โดนไวรัส มัลแวร์ ขโมย ftp user password แล้วอัพโหลดตัวเองเข้าไป ถึงทำเว็บใหม่ถ้าเครื่องที่คุณใช้มีไวรัส พออัพโหลดเว็บใหม่เข้าไป ก็ติดอยู่ดีครับ กี่รอบก็ติด ไม่ว่าจะย้ายไปโฮสไหนก็ตามติดที่นั่นครับ
จากประสบการณ์ลูกค้าผมเองหลายท่าน ถ้าแจ้งมาว่าเว็บติดไวรัส
ผมจะดูก่อนเป็นไวรัสที่แทรก script มั้ย (ใช่)
แทรกเข้ามาที่ไฟล์ index home หรือไฟล์ js มั้ย(ใช่)
ใช้ filezilla มั้ย ใช้โปรแกรมทำเว็บ หรือโปรแกรม ftp แบบแครกบ้างมั้ย(ใช่)
ถ้าใช่ ผมจะเข้าไปหา ftp log ว่ามีการเขื่อมต่อเข้ามาเมื่อไหร่
เข้ามาด้วย ip อะไร ส่วนใหญ่ ip ต่างประเทศเข้ามา แล้วถามลูกค้าว่า ftp log ที่เข้ามานี่ใช่คุณมั้ย ถ้าไม่ใช่ก็สรุปได้เลยครับ โดนขโมยรหัสผ่่าน ftp จากเครื่องลูกค้าแน่นอน
ถ้าใช้ crack เสี่ยงทั้งนั้นเลี่ยงได้พยายามเลี่ยง (เสี่ยงที่ตัว crack นี่แหละครับ) ถ้าใช้ Filezilla โปรแกรมนี้ไม่เข้ารหัส password ถ้าเครื่องเราติดไวรัส ก็โดนทันทีครับ แนะนำ wsftp หรือ winscp แทน ฟรี แถมดีด้วยครับ หน้าตาอาจใช้ยากหน่อยเท่านั้นเอง
กรณีอื่นๆ ถ้าไม่ติดจาก โดนขโมย ftp user password แล้ว login มาแทรกไฟล์ แต่เป็นการรั่วจาก script เว็บ ผมจะดู date modified ของทั้งเว็บลูกค้า ว่าโดนที่ไฟล์ไหนบ้าง เพราะไฟล์ที่โดนแทรก script หรือไฟล์ที่โดนวาง backdoor หรือไฟล์แปลกปลอมมักจะมี date modifiled ที่ใหม่กว่าแล้ววิเคราะห์ว่า hacker เข้ามายังไง
ส่วนใหญ่จะรั่วจาก cms หรือส่วนเสริมที่ไม่อัพเดท หรือ directory ที่ upload ได้ พวก directory เก็บไฟล์ เก็บรูป หรือ directory ที่ permission ไม่ปลอดภัย
วิธีแก้แบบนี้ ต้องแก้ที่ script หรือ cms ที่ใช้ อัพเดทให้เป็นรุ่นล่าสุด แก้ให้ script ไม่มีจุดรั่วไหล ส่วนเสริมไหน มีข่าวว่าไม่ปลอดภัยเลิกใช้ชั่วคราวจนกว่าจะมีการอัพเดท
ปกติเมื่อเว็บถูกเจาะลูกค้าหลายท่านสงสัยว่าเพราะ server ผู้ให้บริการไม่ปลอดภัย เว็บที่ฝากไว้เลยโดน hack ผมขออกความเห็นส่วนตัวว่า เป็นไปได้ครับที่จะเกิดจากกรณี server ตั้งค่าไว้ไม่ดีไม่ปลอดภัย
แต่อยากให้ท่านลองคิดมุมกลับว่า ถ้า hacker เจาะได้เพราะเครื่อง server ผู้ให้บริการไม่ปลอดภัย ทำไมบน shared host ลูกค้าเยอะแยะมีไม่ต่ำกว่าร้อยเว็บแน่นอนต่อ server เครื่องนึง ทำไมเว็บท่านโดนคนเดียว เว็บอื่นไม่โดนด้วย หรือว่าเว็บท่านไม่ปลอดภัยเอง หรือระบบที่ท่านใช้งานมีจุดรั่วไหลเอง ถ้า server ผู้ให้บริการไม่ปลอดภัยเวลาโดนเจาะโดนทั้งเครื่องแน่นอนครับ
—
1.สแกนไวรัสเครื่องท่านก่อน
2.สแกนโฟเดอร์ธีมก่อนอัพ… ว่ามีอะไรไหม
3.ให้ลบโฟเดอร์รูปดังกล่าว (backup ไว้ด้วย) จากนั้นสร้างโฟเดอร์ใหม่เข้าไปแทน
4. ต่อจากข้อ 3 อัพธีมขึ้นไปครับ จากนั้นก็อัพรูป ที่ backup ไว้ไปทีละรูปอย่าอัพตู๊มมเดียวนะครับ ให้กดเลือกอัพไปทีละรูป
ถ้าไม่หายแสดงว่ามันต้องฝังใน ฟังชั่น ใดฟังชั่น หนึ่งมาในไฟล์ JS
https://webmasters.stackexchange.com/questions/91048/how-to-secure-wordpress-website-using-htaccess-allowing-only-index-php-execut
https://stackoverflow.com/questions/1340001/deny-direct-access-to-all-php-files-except-index-php
ใช้ filezilla สิครับ freeware
ให้ใช้โปรแกรม Scan virus ที่เครื่อง เช่นโปรแกรม ร่มแดง Avira ครับแจ่ม
ที่ติดจาก crack อาจเป็นเพราะ crack ที่ทำขึ้นมีการฝั่ง malware หรือ โทรจันเข้ามาด้วยหนะครับ
ซึ่งซะส่วนใหญ่ ทีนี้ร่มแดงจะช่วยได้ดีระดับนึงเลยครับ
หลังจากนั้น scan ด้วยโปรแกรม editplus หรือ fizscript ก็ได้ เอาออกซะ
นอกจากนี้อาจติดเพราะ การเข้าเว็บที่ติดอยู่แล้ว cookie ดึงมา รวมถึง java tag ด้วยนะครับ
ผลกระทบร้ายแรงคือ อาจทำการ include อะไรเข้ามา ร้ายแรง อาจถูกอับโหลดไฟล์ ต้องห้ามเข้ามาเช่น cgi attack
php mail list ส่งผลให้เว็บถูกแบน และ ติด blacklist mail ส่งไม่ออกเลย
เจอฟังก์ชัน JavaScript unescape ให้ลบทั้งหมดครับ
unescape
ส่วนใหญ่ติดมากับ ftp ของโฮสครับ โฮสไหนที่แอบชุ่ยทำเนียน ใช้แค่เครื่องคอมทำโฮส นั่นล่ะ ระวัง