×

คำเตือน

JFolder::create: Path not in open_basedir paths.

ผมได้ทำการตรวจสอบจาก www.cmscrawler.com พบว่าจำนวนเว็บไซต์ที่ลงท้ายด้วย .TH ซึ่งเป็นเว็บไซต์ในไทยส่วนหนึ่ง (ยังมี .com .org .net อีก) มีจำนวนไซต์ที่ใช้งาน CMS เช่น จูมล่า Wordpress และ Drupal รวมทั้ง CMS อื่นๆ อีกประมาณสองพันกว่าไซต์ในนั้นมีจูมล่าเป็นเจ้าตลาด ดูจากตารางด้านล่างนะครับ นั่นแสดงว่าจูมล่าได้รับความนิยมมากขึ้น อาจจะเนื่องจากจำนวนคนใน Community หรือตัวจูมล่าเองที่ใช้ง่ายๆ ติดตั้งง่าย ทำให้มันได้รับความนิยมอย่างรวดเร็ว

จำนวนไซต์ที่ใช้งาน CMS และ Major CMS Share
CMS จำนวนไซต์   ร้อยละ  หมายเหตุ
Joomla 930  41.81   
WordPress 647  29.09   
Drupal  194  8.72   
รวม 2,224 100  

 

ผมลองดูข้อมูลทั่วโลกก็พบว่ามีการใช้งาน CMS ในเปอร์เซ็นต์ที่มากอยู่เหมือนกันแต่อาจจะไม่เท่าในไทย แล้วก็ยังพบอีกว่าปริมาณไซต์ที่ใช้จูมล่ามีการถูกแฮ็คและถูกโจมตีเยอะมาก และเพิ่มขึ้นเรื่อยๆ ซึ่งอาจจะมาจากจำนวนที่มีการใช้งานเพิ่มขึ้นและการใช้งานง่ายๆ ด้วยเหมือนกันทำให้มีคนจำนวนมากติดตั้ง ลงคอมโพเนนท์ และไม่ได้คำนึงถึงเรื่องความปลอดภัยของเว็บไซต์เลย ทำให้โดนแฮ็คได้ง่ายๆ

การโจมตีแบบ Brute Force คืออะไร

การโจมตีแบบ Brute Force ก็คือการเดาสุ่มรหัสผ่าน รวมทั้งชื่่อผู้ใช้ด้วยโดยการรันตัวอักษรไปเรื่อยๆ ไม่ได้เอาข้อความจากพจนานุกรมซึ่งอาจจะใช้การโจมตีด้วยการใช้โปรแกรมทำการล็อกอินเข้าเว็บ ซึ่งความยากง่ายก็ขึ้นอยู่กับการตั้งชื่อผู้ใช้และรหัสผ่านครับ จึงเป็นที่มาของการแนะนำสำหรับผู้ใช้งานจูมล่าคือ

  • เปลี่ยนชื่อผู้ใช้ที่เป็น Super User จาก admin เป็นชื่ออื่นครับ
  • ตั้งรหัสผ่านให้ยากๆ และใช้ส่วนผสมตัวเลข ตัวอักษรตัวใหญ่ ตัวเล็ก
  • เปลี่ยนรหัสผ่านบ่อยๆ

การทำแบบนี้ทำให้การโจมตียากขึ้นครับ อย่างในข้อแรกเขาก็ต้องเริ่มจากการหาชื่อผู้ใช้ก่อน นั่นคือต้องเดาทั้งชื่อผู้ใช้และรหัสผ่านครับ ยากขึ้น ในข้อที่สองการตั้งรหัสยากๆ และยาวๆ ทำให้การทำ Brute Force ใช้เวลานานขึ้น การโจมตีนี่ใช้คอมพิวเตอร์ทำนะครับ อาจจะทำหลายๆ วัน และใช้หลายๆ เครื่องแบบแบ่งงานกันทำเช่น เครื่องหนึ่งเริ่มจาก a เครื่องสองเริ่มจาก b เป็นต้น ฉะนั้นในข้อสามสมมุติว่าเขาใช้เวลาสามเดือนในการเจาะ แต่คุณมีรอบการเปลี่ยนรหัสผ่านที่สามเดือน พอใกล้จะเจาะได้คุณก็เปลี่ยนรหัสใหม่ไปแล้ว เลยทำให้การเจาะยากขึ้นไงครับ

ตรวจสอบได้อย่างไร

การตรวจสอบในจูมล่าทำไม่ยากครับ คุณลองดาวน์โหลดไฟล์ error.php ในโฟลเดอร์ logs มาเปิดดูแล้วจะเห็นข้อมูลที่บอกว่าชื่่อผู้ใช้หรือรหัสผ่านไม่ถูกต้องหลายๆ บรรทัด ยิ่งมากแสดงว่าคุณโดนโจมตีมากครับ ข้อมูลก็ประมาณนี้ครับ

#Fields: datetime	priority	category	message
2014-02-09T07:03:47+00:00	INFO	joomlafailure	Username and password do not match or you do not have an account yet.
2014-02-09T07:03:59+00:00	INFO	joomlafailure	Username and password do not match or you do not have an account yet.
2014-02-09T07:04:08+00:00	INFO	joomlafailure	Username and password do not match or you do not have an account yet.
2014-02-09T07:04:17+00:00	INFO	joomlafailure	Username and password do not match or you do not have an account yet.
2014-02-09T07:04:25+00:00	INFO	joomlafailure	Username and password do not match or you do not have an account yet.
2014-02-09T07:04:31+00:00	INFO	joomlafailure	Username and password do not match or you do not have an account yet.
2014-02-09T07:04:40+00:00	INFO	joomlafailure	Username and password do not match or you do not have an account yet.
2014-02-09T16:52:35+00:00	INFO	joomlafailure	Username and password do not match or you do not have an account yet.
2014-02-09T17:27:57+00:00	INFO	joomlafailure	Username and password do not match or you do not have an account yet.
2014-02-10T07:21:09+00:00	INFO	joomlafailure	Username and password do not match or you do not have an account yet.
2014-02-10T08:25:06+00:00	INFO	cookiefailure	ชื่อผู้ใช้นี้ไม่มี
2014-02-10T09:55:41+00:00	INFO	joomlafailure	Username and password do not match or you do not have an account yet.
2014-02-10T09:55:49+00:00	INFO	joomlafailure	Username and password do not match or you do not have an account yet.
2014-02-10T13:51:50+00:00	INFO	joomlafailure	Username and password do not match or you do not have an account yet.
2014-02-10T19:39:43+00:00	INFO	joomlafailure	Username and password do not match or you do not have an account yet.
2014-02-11T03:33:18+00:00	INFO	cookiefailure	รหัสผ่านไม่ได้ใส่
2014-02-11T03:33:31+00:00	INFO	cookiefailure	รหัสผ่านไม่ได้ใส่
2014-02-11T03:36:42+00:00	INFO	cookiefailure	รหัสผ่านไม่ถูกต้อง
2014-02-11T10:06:10+00:00	INFO	cookiefailure	รหัสผ่านไม่ถูกต้อง
2014-02-17T07:43:47+00:00	INFO	cookiefailure	ชื่อผู้ใช้นี้ไม่มี
2014-02-17T08:05:04+00:00	INFO	cookiefailure	ชื่อผู้ใช้นี้ไม่มี
2014-02-17T23:38:32+00:00	INFO	cookiefailure	ชื่อผู้ใช้นี้ไม่มี
2014-02-18T04:02:23+00:00	INFO	cookiefailure	รหัสผ่านไม่ถูกต้อง
2014-02-18T04:02:32+00:00	INFO	cookiefailure	รหัสผ่านไม่ถูกต้อง
2014-02-18T04:02:48+00:00	INFO	cookiefailure	รหัสผ่านไม่ถูกต้อง
2014-02-20T08:43:21+00:00	INFO	cookiefailure	รหัสผ่านไม่ได้ใส่
2014-02-25T10:25:44+00:00	INFO	cookiefailure	ชื่อผู้ใช้นี้ไม่มี
2014-03-11T17:08:31+00:00	INFO	cookiefailure	ชื่อผู้ใช้นี้ไม่มี
2014-03-12T13:02:13+00:00	INFO	cookiefailure	ชื่อผู้ใช้นี้ไม่มี
2014-03-19T06:46:11+00:00	INFO	cookiefailure	ชื่อผู้ใช้นี้ไม่ม

ถ้าคุณมีข้อความแบบนี้เยอะๆ แสดงว่าคุณเป็นเป้าหมายแล้วล่ะครับ ที่ผมเคยเจอและศึกษาจากข้อมูลด้วยพบว่า IP ที่พยายามเจาะทั้งหมดมาจาก จีนและรัสเซียครับ จากจีนมีมากที่สุด วิธีป้องกันก็มีครับโดยใช้ทั้งมาตรการในการทำงานกับระบบ และใช้เครื่องมือช่วยจำพวก Extension ต่างๆ เช่น Two Factor Authentication หรือ Captcha และ extension อย่าง AdmininExile นี่ผมก็ใช้อยู่ ไม่เชื่อลองเข้าหลังบ้านผมได้ครับ

comments