สวัสดีครับวันนี้ผมก็มีเรื่องมาเล่าอีกแล้วแต่ขอเป็นเรื่องเกี่ยวกับเว็บไซด์หน่อยละกันครับ จากการที่ช่วงหลังๆเว็บไซด์ที่ผมดูแลอยู่เจอกับปัญหาการโจมตีเว็บไซด์ชนิดหนึ่งที่กลุ่มคนที่โดนจะรู้จักกันในชื่อ lizamoon attack ซึ่งเป็นการโจมตีด้วย SQL Injection (ข้อมูลเพิ่มเติมดูได้ใน Wikipedia ครับ) ชนิดหนึ่ง โดนกันทั่วโลกแล้วซึ่งแม้ว่าจะเกิดขึ้นมานานนับเดือนแล้วแต่ก็ยังมีเว้บไซด์ที่ยังโดนกันอยู่ครับ โดยวันนี้ผมจะมาแนะนำวิธีป้องกันเบื้องต้นให้กับผู้ที่ต้องการจะแก้ไขปัญหานี้ครับ
รูปภาพการโดนโจมตีแบบ lizamoon
การตรวจสอบหาว่าเว็บไซด์ที่เราทำอยู่โดนการโจมตีแบบนี้หรือไม่สามารถสังเกตง่ายๆดังนี้ครับ
1. เว็บไซด์ของคุณใช้ฐานข้อมูลด้วยหรือไม่ถ้าไม่ได้ใช้ ไม่ต้องกังวลครับ แต่ถ้าใช้ให้ตรวจสอบต่อข้อ 2
2. หน้าเว็บไซด์เราโหลดช้าผิดปกติไปหรือเปล่า
3. พบเห็นการโหลดไฟล์แปลกๆ โดย Web Browser รุ่นใหม่ๆจะแสดงว่าโหลดไล์อะไรบ้างในแถบล่างนะครับ สังเกตดีดี
4. พบเนื้อหาในเว็บถูกแทรกโดย script แปลกๆ โดย script ที่ว่างนั้นจะเรียกไฟล์ ur.php จากเว็บไซด์ที่เราไม่รู้จัก
ส่วนสุดท้ายหากใครต้องการเห็นชัดๆ มีโปรแกรมที่ช่วยตรวจสอบว่าเวลาเราเข้าเว็บไซด์นี้จะโหลดข้อมูลอะไรบ้างชื่อว่า fiddler2 ครับ สามารถโหลดได้ตามลิ้งครับ (โหลด fiddler 2) หลังจากโหลดมาแล้วก็ให้ติดตั้งได้ตามปกติครับ ถ้าหากเครื่องเราไม่มี Microsoft.NET Framework 2 โปรแกรมติดตั้งจะพาไปหน้าเว็บโหลดให้เราได้ทันทีครับ เมื่อลงเสร็จแล้วก็สามารถเปิดโปรแกรมเพื่อใช้งานได้ครับ
รูปภาพของโปรแกรม fiddler2
วิธีใช้งานให้เราเปิดโปแกรม fiddler2 ขึ้นมาหลังจากนั้นเข้าเว็บไซด์ปกติ จะพบว่าโปรแกรมมีการแสดงข้อมูลที่โหลดจากเว้บให้เห็นทุกไฟล์เลยครับ แค่นี้เราก็ตรวจสอบได้แล้วว่าเว็บเราจะพบกับเจ้าไฟล์นี้หรือไม่
วีธีแก้ไขครับ หลังจากที่เราพบ script lizamoon ในเว็บเรามีวิธีแก้ไขได้หลายแบบครับ ที่ผมทำคือเขียนโปรแกรมเช็ค script ตัวนี้แทนลบทิ้งครับ เป็นวิธีง่ายๆที่จะแก้ไขข้อมูลของเราให้เป็นปกติได้ก่อน แต่ถ้าใครจะใช้วิธี Restore Database ก็ทำได้ครับ
SQL Command เอาไว้ใช้หา Lizamoon ครับ
SELECT * FROM TABLE WHERE COLUMN like ‘%lizamoon script%’;
ส่วนวิธีป้องกัน มีหลายวิธีครับที่ผมศึกษาจากเว็บไซด์ต่างประเทศครับส่วนใหญ่จะต้องเช็ค SQL Command ว่ามี script แปลกๆแฝงอยู่ก่อนคำสั่ง Query ของเราเพื่อป้องกันการโจมตีประเภทนี้ครับ และอีกวิธีคือการอัพเกรด SQL Server ของเราให้เป็นรุ่น 2008 จะช่วยป้องกันได้ครับ
อาจจะไม่ละเอียดมาครับเพราะจะเลิกงานแล้ว หากมีอะไรเพิ่มเติมจะแจ้งไว้ส่วนท้ายข้องบทความนี้นะครับ