เมื่อลบไฟล์นั้นออกแล้วก็ลองมาลบ DIR /customer.ibc อีกครั้ง ก็พบว่ายังไม่หาย
จึงเข้าไปที่ Direct Admin เพื่อปฏิบัติการในระดับ root เป็นระดับที่สูงกว่าสิทธิใดๆ
เมื่อเปิดไฟล์ จาก DA (ย่้อจาก direct admin) พบว่า ไฟล์ที่ถูกสร้างขึ้นมานั้น ใช้ UID, GID เป็น Apache หมายถึงเป็น ตัวระบบนั่นเอง ซึ่งอาจเป็นสาเหตุหนึ่้งที่ไม่สามารถลบไฟล์ออกได้ จึงได้ทำการเปลี่ยน Owner ให้เป็น ไปตามสิทธิที่เราสามารถแก้ไขได้ ก็คือ UID,GID ของเราเอง โดยกดที่ลิ้งค์
Reset Ownership เพื่อแก้ไขสิทธิ
หน้าต่างแสดงผลการแก้ไขสิทธิ
หลังจากแก้ไขสิทธิหมดทุกไฟล์ที่อยู่ใน customer.ibc เรียบร้อยแล้วก็ทำการลบออก โดย ต้องลบออกใน DIR ที่ลึกที่สุดออกมา เนื่องจากไม่สามารถลบจาก DIR นอกได้เพราะมีไฟล์อยู่ด้านในด้วย เมื่อทำการลบดังภาพแล้ว พบว่าสามารถลบได้
จากนั้นก็ใช้ DA ตรวจสอบไฟล์ที่มีสิทธิเป็น Apache อื่นๆ ที่คาดว่าน่าจะเกิดจากการโจมตี โดยแก้ไขสิทธิและลบทิ้งไม่ให้เหลือซาก
จากนั้นลอง FTP เข้าไปดูอีกครั้งหนึ่ง พบว่า customer.ibc ได้หายออกไปจากระบบเรียบร้อยแล้ว
แต่ยังนิ่งนอนใจไม่ได้ ได้ลองเข้าไปตรวจสอบไฟล์ ที่มีการแก้ไข ภายใน 1 อาทิตย์ หรือมีการ modified ล่าสุด เพื่อให้แน่ใจว่า ไม่มี script ใดถูกดันแปลงแก้ไข
เพื่อให้ระบบกลับสู่สภาพปกติ
จบการรายงานการปรับปรุงแก้ไข phishing ณ วันที่ 11 มกราคม 2553 เวลา 20.10 น.
เพิ่มเติมในอีก domain หนึ่ง ที่อยู่ใน host เดียวกันกับที่โดน
phishing นี้ ยังมีไฟล์แอบแฝงอยู่ ที่พบเพิ่มเติมมี 2 ไฟล์ด้วยกัน ดังนี้
functilon.php | wp-content\uploads\2009\05
wp-lenks.php | wp-content\uploads\2009\05ซึ่งวิธีแก้ไขกฺ็คือลบมันทิ้ง รูปแบบการทำงานของไฟล์ เหมือนกับด้านบนไม่มีผิดเพี้ยน แสดงว่าเว็บของใครที่โดน
phishing ด้วยวิธีนี้ และ
host เองมีระบบป้องกันที่หละหลวม!! ขอเตือนเลยว่า เว็บไซต์ทุก domain ของคุณ ตกอยู่ใน
ภาวะติดเชื้อ ให้ทำงานล้างระบบใหม่ทั้งหมด (ถ้าเป็นไปได้) เนื่องจากมันจะมีไฟล์แอบแฝงอยู่มากมาย หากเป็นเว็บที่ทำงานด้วย CMS อาจจะดูยากหน่อย ผมแนะนำให้ อัพไฟล์ใหม่เข้าไปเลย แล้ว dump database เอา น่าจะง่ายกว่า
ส่วนเว็บที่เขียนขึ้นใหม่ น่าจะไม่ยากอะไร ลองดูไฟล์เปรียบเทียบ ระหว่างของเก่าและของใหม่ น่าจะช่วยแยกแยะได้ ว่าอันไหนคือไฟล์
phishing อันไหนเป็นไฟล์ของระบบ
จบการรายงานการปรับปรุงแก้ไข phishing ณ วันที่ 1 เมษายน 2553 เวลา 6.30 น.