เพื่อ Hack คุณ

คนชอบดาวน์โหลด Free Themes for Wordpress อาจโดนฝัง script เพื่อ Hack คุณ

กระทู้นี้ขอพื้นที่เตือนภัยเพื่อนๆ ที่ชอบดาวน์โหลด ธีม ฟรี จากเว็บไซด์ต่างๆ นะครับ ผมชอบดาวน์โหลดมาใช้ครับ เพราะมันสวยดี วันนึงผมก็เจอดีเข้าจนได้ ระหว่างที่ผม top ดู process ของ VPS ผม เห็นความผิดปกติบางอย่างครับ มันมี apache รัน ssh-scan เป็น สิบๆ อัน โอ้วอะไรกันเนี่ย รู้สึกตะหงิดๆ เลยไป search หาข้อมูลใน google

ปรากฎว่า ฝรั่งเค้าคุยกันว่าอาจจะโดน Hack เข้าให้แล้ว
โดยให้ใช้คำสั่ง cd /tmp แล้ว ls -lha เพื่อดู list รายชื่อ ไฟล์ที่ถูกซ่อนไว้ในโฟลเดอร์ tmp
ปรากฏว่ามีโฟลเดอร์ สองอันแล้วก็ zip ไฟล์อันนึง ทั้งหมดถูกรันโดย apache
เมื่อเข้าไปสำรวจ เท่าที่ดูโปรแกรมตัวนี้มัน ดาวน์โหลดตัวเองมาลงแล้ว ทำการรันเพื่อสุ่มเอา user และ password ของ VPS เรา และน่าจะทำการเมลล์ออกไปยัง Hacker (เห็นมี script send email ด้วย)  เห็นรายการสุ่มมันเป็นหางว่าวเลย แต่มันยังไม่ได้ไป

ทำไมถึงเกี่ยวกับ ฟรี themes
ปกติจะไม่ใช้ root login เข้าโดยตรงเพื่อป้องกันการโดน Hack อยู่แล้วชั้นนึง และมันน่าจะมาจาก Themes ที่เราโหลดฟรีมานั่นแหละ ตรง footer ของ themes พวกนี้ มันจะถูก encode เอาไว้ "แล้วเมิงรู้เหรอ ว่าเขาใส่อะไรไว้บ้าง" .... เออ ถูกของเขา
ไอ้ตัวที่มันมา scan หา password นี่มันก็รันด้วย apache ไม่มีการ login จาก user อื่นใด

หาในฟุตเตอร์ไม่มี บางทีเจอ encode เอาไว้ ในฟังก์ชั่น บางทีเปิดดูลิ้งค์เว็บตัวเองดันเจอเว็บโป๊
ทางที่ดีก็หาธีมที่ไม่มีการเข้ารหัสอะไรไว้จะดีที่สุด หรือไม่ควรก็ decodeดูก่อนว่าเค้าวางยาอะไรไว้

และจะมีข้อความเตือนว่าเว็บนี้อาจเป็นอันตรายต่อคอมพิวเตอร์ เมื่อ search ผ่าน google

โหลดจาก wordpress ปลอดภัยกว่า เพราะก่อนที่จะเอาไปขึ้น wordpress ได้ก็ต้องผ่านการตรวจสอบ
นอกจากนี้ Plug-in ก็อันตรายเหมือนกัน

แต่ก็อย่าตื่นตระหนกไป ถ้าเช็คเป็นหรือดูเป็นว่าธีมนั้นเจ้าของเค้าใส่อะไรแปลกปลอมลงไปด้วยมั้ย
แต่ถ้าดูไม่เป็น โหลดธีมฟรีมาก่อนอัพขึ้นwp ก็ตรวจสอบดูก่อน ถ้าอันไหนไม่น่าไว้ใจก็อย่าไปใช้

ส่วนใหญ่ที่ให้ดาวโหลดฟรีจะฝังสคริปแฮคหรือฝังเพื่อเอา Backlink ไว้ โดยการใช้ eval ทริคเล็กๆน้อยๆคือ ก่อนใช้งานให้ใช้ Dreamweaver เปิดไฟล์สักไฟล์ของ Theme หรือสคริปต่างๆ แล้วกด Ctrl+F จากนั้นในส่วนของ Find in: เลือกเป็น Folder... แล้วใส่คำว่า eval(

ส่วนใหญ่จะมีฟังค์ชั่น base64_decode ทำงานร่วมอยู่ด้วย ลองถอดรหัสดูโดยเว็บ www.tareeinternet.com/scripts/base.html

แต่ถ้าเป็น
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':...

แบบนี้เป็นโค้ดการทำงานของ Javascript ไม่ต้องทำการลบ

ส่วนใหญ่โค้ดจะถูกเข้ารหัสไว้ที่ footer.php และที่บอกให้ค้นหาด้วยคำว่า eval( โดยไม่ใช้คำว่า eval(base64_decode( เพราะจะมีการเข้ารหัสในรูปแบบอื่นอีก เช่น eval(gzinflate(base64_decode( แต่ส่วนใหญ่ถ้าเจอโค้ดพวกนี้อยู่ที่ footer.php ก็ลบทิ้งได้เลย บางโค้ดอยู่ที่ไฟล์ /required/template-top.php หรือไฟล์ function ส่วนเหล่านั้นอาจเป็นโค้ดเพิ่มรหัส admin ถ้าจะทำการลบโค้ดก็ให้ทำการ Backup ไว้ก่อน จากนั้นลบโค้ดแล้วทดสอบว่าการทำงานยังถูกต้องใช้งานได้ดีหรือไม่

บางโค้ด Decode ออกมาแล้วแต่พอลบออกไปกลับมีปัญหา ให้นำโค้ดนั้นๆไปค้นหาใน google บางโค้ดจะมีวิธีบอกการลบออกอย่างถูกต้องอยู่ครับ


เว็บ Decode eval(base64_decode(
hxxp://www.tareeinternet.com/scripts/base.html  ใส่โค้ดที่เข้ารหัส ที่อยู่ในเครื่องหมาย ' ' เท่านั้น
hxxp://www.tareeinternet.com/scripts/decrypt.php  ใส่โค้ดตั้งแต่ eval(gzinflate(base64_decode('XUnmKKL.......')));

อย่าว่าแต่เข้ารหัสไว้ ใส่มาโต้งๆ...ฉันคนนี้ก็ดูไม่เป็น ความไม่รู้เป็นทุกข์อันประเสริฐ ด้วยเหตุนี้ฉันจึงจำต้องรักและไว้ใจทุกคน  ;D