ประกาศแจ้งเตือนคนใช้ da ก่อนถูก hack

kke · December 26, 2012, 12:42am

ใครที่ใช้ DA อยู่ให้เข้าไปตรวจสอบในส่วน php safemode configuration ดูนะครับ ว่ามีโดเมนที่ถูกแก้ไข open basedir เป็น off หรือเปล่า
ให้แก้ไขกลับเป็น ON ให้หมดทุกโดเมน เพราะมันจะทำให้สามารถเขียนไฟล์ข้าม home user ได้ ทำให้โดนแก้ไฟล์ทีเดียวได้ทั้งเครื่อง

เครื่องใครที่โดนแก้ รบกวนมาแจ้งให้ทราบด้วยครับ ว่าใช้ whmcs อยู่ด้วยหรือเปล่า เพราะยังไม่แน่ใจว่าที่โดนมันมาจากทางใหน อาจจะโดนแก้ผ่าน whmcs ตอนที่มันเคยรั่ว
ใครโดนแก้แนะนำให้เปลี่ยน passwd DA กับ whmcs ใหม่ด้วย

กับอีกจุดหนึ่งคือ url ชั่วคราวที่เข้าทาง ip/~user ให้ปิดซะ เพราะเป็นช่องโหว่ให้เขียนไฟล์ข้าม user ได้เช่นกัน

BigKrub · December 26, 2012, 12:43am

ขอบคุณครับ

ihotVPS · December 26, 2012, 12:53am

[COLOR=#333333]ip/~user ปิดยังไงหรอครับ ของผมเปิดอยู่[/COLOR]:016:

Freedomlover · December 26, 2012, 12:54am

ตามนี้ครับ http://help.directadmin.com/item.php?id=344

jeffyplus · December 26, 2012, 12:56am

/etc/httpd/conf/extra/httpd-vhosts.conf

ihotVPS · December 26, 2012, 12:59am

ต้องทำ 1, 2, 3 หรือ ทำแค่ 3 อันเดียวหรือเปล่าครับ

kke · December 26, 2012, 1:03am

ถ้ามี ip เดียว แก้ httpd-vhosts.conf ไฟล์เดียว แล้ว restart apache พอครับ ในไฟล์มีอยู่ 2 จุด ใส่ # หน้า Aliasmatch ให้ครบ

Freedomlover · December 26, 2012, 1:04am

ก่อนหน้านี้ผมทำ 3 อันเดียว ก็เปิดไม่ได้แล้วครับ แต่ตอนหลังไปเจออันนี้ เลยทำตามอีกนิดหน่อย

catnet · December 26, 2012, 1:05am

ของผม open base on 100% แต่โดน unlimited.php และ html สิทธ apache พวกที๋โดนคือ joomla กับ atomymaxsite ผ่าน folder ที่อับโหลดไฟล์ครับ (พวก tinymceditor )

BrainFreeze · December 26, 2012, 1:09am

เจอ off เป็น บางโดเมนครับ ไม่รู้ว่า off ได้อย่างไรเหมือนกันครับ
ผมใช้ whmcs เหมือนกันครับพี่ตอนที่มีข่าวรั่วก็ รีบ update patch และ เปลี่ยน password หมดแล้วครับ

เดี๋ยวเปลี่ยนอีกรอบครับ

ihotVPS · December 26, 2012, 1:11am

:875328cc: แก้ไขแล้วครับ ขอบคุณมากครับ

kke · December 26, 2012, 1:12am

ไปเช็คใน log DA ย้อนหลัง (เหลือแค่ 30 วัน) ก็ไม่เจอว่ามีสั่งเปลี่ยน มีแต่ของวันนี้ที่แก้กลับเป็น ON

grep ‘/CMD_PHP_SAFE_MODE’ /var/log/directadmin/2012-*

jeffyplus · December 26, 2012, 1:22am

พี่แมนครับ เครื่องลูกค้าพี่ลง mod_ruid2 ด้วยหรือเปล่าครับ

kke · December 26, 2012, 1:33am

ไม่ได้ลงครับ

ตอนนี้ไล่เช็คดู มีเป็น off ไม่ต่ำกว่า 6 เครื่อง แล้ว บางเครื่องก็ไม่ได้ใช้ whmcs น่าจะตัด whmcs ไปได้เลย
คิดว่าน่าจะโดน hack ผ่านทาง DA เองตรงๆ แล้วก็ไม่ใช่ password หลุดด้วย เพราะถ้าหลุดมันคง off หมดทั้งเครื่อง ไม่เหลือ on ไว้หลอมแหลมแบบนี้
ส่งเมล์แจ้งทาง DA ไปแล้ว แต่ก็ไม่ได้มีข้อมูลอะไรมาก เบื่องต้นคงต้องเช็คเองก่อน

catnet · December 26, 2012, 1:43am

ผมมีโดเมนตัวหนึ่งที่โดน แต่โดเมนตัวนั้น ได้ suspend domain ไว้ (ต่ออายุให้ แต่ลูกค้าไม่จ่าย เลย suspand domain ) โดน unlimited ด้วย
อาจจะเป้นที่ url ชั่วคราวมั้ยครับ

DATATAN.NET · December 26, 2012, 1:48am

ใช้ DA Version อะไรกันครับ ของผมเป็นเฉพาะเวอร์ชั่นใหม่ที่เพิ่งลง 1.42.1 มี on บ้าง off บ้าง ส่วนอีกเครื่องเวอชั่นเก่า 1.42.0 on ทั้งหมดไม่มี off เลย ปกติดี

ทั้งหมดยังไม่พบสิ่งผิดปกติเข้ามา

BrainFreeze · December 26, 2012, 1:54am

เครื่องผม Version DA เก่ากว่า 1.42.0 ครับ ที่พบ off ไม่น่าจะเฉพาะ Version ใหม่ที่โดนครับ

jeffyplus · December 26, 2012, 1:56am

[COLOR=#000000][FONT=verdana]เครื่องลูกค้าที่ base off เอง ใช้ DA 1.42.1

ค้นหาใน log ไม่พบอะไรเหมือนกันครับ

ที่ดูเครื่องลูกค้า ไม่ได้เปิด [/FONT][/COLOR][COLOR=#333333] ip/~user ไว้ด้วยครับ[/COLOR]

Latte · December 26, 2012, 2:08am

1.42.1 ครับ แดงเถือกเลย

DATATAN.NET · December 26, 2012, 2:15am

Bug Version [COLOR=#333333]1.42.1 [/COLOR]ป่าวนี่