Hacked by ring04h, just for fun!คืออะไรครับ

godarmy · โพสต์ 2009-1-8 12:06:43

แก้ไขล่าสุด godarmy เมื่อ 2009-1-8 12:38

Hacked by ring04h, just for fun!

มันคือไวรัสหรือเปล่าอ่ะครับ

mza · โพสต์ 2009-1-8 12:14:51

เจอเหมือนกันครับ กำลังหาทางแก้อยู่..{:14_660:}

professio · โพสต์ 2009-1-8 12:19:24

กำแล้ว เราจะเป็นด้วยปะ เนี่ย

noomcafe · โพสต์ 2009-1-8 12:33:43

โดนเหมือนกันครับ เซงเลย

suthida · โพสต์ 2009-1-8 12:34:51

โดนแฮกบอร์ดหรอคะ

godarmy · โพสต์ 2009-1-8 12:38:05

โดนแฮกบอร์ดหรอคะ
ต้นฉบับโพสโดย suthida เมื่อ 2009-1-8 12:34

ทำไมโดนพร้อมๆกันหลายเครื่องครับ

ngt · โพสต์ 2009-1-8 12:56:50

มีลิ๊งค์เว็บที่โดนให้ชมไหมครับ?

Naruto · โพสต์ 2009-1-8 13:30:29

วิธีแก้ครับผม แต่ไม่ทราบเหมือนกันนะครับว่าจะกลับมาเป็นอีกหรือป่าวครับ

http://www.discuzthai.com/viewthread.php?tid=3007&highlight=hack

DarkEagle · โพสต์ 2009-1-8 13:32:35

แก้ไขล่าสุด DarkEagle เมื่อ 2009-1-8 14:10

อาการนี้เป็นอาการของการถูก hack นะครับ

ผมยังไม่เคยใช้เวอร์ชั่น 7 นะครับ แต่พอจะรู้อาการมันว่าเกิดจากอะไร เอาเป็นว่า เอาเป็นไกด์ละกันนะครับ

เริ่มกันเลยนะครับ

เจ้า Hacked by ring04h, just for fun! เนี่ย ลักษณะการแสดงผลของมัน อยู่ในรูปแบบของ javascript เพราะเมื่อเราปิด javascript เราจะไม่เห็นมัน ดังนั้น รูปแบบ script ของมันก็จะคือ

<script>function init() { document.write('Hacked by ring04h, just for fun!');}window.onload = init;</script>

คัดลอกไปที่คลิปบอร์ด

ให้เราค้นหา script นี้ในไฟล์ที่ต้องสงสัย ลองหาดูนะครับ เพราะอย่างที่บอกผมไม่เคยใช้เวอร์ชั่น 7 แต่ถ้าจะให้เดา คิดว่าการทำงานของมันน่าจะแฝงอยู่ 2 ที่ คือ

cache_settings.php
200901_cplog.php

* ตัวเลขข้างหน้าอาจจะไม่ใช่แบบนี้ก็ได้นะครับ มันแล้วแต่ปีและ เดือนน่ะครับ

ในส่วนของไฟล์ cache_setting.php ลองค้นหาคำว่า

'seohead'

คัดลอกไปที่คลิปบอร์ด

จะมีโค้ดดังนี้อยู่

'seohead' => '<script>function init() { document.write(\'Hacked by ring04h, just for fun!\');}window.onload = init;</script>

คัดลอกไปที่คลิปบอร์ด

ซึ่งเป็นส่วนที่เกินมา และตรงกับข้อความนั้นด้วย ให้จัดการลบมันให้เหลือแค่

'seohead' => ''

คัดลอกไปที่คลิปบอร์ด

จากนั้นลองเช็คดูที่ log ไฟล์ ที่ชื่อว่า 200901_cplog.php จะเห็นได้ว่า มีการเปลี่ยนแปลงข้อมูลอยู่จริง ดังนี้

settings GET={edit=yes; }; POST={settingsnew={seohead=<script>function init() { document.write(\'Hacked by ring04h, just for fun!\');}window.onload = init;</script> ; }; settingsubmit= 脤谩陆禄 ; };

คัดลอกไปที่คลิปบอร์ด

เห็นไหมครับว่าตรงกันเลย ดังนั้น ให้เราลบมันทิ้งซะ (ลบทั้งบรรทัดนะครับ)

* จากกรณีนี้ ผมจึงคิดว่ามันน่าจะเจาะเรามาทาง การส่งข้อมูลผ่าน method GET, POST นั่นเอง

ส่วนที่ผมเดาว่าน่าจะเกี่ยวข้องกับไฟล์ 2 ไฟล์นี้ก็เพราะว่า หน้า header.htm มีการอ้างถึงไฟล์ต่างๆ และแต่ในตัวไฟล์นั้นๆ มันก็มี script ที่แฝงนั้นอยู่ โดยอ้างอิงได้จาก โค้ดนี้ ในหน้า header.htm

$seohead

คัดลอกไปที่คลิปบอร์ด

ดังนั้น วิธีแก้เจ้าปัญหานี้มีอีกทางคือ ลบ $seohead ออกก็ได้ครับ (กรณีที่ท่านไม่ได้ใช้การทำงานเกี่ยวกับ seo นะครับ เพราะถ้าใช้แล้วไปลบออก จะทำให้ seo มันไม่ทำงานได้)

***หลังจากแก้เสร็จแล้วอัพเดทแคช (ไฟล์ซ่อน) ด้วยนะครับ

ปล. ถ้าผิดพลาดประการใด ก็ต้องขออภัยมา ณ ที่นี้ด้วยนะครับ แบบว่าไม่ค่อยเก่งเท่าไหร่ และก็ยังไม่ได้จับเวอร์ชั่น 7 ด้วยครับ (เวอร์ชั่น 6.1 และ 6.1F ก็ยังไม่ได้จับ แฮ่ะๆๆ) เห็นพบปัญหานี้หลายคน และยังไม่มีคนตอบ เลยอยากเป็นตัวช่วยบ้าง หวังว่าคงช่วยได้ไม่มากก็น้อยนะครับ และถ้าผิดพลาดตรงไหน ก็กรุณาแก้ไขให้ด้วยนะครับผม

godarmy · โพสต์ 2009-1-8 13:38:04

ขอบคุณคับ จะลองทำตามดูก่อนครับ ขอบคุณหลายๆ เด้อๆมากๆมายๆ

บัญชี		จำสถานะนี้ไว้ในครั้งหน้า	ลืมรหัสผ่าน
รหัสผ่าน			สมัครสมาชิก

Hacked by ring04h, just for fun!คืออะไรครับ

คะแนน