เว็บโดน Hack ใครผิด (ลูกค้าหรือเจ้าของโฮส)

วันนี้ตื่นมาหน้าเสียแต่เช้าเลยครับ เพราะพี่ที่ดูแล VPS ของผมและของโรงเรียนปทุมวิไล คุย Msn มาว่า “เว็บโดน Hack หรือเปล่า ?” เพราะพี่เขาเห็นในหน้าเว็บของ www.pw.ac.th มี popup โฆษณาเด้งขึ้นมา ผมก็เลยไปตรวจสอบดู — ปรากฏว่า จริงด้วยครับ -*- อาการเดียวกับ www.bufilm.com


คำเตือน : ถ้าคุณจะนำวิธีการในบทความนี้ไปใช้สำหรับการแฮกหรือทำลายระบบคอมพิวเตอร์อย่างมีเจตนาร้ายและผิดกฏหมาย คุณต้องเป็นผู้รับผิดชอบสิ่งที่จะเกิดขึ้น ในฐานะผู้เขียนและบุคคลที่เกี่ยวข้องกับบทความนี้ จะไม่มีส่วนร่วมรับผิดชอบในการกระทำหรืออาชญากรรมที่คุณได้ก่อขึ้นโดยใช้วิธีและเครื่องมือที่ได้เขียนไว้ในบทความ เพราะบทความนี้มีเจตนาเพียงประการเดียวสำหรับผู้ที่สนใจในด้านความปลอดภัยของระบบ ที่ประสงค์จะป้องกันระบบเพื่อไม่ให้ตกเป็นเหยื่อของผู้ไม่หวังดีซึ่งทุกวันนี้มีจำนวนเพิ่มมากขึ้น เท่านั้น

หากจะจับขโมยให้ได้ ต้องคิดให้เหมือนขโมย แต่อย่าทำในสิ่งที่ขโมยจะทำ เพราะนั้น คือ ความผิด


ซึ่งผมก็แงะไปแงะมาก็เจอต้นตอ ซึ่งแท้จริงแล้วมันก็มาจาก webstats.motigo.com นั่นเอง
(ระบบเช็คสถิติ ของฟรีที่มักมีของแถมที่เราไม่ต้องการมาตลอด ทางที่ดีเขียนเองดีกว่านะ ^^)

โดยข้างล่างนี้ จะเป็นโค้ดเช็คสถิติของ webstats.motigo.com ที่ผมนำมาติดตั้งในหน้าเว็บอ่ะครับ

<script language=”JavaScript” type=”text/javascript” src=”http://m1.webstats.motigo.com/m.js”></script>
<script language=”JavaScript” type=”text/javascript”>
<!–
motigo_webstats(“AEOmiwbUSMW4xEVKb9cE_uTnxURA”, 0);
// –>
</script>
<noscript>
<a target=”_blank” href=”http://www.webstats.motigo.com/stats?AEOmiwbUSMW4xEVKb9cE_uTnxURA“>
<img src=”http://m1.webstats.motigo.com/n?id=AEOmiwbUSMW4xEVKb9cE_uTnxURA” border=”0″ width=”18″ height=”18″ alt=”Motigo Webstats – Free web site statistics Personal homepage website counter”/>
</a><br />
<a target=”_blank” href=”http://www.webstats.motigo.com/”>Free counter</a>
</noscript>

ดูจากโค้ดแล้ว ก็ไม่น่าจะมีอันตรายอะไร แต่ที่น่ารำคาณคือ มันบังคับให้แสดงโฆษณาสิครับ
ซึ่งถ้าขยันตามล่าไปอีก จะรู้บรรทัดที่เรียกให้มันทำงาน นั้นก็คือ บรรทัดแรกเลยครับ

<script language=”JavaScript” type=”text/javascript” src=”http://m1.webstats.motigo.com/m.js”></script>

ลองตัดออกก็จะรู้ว่าปัญหานี้หมดไป

ว่าแต่ ที่พูดมา มันเกี่ยวอะไรกับหัวข้อนี้ล่ะ 555+

เกี่ยวสิครับ เพราะสิ่งที่ผมจะบอกต่อไปนี้คือ สาเหตุหลักที่เว็บไซต์ต่างๆ โดน Hack
มาจากความผิดของลูกค้าที่ใช้บริการโฮส ไม่ใช่ความผิดของเจ้าของโฮสหรอก

เนื่องจากสาเหตุที่เว็บโดน Hack นั้นส่วนใหญ่ ลูกค้า ชอบอัพโหลดไฟล์จากเครื่อง
ที่ติดไวรัส และโทรจัน อีกประการเกิดจากเรื่อง Permission และสุดท้าย
เกิดจากการเปิดช่องโหว่ต่างๆ เช่นพวก WebApplication และ CMS เป็นต้น
ที่ลูกค้าชอบไปโหลดมาจากไหนไม่รู้ แล้วไม่ยอมตรวจสอบโค้ด ว่ามันมีอะไรแฝงมาไหม ?

ซึ่งผลที่ตามมาหลังจากถูก Hack คือ ลูกค้ามักจะโทษเจ้าของโฮส
โดยไม่ฟังเหตุผลที่เจ้าของโฮสพยายามจะอธิบายถึงหลักการต่างๆ

แต่ทุกปัญหามีทางแก้ครับ ลูกค้าที่ดี ควรเชื่อฟังคำแนะนำของเจ้าของโฮส
ก่อนอัพโหลดไฟล์ก็สแกนให้ดีๆก่อน และถ้าคิดจะใช้ WebAppilcation
ก็ควรตรวจสอบให้ดีก่อนว่ามีช่องโหว่อะไรไหม และไม่ควรดาวน์โหลดมาใช้มั่วซั่ว

ถ้าอยากจะใช้จริงๆ เขียนโค้ดขึ้นเองดีกว่าครับ และพยายาม Hack เว็บตัวเองให้เป็น
เพราะถ้าเรา Hack เว็บตัวเองได้
เราก็จะได้รู้ว่าเว็บเรามีช่องโหว่อะไรบ้าง จะได้นำไปแก้ไขและป้องกันได้

จำไว้ครับ คติประจำใจของผมคือ “Hack เพื่อป้องกันการถูก Hack” ลองไปใช้กันดูนะครับ

4 comments

  1. oop Reply

    ทำให้เข้าใจรายละเอียดมากเลย ขอบคุณมากครับพี่ 😈

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.