เริ่มจากจู่ๆ วันนึงมันเข้าเว็บไม่ได้ (28 พ.ย. 49 แต่อาจจะโดนก่อนนั้นแล้ว) บอกว่าไฟล์บางไฟล์ include ไม่ได้ ก็เลยสงสัยว่าโดนดีเข้าแล้ว XSS (cross site script) แหงๆ ตามเข้าไปดูพบไฟล์แปลกๆ cgi.php เช็คในล็อกพบว่ามันเอามาวาง แล้วใช้ในการหาช่องโหว่ในเครื่อง เลยลบออก พอดีดึกแล้ว กะว่าตอนเช้าจะดูต่อ เพราะคงต้องตามรอยดูว่ามันทำอะไรอีก
วันที่ 29 พ.ย. อ้าว ตอนเช้ากลับเข้าเว็บไม่ได้แล้ว account ที่เช่าโฮสต์ (netfirm) ไว้ โดน cancel ซะ สงสัยจะโดนหนักกว่านั้น กลับไปเช็คเมลก็ไม่พบว่าโฮสติ้งแจ้งอะไรไว้ ไม่สามารถตรวจสอบได้ว่าเกิดอะไรขึ้น เลยต้องส่งเมลไปถามโฮสติ้ง
ระหว่างรอเมลเลยกลับไปดูเมลอีกที ค้นในถังสแปม พบมีคน forward เมลลวงมาให้ดู ลวงว่าเป็นเมลจาก amazon (อ่อ เล่นของสูง) แต่เฮ่ย หน้าล็อกอินในเมลดันลิงก์มาที่
http://www.comsc11.net/includes/cache_tpls/www.amazon.com/signin/process-login/123-456-7890/login.php อ้าว กรรมดิ เครียดเลย เพราะข้อมูลในนั้นไม่มี backup ข้างนอกเลย ไม่ได้มีเฉพาะเว็บ comsc11 เว็บเดียวด้วย มีบล็อกของตัวเองก็โดน cancel ไปด้วย
ตอนนั้นเลยสำรวจหาโฮสติ้งใหม่ เพราะ netfirm เอง ก็ไม่ได้ดีอะไรนัก แพงอีกตะหาก กะว่าจะย้ายหนีอยู่แล้ว ตอนแรกกะว่าจะไป servage (
http://servage.com/) แต่ติดที่มันให้ ftp ไฟล์เข้าเท่านั้น ไม่มี shell ให้ มีน้องคนนึงแนะนำ dreamhost (
http://dreamhost.com/) บอกว่าใช้ cvs กับ svn ได้ด้วย เลยลองดู อ่อ ถูกใจแฮะ มี promo code = TH50 ด้วย ลดไป $50 ในปีแรก ก็สมัครทิ้งไว้ รอจนเย็นกลับมาบ้าน ถึงได้รับเมลตอบจาก netfirm ว่าดีแล้วที่เมลมา แล้วก็แจ้งให้เข้าไปลบไฟล์แปลกปลอมซะ ถ้าทำภายใน 24 ชั่วโมง account ก็จะปกติ ไม่ต้องรอ 24 ชั่วโมงหรอก มันส่งเมลมายังไม่ถึง 24 นาทีเลย ผมก็เข้าไปลบทันที และเมลตอบมันไป
จากนั้นก็สำรวจความเสียหาย อืมม พบว่ามีร่องรอยการพยายามบุกรุกหลายจุดเหมือนกัน คิดว่าซอฟต์แวร์ที่ใช้ (Integramod 1.4.0) ไม่น่าจะเหมาะเสียแล้ว เนื่องจากทีมพัฒนาไม่ค่อย active เสียแล้ว ก็มองหาทางเลือกอื่นๆ ทดแทน ก็มีหลายตัว เช่น drupal, wordpress-mu, xoops สุดท้ายมาลงตัวที่ simple machine forum เพราะมัน convert ข้อมูลมาจาก phpbb2 อันเก่าได้ แม้จะยังไม่ค่อยเรียบร้อยนัก แต่ก็ดีกว่าเริ่มใหม่หมด simple machine forum หรือชื่อย่อ SMF ก็คือ Yet Another Bulletin Board Special Edition (YaBB-SE) ตัวดังดั้งเดิมนั่นเอง มีคนแปลไทยไว้แล้วด้วย (แต่ยังมีแปลกๆ หรือผิดบ้าง) ทีมพัฒนาค่อนข้าง active พอสมควร มีการบริหารจัดการที่ง่ายขึ้น ทำงานเร็วดีด้วย คือตัวซอฟต์แวร์ก็ทำงานเร็ว โฮสต์ใหม่ก็เร็วขึ้นเยอะ
ก็คงต้องลองใช้ดูละครับ มีปัญหาตรงไหนก็ช่วยแจ้งด้วยครับ
