การจัดการกับ Malware jquery.min.php

fake download Jquery.min.php

มหาวิทยาลัยของเรา(ซึ่งร่วมถึงหลายๆ แห่ง) กำลังถูกแอบเจาะเข้าถึงเว็บไซต์ที่จัดทำด้วย Joomla และ WordPress (เวอร์ชั่นเก่าๆ ไม่เคย update เลย) เป้าหมายการโจมตีอย่างแรกคือการเข้าถึง Admin page ซึ่งจะทำให้ท่านถูกเปลี่ยนรหัสผ่าน และไม่สามารถเข้าใช้งานได้ ผลกระทบค่อนข้างรุนแรง การตรวจพบสามารถพบได้โดยบราวเซอร์เอง หรือ แอนติไวรัสประจำเครื่อง ผลคือจะทำให้บราวเซอร์ขึ้นเป็นหน้าแดงๆ บอกว่าไม่ปลอดภัยแถมไมให้เข้าเว็บของเราเอง และจะมีคนเมลล์หาท่านโทรหาท่านให้รีบจัดการถ้าไม่ทันการก็จะติดอยู่ใน Blacklist กันเลยทีเดียว(อันนี้เคลียร์กันยากหน่อย)
เจ้าตัวนี้มันคือ Scripts fake jquery เป็นภาษา Java scripts ที่จะถูกแอบเอาไปฝังในกลุ่ม add on ที่มาจาก Third party ของ Joomla และ Word press เช่น Template ซึ่งเป็นเป้าหมายแรก ไฟล์ที่จะติดมัลแวร์คือ index.php ไฟล์นี้จะถูกเอาโค้ดไปฝังไว้(เพราะตามการติดตั้งค่าปกติของไดเรคทอรี่นี้มันจะเขียนได้โดย Service ของเว็บเอง มันจึงเป็นต้นเหตุนึงได้)

ภาพตัวอย่าง code ที่ถูกฝังไว้ในเว็บของเรา
(ที่มา https://blog.sucuri.net)
การค้นหาคือการแสกนตัวไฟล์ index.php ว่ามีโค้ดแปลกปลอม ตัวอย่างเช่น http://………………………../js/jquety.min.php มันจะเป็น Script ยาวๆ อยู่ใกล้ๆกับแท็ค </head> ให้จัดกรลบออกไปเสีย จากนั้นให้ดำเนินการเปลี่ยนสิทธิ์การเขียนคือให้อ่านได้แต่ไม่ให้แก้ไขเพื่อแก้เฉพาะหน้ามิเช่นนั้นมันจะกลับมาในอีกไม่กี่นาทีเรียกว่าเร็วมาก จากนั้นให้ update Joomla wordpress ให้เป็น Version ล่าสุดหรือลองหา patch มาทำการแก้ไขป้องกัน เรื่องถัดมาคือเปลียนรหัสผ่าน Admin เพื่อป้องกันอีกชั้นหนึ่งแต่หากสายไปแล้วก็ต้องให้ admin host ช่วยรีเซ็ตรหัสผ่านให้แทน