เมื่อเว็บโดน Google ฟ้องเป็นเว็บอันตราย

ในช่วงหลายเดือนที่ผ่านมาพบกันบ่อยมาก เมื่อค้นหาเว็บไซต์บางแห่งแล้วมีข้อความแจ้งเตือนจาก Google ว่าเว็บไซต์นี้อาจเป็นอันตรายต่อเครื่องคอมพิวเตอร์ของท่าน (พวกเราชอบเรียกเว็บหน้าแดง) ผ่านมานานแล้วแต่ก็ยังมีคนถามมาที่ผมบ่อยๆ ตอบไปแล้วหลายรายนึกว่าจะหมดแล้ว แต่เมื่อสองสามวันก่อนก็ยังมีถามมาอีก เลยขอยกยอดมาตอบในนี้เลยก็แล้วกัน

หลายเว็บโดน hacker วางสคริปต์ไม่พึ่งประสงค์บนหน้าเว็บ ซึ่งบางครั้งก็อาจะโดนจากเว็บที่ใช้ CMS แล้วไม่อัพเดตเวอร์ชั่น แต่หลังๆ จะโดนจาก การขโมย User และ Password ของ FTP กันมากกว่า แล้วโดนมาจากอะไร ต้องทำความเข้าใจกันเสียก่อน

สำหรับท่านที่ใช้ Google เป็นเครื่องมือในการค้นหาข้อมูล เชื่อว่าหลายท่านคงจะเคยเห็นว่าบางครั้ง ในรายการผลลัพธ์ของการค้นหานั้น จะมีข้อความเตือนจาก Google ทำนองว่า เว็บไซต์นี้อาจเป็นอันตรายกับคอมพิวเตอร์ของคุณ ซึ่งถือว่าเป็นความอัจฉริยะของระบบมากๆ แต่สำหรับเจ้าของเว็บไซต์แล้ว ถือว่าเป็นเรื่องฝันร้าย และต้องบอกว่าเป็นฝันร้ายที่หลอกหลอนแม้กระทั่งยามตื่นเลยทีเดียว เพราะผลจากการเตือนดังกล่าวของ Google จะทำให้ยอดผู้เข้าชมของเว็บไซต์เราหายวูบลงไปในพริบตา เนื่องจาก Google เองจะไม่ส่งผลของการคลิกไปยังเว็บไซต์ให้ แต่จะแสดงหน้าเตือนแบบเต็มๆ ขึ้นมาแทนเพื่อเป็นการยืนยันถึงความอันตราย (ดังรูปบน)

ต้องบอกตามตรงว่า ถ้าเป็นเราเมื่อเจอแบบนี้ก็คงไม่กล้าที่จะเสี่ยงคลิกเข้าไปที่เว็บไซต์นั้นอย่างแน่นอน นอกเสียจากว่าเราเป็นเจ้าของเว็บไซต์นั้นเอง และรู้ดีว่าเว็บไซต์ของเราไม่ได้อันตราย น่ากลัวอย่างที่ Google แจ้งไว้

สาเหตุที่ทาง Google จำเป็นต้องขึ้นเตือนมาแบบนั้นก็เพราะว่า Server หรือ โฮสต์ที่เราฝากเว็บไซต์เอาไว้ หรืออาจจะเป็นที่เว็บไซต์ของเราเอง มีปัญหาบางอย่าง ทำให้เกิดมี Script แบบ iFrame มาฝังไว้ ซึ่งหากมีการเปิดเว็บไซต์นั้นขึ้นมา Script ที่ฝังอยู่ใน iFrame ก็จะไปเรียก หรือดาวน์โหลด อะไรบางอย่างลงมาที่เครื่องของผู้ชมที่เปิดดูเว็บไซต์นั้น เช่น Malware, ไวรัส ฯลฯ จากประสบการณ์ Script เหล่านี้ส่วนนึงจะมาจากพวก Hacker จากประเทศในแถบเอเซียด้วยกัน เช่น จีน ใต้หวัน และประเทศแถบตะวันออกกลาง

หลักการทำงาน

วิธีการของแฮกเกอร์ คือ หาเว็บที่มีช่องโหว่ที่สามารถเล็ดรอดเข้าไปได้ หรืออาจจะหาเครื่องคอมพิวเตอร์ที่ผู้ใช้งานนิยมชมชอบไปยังเว็บไซต์อโคจร (xxx) หรือชอบดาวน์โหลดซอฟท์แวร์ทั้งที่ฟรีและไม่ฟรี แล้วติดไวรัสจากไซต์นั้นหรือโทรจันหรือของฝากของเขา ส่วนใหญ่ที่พบมักจะมาจากไฟล์ crack หรือ keygen หรือไฟล์ game trainer ไฟล์พวกนี้มีไวรัส 99% หรือเสี่ยงต่อการมีสิ่งแอบแฝงโจมตีอยู่มากเท่าที่ได้ลองมา เมื่อได้ไฟล์มาไว้ในเครื่องแล้วมีการคลิกใช้งานไฟล์เหล่านี้ มันจะฝังสคริปต์ที่เป็น Trojan Horse หรือ ม้าโทรจันลงมาที่เครื่่องเรา ถ้าหากเราเป็นคนทำเว็บมันก็จะพยายามดักจับเอา User และ Password FTP ของเว็บเราส่งไปให้คนเขียนโปรแกรมนั้น

เมื่อได้ความลับไปแล้ว จากนั้นพวกแฮกเกอร์เหล่านี้ก็จะเข้าไปวาง code Iframe ในไฟล์ index.php ทำลิ้งก์เชื่อมต่อกลับไปยังเว็บของเขาเอง เพื่ออะไร? เพื่อให้ได้ Google rankings สูงๆ หรือไม่ก็ลิ้งก์ไปยังไฟล์ Trojan Horse เพื่อให้คนที่เปิดเว็บเราได้รับเชื้อติดต่อกันไปเรื่อยๆ หรือบางทีก็จะเป็นโปรแกรมเล็กๆ ที่ไปช่วยคลิ๊ก Google Ads ให้เข้าได้ค่าตอบแทนสูงๆ

ใครบ้างที่เสี่ยง

• หากคุณคือเจ้าของเว็บไซต์ โปรดตรวจสอบว่าคุณใช้สคริปต์ php รุ่นปัจจุบันหรือล่าสุดแล้วหรือยัง ผู้ให้บริการ hosting ของเรามีระบบติดตั้งสคริปต์ joomla, mambo, wordpress, magento ให้หรือไม่ ถ้าไม่ควรอัพเดทเองให้เร็วที่สุด
• หากคุณใช้โปรแกรมที่ crack มา และคุณเป็นคนทำเว็บที่ใช้ ftp ควรระมัดระวังและหมั่นตรวจสอบไวรัส สปายแวร์ภายในเครื่องอย่างสม่ำเสมอ

เว็บคุณโดนหรือยังตรวจสอบได้

• หากใช้บราวเซอร์ Firefox กด Ctrl+U
• หากใช้บราวเซอร์ IE 6 (ควรเปลี่ยนได้แล้ว อันตราย) คลิีก view >> view source
• หากใช้บราวเซอร์ IE8 คลิ๊ก page >> view source ดูว่า ล่างสุดของเว็บมี code ... หรือไม่ ถ้ามีก็โดนละครับ

ตัวอย่าง

มีคำสั่งสคริปต์ต่อท้ายด้วยคำว่า echo ??; ตรง ?? คือ URL แปลกๆ ซึ่งเราไม่ได้เขียน

หรืออาจจะเขียนเป็น Java ก็ได้สองภาพนี้แค่น้ำจิ้ม อาจจะมีแตกต่างจากนี้อีกเยอะ (เอาแค่ที่คัดลอกไว้เป็นตัวอย่างเมื่อหลายเดือนก่อน)

วิธีแก้ไข

• หาไฟล์ที่ Hacker เขียนสคริปต์ไว้ ส่วนใหญ่จะฝังอยู่ในไฟล์ชื่อ index.php แล้วลบ code สคริปต์ทิ้ง ทางที่ดีควรโหลดไฟล์บนเซิร์ฟเวอร์ลงมาทั้งหมดแล้วใช้โปรแกรมช่วยเขียนเว็บค้นหาและลบทิ้งให้หมด จากนั้นส่งกลับขึ้นไปทับไฟล์เดิม
• เปลี่ยนรหัสผ่าน ของ FTP โดยให้ใช้ ตัวอักษร ตัวเลข และตัวพิเศษ เช่น ^%$@^#% ประกอบกันเป็น รหัสผ่าน
• สแกนไวรัสบนเครื่องของเราให้หมด ถ้าใช้โปรแกรม Antivirus ที่ Hack มา ก็ถอนออกซะ แล้วใช้ระบบ Scan Online เช่น http://www.eset.com/onlinescan/ หรือ http://www.kaspersky.com/virusscanner
• ติดตั้งตัวกันไวรัสใหม่ที่ไม่เสียเงินหรือซื้อ เพราะไม่แพงไม่ถึงพันบาท http://www.free-av.com หรือ http://free.avg.com หรือ Clamwin Opensource Antivirus
• ถ้าเป็นไปได้อย่าบันทึกรหัสผ่าน FTP ไว้ที่โปรแกรม
• หากคุณใช้โปรแกรม FTP ที่ Crack มา ให้ใช้โปรแกรมฟรีๆ ดีๆ แทนเช่น FileZilla หรือ Winscp

ในส่วนของผู้ดูแลหรือเจ้าของเว็บไซต์เอง ก็ไม่ต้องตกใจ (แต่ต้องรีบแก้ไข) เพราะจริงๆ แล้วมันมีวิธีการที่จะทำให้ Google เอาคำเตือนดังกล่าวออกไปจากหน้าค้นหา และทำให้ผู้ชมสามารถคลิกเข้าไปยังเว็บไซต์ของเราได้ตามปกติ ในการที่จะให้ Google เอาข้อความเตือนดังกล่าวออก ก่อนอื่นเราต้องทำให้ Google รู้จักเราให้มากยิ่งขึ้นก่อน โดยการสมัครใช้บริการ Google Webmaster Tools ซึ่งเป็นบริการฟรี (มีเครื่องมือดีๆ ให้ใช้เพียบ) ในที่นี้ผมขอข้ามเรื่องวิธีการสมัครไปก่อนนะครับ เพราะต้องการจะบอกให้รู้ว่าเรามีวิธีการแก้ไขอย่างไร?

เมื่อสมัครใช้บริการ Google Web Master Tools และ Add ชื่อเว็บไซต์เข้าสู่ระบบ พร้อมทั้งยืนยัน (Verified) เรียบร้อย พอเราคลิกเข้าสู่ Dash Board ในส่วนการจัดการของโดเมนเรา ก็จะเห็นแถบสีแดงเตือนเลยว่า เว็บไซต์ของเรามีปัญหา พร้อมทั้งจะมีลิงค์ให้เราคลิก เพื่อยืนยันว่า เว็บไซต์ของเรา Clear แล้ว ไม่มีปัญหาตามที่แจ้งไว้ - ให้เราคลิกตรงนั้นเลย จากนั้นก็รอสัก 2-3 วัน ก็จะหาย แต่ต้องแน่ใจจริงๆ นะครับว่า เว็บไซต์เรา Clear จริงๆ ไม่งั้น แถบสีแดงก็จะเตือนอยู่อย่างนั้นไม่หายไปไหน

ส่วนวิธีการป้องกันไม่ให้เว็บไซต์ของเราโดนยิง Script ดังกล่าวนั้น ก็ต้องไล่กันไปถึงระบบการพัฒนา หรือการ Coding เลยครับ ต้องมีการป้องกัน หรือกรองค่าของตัวแปรก่อนที่จะส่งค่าตัวแปรไปใช้งาน สำหรับผู้ชมธรรมดาทั่วไป หากต้องการจะให้รอดพ้นจากไวรัสต่างๆ ที่ผ่านเข้ามาทางเว็บไซต์โดยที่เราไม่รู้ตัว ก็พยายามหลีกเลี่ยงเว็บไซต์ประเภท เว็บโป๊, เว็บฝากไฟล์ และให้ดาวน์โหลดไฟล์ เพราะเว็บไซต์เหล่านี้ 99% มักจะมีการฝัง Script เพื่อให้ระบบบางอย่างทำงานโดยที่เราไม่รู้ตัว ถือว่าเป็นของแถมมาให้ เช่น วันดีคืนดี (หลังจากที่ไปเว็บโป๊,ไปดาวน์โหลดไฟล์ฟรีมา) เครื่องของเราก็มีโฆษณาเข้ามาให้ดูแบบฟรีๆ โดยที่ไม่ได้ร้องขอ และมาเป็นระยะๆ แถมหาก็ไม่เจอ ถึงเจอก็ลบไม่ได้ ....

ถ้าแบบนี้ก็อย่าไปโทษเว็บไซต์นั้นเลยนะครับ โทษตัวเองดีกว่าที่ชอบของฟรี จนไม่ดูหน้าดูหลัง...คลิกดะ... กรอบหน้าต่างป็อบอัพนั้น ไม่ว่าจะมีปุ่ม Yes/No OK/Cancel ทุกปุ่มผลลัพธ์คือ Yes ทั้งหมด จงปิดมันที่ปุ่มกากบาทขวามือบนเท่านั้น

ถ้าสังเกตและหมั่นปรับปรุงบ่อยๆ จะไม่พบปัญหา ใช้ Firefox หรือ Google Chrome ดูเว็บแทน IE ดีกว่าจะได้รู้ว่าเว็บเราโดนหรือยัง? ไปอ่านเพิ่มเติมที่นี่นะครับ ถ้าแก้แล้ว Google ยังไม่ปลดเว็บไซต์อันตรายออกไป