วิธีตรวจจับเว็บไซต์ถูกแฮ็กบน IIS Windows Server 2022 ก่อนความเสียหายจะลุกลาม
หนึ่งในความเข้าใจผิดที่พบบ่อยของผู้ดูแลระบบคือ
"ถ้าเว็บไซต์ยังเปิดได้ปกติ แสดงว่ายังไม่ถูกแฮ็ก"
ในความเป็นจริง เว็บไซต์จำนวนมากถูกเจาะระบบมาหลายวันหรือหลายเดือนโดยที่เจ้าของเว็บไซต์ไม่รู้ตัว เพราะผู้โจมตีไม่ได้ทำลายเว็บไซต์ทันที แต่แอบฝัง Backdoor, Web Shell, Redirect Script หรือ Malware ไว้เพื่อใช้งานในอนาคต
ยิ่งตรวจพบช้า ความเสียหายก็ยิ่งมากขึ้น ทั้งข้อมูลลูกค้า การติดอันดับ Blacklist ของ Search Engine และความเสียหายต่อชื่อเสียงองค์กร
บทความนี้จะสอนวิธีตรวจจับสัญญาณผิดปกติบน IIS Windows Server 2022 เพื่อให้สามารถรับมือได้ตั้งแต่ระยะเริ่มต้น
🚨 สัญญาณที่ 1 เว็บไซต์ช้าผิดปกติ
หากเว็บไซต์เคยโหลดเร็ว
แต่จู่ ๆ เริ่มช้าลง
โดยไม่มีการเปลี่ยนแปลงระบบ
อาจเกิดจาก
Malware
Crypto Miner
Backdoor Script
Bot Traffic
🚨 สัญญาณที่ 2 CPU ใช้งานสูงผิดปกติ
เปิด
Get-Process
หรือ
Task Manager
ตรวจสอบ
w3wp.exe
หากใช้ CPU สูงผิดปกติ
ควรตรวจสอบทันที
🚨 สัญญาณที่ 3 RAM เพิ่มขึ้นผิดปกติ
ตรวจสอบ
Performance Monitor
หาก Application Pool ใช้ RAM มากผิดปกติ
อาจมี Script ทำงานอยู่เบื้องหลัง
🚨 สัญญาณที่ 4 มีไฟล์ใหม่ที่ไม่รู้จัก
PowerShell
Get-ChildItem `
C:\inetpub\wwwroot `
-Recurse |
Sort CreationTime -Descending
ตรวจสอบ
ไฟล์ที่สร้างใหม่
โดยไม่มีผู้ดูแลระบบเป็นผู้เพิ่ม
🚨 สัญญาณที่ 5 เว็บไซต์ Redirect ไปเว็บอื่น
ผู้ใช้งานเข้า
https://example.com
แต่ถูกส่งไปยังเว็บไซต์อื่น
มักเกิดจาก
Malware
JavaScript Injection
SEO Spam
🚨 สัญญาณที่ 6 มีบัญชีผู้ใช้แปลก ๆ
เปิด
net user
ตรวจสอบ
Local User
หากพบบัญชีที่ไม่รู้จัก
ควรตรวจสอบทันที
🚨 สัญญาณที่ 7 มี Scheduled Task แปลก
เปิด
schtasks
ตรวจสอบ
Task ที่ไม่รู้จัก
ผู้โจมตีมักใช้ Scheduled Task
สร้าง Persistence
🚨 สัญญาณที่ 8 มี Service แปลก
PowerShell
Get-Service
ตรวจสอบ Service
ที่ไม่ควรมี
🚨 สัญญาณที่ 9 ปริมาณ Traffic เพิ่มขึ้นผิดปกติ
ตรวจสอบ
IIS Logs
Analytics
Firewall Logs
อาจเกิดจาก
Botnet
DDoS
Malware
🚨 สัญญาณที่ 10 Search Engine แจ้งเตือน
Google อาจแจ้ง
This site may be hacked
หรือ
This site may harm your computer
ถือเป็นสัญญาณอันตราย
🔍 ตรวจสอบ IIS Logs
ตำแหน่ง
C:\inetpub\logs\LogFiles
มองหา
cmd=
shell=
upload=
powershell
หรือ Request แปลก ๆ
🔍 ตรวจสอบไฟล์ ASPX ทั้งหมด
Get-ChildItem `
C:\inetpub\wwwroot `
-Recurse `
-Filter *.aspx
มองหาไฟล์
ที่ไม่รู้จัก
🔍 ตรวจสอบการเชื่อมต่อเครือข่าย
netstat -ano
ตรวจสอบ
Connection ที่ผิดปกติ
โดยเฉพาะ
Outbound Connection
🔍 ตรวจสอบ Event Viewer
เปิด
eventvwr.msc
ดู
System
Application
Security
มองหา
Login ผิดปกติ
Error จำนวนมาก
Service ใหม่
🔍 ตรวจสอบ Windows Defender
ดูสถานะ
Get-MpComputerStatus
สแกนระบบ
Start-MpScan
🌐 ตรวจสอบ Security Scanner
ใช้เครื่องมือ
Microsoft Defender
Nessus
OpenVAS
Qualys
Acunetix
ช่วยค้นหาความผิดปกติ
🚨 หากพบว่าถูกแฮ็ก
① แยก Server ออกจากเครือข่าย
② สำรองหลักฐาน
③ ตรวจสอบ Log
④ เปลี่ยนรหัสผ่านทั้งหมด
⑤ สแกน Malware
⑥ Restore จาก Backup ที่ปลอดภัย
⑦ วิเคราะห์ Root Cause
❌ ความเข้าใจผิดที่พบบ่อย
เว็บเปิดได้ แปลว่าไม่ถูกแฮ็ก
❌ ไม่จริง
มี Antivirus แล้วปลอดภัย
❌ ไม่จริง
HTTPS ป้องกันการถูกแฮ็ก
❌ ไม่เกี่ยวข้อง
📋 Website Hacked Detection Checklist
✅ IIS Logs
✅ Event Viewer
✅ File Integrity
✅ User Accounts
✅ Scheduled Tasks
✅ Services
✅ Defender Scan
✅ Network Connections
🛡️ Best Practices
① ตรวจสอบ IIS Logs ทุกวัน
② เปิด Audit Logging
③ สำรองข้อมูลสม่ำเสมอ
④ ใช้ WAF
⑤ เปิด Defender Real-Time Protection
⑥ Patch Windows Server ทันทีเมื่อมี Update
⑦ ทำ Vulnerability Assessment เป็นประจำ
ทีมงาน comsiam มักใช้แนวทาง Monitoring หลายชั้น ทั้ง IIS Logs, Event Viewer, Defender และ Security Scanner เพื่อให้สามารถตรวจพบการบุกรุกได้เร็วที่สุดก่อนที่ความเสียหายจะลุกลามไปยังระบบอื่นภายในองค์กร
🎯 สรุป
การตรวจจับเว็บไซต์ถูกแฮ็กตั้งแต่ระยะเริ่มต้นเป็นสิ่งสำคัญมากสำหรับผู้ดูแล IIS Windows Server 2022 เพราะช่วยลดความเสียหายจาก Malware, Web Shell, Backdoor และการขโมยข้อมูลได้อย่างมาก
การตรวจสอบ Logs, File Changes, User Accounts, Network Connections และ Security Events อย่างสม่ำเสมอ จะช่วยให้สามารถค้นพบความผิดปกติได้เร็ว และตอบสนองต่อเหตุการณ์ด้านความปลอดภัยได้อย่างมีประสิทธิภาพก่อนที่ปัญหาจะกระทบต่อธุรกิจ