เว็บมัลแวร์ "imgaaa.net" (Web-Malware Spoofing Images )

Written on 1:51 PM by ปั้มเงิน Cookie Run

ว่าด้วยเรื่อง เว็บมัลแวร์ imgaaa.net ซึ่งกำลังระบาดอยู่ในตอนนี้ เชื่อว่าหลายๆเว็บกำลังเจอกันอยู่จนทำให้เว็บไม่สามารถเข้าได้ผ่าน Mozilla Firefox หรือ ถูกแจ้งว่าเป็นเว็บไซต์อันตรายจาก Google ซึ่งลักษณะการทำงานของ imgaaa.net จะมีลักษณะการทำงานเหมือน trojan หรือ sniffer ที่ค่อยดักข้อมูลการรับส่งผ่าน FTP ที่เรากำลังใช้งาน โดยเว็บหรือหน้าเพจที่ติด เว็บมัลแวร์ ตัวนี้จะถูกแทรกด้วย Code
<img border="0" heigth="1" src="http://imgaaa.net/t.php?id=36910902" width="1" />

โดยวิธีการแก้ หรือ ตรวจหาเว็บมัลแวร์ imgaaa.net  มีดังนี้
1. FTP เข้าสู่เว็บของท่าน

2. ทำการค้นหาไฟล์ "21.php" ถ้ามีเมื่อเปิดดูจะพบ Code<? eval(gzuncompress(base64_decode( ซึ่งมันจะทำการแพร่กระจายเว็บมัลแวร์ ดังกล่าวไปยังไฟล์ต่างๆ โดยไฟล์ที่โดนบ่อยคือไฟล์ Index.php,Index.html หรือ police.php ซึ่งมันจะทำการแทรก Code
<img border="0" heigth="1" src="http://imgaaa.net/t.php?id=36910902" width="1" /> ในบรรทัดสุดท้ายของไฟล์ที่โดน

3. วิธีการลบ หรือจัดการกับเว็บมัลแวร์ "imgaaa.net" นั้นทำได้โดยง่าย คือลบ Code ดังกล่าวออกไป หรือจะอัพโหลด ไฟล์เก่าที่มีขึ้นไปแทนก็ได้ แต่คนที่สามารถ PuTTY ไปที่ SV. ได้นั้น สามารถใช้คำสั่ง grep -lr imgaaa.net เพื่อทำการค้นหาไฟล์ที่ติดเว็บมัลแวร์ตัวนี้ได้ ซึ่งมันน่าจะสะดวกกว่าการเปิดหาเองทีละไฟล์

4. สุดท้ายถ้าเว็บคุณมีไฟล์ “.htaccess” อย่าลืมลองเปิดดูว่ามี Code RewriteRule ^(.*)$ /wp-admin/21.php?q=$1 อยู่หรือไม่ หากมีให้ลบออกไป เพราะไม่งั้นเว็บของคุณ อาจจะเข้าใช้งานไม่ได้ครับ

คำแนะนำ
สำหรับคนที่ใช้ CMS สำเร็จรูปควรมีการอัพเดพระบบอยู่เสมอ เพื่อแก้ไขช่องโหว่ต่างๆที่ถูกพบ และในกรณีที่ติด เว็บมัลแวร์ ไปแล้วก็ควรรีบแก้ปัญหาและเปลี่ยนรหัสผ่านการเข้าใช้ FTP ทันที เพราะเว็บมัลแวร์อาจเข้ามาแพร่กระจ่ายต่อผ่าน FTP ที่ตุณเข้าใช้ก็ได้....

Posted in grep, imgaaa.net, เว็บมัลแวร์

If you enjoyed this post Subscribe to our feed