Tip:
Highlight text to annotate it
X
[เสียงเพลงบรรเลง]
MAILE OHYE: สวัสดีค่ะ ฉัน Maile Ohye
หลังจากชมชุดวิดีโอเกี่ยวกับ การกู้คืนไซต์ที่ถูกแฮกเรียบร้อย
ตอนนี้คุณพร้อมที่จะ ประเมินความเสียหายแล้ว
วิดีโอนี้ถูกปรับ ให้เหมาะกับผู้ที่
ได้รับข้อความว่า ไซต์ของคุณมีมัลแวร์
และผู้ที่พอจะมีความรู้ทางเทคนิค ในการดูซอร์สโค้ด
และการใช้คำสั่งในเทอร์มินัล
เพื่อช่วยและแชร์ความรู้ เรื่องการต่อสู้กับมัลแวร์
ฉันมีวิศวกรจากทีม Google Safe Browsing
Lucas Ballard มาร่วมด้วยค่ะ
Lucas Ballard: สวัสดี Maile
MAILE OHYE: ขอบคุณ ที่มาช่วยนะคะ
ตอนนี้เราได้ดู ภาพรวมของการแฮก
และรู้แล้วว่าไซต์ของเรามีมัลแวร์
เราพร้อมจะประเมินความเสียหาย
แต่ก่อนจะไปถึงตรงนั้น คุณช่วย
อธิบายได้ไหมว่า มัลแวร์คืออะไรกันแน่
LUCAS BALLARD: ได้ครับ
มัลแวร์เป็นคำศัพท์ทั่วไป ที่ใช้เรียกซอฟต์แวร์ที่เป็นอันตราย
ที่ออกแบบมาเพื่อทำอันตราย คอมพิวเตอร์หรือเครือข่าย
มัลแวร์รวมถึงพวกไวรัส เวิร์ม สปายแวร์
คีย์ล็อกเกอร์ และม้าโทรจัน
เพื่อปกป้องทุกคนบนเว็บ จากซอฟต์แวร์ที่เป็นอันตราย
ทีม Google Safe Browsing จะสแกนทั้งระบบอินเทอร์เน็ต
เพื่อหาหน้าที่เป็นอันตราย
เครื่องสแกนอัตโนมัติของเรา จะดูว่าหน้านั้นๆ มีมัลแวร์ไหม
โดยตรวจจับเนื้อหาที่เป็นอันตราย
ชื่อเสียงของผู้ดูแลเว็บ ไม่ใช่ปัจจัยในการสแกน
ถ้าไซต์ของคุณมีมัลแวร์ คุณไม่โดดเดี่ยวหรอกครับ
ทุกวันเราเจอเว็บไซต์ใหม่ ราว 10,000 ไซต์ที่มีมัลแวร์
MAILE OHYE: เป็นข้อมูล ที่มีประโยชน์มากค่ะ
คุณช่วยบอกตัวอย่างแบบชัดๆ ได้ไหมว่า
ไซต์ที่มีมัลแวร์เป็นอย่างไร
LUCAS BALLARD: แน่นอน
เมื่อไหร่ที่ไซต์ที่ถูกต้อง ถูกติดป้ายว่า "มีมัลแวร"
นั่นเพราะว่า Google
มั่นใจแล้วว่าเมื่อผู้ใช้ เข้าชมไซต์เหล่านี้
เบราว์เซอร์ของพวกเขา จะไปที่ไซต์อื่นโดยอัตโนมัติ
ซึ่งเป็นไซต์ที่ โจมตีเบราว์เซอร์
โดยทั่วไป เบราว์เซอร์จะไปที่ ไซต์โจมตีนี้
เพราะไซต์ที่ถูกต้องหรือแหล่งที่มา
ในไซต์ที่ถูกต้อง
ได้ถูกแก้ไขให้มีเนื้อหา จากไซต์โจมตี
เราเตือนผู้ใช้เรื่องหน้าที่มีมัลแวร์ เพราะหากผู้ใช้เข้าใช้
หน้าเหล่านี้ เนื้อหาในไซต์โจมตี
จะใช้ช่องโหว่ในเบราว์เซอร์ของผู้ใช้
เมื่อเบราว์เซอร์ถูกโจมตี ซอฟต์แวร์ที่เป็นอันตราย
จะถูกโหลดมาอยู่ในคอมพิวเตอร์ ของผู้ใช้โดยอัตโนมัติ
โดยที่พวกเขาไม่รู้ตัว
ซอฟต์แวร์ที่เป็นอันตราย อาจเป็นสปายแวร์ที่จะรวบรวม
ข้อมูลธนาคารของผู้ใช้ หรือเป็นมัลแวร์
ที่จะใช้คอมพิวเตอร์ของผู้ใช้ ในการส่งสแปม
ในคอมพิวเตอร์ที่ถูกโจมตี
แฮกเกอร์ได้เพิ่มโหนดอื่น
เข้าไปในเครือข่ายมัลแวร์ ซึ่งสามารถ
ใช้โจมตีคอมพิวเตอร์ หรือเว็บไซต์อื่น
MAILE OHYE: ตัวอย่างของคุณ ชัดเจนมากว่า
มัลแวร์แพร่เหมือนเชื้อโรคได้อย่างไร
ช่วยอธิบายได้ไหมคะ ว่าเจ้าของไซต์
จะรู้ได้อย่างไรว่า ไซต์ของพวกเขามีมัลแวร์
หรือมีส่วนทำให้ไซต์อื่น เป็นอันตราย
LUCAS BALLARD: ได้ครับ
Google Safe Browsing เปิดให้ ทุกคนอ่านข้อมูลนี้ได้แบบสาธารณะ
สำหรับผู้ใช้ทุกคน ไม่ว่าคุณจะเป็นเจ้าของไซต์
ที่ยืนยันแล้วหรือไม่ก็ตาม
มาดูแล็ปท็อปของเรา และลองเข้าไปที่หน้า
การวินิจฉัยของ Google Safe Browsing
ซึ่งอยู่ที่ www.google.com/safebrowsing/diagnostic?site=
จากนั้นเข้าไซต์ของคุณ
เช่น ผมจะเพิ่ม googleonlinesecurity.blogspot.com
ทีนี้คุณจะเห็นสถานะปัจจุบัน ของไซต์ และรู้ว่า
ผู้ใช้จะสามารถเข้าใช้หน้าต่างๆ ได้อย่างปลอดภัยไหม
ทีมของผมใช้เครื่องสแกน ที่มีหน้าที่บอก
ข้อมูลนี้
โชคดีที่บล็อกออนไลน์ ของเราปลอดภัย
ลองมาดูไซต์ที่มีมัลแวร์
จะได้ดูข้อมูลเพิ่มเติมว่า คุณจะได้เห็นอะไรบ้าง
ชนิดของข้อมูลที่คุณจะเห็นใน หน้าการวินิจฉัยของ Google Safe Browsing
คือสถานะปัจจุบันของไซต์ หมายถึง
ไซต์นี้น่าจะปลอดภัยไหม
หรือเป็นไซต์น่าสงสัย และเป็นอันตรายต่อผู้ใช้
ไซต์ที่มีมัลแวร์จะระบุไว้ อย่างชัดเจนว่าน่าสงสัย
ข้างล่าง คือสิ่งที่เกิดขึ้น เมื่อ Google เข้าใช้ไซต์
เราจะแสดงข้อมูลที่ละเอียดขึ้น
เช่น คุณจะเห็นว่า ไซต์โจมตีไซต์ไหน
ที่มาจากไซต์ของคุณ
คุณสามารถดูข้อมูล ของไซต์โจมตีได้ด้วย
และไซต์โจมตี ถูกใช้เป็นไซต์ที่โฮสต์มัลแวร์
เพื่อโจมตีผู้ใช้และ ดูว่าไซต์ของคุณถูกรวมเข้าไว้ใน
เครือข่ายมัลแวร์ที่ใหญ่กว่า
การคลิกที่ไซต์โจมตีหรือเครือข่าย
จะพาคุณไปดูข้อมูลเพิ่มเติม ภายใน Google Safe Browsing
ข้อมูลสุดท้ายในหน้านี้
จะแสดงว่าไซต์ของคุณ ถูกใช้เป็นสื่อกลาง
เพื่อทำอันตรายไซต์อื่น หรือเป็นโฮสต์ของมัลแวร์ไหม
MAILE OHYE: ขอบคุณค่ะ Lucas
ไปต่อกันเลย ตอนนี้เรารู้จักมัลแวร์แล้ว
คุณช่วยบอกได้ไหมว่า เราจะตรวจสอบความเสียหายของไซต์
อย่างปลอดภัยได้อย่างไร
LUCAS BALLARD: เป็นคำถามที่ดี
ผมดีใจที่คุณถาม
ก่อนจะดูหน้าต่างๆ ลบไฟล์ หรือแก้ไขอะไรในไซต์
มาดูเคล็ดลับเกี่ยวกับ การตรวจสอบมัลแวร์กันก่อน
อย่างแรก โปรดอย่าใช้เบราว์เซอร์
เปิดหน้าเว็บที่เป็นอันตราย
อย่างที่บอกไปแล้ว มัลแวร์
มักจะแพร่โดยใช้ ช่องโหว่ของเบราว์เซอร์
การเปิดหน้าเว็บที่มีมัลแวร์ ในเบราว์เซอร์
ก็เท่ากับหาปัญหาให้ตัวเอง
สอง สิ่งที่เป็นประโยชน์มากคือ การตรวจสอบโค้ดที่เป็นอันตราย
ที่เข้าถึงเซิร์ฟเวอร์ได้
เพราะมัลแวร์บางตัว ถูกกำหนดค่ามาเพื่อ
แสดงโดยอิงตาม ตัวแทนของผู้ใช้ คุกกี้ ผู้อ้างอิง
เวลาของวัน ระบบปฏิบัติการ หรือเวอร์ชันของเบราว์เซอร์
เป็นเรื่องดีที่คุณจะได้เห็น ซอร์สโค้ดที่แท้จริงของหน้า
เพื่อจะได้เข้าใจเนื้อหา
และพฤติกรรมของหน้าได้ดีขึ้น
สาม มีเครื่องมือที่เป็นประโยชน์ อยู่สองสามอย่าง
สำหรับการขอการวินิจฉัย HTTP หรือการดึงข้อมูลหน้า
สำหรับการประเมิน ความเสียหายของไซต์
เพราะแฮกเกอร์มักกำหนดค่า ให้มีการเปลี่ยนทิศทางจาก
หน้าที่ถูกต้องไปยังไซต์โจมตี การดูแค่ซอร์สโค้ดของหน้า
อาจไม่เพียงพอ ที่จะตรวจสอบการเปลี่ยนเส้นทาง
คุณจะต้องดึงข้อมูลหน้า ขึ้นมาจริงๆ
เครื่องมือที่มีประโยชน์ และใช้งานได้ฟรีมีสองอย่าง
คือ Wget และ cURL
ทั้ง Wget และ cURL จะส่งคำขอ HTTP
และสามารถกำหนดค่า เพื่อรวม อ้างถึง
ตัวแทนของผู้ใช้ หรือข้อมูลเบราว์เซอร์
ความสามารถเหล่านี้ จะช่วยเปิดเผย
เทคนิคซับซ้อนที่แฮกเกอร์ใช้
เพื่อหลีกเลี่ยงการตรวจจับ
เช่น แฮกเกอร์อาจกำหนดค่าไซต์
เพื่อเปลี่ยนเส้นทาง ไปยังเนื้อหาที่เป็นอันตราย
เมื่อมีการใช้ URL จากหน้าผลการค้นหา
หมายความว่า ถ้าผู้ใช้ค้นหาใน google.com
หน้าที่เขาต้องการดู จะรวมผู้อ้างอิงของ Google ด้วย
โดยการแสดงเนื้อหา ที่เป็นอันตรายเท่านั้น
ไปยังผู้ใช้พร้อมด้วย ผู้อ้างอิงของ Google
แฮกเกอร์มีเป้าหมายที่คนจริงๆ และสามารถป้องกัน
การตรวจจับจากผู้ดูแลเว็บ และเครื่องสแกนมัลแวร์
ได้ดีกว่า
การค้นหา Wget และ cURL
จะให้แหล่งข้อมูล ที่อธิบายการใช้ได้มากขึ้น
MAILE OHYE: สรุปสิ่งที่คุณพูด เมื่อครู่นะคะ
เมื่อตรวจสอบมัลแวร์บนไซต์คือ หนึ่ง
ไม่เปิดหน้าในเบราว์เซอร์
สอง ดูซอร์สโค้ดของหน้า ในระบบไฟล์
และสาม มองหาการเปลี่ยนเส้นทาง และตรวจสอบซอร์สโค้ด
ผ่าน Wget หรือ cURL
LUCAS BALLARD: ครับ เราดูหน้าการวินิจฉัยของ
Google Safe Browsing เพื่อดู
ว่ามัลแวร์ส่งผลอย่างไรกับไซต์ อย่างละเอียดกันไปแล้ว
สิ่งต่อไปที่จะดู คือส่วนของมัลแวร์
ในเครื่องมือของผู้ดูแลเว็บ
MAILE OHYE: ในฐานะ เจ้าของไซต์ที่ยืนยันแล้ว
ฉันจะลงชื่อเข้าใช้เครื่องมือผู้ดูแลเว็บ เลือกไซต์ของฉัน
การวินิจฉัย แล้วก็มัลแวร์
Lucas คุณช่วยบอกข้อมูลเพิ่มเติม
ที่ทีมของคุณแสดงในหน้านี้ได้ไหม
LUCAS BALLARD: แน่นอนครับ
หน้ามัลแวร์ประกอบด้วยปุ่มสองปุ่ม
ที่ด้านบน ตารางดาวน์โหลด และขอรับการตรวจสอบ
คุณจะใช้ปุ่มขอรับการตรวจสอบ
ได้เมื่อไซต์ปลอดมัลแวร์แล้ว
ก่อนจะไปถึงจุดนั้น เราจะ
ต้องประเมินความเสียหาย
ตารางในหน้านี้แสดงตัวอย่าง
ของ URL ที่มาจากไซต์ของคุณ
ประเภทของมัลแวร์ ที่เครื่องสแกนของเราระบุได้
และวันที่ล่าสุดที่มีการตรวจพบ
เมื่อคลิกที่ URL คุณจะมายังหน้ารายละเอียดมัลแวร์
พร้อมรายการการทำงานแบบเจาะจง
ตัวอย่าง URL บางรายการ ไม่ได้บอกประเภทของมัลแวร์
ในขณะที่เครื่องสแกน ระบุว่า URL นี้เป็นอันตราย
เราไม่สามารถระบุ พฤติกรรมแบบเจาะจงได้
ส่วนประเภทอื่นๆ ผมจะอธิบายรายละเอียด
ของมัลแวร์แต่ละประเภท ในวิดีโออื่นๆ ครับ
หลังจากตรวจสอบ URL ตัวอย่าง ในเครื่องมือของผู้ดูแลเว็บแล้ว
สิ่งสุดท้ายของขั้นตอนนี้
คือการประเมิน ความเสียหายทั่วไปของไซต์
MAILE OHYE: ค่ะ
การประเมินความเสียหายของระบบไฟล์ คือวิดีโอสุดท้าย
ที่จะดูสำหรับขั้นตอนนี้
การประเมินความเสียหายของระบบไฟล์
ช่วยให้คุณรวบรวมรายการไฟล์ที่ ถูกแก้ไขหรือเพิ่ม
โดยอาชญากรไซเบอร์ และทำความสะอาดในขั้นตอนต่อไป
ขอบคุณค่ะ Lucas
ทุกคนคะ สำหรับมัลแวร์แต่ละประเภทบนไซต์
โปรดดูวิดีโอของ Lucas ตามหัวข้อที่สอดคล้อง
เช่น การกำหนดค่าเซิร์ฟเวอร์ การแทรก SQL และเทมเพลตข้อผิดพลาด
เมื่อคุณตรวจสอบความเสียหาย จากมัลแวร์ทุกประเภท
บนไซต์แล้ว อย่าลืม
ประเมินระบบไฟล์ทั่วไป
เมื่อดำเนินการครบทุกอย่างแล้ว
ไปต่อที่ขั้นตอนต่อไป คือการระบุช่องโหว่
เราใกล้จะถึง ขั้นตอนการกู้คืนแล้ว
ติดตามต่อไปนะคะ