คลังเก็บป้ายกำกับ: เว็บไซต์

ตำรวจหลายชาติจับมือกับยักษ์ใหญ่ด้านไอที ยึดโดเมนเว็บมืดรับจ้างยิง DDoS

กระทรวงยุติธรรมสหรัฐฯ แถลงผลสำเร็จของปฏิบัติการปราบปรามเว็บไซต์ที่รับจ้างยิง DDoS หรือที่เรียกว่า DDoS-for-hire ยอดนิยมกว่า 15 เว็บ ซึ่งเว็บเหล่านี้รับจ้างทั้งแฮ็กและโจมตีแบบ DDoS ตามออเดอร์ ทั้งเหยื่อที่เป็นบุคคลทั่วไป และธุรกิจต่างๆ ซึ่งมีทั้งยักษ์ใหญ่ด้านผู้พัฒนาเกม, ผู้ให้บริการระบบอีเมล์, และเว็บโฮสติ้ง

ปฏิบัติการครั้งนี้เป็นความร่วมมือระหว่าง FBI, ตำรวจเนเธอร์แลนด์, และหน่วยปราบปรามอาชญากรรมแห่งชาติของสหราชอาณาจักร โดยได้รับความช่วยเหลือจากยักษ์ใหญ่ด้านไอทีระดับโลก เช่น Google และบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง Flashpoint และ Cloudflare

เว็บมืดเหล่านี้เปิดให้ผู้ใช้บริการชำระผ่านบิทคอยน์ด้วยราคาถูกสุดๆ ซึ่ง FBI ได้ทดสอบบริการเหล่านี้และมีหลักฐานชี้ชัดที่เอาผิดกับเว็บไซต์เหล่านี้ได้ และพบว่าเว็บพวกนี้มีความสามารถในการโจมตีหรือสร้างความปั่นป่วนแก่เครือข่ายได้ทุกระดับ ตัวอย่างเว็บที่โดนยึดโดเมนได้แก่ anonsecurityteam[.]com, booter[.]ninja, bullstresser[.]net, critical-boot[.]com, defcon[.]proเป็นต้น

ทางกระทรวงยุติธรรมยังได้ออกหมายจับผู้ต้องสงสัย 3 คนที่อยู่เบื้องหลังเว็บไซต์รับจ้างยิง DDoS สองแห่งอันได้แก่ Downthemและ Ampnodeด้วย ที่สำคัญ FBI ได้เข้าถึงฐานข้อมูลของผู้ที่เคยใช้บริการของเว็บเหล่านี้แล้วด้วย (น่าจะเตรียมไล่เช็คบิลทีหลัง) ก่อนหน้านี้เมื่อเมษายนที่ผ่านมาก็มีการจับกุมเว็บรับยิง DDoS ชื่อดัง Webstresser.org ที่คิดค่าบริการเพียงแค่ 18 ดอลลาร์สหรัฐฯ เท่านั้นด้วย

from:https://www.enterpriseitpro.net/authorities-seize-15-popular-ddos-for-hire-websites/

Advertisements

แพทช์ด่วน! ปลั๊กอินเว็บ WordPress ชื่อดังอย่าง WooCommerce ถูกแฮ็กแล้ว!

นักวิจัยจาก RIPS Technologies GmbH ค้นพบช่องโหว่บน WooCommerce ซึ่งเป็นปลั๊กอินยอดนิยมสำหรับสร้างระบบร้านค้าออนไลน์หรืออีคอมเมิร์ซบนแพลตฟอร์ม WordPress ที่เปิดให้แฮ็กเกอร์ได้สิทธิ์ผู้ใช้ที่สามารถเข้าควบคุมเว็บไซต์ได้อย่างเต็มที่

ปัจจุบันมีร้านค้าออนไลน์ที่ใช้ WooCommerce อยู่คิดเป็น 35% โดยถูกติดตั้งไปแล้วกว่า 4 ล้านครั้ง สำหรับช่องโหว่นี้ นักวิจัยได้ทำวิดีโอแสดงวิธีการเปลี่ยนระดับผู้ใช้บน WooCommerce ให้อยู่ในฐานะผู้จัดการร้านหรือ “Shop Manager” เพื่อรีเซ็ตรหัสผ่านของแอดมิน จนสามารถเข้าควบคุมเว็บไซต์ของเหยื่อได้อย่างสมบูรณ์

ทั้งนี้เนื่องจากเมื่อติดตั้งเอ็กซ์เทนชั่น WooCommerce นั้น จะมีการสร้างบัญชีผู้ใช้ “Shop Manager” ที่มีการเปิดฟังก์ชั่นที่เรียกว่า “edit_users” ตามมาด้วย ทำให้สามารถใช้บัญชีนี้แก้ไขข้อมูลผู้ใช้ที่เป็นลูกค้าเพื่อจัดการคำสั่งซื้อ, แก้ไขข้อมูลโปรไฟล์, ไปจนถึงข้อมูลผลิตภัณฑ์ต่างๆ ได้ ซึ่งฟังก์ชั่นดังกล่าวบนเวิร์ดเพรสนั้นก็สามารถแก้ไขหรือรีเซ็ตรหัสผ่านแอดมินได้ด้วยเช่นกัน

แม้โดยเผินๆ WooCommerce จะมีการป้องกันไว้ระดับหนึ่ง แต่เมื่อแอดมินของเวิร์ดเพรสปิดการทำงานของปลั๊กอินดังกล่าว ก็จะปลดการป้องกันดังกล่าวได้ด้วย ทำให้บัญชี Shop Manager แก้ไขบัญชีแอดมินของเวิร์ดเพรสได้ ซึ่งแฮ็กเกอร์สามารถใช้ช่องโหว่ที่เรียกว่า File Deletion บน WooCommerce ปิดการทำงานของปลั๊กอินผ่านบัญชี WooCommerce อีกทอดหนึ่ง

ที่มา : Thehackernews

from:https://www.enterpriseitpro.net/woocommerce-wordpress-hacking/

ดาวน์โหลดฟรี ! WordPress 4.9.8 พร้อมกับอะไรๆ ที่เพิ่มเติมมากขึ้น

สำหรับสาวกชาว WordPress ได้เฮอีกรอบ ตอนนี้ทางผู้พัฒนาก็ได้ออกเวอร์ชันใหม่มาให้อัพเดตกันแล้วเป็นรุ่น 4.9.8 ซึ่งมาพร้อมกับคุณสมบัติมากมาย รวมถึงการปรับปรุงด้านความปลอดภัยอีกหลายแขนง เราลองไปดูกันว่าเวอร์ชันนี้มีอะไรใหม่ๆ กันบ้าง

บันทึกร่าง และการตั้งเวลาเผยแพร่ดีไซน์

ใช่แล้ว คุณอ่านไม่ผิดหรอก เช่นเดียวกับการเขียนเรื่อง (Posts) ที่สามารถบันทึกแบบร่าง แก้ไข และตั้งเวลาการเผยแพร่ ตามวันและเวลาที่ต้องการได้ ขณะนี้คุณสามารถปรับแต่งเว็บไซต์ตามอย่างที่ต้องการ และกำหนดได้ว่าจะเผยแพร่ดีไซน์นั้นเมื่อไรก็ได้

การทำงานร่วมกัน ด้วยลิงก์สำหรับดูตัวอย่าง

บางทีคุณก็อยากฟังความคิดเห็นของผู้อื่น ที่มีต่องานดีไซน์ที่คุณออกแบบไว้ใช่หรือไม่? ใน WordPress รุ่น 4.9 คุณสามารถสร้างลิงก์สำหรับดูตัวอย่าง และส่งต่อให้กับเพื่อนร่วมงาน และลูกค้า เพื่อให้สอบถามความคิดเห็นจากพวกเค้าได้ รวบรวมข้อมูลเหล่านั้น นำไปปรับปรุงดีไซน์ ก่อนที่จะตั้งเวลาการเผยแพร่ในภายหลัง นี่เราจะเรียกสิ่งนี้ว่าเป็นการยกระดับการทำงานเป็นทีมได้เลยมั้ยนะ?

คลังวิดเจ็ตแบบใหม่

แผนการพัฒนาสามารถของการจัดการสื่อที่ถูกร่างไว้ตั้งแต่ WordPress 4.8 ตอนนี้คุณสามารถเพิ่มวิดเจ็ตที่เป็นคลังสื่อได้แล้ว!

กดปุ่ม เพิ่มไฟล์สื่อ

ต้องการจะเพิ่มไฟล์สื่อในวิดเจ็ตแบบข้อความใช่หรือไม่? วิธีการที่แสนเรียบง่าย แค่เพียงกดปุ่มเพิ่มไฟล์สื่อ คุณก็สามารถแนบรูป, วีดีโอ และไฟล์เสียงเข้าไปในวิดเจ็ต ท่ามกลางตัวอักษรได้เลย เย่!

การสับเปลี่ยนธีมมีความเที่ยงตรงขึ้น

เมื่อคุณสับเปลี่ยนธีม บางครั้งวิดเจ็ตที่คุณตั้งค่าไว้อาจจะถูกย้ายหรือเปลี่ยนแปลงตำแหน่ง ใน WordPress 4.9 เราได้พัฒนาให้มีความเที่ยงตรง การเปลี่ยนธีมใหม่จะไม่มีผลกระทบกับเมนู และวิดเจ็ตอีกต่อไป นอกเหนือจากนี้ คุณสามารถดูตัวอย่างธีมที่ได้ติดตั้ง หรือเริ่มตั้งแต่การดาวน์โหลด ติดตั้ง และดูตัวอย่างธีมได้ผ่านทางด้านขวา ไม่มีอะไรจะมีดีไปกว่า การที่คุณสามารถดูตัวอย่างก่อนที่จะใช้งานจริงได้

การแจ้งเตือน เพื่อป้องกันงานหาย

คุณเคยต้องละจากโต๊ะทำงาน โดยยังไม่ได้บันทึกค่าการปรับแต่งฉบับร่างของคุณมั้ย? ไม่ต้องกังวลอีกต่อไป เมื่อคุณกลับมา WordPress 4.9 จะถามคุณว่าคุณต้องการจะบันทึก การปรับแต่งที่ยังไม่ได้รับการบันทึกหรือไม่

สำหรับผู้ที่ใช้ wordpress อยู่แล้วก็อัพโหลดได้เลย ส่วนผู้ที่ยังไม่เคยใช้ก็ดาวน์โหลดได้ที่นี่ Download 

from:https://www.enterpriseitpro.net/download-wordpress-4-9-8/

เราท์เตอร์ MikroTik หลายพันเครื่องถูกแฮ็กเพื่อดักทราฟิก

จากข่าวในเดือนที่ผ่านมา ที่มีรายงานเกี่ยวกับการระบาดของมัลแวร์ขุดเหมืองคริปโตในวงกว้างซึ่งมีการเจาระบบของเราท์เตอร์ยี่ห้อ MikroTik มากกว่าสองแสนเครื่องโดยใช้ช่องโหว่ที่เคยมีการเปิดเผยต่อสาธารณะครั้งใหญ่ในกรณี CIA Vault 7 มาแล้ว

และล่าสุด ทีมนักวิจัยด้านความปลอดภัยชาวจีนจาก Qihoo360 Netlab ค้นพบว่าในบรรดาเราท์เตอร์ MikroTik ที่น่าจะมีช่องโหว่มากกว่า 370,000 เครื่องทั่วโลกนี้ มีมากกว่า 7,500 เครื่องที่ถูกแฮ็กให้เปิดพร็อกซี่แบบ Socks4 โดยไม่ได้รับอนุญาต ทำให้ผู้โจมตีสามารถดักฟังข้อมูลที่วิ่งผ่านเราท์เตอร์ได้มาตั้งแต่ช่วงกลางเดือนกรกฎาคมที่ผ่านมา

ช่องโหว่ที่น่าจะเป็นตัวการนี้น่าจะเป็นรายการ Winbox Any Directory File Read (CVE-2018-14847) ที่สามารถแฮ็กได้ด้วยทูลจากชุด CIA Vault 7 ที่ชื่อ Chimay Red ร่วมกับการใช้ช่องโหว่ Webfigที่เปิดให้รันโค้ดได้จากระยะไกล ซึ่งทั้ง Winboxและ Webfigนี้เป็นคอมโพเนนต์สำหรับจัดการบนโอเอสของเราท์เตอร์ที่ควบคุมพอร์ตหลักในการสื่อสารออกอินเทอร์เน็ตอย่าง TCP/8291, TCP/80,และ TCP/8080

นอกจากนี้ตัว Winbox ยังเปิดให้ผู้ใช้วินโดวส์สามารถตั้งค่าให้โหลดไฟล์ DLL จากเราท์เตอร์มาติดตั้งบนเครื่องคอมพิวเตอร์ของตนเองได้ด้วย โดยนักวิจัยจาก Netlab พบว่ามีมัลแวร์ที่ใช้ช่องโหว่นี้จำนวนมากที่มีฤทธิ์เดชหลากหลายไม่ว่าจะเป็นการแอบขุดเหมือง CoinHive, แอบเปิดพร็อกซี่, หรือแม้แต่การแอบส่องดูกิจกรรมการใช้งานของเครือข่ายเหยื่อ เป็นต้น

ที่มา : Thehackernews

from:https://www.enterpriseitpro.net/mikrotik-router-hacking/

5 สุดยอดเว็บสอน CSS สำหรับสาวกทำเว็บทั้งหลาย

คนเขียนเว็บทั่วไปมักมีความรู้พื้นฐานด้าน CSS โดยเฉพาะการตั้งค่าคุณสมบัติของสไตล์ต่างๆ กันบ้าง แต่รู้ไหมว่า CSS มีประโยชน์มากกว่าเปลี่ยนสีเปลี่ยนไซส์ข้อความอีกมากมายมหาศาล ไม่ว่าจะเป็นการสร้างแอนิเมชั่น, ทำมุมมองเปอร์สเปกทีฟ, หรือแม้แต่วาดเวกเตอร์ด้วยโค้ด CSS อย่างเดียว นั่นคือ CSS เป็นทูลที่ทำให้เว็บดูสวยและตอบสนองได้หวือหวามากขึ้นนั่นเอง

ดังนั้น ทาง TechNotification.com จึงได้รวบรวมเว็บเด็ดๆ ที่สอนเขียน CSS ที่ช่วยยกระดับทักษะการทำเว็บสู่ความเป็นมืออาชีพด้านการดีไซน์ไว้ดังนี้

1. Coding Artist

สอนขั้นตอนพื้นฐานในการสร้างกราฟิกแบบเวกเตอร์ด้วย CSS ตั้งแต่ความรู้ CSS พื้นฐานไปจนถึงการใช้ความคิดสร้างสรรค์ต่างๆ เนรมิตให้ได้ความตื่นตาตื่นใจ โดยสอนทีละขั้นพร้อมให้การบ้านและแบบทดสอบในแต่ละบท เมื่อเรียนจบคอร์สแล้วก็จะได้ใบประกาศรับรอง พร้อมทั้งมีช่องคอมเมนต์ให้สอบถามข้อสงสัยกับผู้สอนโดยตรงได้อย่างรวดเร็ว

2. Spheres

เกี่ยวกับวิธีวาดวงกลม ซึ่งเป็นรูปทรงพื้นฐานของการวาดรูปร่างต่างๆ ไม่ว่าจะเป็นดวงตา, ก้อนหิน, ลูกโลก เป็นต้น ซึ่งการตั้งค่าวงกลมนั้นมีอะไรมากกว่าการเซ็ตแค่ border-radius หรือการเพิ่มเงา เว็บนี้จะสอนตั้งแต่การไล่สีแบบ Radial Gradients ไปจนถึงการขึ้นรูปร่างแบบสามมิติให้ได้พื้นผิวที่เป็นเงาสะท้อน หรือเป็นแบบโลหะ เพื่อให้ได้ภาพดวงตาที่เคลื่อนไหวเหมือนจริง, ฟองอากาศในน้ำ, หรือลูกเทนนิสที่สมจริง

3. SVG animations with CSS

ลองดูตัวอย่างเว็บ polygon.com/a/xbox-one-review ดู จะเห็นว่าการใช้ SVG (Scalable Vector Graphics) วาดวัตถุต่างๆ ให้เห็นต่อหน้านั้นดูน่าตื่นตาตื่นใจแค่ไหน ซึ่งเราสามารถฝัง SVG ไว้ในโค้ด CSS เพื่อสร้างแอนิเมชั่นที่ซับซ้อนยิ่งขึ้นได้

4. What The Flexbox?!–Flexbox Course (WTF1)

ฟังก์ชั่น CSS Flexbox อาจจะดูยากไปสักนิด ไม่ว่าจะเป็นการทำ Wrapping, Centering, หรือการมองแถว (Row) และคอลัมน์ แต่ผู้สอนของเว็บนี้ Wes Bos ได้ทำวิดีโอสอนที่สนุกสนานสำหรับการเรียน Flexbox ตั้งแต่ขั้นพื้นฐาน ไปจนถึงความท้าทายในโลกแห่งความเป็นจริง เช่น การฝึกทำเลย์เอาต์สำหรับแอพบนอุปกรณ์พกพา

5. CSS grid tutorial

ระบบการตั้งค่าเลย์เอาต์บน CSS ทำให้สามารถออกแบบมุมมองแบบสองมิติได้อย่างยืดหยุ่น ด้วยหลักสูตรที่แบ่งเป็น 25 ตอนที่จะสอนตั้งแต่ขั้นพื้นฐานอย่างค่อยเป็นค่อยไปจนกระทั่งไปถึงขั้นสูงที่เต็มไปด้วยคำสั่งแปลกใหม่มากมาย จนสามารถสร้างเว็บไซต์ที่ตอบสนองได้อย่างตื่นตาตื่นใจ

ที่มา : Technotification

from:https://www.enterpriseitpro.net/css-tutorials-websites-web-designers/

เว็บ Adidas สหรัฐฯ ถูกแฮ็กข้อมูลลูกค้าหลายล้านราย

ผู้ผลิตอุปกรณ์กีฬาชื่อดังของโลก Adidas ได้ประกาศว่า มีแฮ็กเกอร์โจมตีเว็บไซต์ของสาขาอเมริกา จนทำให้ข้อมูลส่วนตัวของลูกค้าพวกเขาที่สหรัฐฯ หลายล้านรายถูกโจรกรรม ซึ่งจากการสืบสวนของบริษัทนั้นพบว่า มีการเจาะเข้าระบบสำเร็จเมื่อวันที่ 26 มิถุนายนที่ผ่านมา พร้อมทั้งขโมยข้อมูลชื่อผู้ใช้, ที่อยู่ติดต่อ, และรหัสผ่านที่ถูกเข้ารหัสไว้

อย่างไรก็ดี Adidas เชื่อว่าข้อมูลสำคัญอย่างบัตรเครดิต หรือข้อมูลสุขภาพต่างๆ ไม่ได้โดยขโมยไปด้วย พร้อมย้ำว่าตนเองได้รักษานโยบายการรักษาความเป็นส่วนตัว และความปลอดภัยของข้อมูลลูกค้าอย่างเข้มแข็งโดยตลอด อย่างครั้งนี้ก็ได้ลงมือสืบสวนหาขอบเขตที่ได้รับผลกระทบและแจ้งให้ลูกค้าทราบในทันที อีกทั้งยังทำงานร่วมกับบริษัทด้านความปลอดภัยของข้อมูล และหน่วยงานภาครัฐ

ทางผู้เชี่ยวชาญมองว่า จากที่ Adidas กล่าว ทั้งความมั่นใจว่าไม่มีข้อมูลบัตรเครดิตหลุด และรหัสผ่านที่โดนจารกรรมก็ถูกเข้ารหัสไว้นั้น ทำให้เชื่อว่า Adidas เองก็ปฏิบัติตามแนวทางที่ถูกต้องในการรักษาความปลอดภัยของข้อมูล

และมองว่าเหตุการณ์นี้เป็นอุทาหรณ์สำคัญว่า แม้บริษัทต่างๆ จะรักษาความปลอดภัยเข้มข้นเพียงใด ปัญหาข้อมูลรั่วไหลก็อาจเกิดขึ้นได้ จึงต้องมีการติดตามและประเมินอยู่ตลอดเวลา ไม่ใช่ลงทุนแค่ครั้งเดียวโดยไม่ได้คอยอัพเดทระบบ รวมทั้งตัวผู้บริโภคเองก็ควรหันมาใช้ทูลจัดการรหัสผ่านแทนการใช้รหัสเดียวกันกับหลายเว็บด้วย

ที่มา :

from:https://www.enterpriseitpro.net/hackers-steal-millions-of-customers-data-from-adidas/

พบเว็บที่ใช้ Drupal กว่า 400 แห่ง โดนแฮ็กฝังโค้ดขุดเหมือง

นักวิจัยด้านความปลอดภัยจาก Bad Packets Report พบเว็บไซต์กว่า 400 แห่งกลายเป็นเหยื่อของแฮ็กเกอร์สำหรับฝังโค้ดขุดเหมืองเงินคริปโต โดยเว็บไซต์เหล่านี้ใช้แพลตฟอร์มจัดการคอนเท็นต์ชื่อดังอย่าง Drupal ที่ไม่ได้รับการอัพเดทเป็นรุ่นล่าสุด ซึ่งส่วนใหญ่เป็นเว็บของสหรัฐฯ รองลงมาเป็นฝรั่งเศส, แคนาดา, เยอรมัน, และรัสเซีย

เว็บของอเมริกาที่โดนหางเลขนั้นมีเว็บของหน่วยงานภาครัฐอย่างเว็บคณะกรรมการแรงงานสัมพันธ์แห่งชาติเว็บสถาบันการศึกษาหลายแห่งอย่างมหาวิทยาลัยแคลิฟอร์เนีย นอกจากนี้ยังมีเว็บไซต์ของรัฐชิวาว่าของเม็กซิโก, กรมสรรพากรของตุรกี, รวมทั้งเว็บโครงการยกระดับคุณภาพการศึกษาของเปรู รวมทั้งภาคเอกชนที่มีชื่อเสียงอย่าง Lenovo, สวนสัตว์ San Diego เป็นต้น

เว็บที่โดนแฮ็กเหล่านี้จะคอยใช้กำลังการประมวลผลของพีซีผู้ใช้ที่เข้าชมเว็บดังกล่าวเพื่อขุดเหมืองเงินสกุล Monero ซึ่งผู้ใช้มักไม่ทันสังเกตความแตกต่างระหว่างเปิดเว็บไซต์แล้วโดนแอบขุดเหมือง เว็บทั้งหมดในขบวนการนี้ใช้จาวาสคริปต์ที่โฮสต์มาจากเว็บ vuuwd.com เหมือนกันหมด ซึ่งถูกปั่นโค้ดให้อ่านไม่ออกเพื่อหลบการตรวจจับ แต่สามารถดูดทรัพยากรซีพียูของเครื่องผู้เข้าชมเว็บได้มากถึง 80%

ช่องโหว่ Drupal ที่ถูกใช้ประโยชน์นี้คือ Drupalgeddon2 ซึ่งทางผู้พัฒนาได้ออกแพ็ตช์มาตั้งแต่เดือนมีนาคมแล้ว แต่ก็ยังมีเว็บอีกจำนวนมากที่ยังไม่ได้อัพเดต และถึงแม้ทางนักวิจัยที่ค้นพบได้เขียนบล็อกเกี่ยวกับเหตุการณ์นี้แล้ว แต่ก็เว็บที่ตกเป็นเหยื่อแค่ส่วนน้อยเท่านั้นที่รีบติดตั้งแพ็ตช์เพื่อแก้ไขปัญหาดังกล่าว

ที่มา : Hackread

from:https://www.enterpriseitpro.net/drupal-website-hack/