ປະເພດໄພຄຸກຄາມ: Intrusion

ຂໍ້ມູນທົ່ວໄປ 

ເມື່ອ jQuery ກາຍ​ເປັນ​ເຕັກ​ໂນ​ໂລຊີທີ່​ເຫຼົ່າ​ນັກ​ພັດທະນາ​ມັກ​ເລືອກ​ໃຊ້ ການ​ໂຈມ​ຕີ​ດ້ວຍ​ການ​ຝັງ Script jQuery ປອມ​ໃນ​ເວັບ​ໄຊ​ຕ່າງໆ ເພື່ອ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ຈຶ່ງ​ໄດ້ຮັບ​ຄວາມ​ນິຍົມ ​ແລະ​ ເລີ່ມ​ແຜ່ລະ​ບາດ ດັ່ງ​ນັ້ນ​ເຫຼົ່າ​ນັກ​ພັດທະນາ ​ແລະ​ ຜູ້​ເບິ່ງແຍງ​ເວັບ​ໄຊ​ຈຶ່ງ​ຄວນ​ໝັ່ນ​ກວດ​ສອບ​ການ​ປ່ຽນ​ແປງ​ຂອງ​ໂຄ້​ດຢູ່ສະເໝີ ໂດຍ​ສະເພາະ​ເວັບ WordPress ແລະ Joomla ທີ່​ມັກ​ຕົກ​ເປັນ​ເປົ້າ​ໝາຍ​ຂອງ​ການ​ໂຈມ​ຕີ​ລັກສະນະ​ນີ້​ຢູ່​ແລ້ວ ໂດຍ​ພຶດຕິກຳ​ທົ່ວ​ໄປ​ຂອງ​ການ​ໂຈມ​ຕີ​ດ້ວຍ Fake jQuery Injection ມີ​ດັ່ງ​ນີ້

• ເປົ້າ​ໝາຍ​ຫຼັກ​ຂອງ​ການ​ໂຈມ​ຕີ​ຄື​ເວັບ​ທີ່​ໃຊ້ WordPress ແລະ Joomla ໂດຍ​ໃນ WordPress ຈະ​ຢູ່​ທີ່​ໄຟລ໌ header.php ຂອງ Theme ແລະ​ໃນ Joomla ຈະ​ຢູ່ໃນ index.php ຂອງ Template
• Script ຈະ​ຖືກ​ຝັງ​ຢູ່​ກ່ອນ​ການ​ປິດ​ແທັກ 
• Script ຈະ​ບໍ່​ຖືກ Obfuscate ເພື່ອ​ຫຼອກ​ໃຫ້​ຜູ້​ເບິ່ງແຍງ​ເວັບ​ໄຊ​ຕາຍ​ໃຈ​ວ່າ​ເປັນ Script ປົກກະຕິ
• Malware ຈະ​ຖືກ​ຝັງ​ໄວ້​ທີ່ /js/jquery.min.php
• ຍັງມີ​ບັກ (Bug) ຂອງ Script ນີ້ ​ທີ່​ຈະ Inject ຕົວ​ເອງ​ຊ້ຳ​ເລື່ອຍ​ໆ ເຮັດໃຫ້​ພໍ​ທີ່ຈະ​ໃຊ້​ເປັນ​ຊ່ອງ​ທາງ​ໃນ​ການ​ກວດ​ສອບ​ໄດ້​ຈາກ​ໂຄ້​ດ​ທີ່​ປາກົດ​ຊ້ຳ​ໆ ຈົນ​ຜິດ​ສັງເກດ ແລະ​ ອາດຈະ Inject ຕົວ​ເອງ​ຜິດ​ທີ່ ເຊັ່ນ Inject ເຂົ້າໄປ​ໃນສ່ວນ​ຂອງ Comment ທີ່​ມີ​ຄຳ​ວ່າ

ສຳລັບ​ຜູ້​ທີ່​ຢາກ​ກວດ​ສອບ​ວ່າ​ເວັບ​ຕົວ​ເອງ​ຖືກ​ໂຈມ​ຕີ​ ຫຼື ​ບໍ່ ສາມາດ​ໃຊ້ https://sitecheck.sucuri.net/ ເຂົ້າໄປ​ກວດ​ສອບ​ໄດ້​ຟຣີໆທັນ​ທີ

ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ 

  WordPress ແລະ Joomla 

ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ  

ການ​ປ້ອງ​ກັນ​ເວັບ​ໄຊຈາກ Fake jQuery Injection

• ລຶບ​ໂຄ້​ດສ່ວນ​ທີ່​ຖືກ Inject ເຂົ້າ​ມາ​ອອກ
• ພະຍາຍາມ​ອັບ​ແພັດ (patch), ອຸດ​ຊ່ອງ​ໂຫ່ວ ແລະ​ ຄົ້ນ​ຫາ​ວ່າ​ຖືກ​ໂຈມ​ຕີ​ເຂົ້າ​ມາ​ຜ່ານ​ການ​ວາງ Backdoor ເອົາ​ໄວ້​ບ່ອນ​ໃດ
• ແກ້ໄຂລະຫັດ​ຜ່ານ​ຂອງ User ໃນ​ເວັບ​ໄຊທັງ​ໝົດ ແລະ ​ລຶບ User ແປກປອມ​ອອກ​ໄປ
• ລົບ Plugin ແປກປອມ​ອອກ ແລະ ​ອັບ​ເດດ Plugin ທີ່​ໃຊ້​ງານ​ຢູ່​ໃຫ້​ໝົດ
• ຫາ​ທາງ​ປ້ອງ​ກັນ Brute Force Attack ເພື່ອ​ເດົາ​ລະ​ຫັດ​ຜ່ານ​ຂອງ Admin
• ໃຊ້​ບໍລິການ Web Application Firewall (WAF) ເຊັ່ນ https://sucuri.net/website-firewall/ ທີ່​ສາມາດ​ກວດ​ຄວາມ​ພະຍາຍາມ​ໃນ​ການ​ເຈາະ​ຊ່ອງ​ໂຫ່ວ ແລະ ​ການເຮັດ Brute Force ໄດ້

ເອກະສານອ້າງອີງ:

1. https://www.techtalkthai.com/jquery-min-php-malware-is-attacking-thousands-of-websites/