วิธีตรวจสอบเว็บไซต์ที่โดน Hack #15

เทคนิคนี้ ใช้ผ่าน Internet Information Services (IIS) Manager โดยการแก้ไข Request Filtering ในระดับ Web Server เลย โดยดำเนินการตามวิธีการต่อไปนี้

  1. เรียก Command ด้วย การกดปุ่ม Windows + R แล้ว พิมพ์ inetmgr แล้วกดปุ่ม Enter
  2. คลิกเว็บเซิร์ฟเวอร์ของเครื่องที่ต้องการใน Connection Tab (ตัวอย่างในภาพ คลิกที่ WUNCAWEBSEC)
  3. ต่อไป ภายใต้หัวข้อ IIS ให้ Double-Click ที่ Request Filtering
  4. คลิกที่ Rules tab
  5. เพิ่มกฏสำหรับ JCE Bot
    ซึ่ง ไม่ต้องการให้ PHP ทำงานภายใต้ URL ซึ่งมีข้อความว่า “images/stories”
    โดย ไปที่ Action ด้านขวามือ แล้ว คลิกที่ Add Filtering Rules …
    แล้วใส่ข้อมูลตามภาพ แล้วคลิกปุ่ม OK

  1. เพิ่มกฏสำหรับ Upload โฟลเดอร์
    ซึ่ง ไม่ต้องการให้ PHP ทำงานภายใต้ URL ซึ่งมีข้อความว่า “upload”
    โดย ไปที่ Action ด้านขวามือ แล้ว คลิกที่ Add Filtering Rules …
    แล้วใส่ข้อมูลตามภาพ แล้วคลิกปุ่ม OK
  2. ผลที่ได้ใน Rules tab

ทดสอบผลการทำงาน

สมมุติเดิมโดนวางไฟล์ Backdoor ไว้ที่

http://localhost/corin/images/stories/backdoor.php

แต่เมื่อตั้ง Rules ดังกล่าวแล้ว จะทำให้ Hacker ไม่สามารถเรียกใช้งาน PHP ที่วางไว้ใน images/stories ได้ โดยจะได้ Error เช่นนี้

วิธีนี้มีข้อดีคือ สามารถป้องกันการใช้งาน PHP ใน images/stories (และใน upload โฟลเดอร์) แต่ยังสามารถเรียกไฟล์ภาพและไฟล์อื่นๆได้ตามปรกติ เช่น

http://localhost/corin/images/stories/clownspin.gif

ลองใช้งานดูครับ 😉

1 comment for “วิธีตรวจสอบเว็บไซต์ที่โดน Hack #15

Leave a Reply