x
หน้าหลักสินค้าและบริการข่าวสารเว็บบอร์ดติดต่อเราสมาชิก

ประกาศ แจ้ง Security Issue ของ CMS Thai Nuke
เนื่องจาก ระบบ CMS ใน PHP NUKE นั้น เป็น ระบบ ที่ มาการ พัฒนามายาวนาน ทั้งนี้ ด้าน สายการ พัฒนา นั้น อาจมาจาก ทั่วโลก ซึ่งอาจก่อให้เกิด ช่องโหว่ ของระบบ

ประกาศ แจ้ง Security Issue ของ CMS Thai Nuke

 

เนื่องจาก ระบบ CMS ใน PHP NUKE นั้น เป็น ระบบ ที่ มาการ พัฒนามายาวนาน ทั้งนี้ ด้าน สายการ พัฒนา นั้น อาจมาจาก ทั่วโลก ซึ่งอาจก่อให้เกิด ช่องโหว่ ของระบบ ด้าน การ Injection, Crossing Site Script (การ ไปเรียก URL Malware หรือ ไป Attack ระบบ อื่นๆ) , ทั้งนี้ รวมไปถึง IFrame/Trojan/Malware ในรูปแบบ ต่างๆ ซึ่งมีทั้ง แบบ แสดง TAG และ Hidden TAG หรือ Java Script และ แบบ Code Base 64 Encoding 

 

ซึ่ง ทางเราได้ ทำการ สำรวจ และ พอว่า  90% น่ามาจาก ดังนี้

 

  1. Permission ของ Folder/files ที่ เปิด มากไป โดย FTP User ซึ่ง ใช้ 777 (Full control) ทั้งนี้ อาจทำให้ User นอกเหนือ จาก ระบบ เข้ามาทำการ แก้ไข files  ที่ ทำงานใน Permission 777 นี้ได้ โดยอาจมาจากการ แทรก Script เจอกัน บ่อยครั้ง
  2. Weakest FTP Password ( เป็นการตั้ง Password FTP ที่อ่อน เกินไป) ซึ่งอาจทำให้ โดยการ ขโมย password จาก Trojan ใน FTP Client ของ Webmaster หรือ PC ของท่านได้ และ ทำการ Auto upload script เองเมื่อท่านมีการ ต่อ Internet
  3. การไป Include URL ต่างๆ จาก ข้างนอก และ การ ใช้ TAG ที่ไป เรียก URL จาก ข้างนอกมาเป็น ส่วน หนึ่งใน Site ของท่าน

 

-          <iframe src=………………….</iframe>

-          <script src=……………………</script>

 

 

ทั้งนี้ ทางได้ เสนอแนวทาง ช่วยกันป้องกันดังนี้

 

  1. ด้าน Permission หาก files/Folder ไหน ที่ คิด ว่าไม่มีการ แก้ไข หรือ ไม่จำเป็น ที่เปิด permission 777 ก็ ให้ เปิด เป็น 755 หรือ เปิด 777 น้อยที่สุด เท่าที่ทำได้ หรือ จังทางเรา เพื่อ ให้เปลี่ยน Security owner folder เป็น apache เพื่อ เพิ่มความ Security แต่ ในทางกลับกัน User FTP ของท่าน อาจ เข้ามาแก้ไข FTP ใน folder ที่เป็น owner เป็น Apache แทน 777 ไม่ได้
  2. ทาง System Server นั้น ได้ มีการออก การใช้ Create FTP Account ด้วย Strong Password. โดยมีการ Random ผสม สำหรับลูกค้าใหม่ โดย จะ เป็น การผมสมความยากในการ ตั้ง Password ดังนี้

 

-          ตัวเลข 0-9

-          ตัวอักษร พิมพ์ใหญ่ A-Z

-          ตัวอักษรพิมพ์เล็ก a-z

 

ทั้งนี้ความยาวทั้งหมด จะ ไม่ต่ำกว่า  6 ตัวอักษร โดยหากท่านลูกค้า ทำการเปลี่ยน Password ด้วยตนเองจาก Control Panel นั้น ระบบ จะทำการตรวจสอบความ ยาก ง่าย ของ password ที่ท่านตั้ง หาก พบว่า มีความอ่อนหรือ ง่ายต่อการ เดา ระบบ จะ ไม่ยอมให้ท่านเปลี่ยน

 

สุดท้ายนี้ หาก ทางท่านไม่แน่ใจ ในปัญหา แจ้งทางเรา ทาง URL ตามด้านล่าง เพื่อเข้าสู่ระบบ Support “http://www.networkthai.co.th/support” ครับ โดยแจ้ง กลับทาง ระบบ Ticket ของทางเรา ทางเราจะ แก้ไขให้ ท่านและ Response กลับไป ผ่านทางระบบ เท่านั้น

ทั้งนี้หาก Site ของท่านมีการติด Trojan แบบ ต่างๆ ทางเราจะ ทำการ Auto และเปลี่ยน Password FTP ของท่านทันที และ จะ แจ้งกลับไปทาง Email ที่ท่านทำการ Register ในระบบการซื้อ หรือ แจ้ง ผ่านทาง ผู้ดูแล ในการ ซื้อ ของ ท่านต่อไป

 

ทางเราขอขอบคุณ ที่ วางใจในการใช้ บริการของเรา และ หวังเป็นอย่างยิ่งสำหรับ ข้อมูลของท่านเพื่อการพัฒนา ระบบ ต่อไป

วันที่ 17 พฤศจิกายน 2552 @ 08:02:23
เข้าชมแล้ว 245

0245551001090 
         

บริษัท เน็ตเวิร์คไทย คอมมูนิเคชั่น จำกัด เลขที่ประจำตัวผู้เสียภาษี 3033172713