ขอสอบถามท่านผู้รู้หรือมีประสบการณ์ หน่อยน่ะครับ
วันนี้เว็บผมเจอรีเฟรชแปลกๆ คือ counter ผม ปกติมันจะเก็บไอพี แล้วก็เก็บ link มาจากที่ไหน เช่น
119.42.88.139|http://www.scanhitech.com/SCH/ProductCat.aspx?ProTypeD=10|
แต่พอมาวันนี้เจอแบบนี้
66.230.230.230|acuee0ed4ac0b77c2b324c4fb42893afd49|
66.230.230.230|<ScRiPt|
66.230.230.230|>'><ScRiPt|
66.230.230.230|>"><ScRiPt|
66.230.230.230|</textarea><ScRiPt|
66.230.230.230|</title><ScRiPt|
66.230.230.230|--><ScRiPt|
66.230.230.230|email@some<ScRiPt|
66.230.230.230|<img src="JaVaScRiPt:alert(403800215401);">|
66.230.230.230|<DIV STYLE="width:expression(alert(404230228552));">|
66.230.230.230|<FRAMESET><FRAME SRC="JaVaScRiPt:alert(404240228552);"></FRAMESET>|
66.230.230.230|<META HTTP-EQUIV="refresh" CONTENT="0;url=JaVaScRiPt:alert(404260228552);">|
66.230.230.230|<embed src="http://testphp.acunetix.com/xss.swf?404280228552" type="application/x-shockwave-flash"/>|
93.186.127.171|;acunetix:expr/**/ession(alert(405300260314));|
93.186.127.171|</xss/*-*/style=xss:e/**/xpression(alert(405280260314))>|
66.230.230.230|cat /etc/passwd|
66.230.230.230|&cat /etc/passwd&|
91.206.27.119|<cat /etc/passwd|
91.206.27.119|.\\./.\\./.\\./.\\./.\\./.\\./etc/passwd|
91.206.27.119|..\..\..\..\..\..\..\..\etc/passwd|
91.206.27.119|/./././././././etc/passwd|
91.206.27.119|................etc/passwd|
97.107.132.48|268435455|
97.107.132.48|-268435455|
97.107.132.48|NULL|
97.107.132.48|0|
97.107.132.48|0x3fffffff|
97.107.132.48|0x80000000|
97.107.132.48|0xffffffff|
97.107.132.48|0x7fffffff|
97.107.132.48|-1.0|
85.214.73.63|/some_inexistent_file_with_long_name|
85.214.73.63|http://testphp.acunetix.com/acunetix_file_inclusion_test?|
79.111.164.153|;printf(md5(acunetix_wvs_security_test));exit;//|
ประมาณนี้ครับ มีอีกเยอะเลย มันคืออะไรหรอครับ (ตัวนับ counter นี้โหลดมาจากเว็บนี้เลยครับ ดัดแปลงนิดหน่อย
119.42.88.139|http://www.scanhitech.com/SCH/ProductCat.aspx?ProTypeD=10|
แต่พอมาวันนี้เจอแบบนี้
66.230.230.230|acuee0ed4ac0b77c2b324c4fb42893afd49|
66.230.230.230|<ScRiPt|
66.230.230.230|>'><ScRiPt|
66.230.230.230|>"><ScRiPt|
66.230.230.230|</textarea><ScRiPt|
66.230.230.230|</title><ScRiPt|
66.230.230.230|--><ScRiPt|
66.230.230.230|email@some<ScRiPt|
66.230.230.230|<img src="JaVaScRiPt:alert(403800215401);">|
66.230.230.230|<DIV STYLE="width:expression(alert(404230228552));">|
66.230.230.230|<FRAMESET><FRAME SRC="JaVaScRiPt:alert(404240228552);"></FRAMESET>|
66.230.230.230|<META HTTP-EQUIV="refresh" CONTENT="0;url=JaVaScRiPt:alert(404260228552);">|
66.230.230.230|<embed src="http://testphp.acunetix.com/xss.swf?404280228552" type="application/x-shockwave-flash"/>|
93.186.127.171|;acunetix:expr/**/ession(alert(405300260314));|
93.186.127.171|</xss/*-*/style=xss:e/**/xpression(alert(405280260314))>|
66.230.230.230|cat /etc/passwd|
66.230.230.230|&cat /etc/passwd&|
91.206.27.119|<cat /etc/passwd|
91.206.27.119|.\\./.\\./.\\./.\\./.\\./.\\./etc/passwd|
91.206.27.119|..\..\..\..\..\..\..\..\etc/passwd|
91.206.27.119|/./././././././etc/passwd|
91.206.27.119|................etc/passwd|
97.107.132.48|268435455|
97.107.132.48|-268435455|
97.107.132.48|NULL|
97.107.132.48|0|
97.107.132.48|0x3fffffff|
97.107.132.48|0x80000000|
97.107.132.48|0xffffffff|
97.107.132.48|0x7fffffff|
97.107.132.48|-1.0|
85.214.73.63|/some_inexistent_file_with_long_name|
85.214.73.63|http://testphp.acunetix.com/acunetix_file_inclusion_test?|
79.111.164.153|;printf(md5(acunetix_wvs_security_test));exit;//|
ประมาณนี้ครับ มีอีกเยอะเลย มันคืออะไรหรอครับ (ตัวนับ counter นี้โหลดมาจากเว็บนี้เลยครับ ดัดแปลงนิดหน่อย
ยังมีอีกหรอครับแค่นี้ผมก็ว่า สยองแล้วครับ
หรือไม่ก็มีคนมาช่วยหาจุดอ่อนของเว็บคุณให้ครับน่าจะมาจากเว็บนี้นะ ลองย้อยกลับไปดูก็ได้นิครับ
มันมาจากที่นี้เป็นเว็บแบบไหนเอ่ย?
http://www.acunetix.com/
อันนี้น่ากลัว
91.206.27.119|.\\./.\\./.\\./.\\./.\\./.\\./etc/passwd|
91.206.27.119|..\..\..\..\..\..\..\..\etc/passwd|
ตรวจดูละกัน ว่าบน server มีไฟล์แปลกปลอมหรือเปล่า ตรวจให้ทั่วทุก folder เลยนะ
ตรวจแล้ว เปลี่ยนรหัสผ่าน หลังตรวจทั้ง Server เลยนะ