ประกาศแจ้งเตือนคนใช้ da ก่อนถูก hack

ใครที่ใช้ DA อยู่ให้เข้าไปตรวจสอบในส่วน php safemode configuration ดูนะครับ ว่ามีโดเมนที่ถูกแก้ไข open basedir เป็น off หรือเปล่า
ให้แก้ไขกลับเป็น ON ให้หมดทุกโดเมน เพราะมันจะทำให้สามารถเขียนไฟล์ข้าม home user ได้ ทำให้โดนแก้ไฟล์ทีเดียวได้ทั้งเครื่อง

เครื่องใครที่โดนแก้ รบกวนมาแจ้งให้ทราบด้วยครับ ว่าใช้ whmcs อยู่ด้วยหรือเปล่า เพราะยังไม่แน่ใจว่าที่โดนมันมาจากทางใหน อาจจะโดนแก้ผ่าน whmcs ตอนที่มันเคยรั่ว
ใครโดนแก้แนะนำให้เปลี่ยน passwd DA กับ whmcs ใหม่ด้วย

กับอีกจุดหนึ่งคือ url ชั่วคราวที่เข้าทาง ip/~user ให้ปิดซะ เพราะเป็นช่องโหว่ให้เขียนไฟล์ข้าม user ได้เช่นกัน

1 Like

ขอบคุณครับ

[COLOR=#333333]ip/~user ปิดยังไงหรอครับ ของผมเปิดอยู่[/COLOR]:016:

ตามนี้ครับ http://help.directadmin.com/item.php?id=344

/etc/httpd/conf/extra/httpd-vhosts.conf

1 Like

ต้องทำ 1, 2, 3 หรือ ทำแค่ 3 อันเดียวหรือเปล่าครับ

ถ้ามี ip เดียว แก้ httpd-vhosts.conf ไฟล์เดียว แล้ว restart apache พอครับ ในไฟล์มีอยู่ 2 จุด ใส่ # หน้า Aliasmatch ให้ครบ

ก่อนหน้านี้ผมทำ 3 อันเดียว ก็เปิดไม่ได้แล้วครับ แต่ตอนหลังไปเจออันนี้ เลยทำตามอีกนิดหน่อย :smiley:

ของผม open base on 100% แต่โดน unlimited.php และ html สิทธ apache พวกที๋โดนคือ joomla กับ atomymaxsite ผ่าน folder ที่อับโหลดไฟล์ครับ (พวก tinymceditor )

เจอ off เป็น บางโดเมนครับ ไม่รู้ว่า off ได้อย่างไรเหมือนกันครับ
ผมใช้ whmcs เหมือนกันครับพี่ตอนที่มีข่าวรั่วก็ รีบ update patch และ เปลี่ยน password หมดแล้วครับ

เดี๋ยวเปลี่ยนอีกรอบครับ

:875328cc: แก้ไขแล้วครับ ขอบคุณมากครับ

ไปเช็คใน log DA ย้อนหลัง (เหลือแค่ 30 วัน) ก็ไม่เจอว่ามีสั่งเปลี่ยน มีแต่ของวันนี้ที่แก้กลับเป็น ON

grep ‘/CMD_PHP_SAFE_MODE’ /var/log/directadmin/2012-*

พี่แมนครับ เครื่องลูกค้าพี่ลง mod_ruid2 ด้วยหรือเปล่าครับ

ไม่ได้ลงครับ

ตอนนี้ไล่เช็คดู มีเป็น off ไม่ต่ำกว่า 6 เครื่อง แล้ว บางเครื่องก็ไม่ได้ใช้ whmcs น่าจะตัด whmcs ไปได้เลย
คิดว่าน่าจะโดน hack ผ่านทาง DA เองตรงๆ แล้วก็ไม่ใช่ password หลุดด้วย เพราะถ้าหลุดมันคง off หมดทั้งเครื่อง ไม่เหลือ on ไว้หลอมแหลมแบบนี้
ส่งเมล์แจ้งทาง DA ไปแล้ว แต่ก็ไม่ได้มีข้อมูลอะไรมาก เบื่องต้นคงต้องเช็คเองก่อน

ผมมีโดเมนตัวหนึ่งที่โดน แต่โดเมนตัวนั้น ได้ suspend domain ไว้ (ต่ออายุให้ แต่ลูกค้าไม่จ่าย เลย suspand domain ) โดน unlimited ด้วย
อาจจะเป้นที่ url ชั่วคราวมั้ยครับ

ใช้ DA Version อะไรกันครับ ของผมเป็นเฉพาะเวอร์ชั่นใหม่ที่เพิ่งลง 1.42.1 มี on บ้าง off บ้าง ส่วนอีกเครื่องเวอชั่นเก่า 1.42.0 on ทั้งหมดไม่มี off เลย ปกติดี

ทั้งหมดยังไม่พบสิ่งผิดปกติเข้ามา

เครื่องผม Version DA เก่ากว่า 1.42.0 ครับ ที่พบ off ไม่น่าจะเฉพาะ Version ใหม่ที่โดนครับ

[COLOR=#000000][FONT=verdana]เครื่องลูกค้าที่ base off เอง ใช้ DA 1.42.1

ค้นหาใน log ไม่พบอะไรเหมือนกันครับ

ที่ดูเครื่องลูกค้า ไม่ได้เปิด [/FONT][/COLOR][COLOR=#333333] ip/~user ไว้ด้วยครับ[/COLOR]

1.42.1 ครับ แดงเถือกเลย

Bug Version [COLOR=#333333]1.42.1 [/COLOR]ป่าวนี่