ชัยโย เว็บมหาวิทยาลัยหลุด malware ใน google.com

12 พ.ค.53 วันนี้ขณะร่วมประชุมวิพากษ์ระบบฐานข้อมูล 15 ระบบ และระบบข้อมูลส่วนบุคคลอีก 1 ระบบ ใจคอผมไม่สู้ดีนัก เพราะกังวลว่าเว็บมหาวิทยาลัยที่ติด black list เป็น malware ใน google.com ตั้งแต่วันอาทิตย์จะหลุดหรือไม่ เพราะวันจันทร์ และวันอังคารมี 2 อาการได้แก่ ผลสืบค้นใน google.com บอกว่าเป็นเว็บอันตราย เมื่อเปิดด้วย firefox ก็ติด block ซึ่ง google.com แนะนำว่า พิมพ์ url ไปเลยถ้าคิดว่าปลอดภัย หรือแก้ security preference ของ firefox
     การแก้ไขเริ่มตั้งแต่เช้าวันจันทร์ด้วยการลบ malware ออกจาก server ตัวหนึ่ง ซึ่งติดเฉพาะ root directory และพบว่า server อีกตัวหนึ่ง หมดอายุต้องปลดประจำการอย่างไม่มีทางเลือก หลังจากแก้ไขจนมั่นใจว่าเครื่อง server ที่ติด malware สะอาดแล้วเข้า webmasters tools ของ google.com เพื่อส่ง request ให้ทาง google.com ตรวจสอบอีกครั้ง เช้าวันอังคารไม่พบว่ามีการเปลี่ยนแปลงผลการสืบค้นยังพบปัญหาเหมือนเดิม และพบว่า firefox ได้ block เว็บเราทุกเครื่อง จึงตรวจเครื่องทุกตัวและไม่พบปัญหาใดเลย จึงตัดสินใจขอ request เครื่องบริการหลักเพิ่มอีก 1 ตัว เพราะการส่ง request จำเป็นต้อง verify กับเครื่องบริการ เพื่อแสดงตนเป็นเจ้าของ ในเช้าวันพุธก็ยังพบปัญหาคิดว่าจะส่ง request จากเครื่องบริการเพิ่มอีก 2 ตัว แต่ติดประชุม หลังประชุม จึงทำการ verify เครื่องบริการเพิ่ม 2 ตัว แล้วส่ง request รวมเป็นการส่ง request จากเครื่องบริการทั้งหมด 4 ตัว ให้ทาง google.com ได้ตรวจสอบ .. แต่ส่งประมาณ 10 ครั้งเพราะไม่มี message ค้างไว้ว่าส่งแล้วกี่ครั้ง
     เว็บไซต์และเครื่องบริการเว็บทุกตัวกลับมาเป็นปกติในคืนวันพุธ อาจเป็นได้ 2 กรณี คือ 1) google.com เปลี่ยนนโยบายการตรวจสอบเราจึงเข้าคิวนานกว่าเดิม และผลการส่ง request ตั้งแต่วันจันทร์เช้ามีผลแล้ว แต่เรากังวัลจึงดำเนินการอย่างต่อเนื่องกับทุกเครื่อง และการแก้ไขไม่ได้แก้ครั้งเดียวเปลี่ยนทั้งระบบ เพราะเช้าวันพุธพบว่าปัญหาใน firefox หายไป 2) การส่ง request ในหลายเครื่องบริการอาจไปปลดล๊อกปัญหาที่ซ่อนบ่มแล้ว  google.com ก็เข้ามาดำเนินการภายใน 8 ชั่วโมง เพราะเครื่องบริการ 2 ตัวหลักมีตัวหนึ่งเคยรั่ว แม้ไม่พบรอยรั่วเดิม แต่แฟ้มที่เป็นแหล่ง verify กับ google.com ถูกลบไป
     มีเว็บไซต์ที่พบปัญหาลักษณะเทียบเคียงได้กับของมหาวิทยาลัยให้ได้ติดตามคือ yuparaj.ac.th rajapark.ac.th qc.ac.th pccl.ac.th crc.ac.th cpru.ac.th bodin2.ac.th tepleela.ac.th (JS/Pegel.79003) หลังจากเราหลุดจาก malware จึงส่งข้อความแจ้งให้เพื่อนใน facebook ได้ทราบ ประกอบด้วย
http://www.facebook.com/profile.php?id=100000116337120
http://www.facebook.com/profile.php?id=100000116786880
http://www.facebook.com/profile.php?id=100000136205941
http://www.facebook.com/profile.php?id=100000171866090
http://www.facebook.com/profile.php?id=100000371778383
http://www.facebook.com/profile.php?id=100000390372326
http://www.facebook.com/profile.php?id=100000651045886
http://www.facebook.com/profile.php?id=100000865597335
http://www.stopbadware.org/home/reportsearch

Author: บุรินทร์ รุจจนพันธุ์

I am Lecturer, Developer, Researcher, Columnist, Writer, Photographer, and Webmaster - L@mpang man

Leave a Reply