Breaking News

พบ Malware jQuery.min.php โจมตีเว็บไซต์นับพัน พร้อมแนวทางการตรวจสอบและป้องกัน

เมื่อ jQuery กลายเป็นเทคโนโลยีที่เหล่านักพัฒนาชอบเลือกใช้ การโจมตีด้วยการฝัง Script jQuery ปลอมในเว็บไซต์ต่างๆ เพื่อใช้ในการโจมตีจึงได้รับความนิยมและเริ่มแพร่ระบาด ดังนั้นเหล่านักพัฒนาและผู้ดูแลเว็บไซต์จึงควรหมั่นตรวจสอบการเปลี่ยนแปลงของโค้ดอยู่เสมอๆ โดยเฉพาะเว็บ WordPress และ Joomla ที่มักตกเป็นเป้าหมายของการโจมตีลักษณะนี้อยู่แล้ว โดยพฤติกรรมทั่วไปของการโจมตีด้วย Fake jQuery Injection มีดังนี้

Credit: ShutterStock.com
Credit: ShutterStock.com
  • เป้าหมายหลักของการโจมตีคือเว็บที่ใช้ WordPress และ Joomla โดยใน WordPress จะอยู่ที่ไฟล์ header.php ของ Theme และใน Joomla จะอยู่ใน index.php ของ Template
  • Script จะถูกฝังอยู่ก่อนการปิดแท็ก </head>
  • Script จะไม่ถูก Obfuscate เพื่อหลอกให้ผู้ดูแลเว็บไซต์ตายใจว่าเป็น Script ปกติ
  • Malware จะถูกฝังไว้ที่ /js/jquery.min.php
  • ยังมีบั๊กของ Script นี้ที่จะ Inject ตัวเองซ้ำเรื่อยๆ ทำให้พอจะใช้เป็นช่องทางในการตรวจสอบได้จากโค้ดที่ปรากฎซ้ำๆ จนผิดสังเกต และอาจ Inject ตัวเองผิดที่ เช่น Inject เข้าไปตรงส่วนของ Comment ที่มีคำว่า </head>

สำหรับผู้ที่อยากตรวจสอบว่าเว็บตัวเองถูกโจมตีหรือไม่ สามารถใช้ https://sitecheck.sucuri.net/ เข้าไปตรวจสอบได้ฟรีๆ ทันที

 

การป้องกันเว็บไซต์จาก Fake jQuery Injection

  • ลบโค้ดส่วนที่ถูก Inject เข้ามาออก
  • พยายามอัพแพทช์, อุดช่องโหว่ และค้นหาว่าถูกโจมตีเข้ามาผ่านการวาง Backdoor เอาไว้ที่ไหน
  • แก้รหัสผ่านของ User ในเว็บไซต์ทั้งหมด และลบ User แปลกปลอมออกไป
  • ลบ Plugin แปลกปลอมออก และอัพเดต Plugin ที่ใช้งานอยู่ให้หมด
  • หาทางป้องกัน Brute Force Attack เพื่อเดารหัสผ่านของ Admin
  • ใช้บริการ Web Application Firewall (WAF) เช่น https://sucuri.net/website-firewall/ ที่สามารถตรวจความพยายามในการเจาะช่องโหว่ และการทำ Brute Force ได้

 

ที่มา: https://blog.sucuri.net/2015/11/jquery-min-php-malware-affects-thousands-of-websites.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Palo Alto Networks อัปเดตความสามารถให้ Prisma เน้น Security สำหรับ DevOps โดยเฉพาะ

Palo Alto Networks ได้ประกาศเพิ่มความสามารถหลายประการให้แก่ Cloud Native Security Platform (Prisma) ของตน ที่ตอบโจทย์ทีม DevOps ขององค์กรโดยเฉพาะ

[Guest Post] Microsoft Azure Security & Privacy

สำหรับบทความนี้จะพาทุกท่านไปทำความรู้จักกับเรื่องราวของ Security และ Privacy ใน Microsoft Azure กันครับ โดยสืบเนื่องจากช่วงเวลาที่ผ่านมาได้มี พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ออกมาและมีผลบังคับใช้แล้วเมื่อวันที่ 28 …