แหล่งแลกเปลี่ยนความรู้-ประสบการณ์ FreeBSD สำหรับคนไทย
:: เพื่อแลกเปลี่ยนความรู้, ถาม-ตอบปัญหาคาใจ, แนะนำ, ประกาศ, หรือทุกสิ่งตามต้องการ ::
 
Home  กลับหน้าหลัก  สมัครสมาชิก  ตั้งคำถามใหม่  แก้ไขข้อมูลสมาชิก  ดูสมาชิกทั้งหมด  ลืมรหัสผ่าน

ขอเชิญร่วมตอบคำถามครับ



  โดนแฮก 80 ทำไงดีครับ
   kon41
 Posted : 2011-06-22 18:06:37

  ศิษย์น้อยฝึกวิชา
 

 Sex :
 Post : 202
 สมาชิกลำดับที่ : 2768
ผมใช้ ubuntu 10.04 LTS ลง ทำเว็บ ทั่วไป มี mod_security+ ไฟล์วอร์แค่ เปิด พอต 21 80 443 โฟนเดอร์ที่ เก็บเว็บ 755 โดนแฮกมาเขียน ไฟล์ ในเครื่อง หมายถึงเขียนใน ห้องเก็บ เว็บ ไม่ได้เขียนที่อื่น แก้ไงได้บ้างครับ

 
  IP : (192.168.2.71)
ชื่อสมาชิก kon41 Mail to kon41
แสดงความคิดเห็น

 sss
 Posted : 2011-06-22 18:41:00   IP : (180.180.160.56)
เขียนข้อมูลใน fileที่มีอยู่ หรือสร้าง file ใหม่แล้วเขียนหล่ะครับ

 
 Comment : 1
กลับขึ้นด้านบน

   kon41
 Posted : 2011-06-22 18:43:35   IP : (192.168.2.71)

  ศิษย์น้อยฝึกวิชา
 

 Sex :
 Post : 202
 สมาชิกลำดับที่ : 2768
ทำได้ ทั้ง 2 อย่างเลยครับ ทั้งเขียนทับ และสร้างไฟล์ ขึ้นมาเอง

 
 Comment : 2
ชื่อสมาชิก kon41 Mail to kon41
กลับขึ้นด้านบน

 thiwakorn
 Posted : 2011-06-23 11:19:38   IP : (172.17.1.50)
ขอข้อมูลเพิ่มเติมหน่อยครับ แล้วเว็บที่ใช้อยู่เป็นเว็บสำเร็จรูป หรือเป็น web app ที่เขียนขึ้นมาเอง แล้วตอนนี้ได้ดำเนินการอะไรไปแล้วบ้าง ไฟล์ index ที่แสดงหน้าที่เปลี่ยนไป ปัจจุบัน owner file เป็นของ user อะไรครับ root หรือ user ftp ที่มีอยู่ในระบบ หรือเป็น nobody

 
 Comment : 3
กลับขึ้นด้านบน

 ccd
 Posted : 2011-06-23 12:48:19   IP : (202.29.62.245)
ตอนนี้เท่าที่สอบถามจากเพื่อนฝูงจะพบว่า
- joomla
- wordpress
- ฯลฯ
จะมีช่องโหว่ ให้เอา script perl มาวางที่ temp หรือ ที่อื่น ๆ รันได้
โดยใช้ สิทธิของ user www ที่พบบน Freebsd คือ เขียน perlscript ไว้ที่ /tmp ครับ
จะมีการสั่งทำงานได้ crontab ของ user www ตรวจสอบได้จากคำสั่ง
# crontab -l -u www ว่ามีการรัน crontab ด้วยสิทธิของ www หรือไม่

อาการที่พบอีกก็คือ มีการ connect ไปยัง IRC ด้วย port 6661-6667 โดย user www ครับ....

 
 Comment : 4
กลับขึ้นด้านบน

 ccd
 Posted : 2011-06-23 12:53:26   IP : (202.29.62.245)
การ hack ทั้งหมดทำผ่านhttp://www.xxxx.xxxx/administrator/
วิธีแก้ ให้ใช้ .htaccess ของ apache ช่วยป้องกันก่อน 1 ชั้น อย่าให้เข้า administrator โดยตรงครับ...
ลองอ่าน
http://freebsd.aru.ac.th/FreeBSD54Advance/07ApacheAdvance.pdf
ข้อ 5. ครับ

 
 Comment : 5
กลับขึ้นด้านบน

   oatloveu
 Posted : 2011-06-23 17:55:03   IP : (202.183.129.225)

  จอมยุทธ์น้อย
 

 Sex :
 Post : 405
 สมาชิกลำดับที่ : 2751
อิอิอิ เห็นไหม ถามผมทาง msn เหมือนที่ผมตอบ แต่ที่ผมบอกไปเยอะและคลุมหมดแล้ว สู้ๆๆ จขกท

จำไว้ IT ไม่ได้รู้ทุกอย่าง จงอย่างแบกรับ ทุกอย่างไว้กับตัวเอง
Web admin , system admin , network admin , web programmer, win programer etc

จะมีพวกนี้ไว้ทำไมนะ ถ้าคนเดียวทำได้หมด

 

No commnet
 Comment : 6
ชื่อสมาชิก oatloveu Mail to oatloveu เบอร์ msn oat_love_u@hotmail.com
กลับขึ้นด้านบน

   kon41
 Posted : 2011-06-26 17:59:00   IP : (192.168.2.64)

  ศิษย์น้อยฝึกวิชา
 

 Sex :
 Post : 202
 สมาชิกลำดับที่ : 2768
thiwakorn Posted : 2011-06-23 11:19:38 IP : (172.17.1.50)


ขอข้อมูลเพิ่มเติมหน่อยครับ แล้วเว็บที่ใช้อยู่เป็นเว็บสำเร็จรูป หรือเป็น web app ที่เขียนขึ้นมาเอง แล้วตอนนี้ได้ดำเนินการอะไรไปแล้วบ้าง ไฟล์ index ที่แสดงหน้าที่เปลี่ยนไป ปัจจุบัน owner file เป็นของ user อะไรครับ root หรือ user ftp ที่มีอยู่ในระบบ หรือเป็น nobody


ผม ดำเนินการเปลี่ยนรหัสผ่าน chmod index เป็น 444 ไฟล์เป็นของ user ในระบบ โดนทั้ง cms app ที่เขียน เอง html ธรรมดายังโดน แถม มันมาเขียนไฟล์ เอง ประกาศไว้ด้วย เจ็บใจจิงๆ
ขอบพระคุณทุกๆ ท่าน ที่ช่วย แนะนำครับ




 
 Comment : 7
ชื่อสมาชิก kon41 Mail to kon41
กลับขึ้นด้านบน

 thiwakorn
 Posted : 2011-06-27 00:06:42   IP : (124.122.123.91)
เนื่องจากไม่มีข้อมูลของระบบอย่างอื่นเพิ่มเติม เลยขอแนะนำเป็นแนวทางไปก่อนแล้วกันนะครับ
1. ที่ผมให้ดูที่ไฟล์ index ที่ถูกเปลี่ยนข้อมูล หากสังเกตุว่าไฟล์ที่เปลี่ยนใหม่ owner เป็น root หรือเป็นสิทธิ์เดียวกับ user เจ้าของ folder นั้นๆ แล้ว ก็ให้สรุปไว้ก่อนว่าผู้บุกรุกได้สิทธิ์ในระดับสูงไปแล้ว
2. หาสาเหตุว่าเข้ามาจากช่องทางไหน อาจจะต้องดูว่าไฟล์ที่มีการเปลี่ยนแปลงไป มี time stamp เป็นวันที่เท่าไหร่ และเวลาอะไร เพื่อสันนิษฐานหาช่องทางเข้าช่องแรก (ซึ่งอาจจะไม่ถูกต้องร้อยเปอร์เซนต์) แต่ถ้าหาไม่เจอเราอาจจะป้องกันด้วยการตรวจสอบ CMS ในระบบทั้งหมดว่าเป็นยี่ห้ออะไร เวอร์ชั่นไหน และมีการติดตั้ง plugin หรือ module เสริมอะไรหรือไม่ ซึ่งเป็นรูรั่วอันดับแรกๆที่นิยมถูกใช้โจมตี เหมือนแนวทาง ตามคำแนะนำกระทู้ของเพื่อนๆ ก่อนหน้านี้นะครับ เมื่อได้ข้อมูลก็ต้องติดตั้งใหม่และอุดรูรั่ว ที่จะเกิดจากปัญหาของ CMS
3. เนื่องจากกรณีนี้สงสัยว่าจะได้สิทธิ์ root ไปแล้ว และเราก็ไม่สามารถไล่ตรวจสอบ ได้ว่าผู้ไม่หวังดีวางไฟล์หรือช่องทางอย่างอื่นไว้หรือไม่ ก็แนะนำให้ลง OS ใหม่ จะชัวร์สุด
จากนั้นติดตั้ง engine ต่างๆ พวก apapche php mysql ftp ให้เป็นเวอร์ชั่นล่าสุด เพื่อปิดช่องทางการบุกรุกจากปัญหารูรั่วของ engine จากนั้นเริ่มลง CMS ใหม่ ตามที่ user ใช้งาน แต่ให้ติดตั้งเวอร์ชั่น ล่าสุดเพื่อลดรูรั่วที่อาจจะเกิดขึ้น พิจารณา module หรือ plugin ต่างๆที่เลือกใช้ เพราะปกติใน community cms จะมีการบอกว่า plugin หรือ module ไหนมีรูรั่วอยุ่บ้าง ให้พิจารณางดใช้งาน (อันนี้ต้องทำความเข้าใจกับ user ด้วย เกี่ยวกับเรื่องความปลอดภัย) จากนั้นก็ถึง dump database มาลง และไม่ควรใช้วิธี copy หรือเอาข้อมูลที่ backup ทั้ง path มาลง เพราะถ้าหากเราสงสัยว่าจะรั่วจาก app การ restore ข้อมูลที่ backup มาลงทั้ง path เราก็จะได้รูรั่วเดิมกลับมานั่นเอง เพียงแค่ชลอการกลับมาเยือนของผู้บุกรุกอีกครั้งเท่านั้น
4. เมื่อเสร็จเรียบร้อยใช้งานได้แล้ว ก็ต้องแนะนำ user ให้ติดตามข่าวสารเกี่ยวกับเรื่อง รูรั่ว หรือการปรับปรุงความปลอดภัย เกี่ยวกับ app ที่เค้าใช้งานอย่างสม่ำเสมอ ส่วนคุณ kon41 ในฐานะผู้ดูแลระบบก็ต้องติดตามข่าวสารด้วย และทำความตกลงกับผู้ใช้งานว่า หากตรวจพบว่ามีรูรั่วเกิดขึ้นและทาง user ไม่ปรับปรุงแก้ไขขอสงวนสิทธิ์จัดการระงับบริการ หรือดำเนินการอย่างไรก็ว่ากันไป เพราะจากเหตุการณ์ที่เกิดขึ้น อาจจะรั่ว จากช่องเดียว แต่ผู้บุกรุกได้สิทธิ์ระดับสูงทำให้สามารถเข้าไปเที่ยวได้ทุก path ที่อยู่ในระบบ สำหรับการติดตั้ง mod_security หรือ firewall อยากให้เข้าใจว่าเป็นองค์ประกอบหนึ่งของการสร้างความปลอดภัย แต่ไม่ใช่ทั้งหมด จะเห็นว่าผู้บุกรุกพยายาม เข้ามาทางช่องทางที่ policy อนุญาต ฉะนั้นเราไม่สามารถป้องกันด้วยเครื่องมือดังกล่าวได้ จึงควรตรวจสอบข้อบกพร่องของ OS, Application engine, web application อว่ามีข่าวสารเรื่องรูรั่วหรือความปลอดภัยอะไรเพิ่มเติมบ้าง จากเว็บไซท์ของระบบนั้นอยู่ตลอดเวลาครับ

 
 Comment : 8
กลับขึ้นด้านบน

   oatloveu
 Posted : 2011-06-27 10:16:07   IP : (202.183.129.225)

  จอมยุทธ์น้อย
 

 Sex :
 Post : 405
 สมาชิกลำดับที่ : 2751
จากที่คุณ kon41 ถ้ากรณีของ app ที่เขียนเองขึ้นมานั้น ต้องให้ทาง programmer ทำ log ไว้ด้วย ที่เป้นข่อง ของ Input box ทุกตัว ไม่งั้น เราจะแทบไม่รู้เลยว่า มีช่องโหว่หรือไม่ กว่า 60% programmer จะไม่ได้สนใจช่องโหว่ในส่วนนี้มากนัก

ส่วน CMS โดยปกติแล้ว จะมีช่องโหว่ ตลอดเกือบทุก version

ในส่วนของ คุณ kon41 งานท้านด้าน Admin ต้องเช็คในหมดทุกส่วน log จะเป้นตัวชี้ ว่ามีอะไรเกิดขึ้นบ้าง

log มันจะเยอะเพราะมีหลายส่วนที่สัมพันธ์กัน อย่างไรก็แล้วแต่ลองเช็ค ในส่วนของ path เราก่อน แล้วค่อยไปไล่ให้ โปรแกรมเมอร์ดูอีกที เพราะลักษณะงานเราแตกต่างกัน

 

No commnet
 Comment : 9
ชื่อสมาชิก oatloveu Mail to oatloveu เบอร์ msn oat_love_u@hotmail.com
กลับขึ้นด้านบน

   kon41
 Posted : 2011-06-29 17:57:44   IP : (202.143.148.38)

  ศิษย์น้อยฝึกวิชา
 

 Sex :
 Post : 202
 สมาชิกลำดับที่ : 2768
ท่าน thiwakorn + ท่าน ccd อยากได้เมลล์ท่านจังเลยครับ อยากให้ตรวจสอบให้หน่อย ผม ก็ พยามบอกนะครับ แต่ คงไม่เข้าใจ ที่ท่าน ต้องการทราบ ยังขอรบกวนท่านด้วยนะครับ

 
 Comment : 10
ชื่อสมาชิก kon41 Mail to kon41
กลับขึ้นด้านบน

1 2 3


 แสดงความเห็นต่อคำถามนี้
ชื่อ/Username
รหัสผ่าน
( เฉพาะสมาชิก )
อีเมลล์
( ถ้าเป็นสมาชิกไม่ต้องใส่ )
รูปแบบพิเศษ   ย่อหน้า ตัวหนา ตัวยก ตัวห้อย ตัวหนังสือเรืองแสง ตัวหนังสือมีเงา ตัวเอียง เส้นใต้ สีแดง สีเขียว สีน้ำเงิน สีส้ม สีชมพู สีเทา
Emotions  
แทรกภาพ  
ขนาดภาพ ห้ามเกิน 50 kb  และ ไฟล์ Flash ขนาดห้ามเกิน 500 kb
แสดงความเห็น

ความปลอดภัย กรุณากรอกข้อความที่ท่านเห็นด้านล่าง
   
   
   
[ สมัครสมาชิก | ปิดหน้าต่างนี้ ]


ข้อความที่ท่านได้อ่าน เกิดจากการเขียนโดยสาธารณชน และส่งขึ้นมาแบบอัตโนมัติ เจ้าของเว็บบอร์ดไม่รับผิดชอบต่อข้อความใดๆทั้งสิ้น เพราะไม่สามารถ
ระบุได้ว่าเป็นความจริงหรือชื่อผู้เขียนที่ได้เห็นคือชื่อจริง ผู้อ่านจึงควรใช้วิจารณญาณในการกลั่นกรอง และถ้าท่านพบเห็นข้อความใด ที่ขัดต่อกฎหมายและ
ศีลธรรม หรือเป็นการกลั่นแกล้งเพื่อให้เกิดความเสียหาย ต่อบุคคล หรือหน่วยงานใด กรุณาส่ง email มาที่ admin@thaibsd.com เพื่อให้ผู้ควบคุม
ระบบทราบและทำการลบข้อความนั้น ออกจากระบบต่อไป


 © Copyright 2001 thaibsd.com All Right Reserved. Contact >> admin@thaibsd.com