วันนี้อารมณ์เสียสุดๆ เพราะตอนสายๆ ตื่นขึ้นมาเปิดไปที่หน้าร้านของผม http://www.yimplex.com แล้ว
ดันไปเจอกับสิ่งที่ไม่คาดคิดว่าจะเจอครับเว็บผมติด malware จำพวกโทรจัน AntiVir ที่ผมติดตั้งเอาไว้ มัน
ตรวจจับได้แล้วเตือนตลอดจนผมรำคาญ

ผมเลย FTP เข้าไปดู แต่ไม่เจอกับความผิดปรกติ หรือมันจะบุกมาทาง Telnet แล้วโจมตี Linux Server
ที่ใช้อยู่ เพราะช่วงนี้ดูจาก User-Online ที่เอามาติดตั้ง มันรายงานว่ามี bot เข้ามาป้วนเปี้ยนกันเต็มไปหมด
ฅที่เข้ามาดีๆ ตามเวลาของเขาก็มีของพวก Search Engine ที่เหลือก็คงเป็นพวก spamming bot บางที
Akismet มันจับได้บ้าง ไม่ได้บ้าง แต่ยังดีกว่าปล่อยเอาไว้เฉยๆ แล้วโดน malware กันหมด ทั้งหน้าร้านขาย
ของและ Blog ส่วนตัวแห่งนี้

ผมลอง Search หาข้อมูลแล้ว ดูจากข้อมูลของ AntiVir แล้วมันก็ไม่ได้บอกอะไรมากมาย ผมจนปัญญา
เลยเมล์ไปให้ Admin ของทาง 4gbhost.com ที่ผมใช้งาน hosting ของเขาอยู่ช่วยแก้ไขให้ผมพยายาม
View->Source แต่มันทำไม่ไ่ด้เลย

ช่วงที่นั่งรอ ผมกังวลใจมาก เพราะว่ายังไม่เคยสำรองข้อมูลสักครั้ง ผมเลยพยายามคลำทางแก้ปัญหาด้วยการ
เข้าไปที่ Edit Theme ของ WordPress ที่ผมใช้งานอยู่ตอนนี้ ขนาดเข้าไปที่หน้า Dashboard AntiVir เตือน
ว่าจับ Trojan ตัวนี้ได้แสดงว่ามันแพร่ไปทั่วแล้ว ผมลองไปแก้ไข Theme แล้วไปเจอกับ code แปลกปลอม
Hacker ตัวดีมันเข้ามาแทรก iframe ไว้ในไฟล์ของเว็บ เพื่อให้เรียกใช้โทรจันที่มันเขียนขึ้นมา มันมาจากที่นี่

http://www.google-analyze.cn (ห้ามเข้านะครับ อันตราย) ผมลองตรวจสอบดูจาก
who.is มันจดโดเมนที่ Russia ส่วนขยาย .cn คิดว่าเจ้า Hacker ถ้าไม่ใช่คนจีนก็น่าจะเป็น
Russian หรืออาจจะมาจากเขตยุโรปตะวันออก แต่มันขึ้น Blacklist ในฐานข้อมูลของบรรดา
ผู้ผลิต AntiVirus แล้วเรียบร้อย

ผมเลยค่อยๆ แก้ไขทีละไฟล์ๆ จนผมแก้ใน Theme หมดแล้ว ลองเปิดหน้าเว็บแล้ว มันก็ยังเจออยู่ผมลอง
เปลี่ยนTheme แต่มันก็ยังมารบกวนอีก ผมเลยจัดการเลยครับ ดาวน์โหลดไฟล์ข้อมูลทั้งหมดมาที่เครื่อง
ปรากฎว่าตอนช่วงที่ดาวน์โหลดมาทาง FTP AntiVir มันตรวจเจอ Trojan Code ที่แฝงเข้ามา ผมกดลบ
ไปหลายสิบไฟล์ แล้วเราลบตรงไหนไปบ้างเนี่ย Directory Structure ของเจ้า WordPress มันซับซ้อน

โชคดีที่ผมนึกขึ้นมาได้ว่าช่วงปลายเดือนที่แล้ว ผมเพิ่งสำรองไฟล์จากเว็บเอาไว้ เพื่อทำหน้าร้านขายของ
เลยเอาไำฟล์นั้นมาใช้แทนไม่งั้นคงต้องไปดาวน์โหลดใหม่ยกชุด ตั้งแต่ WordPress และ Plugin เผลอๆ
อาจจะต้องไปตามเก็บข้อมูลจาก Cache ของ Google มาแทนของเดิม แต่ปัญหามาอีกแล้วครับ อัพโหลด
ไฟล์ขึ้นไปหมดแล้ว ตอนเรียกเพจมันดันขึ้น Http-Response 500 Internal Server Error

ผมเลยเข้าไปดูที่ Control Panel ทาง Direct Admin ก็ไม่มีปัญหา ลองเรียก Subdomain กลับ Redirect
ไปที่โฮมเพจของ Domain ด้วยความโมโห ผมเลยลบไฟล์ทั้งหมด ลบ Subdomain แล้วทดสอบใหม่ ตั้งค่าเป็น
Subdomain เดิมนั่นแหละแล้วอัพโหลด HTML ธรรมดามันทำงานได้นึกมาได้ว่าผมลืมปรับ .htaccess
(ไม่น่าพลาดเลย เรื่องง่ายๆแค่นี้) กว่าจะเสร็จ เหนื่อย.......

ผมไม่รู้ว่ามันเข้่ามาทางไหน ไม่ได้เปิดดู log file ไม่น่าจะมาจากความผิดพลาดในการออกแบบ WordPress
Engine เพราะผมอัพเ้ดทตลอด น่าจะมาจากผมเอง ผมนึกขึ้นมาได้ว่ามีไฟล์และ directory บางส่วนของ
WordPress ที่ผมต้อง chmod777 ทำให้ผู้ใช้งานทุกคนรวมถึงตัวผมที่เป็น Admin ของเว็บมีสิทธิ์ เท่าเทียมกัน
ในการเข้าถึง หลังจากแก้ไขเสร็จผมเลย chmod755 Theme ทั้งหมด เวลาจะแก้ไขค่อยเข้าไปแก้ทาง FTP
ส่วนที่ต้อง chmod 777 จึงเหลือแค่ directory ที่ใช้สำหรับเก็บรูปภาพและไฟล์ที่อัพโหลดเข้ามา และอีกส่วน
ก็คือ .htaccess เพื่อปรับ Permalink Structure

ส่วนอีกสาเหตุหนึ่ง ผมอาจจะโดนดัก Username -Password เพราะผมไม่ได้ Login แค่ที่เครื่องของตัวเอง
ไปใช้งานที่อื่นด้วย Login Form ที่ผมใช้งานอยู่มันไม่ได้เข้ารหัสด้วย SSL หรือระบบรักษาความปลอดภัย
ข้อมูลอื่นเลย เคยเจอ WordPress SSL Plugin อยู่ตัวหนึ่ง แต่ใช้แล้วไม่ค่อย Work เลยไม่สนใจ

ถึงผมอยากจะตามไปจัดการกับเจ้า Hacker วายร้ายขนาดไหน คงทำได้แค่คิด แต่ยังไงผมก็ต้องขอบคุณมัน
ที่สอนให้ผมรู้ว่า............

1. ผมควรสำรองข้อมูลบ่อยๆ เพราะไม่รู้ว่าใครบ้างจะมาเล่นงานเรา
2. ผมควรศึกษาเรื่อง Network/Internet Security เพื่อจัดการกับความเสี่ยงเหล่านี้
3. อัพเดท Antivirus เสมอ ผมเองมีประสบการณ์เจอกับไวรัสมาหลายครั้ง ลอง Antivirus มาหลายเจ้า
แต่ท้ายที่สุดก็ต้องกลับมาที่ AntiVir ทุกครั้ง ของเค้าอัพเดทข้อมูล malware เร็วมาก ทั้งดีทั้งฟรีอย่างนี้
ถ้ามีเงินเหลือน่าจ่ายเงินซื้อ Version Pro มาใช้บ้าง

Filed under: Web Development » by admin