Breaking News

พบ Malware jQuery.min.php โจมตีเว็บไซต์นับพัน พร้อมแนวทางการตรวจสอบและป้องกัน

เมื่อ jQuery กลายเป็นเทคโนโลยีที่เหล่านักพัฒนาชอบเลือกใช้ การโจมตีด้วยการฝัง Script jQuery ปลอมในเว็บไซต์ต่างๆ เพื่อใช้ในการโจมตีจึงได้รับความนิยมและเริ่มแพร่ระบาด ดังนั้นเหล่านักพัฒนาและผู้ดูแลเว็บไซต์จึงควรหมั่นตรวจสอบการเปลี่ยนแปลงของโค้ดอยู่เสมอๆ โดยเฉพาะเว็บ WordPress และ Joomla ที่มักตกเป็นเป้าหมายของการโจมตีลักษณะนี้อยู่แล้ว โดยพฤติกรรมทั่วไปของการโจมตีด้วย Fake jQuery Injection มีดังนี้

Credit: ShutterStock.com
Credit: ShutterStock.com
  • เป้าหมายหลักของการโจมตีคือเว็บที่ใช้ WordPress และ Joomla โดยใน WordPress จะอยู่ที่ไฟล์ header.php ของ Theme และใน Joomla จะอยู่ใน index.php ของ Template
  • Script จะถูกฝังอยู่ก่อนการปิดแท็ก </head>
  • Script จะไม่ถูก Obfuscate เพื่อหลอกให้ผู้ดูแลเว็บไซต์ตายใจว่าเป็น Script ปกติ
  • Malware จะถูกฝังไว้ที่ /js/jquery.min.php
  • ยังมีบั๊กของ Script นี้ที่จะ Inject ตัวเองซ้ำเรื่อยๆ ทำให้พอจะใช้เป็นช่องทางในการตรวจสอบได้จากโค้ดที่ปรากฎซ้ำๆ จนผิดสังเกต และอาจ Inject ตัวเองผิดที่ เช่น Inject เข้าไปตรงส่วนของ Comment ที่มีคำว่า </head>

สำหรับผู้ที่อยากตรวจสอบว่าเว็บตัวเองถูกโจมตีหรือไม่ สามารถใช้ https://sitecheck.sucuri.net/ เข้าไปตรวจสอบได้ฟรีๆ ทันที

 

การป้องกันเว็บไซต์จาก Fake jQuery Injection

  • ลบโค้ดส่วนที่ถูก Inject เข้ามาออก
  • พยายามอัพแพทช์, อุดช่องโหว่ และค้นหาว่าถูกโจมตีเข้ามาผ่านการวาง Backdoor เอาไว้ที่ไหน
  • แก้รหัสผ่านของ User ในเว็บไซต์ทั้งหมด และลบ User แปลกปลอมออกไป
  • ลบ Plugin แปลกปลอมออก และอัพเดต Plugin ที่ใช้งานอยู่ให้หมด
  • หาทางป้องกัน Brute Force Attack เพื่อเดารหัสผ่านของ Admin
  • ใช้บริการ Web Application Firewall (WAF) เช่น https://sucuri.net/website-firewall/ ที่สามารถตรวจความพยายามในการเจาะช่องโหว่ และการทำ Brute Force ได้

 

ที่มา: https://blog.sucuri.net/2015/11/jquery-min-php-malware-affects-thousands-of-websites.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalk Webinar: อนาคตของ Payment และ Data Security โดย Thales และ Planet Communications Asia

TechTalkThai ขอเรียนเชิญ CTO, CIO, CISO, IT Manager, IT Security Manager, Business Manager, Security Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "อนาคตของ Payment และ Data Security โดย Thales และ Planet Communications Asia" เพื่อทำความรู้จักกับเทคโนโลยีด้าน Payment ที่ใช้งานอยู่ในปัจจุบันและกำลังจะถูกใช้งานในอนาคต พร้อมโซลูชันสำหรับการปกป้องระบบและข้อมูลด้าน Payment ให้มีความมั่นคงปลอดภัย ในวันจันทร์ที่ 3 สิงหาคม 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

Cloudflare รับมือกับ DDoS Attack ขนาด 754 ล้านแพ็กเก็ตต่อวินาที ด้วยระบบอัตโนมัติได้อย่างไร

Cloudflare ได้ออกมาเปิดเผยว่าตนถูก DDoS Attack หลายต่อหลายครั้งช่วงปลายมิถุนายนที่ผ่านมา ซึ่งความน่าประทับใจคือระบบอัตโนมัติสามารถจัดการการโจมตีขนาดสูงสุดกว่า 754 ล้านแพ็กเก็ตต่อวินาทีได้ตลอดความพยายามหลายรูปแบบกว่า 4 วันของคนร้าย โดยที่ทีมงานไม่ได้รับการเตือนจากระบบหรือเสียงบ่นจากลูกค้าว่ามีปัญหาด้วยซ้ำ