TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
เมื่อ jQuery กลายเป็นเทคโนโลยีที่เหล่านักพัฒนาชอบเลือกใช้ การโจมตีด้วยการฝัง Script jQuery ปลอมในเว็บไซต์ต่างๆ เพื่อใช้ในการโจมตีจึงได้รับความนิยมและเริ่มแพร่ระบาด ดังนั้นเหล่านักพัฒนาและผู้ดูแลเว็บไซต์จึงควรหมั่นตรวจสอบการเปลี่ยนแปลงของโค้ดอยู่เสมอๆ โดยเฉพาะเว็บ WordPress และ Joomla ที่มักตกเป็นเป้าหมายของการโจมตีลักษณะนี้อยู่แล้ว โดยพฤติกรรมทั่วไปของการโจมตีด้วย Fake jQuery Injection มีดังนี้
- เป้าหมายหลักของการโจมตีคือเว็บที่ใช้ WordPress และ Joomla โดยใน WordPress จะอยู่ที่ไฟล์ header.php ของ Theme และใน Joomla จะอยู่ใน index.php ของ Template
- Script จะถูกฝังอยู่ก่อนการปิดแท็ก </head>
- Script จะไม่ถูก Obfuscate เพื่อหลอกให้ผู้ดูแลเว็บไซต์ตายใจว่าเป็น Script ปกติ
- Malware จะถูกฝังไว้ที่ /js/jquery.min.php
- ยังมีบั๊กของ Script นี้ที่จะ Inject ตัวเองซ้ำเรื่อยๆ ทำให้พอจะใช้เป็นช่องทางในการตรวจสอบได้จากโค้ดที่ปรากฎซ้ำๆ จนผิดสังเกต และอาจ Inject ตัวเองผิดที่ เช่น Inject เข้าไปตรงส่วนของ Comment ที่มีคำว่า </head>
สำหรับผู้ที่อยากตรวจสอบว่าเว็บตัวเองถูกโจมตีหรือไม่ สามารถใช้ https://sitecheck.sucuri.net/ เข้าไปตรวจสอบได้ฟรีๆ ทันที
การป้องกันเว็บไซต์จาก Fake jQuery Injection
- ลบโค้ดส่วนที่ถูก Inject เข้ามาออก
- พยายามอัพแพทช์, อุดช่องโหว่ และค้นหาว่าถูกโจมตีเข้ามาผ่านการวาง Backdoor เอาไว้ที่ไหน
- แก้รหัสผ่านของ User ในเว็บไซต์ทั้งหมด และลบ User แปลกปลอมออกไป
- ลบ Plugin แปลกปลอมออก และอัพเดต Plugin ที่ใช้งานอยู่ให้หมด
- หาทางป้องกัน Brute Force Attack เพื่อเดารหัสผ่านของ Admin
- ใช้บริการ Web Application Firewall (WAF) เช่น https://sucuri.net/website-firewall/ ที่สามารถตรวจความพยายามในการเจาะช่องโหว่ และการทำ Brute Force ได้
ที่มา: https://blog.sucuri.net/2015/11/jquery-min-php-malware-affects-thousands-of-websites.html
