×

คำเตือน

JFolder::create: Path not in open_basedir paths.

ตัว Blackhat SEO spam นี่ได้ยินชื่อมาประมาณ 3-4 ปีที่แล้วว่ามีการโจมตีไซต์จูมล่ามากพอสมควร การทำงานของมันก็คือ การที่ทำให้ไซต์ได้รับการอ้างอิงจากไซต์อื่นๆ คล้าย Back Link ซึ่งจะทำให้อันดับใน Search Engine อย่าง Google และ Yahoo สูงขึ้น (ช่วงหลังๆ การทำแบบนี้ก็ถูกลดคะแนนลงโดย Google เองเหมือนกันครับ จากการปรับอัลกอริทึม เพื่อป้องกันการโกง) แต่ที่นี้ Spam หรือ Malware ที่ว่านี่คือมันจะใส่โค้ดเข้าไปในเว็บไซต์ของเราผ่านช่องทางต่างๆที่มันจะหาได้ เมื่อตัวบ็อทของ Google ทำการอ่านตัวเว็บของเรามันจะเห็นว่ามีลิงค์กลับไปที่ไซต์ของแฮ็กเกอร์ครับ ทีนี้ถ้ามีเว็บที่ติด Malware เยอะมันก็เหมือนกับมีลิงค์ไปที่เว็บของแฮ็กเกอร์เยอะๆ ก็จะได้คะแนน SEO จาก Google มากขึ้น แรกๆ ผมก็ไม่่สนใจหรอกครับ จนไม่กี่วันมานี่ล่ะครับ ได้ประสบพบเจอกับตัวเอง

 ถึงแม้มันไม่ได้สร้างความเสียหายกับไซต์โดยตรง รวมทั้งไม่ได้ทำลายข้อมูล แต่ต้องกำจัดครับปล่อยไว้ไม่ได้

เจอได้อย่างไร

การเจอตัว Malware ตัวนี้เกิดจากการย้ายโฮสต์ครับ พอดีมีลูกค้าให้ช่วยทำการย้ายโฮสต์ให้ พอทำการอับโหลดเรียบร้อยก็ต้องทำการสแกนดูหน่อยทั้งในเรื่องของความเร็วในการโหลด และความปลอดภัย แต่พอมาสแกนเรื่องความปลอดภัยจาก http://sitecheck.sucuri.net ก็เจอฟ้องเลยครับว่ามีบางลิงค์ในเว็บเจอ มัลแวร์ (Malware) ตัวนี้มันคือ Blackhat SEO ครับ ลองเปิดดูตาม URL ก็ไม่มีอะไร ดูใน HTML (view source) ก็ปกติ เอ หรือว่าไอ้ sucuri มันรายงานมั่วๆ หว่า ลองหาดูใน Google บอกว่าให้ลองสแกนด้วย AVG ก็ลองดาวน์โหลดโค้ดมาแล้วสแกนดู ก็ไม่เจอ (ในบล็อกของ sucuri ก็มีเขียนไว้ว่าคุณอาจจะคิดว่าเรา หมายถึง succuri มั่วเพราะหาไวรัสไม่เจอ)

ลองดูๆ แล้ว หลายรอบก็ไม่เจอ ดาวน์โหลดมาน่าจะชัวร์ทำไม AVG ไม่เจอหว่า หาตัว Antivirus อื่นๆ ก็ไม่มี ตัดสินใจงั้นก็ลองเปิดดูในโค้ดแล้วกัน อ้อ แต่มีการใช้ Script ใน Linux ลองหาคำว่า eval ดูก็เจอหลายไฟล์เจอไฟล์นึงมีไฟล์ชื่อ index_backup.php เอ เราทำไว้หรือเปล่าหว่า ก็ไม่ค่อยได้สนใจ จริงการตรวจสอบก็ลองเรียกเว็บของเราผ่านทาง Curl ก็ได้ครับแล้วลองเปลี่ยน Browser Agent เป็น Google Bot ก็จะเจอครับว่ามันมีการติดจริงๆ แต่อยู่ตรงไหนมันอีกเรื่องครับ succuri เองก็ไม่ได้หาให้เรา

เจอจนได้

หลังจากผ่านมาหลายวันมีเวลากลับมาดูใหม่เลยไล่เปิดโฟลเดอร์ดูตัวไฟล์แปลกปลอมก็มาเจอในโฟลเดอร์ components ครับมีไฟล์ .htaccess และ index_php ที่เคยเจอเปิดดูก็เห็นเลยครับ มีการใช้งาน mod_rewrite กรณีที่ Browser Agent เป็นกลุ่ม Search Engine มันให้วิ่งไปที่ index_php ไม่ได้ทำไว้แน่ๆ และนี่หละครับคือ Blackhat SEO เท่่าที่ดูในอินเตอร์เน็ตเขาบอกว่าวิธีการของมันมีหลายวิธี อาจจะใส่เข้าไปในไฟล์หลายๆ ไฟล์ก็ได้เช่น configuration.php ในกรณีของผมนี่มันเพิ่มไฟล์เข้าไปครับ ไม่แน่ใจว่าทำได้ไง หรืออาจจะช่วงที่มีการอับเดตที่เปิดสิทธิโฟลเดอร์ 777 หรือเปล่า อ้อ ลืมบอกไปตัวจูมล่าตัวนี้เป็นเวอร์ชั่น 1.5.26 ยังมีปัญหาทางลูกค้าทำให้ยังไม่สามารถอัพเวอร์ชั่นได้ เนื่องจากเป็นเว็บสองภาษาที่ใช้จูมฟิช (joomfish) ดูไฟล์ที่ได้มานะครับ

ไฟล์ .htaccess ที่วางโดยมัลแวร์

ส่วนอีกไฟล์ฺหนึ่งเป็นหน้าตาคร่าวๆ ของไฟล์ที่ถูกสั่งให้ทำงานครับ

การแก้ไข

สำหรับการแก้ไขของผมในกรณีนี้ก็ง่ายแล้วครับ เนื่องจากเจอแล้วว่ามันอยู่ที่ไหนสำหรับการแก้คือ ให้ทำการลบไฟล์ .htaccess ในโฟลเดอร์ components ทิ้งไปรวมทั้ง index_backup.php ด้วย เท่านี้ก็หมดเรื่อง แล้วก็ลองทำการสแกนใหม่โดยการกด Force A Re-scan ที่อยู่ด้านล่างของรายงานจาก sucuri.net เพราะไม่งั้นมันจะเอาข้อมูลในแคชมาแสดงให้ดู

การสแกนซ้ำต้องกดที่ Force a Re-scan

ครับ นั่นคือทั้งหมดของการติดมัลแวร์ที่ชื่อว่า Blackhat SEO นับว่าสร้างปัญหาให้เราพอควร หากไม่ลบทิ้งไปอาจจะทำให้เราถูกขึ้นบัญชีดำโดยไม่รู้ตัวก็ได้ครับ ทางที่ดีผมแนะนำว่าเราควรสแกนเว็บไซต์ของเราบ่อยๆ ทุกๆ เดือนได้ยิ่งดีครับ

 

comments