เรียน เจ้าหน้าที่ดูแลเว็บไซต์หน่วยงาน

เรื่อง การใช้งานเว็บบอร์ด Guest book และ Blog บนเว็บไซต์ของหน่วยงาน


จากการใช้งานพื้นที่โฮมเพจหน่วยงานและใช้งานผ่านเว็บบอร์ด Guest book และ Blog บนเว็บไซต์ของเครื่องเซิร์ฟเวอร์ให้บริการ พื้นที่โฮมเพจหน่วยงานของมหาวิทยาลัยเกษตรศาสตร์ พบว่าในปัจจุบันได้รับผลกระทบต่อการโจมตีผ่านทางเว็บบอร์ด Guest book และ Blog โดยจากการตรวจสอบพบว่า

1. ข้อมูลบนเว็บบอร์ด Guest book และ Blog เป็นข้อมูลเกี่ยวกับการโฆษณาขายของ สมัครหางานหรือลิงค์ของข้อมูลอื่นๆ ที่ไม่เกี่ยวข้องกับหัวข้อของ เว็บบอร์ด Guest book และ Blog ของหน่วยงานเลย

2. ข้อมูลจากการ post บนเว็บบอร์ด Guest book และ Blog ในข้อ 1 มีจำนวนมากและมีการจัดเก็บลงฐานข้อมูลเป็นจำนวนหลายแสนเรคคอร์ด ซึ่งเมื่อพิจารณาแล้วมันเกินความเป็นจริงที่จะมีผู้ใช้เข้ามา post ใช้งานเป็นจำนวนมาก

ปัญหาดังกล่าวส่งผลทำให้เครื่องเซิร์ฟเวอร์มีโหลดการทำงานมาก จนในบางครั้งไม่สามารถรองรับการเรียกใช้งานได้ ทางสำนักบริการคอมพิวเตอร์ จึงขอความร่วมมือจากผู้ดูแลเว็บไซต์ของหน่วยงานที่มีการใช้งานเว็บบอร์ด Guest book และ Blog ให้ทำการตรวจสอบและแก้ไขเว็บไซต์ของหน่วยงานของท่าน ดังนี้

1. การแสดง e-mail address บนเว็บ ให้เลี่ยงการแสดงผลแบบตรงๆ ให้เปลี่ยนเป็นวิธี ดังต่อไปนี้

  • - email [at] ku [dot] ac [dot] th
  • - email [!@!] ku.ac.th
  • - e-mail แบบเป็นรูปภาพ โดยท่านสามารถทำเองหรือใช้บริการแปลงอีเมล์เป็นรูปภาพ โดยเข้าไปที่ http://www.signaturegenerator.net
  • - e-mail แบบเป็นรหัส ASCII หรือ Javascript โดยเข้าไปที่ http://www.iconico.com/emailProtector หรือ http://www.ianr.unl.edu/email/encode

2. การใช้งานเว็บบอร์ด Guest book และ Blog หน้าจอที่จะโพสต์ข้อมูล(post) ให้เพิ่มฟิลด์การกรอกรหัสข้อมูลเพื่อเป็นการป้องกันการโจมตีผ่านทางเว็บบอร์ด Guest book และ Blog โดยบริการนี้จะเรียกว่า CAPTCHA (Completely automated pubic Turing test to tell computers and humans apart) บริการนี้จะป้องกันการ ยิงสแปมป์จาก bot ที่ติดตั้งมาเพื่อใช้ในการยิงสแปมป์เหล่านั้นเข้ามาที่เว็บบอร์ด Guest book และ Blog โดยอัตโนมัติ เมื่อเราติดตั้งบริการนี้แล้วผู้ใช้งาน ยังสามารถ post ข้อมูลได้ตามปกติ เพียงแต่ต้องกรอกรหัสข้อมูลให้ตรงตามที่โปรแกรม CAPTCHA generate ออกมา แนวทางนี้ทำให้ เว็บบอร์ด Guest book และ Blog ปลอดภัยจากการโจมตีจาก bot อีกทางหนึ่ง

การติดตั้งใช้งานสามารถแยกตามประเภทของเว็บหน่วยงาน ดังนี้

2.1 เว็บไซต์หน่วยงานที่เขียนขึ้นมา ให้ดำเนินการแก้ไขดังนี้

2.1.1 ดาวน์โหลดโปรแกรม CAPTCHA ตัวอย่างนี้จะใช้โปรแกรม phpCaptcha ในการติดตั้งใช้งานจากเว็บไซต์ http://www.ejeliot.com/samples/php-captcha/download.php

2.1.2 แตกไฟล์ดังกล่าว

2.1.3 สร้างไฟล์ aPhpCaptcha.php ดังนี้

  1. <?php
  2. require('php-captcha.inc.php');
  3. $aFonts = array('/usr/share/fonts/bitstream-vera/VeraBd.ttf', '/usr/share/fonts/bitstream-vera/VeraIt.ttf', '/usr/share/fonts/bitstream-vera/Vera.ttf');
  4. $aPhpCaptcha = new PhpCaptcha($aFonts, 200, 60);
  5. $aPhpCaptcha->DisplayShadow(true);
  6. $aPhpCaptcha->UseColour(true);
  7. $aPhpCaptcha->SetOwnerText('Source: web.ku.ac.th');
  8. $aPhpCaptcha->Create();
  9. ?>

2.1.4 แก้ไขไฟล์ที่มีแบบฟอร์มการ post ข้อมูล โดยเพิ่มข้อมูลดังนี้

    <img src="aPhpCaptcha.php" width="200" height="60" alt="PHP CAPTCHA">

2.1.5 แก้ไขไฟล์ที่รับข้อมูลจากการ post ข้อมูลของผู้ใช้ว่าได้มีการกรอกรหัสของข้อมูลตรงกับที่โปรแกรม phpCaptcha generate ออกมา ดังนี้

  1. <?php
  2. require('php-captcha.inc.php');
  3. if (PhpCaptcha::Validate($_POST['user_code'])) {
  4. echo "You can post data here."
  5. } else {
  6. echo "You cannot post data here.";
  7. }
  8. ?>

2.1.6 ข้อมูลรายละเอียดเพิ่มเติม สามารถเปิดดูได้ที่

  • - http://en.wikipedia.org/wiki/CAPTCHA
  • - http://www.ejeliot.com/pages/php-captcha

2.2 เว็บไซต์ที่ใช้โปรแกรมสำเร็จรูปในการจัดทำเนื้อหาเว็บไซต์ ส่วนใหญ่จะมี plug-ins ของโปรแกรม CAPTCHA อยู่แล้ว ให้เปิดใช้งานส่วนนี้เพิ่มเติม

3. การใช้งานโปรแกรม mysql client เช่น โปรแกรม phpMyAdmin กรุณาอย่ากำหนดให้มีการเข้าใช้ระบบฐานข้อมูล โดยอัตโนมัติเมื่อเปิดใช้งานผ่านที่อยู่เว็บไซต์(URL)นั้นๆ ให้กำหนดการเข้าใช้งานผ่านหน้าจอล๊อกอินทุกครั้ง

4. การป้องกันไม่ให้ spider หรือ bot ของ search engine ใดๆ เข้ามาสแกนหาไฟล์และไดเร็กทอรี่เพื่อนำไปจัดทำดัชนีเว็บ ให้สร้างไฟล์ robots.txt เก็บไว้ในตำแหน่งเดียวกับตำแหน่งของการเก็บข้อมูลเว็บไซต์ โดยตัวอย่างรูปแบบของไฟล์มีดังนี้

  • User-agent: *
  • Disallow: /private
  • Disallow: /admin
  • Disallow: /MyPrivFile.php

จากตัวอย่าง บรรทัดแรกเป็นการคอนฟิกให้เป็นการกัน spider หรือ bot ทุกตัวไม่ให้เข้ามาสแกนไดเร็กทอรี่ private และ admin และไฟล์ชื่อ MyPrivFile.php

หากทางสำนักบริการคอมพิวเตอร์พบว่าเว็บบอร์ด Guest book และ Blog ของหน่วยงาน โดนโจมตี และส่งผลกระทบต่อโหลดการทำงานของเครื่องเซิร์ฟเวอร์ ทางสำนักบริการคอมพิวเตอร์ขอสงวนสิทธิในการยกเลิกการใช้งานชั่วคราว จนกว่าท่านจะได้ตรวจสอบและแก้ไขแล้วจึงจะเปิดให้ใช้งานดังเดิม ในกรณีที่ท่านพบปัญหาการใช้งาน กรุณาติดต่อสอบถามรายละเอียดได้ที่ คุณสุทธินี มหามิตร หมายเลขโทรศัพท์ 0-2562-0951-6 ต่อ 2520 อีเมล์ suttinee [dot] m [at] ku [dot] ac [dot] th และ คุณชนะชัย พาขุนทด หมายเลขโทรศัพท์ 0-2562-0951-6 ต่อ 2907 กด 9 อีเมล์ chanachai [dot] p [at] ku [dot] ac [dot] th


จึงเรียนมาเพื่อโปรดพิจารณาดำเนินการต่อไป


ขอแสดงความนับถือ

สำนักบริการคอมพิวเตอร์