Breaking News

พบ Malware jQuery.min.php โจมตีเว็บไซต์นับพัน พร้อมแนวทางการตรวจสอบและป้องกัน

เมื่อ jQuery กลายเป็นเทคโนโลยีที่เหล่านักพัฒนาชอบเลือกใช้ การโจมตีด้วยการฝัง Script jQuery ปลอมในเว็บไซต์ต่างๆ เพื่อใช้ในการโจมตีจึงได้รับความนิยมและเริ่มแพร่ระบาด ดังนั้นเหล่านักพัฒนาและผู้ดูแลเว็บไซต์จึงควรหมั่นตรวจสอบการเปลี่ยนแปลงของโค้ดอยู่เสมอๆ โดยเฉพาะเว็บ WordPress และ Joomla ที่มักตกเป็นเป้าหมายของการโจมตีลักษณะนี้อยู่แล้ว โดยพฤติกรรมทั่วไปของการโจมตีด้วย Fake jQuery Injection มีดังนี้

Credit: ShutterStock.com
Credit: ShutterStock.com
  • เป้าหมายหลักของการโจมตีคือเว็บที่ใช้ WordPress และ Joomla โดยใน WordPress จะอยู่ที่ไฟล์ header.php ของ Theme และใน Joomla จะอยู่ใน index.php ของ Template
  • Script จะถูกฝังอยู่ก่อนการปิดแท็ก </head>
  • Script จะไม่ถูก Obfuscate เพื่อหลอกให้ผู้ดูแลเว็บไซต์ตายใจว่าเป็น Script ปกติ
  • Malware จะถูกฝังไว้ที่ /js/jquery.min.php
  • ยังมีบั๊กของ Script นี้ที่จะ Inject ตัวเองซ้ำเรื่อยๆ ทำให้พอจะใช้เป็นช่องทางในการตรวจสอบได้จากโค้ดที่ปรากฎซ้ำๆ จนผิดสังเกต และอาจ Inject ตัวเองผิดที่ เช่น Inject เข้าไปตรงส่วนของ Comment ที่มีคำว่า </head>

สำหรับผู้ที่อยากตรวจสอบว่าเว็บตัวเองถูกโจมตีหรือไม่ สามารถใช้ https://sitecheck.sucuri.net/ เข้าไปตรวจสอบได้ฟรีๆ ทันที

 

การป้องกันเว็บไซต์จาก Fake jQuery Injection

  • ลบโค้ดส่วนที่ถูก Inject เข้ามาออก
  • พยายามอัพแพทช์, อุดช่องโหว่ และค้นหาว่าถูกโจมตีเข้ามาผ่านการวาง Backdoor เอาไว้ที่ไหน
  • แก้รหัสผ่านของ User ในเว็บไซต์ทั้งหมด และลบ User แปลกปลอมออกไป
  • ลบ Plugin แปลกปลอมออก และอัพเดต Plugin ที่ใช้งานอยู่ให้หมด
  • หาทางป้องกัน Brute Force Attack เพื่อเดารหัสผ่านของ Admin
  • ใช้บริการ Web Application Firewall (WAF) เช่น https://sucuri.net/website-firewall/ ที่สามารถตรวจความพยายามในการเจาะช่องโหว่ และการทำ Brute Force ได้

 

ที่มา: https://blog.sucuri.net/2015/11/jquery-min-php-malware-affects-thousands-of-websites.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Source Code และ Credential ของธนาคาร Scotiabank รั่วบน GitHub นานนับเดือน

TheRegister ได้ออกมารายงานถึงกรณีที่ Source Code และ Credential ของธนาคาร Scotiabank ถูกเปิดเผยสู่สาธารณะบน GitHub เป็นเวลายาาวนานนับเดือน โดยมีการสันนิษฐานว่าเหตุนี้เกิดขึ้นจากการที่พนักงานของธนาคารนั้นตั้งค่าการทำงานของระบบผิดพลาด

พบช่องโหว่ใหม่กว่า 120 รายการบน Router และ NAS ยอดนิยม

รายงาน SOHOpelessly Broken 2.0 จาก Independent Security Evaluators (ISE) เปิดเผยว่า พบช่องโหว่ด้านความมั่นคงปลอดภัยใหม่รวมทั้งสิ้น 125 รายการบนอุปกรณ์ Router และ …