kke
December 26, 2012, 12:42am
1
ใครที่ใช้ DA อยู่ให้เข้าไปตรวจสอบในส่วน php safemode configuration ดูนะครับ ว่ามีโดเมนที่ถูกแก้ไข open basedir เป็น off หรือเปล่า
ให้แก้ไขกลับเป็น ON ให้หมดทุกโดเมน เพราะมันจะทำให้สามารถเขียนไฟล์ข้าม home user ได้ ทำให้โดนแก้ไฟล์ทีเดียวได้ทั้งเครื่อง
เครื่องใครที่โดนแก้ รบกวนมาแจ้งให้ทราบด้วยครับ ว่าใช้ whmcs อยู่ด้วยหรือเปล่า เพราะยังไม่แน่ใจว่าที่โดนมันมาจากทางใหน อาจจะโดนแก้ผ่าน whmcs ตอนที่มันเคยรั่ว
ใครโดนแก้แนะนำให้เปลี่ยน passwd DA กับ whmcs ใหม่ด้วย
กับอีกจุดหนึ่งคือ url ชั่วคราวที่เข้าทาง ip/~user ให้ปิดซะ เพราะเป็นช่องโหว่ให้เขียนไฟล์ข้าม user ได้เช่นกัน
1 Like
ihotVPS
December 26, 2012, 12:53am
3
[COLOR=#333333]ip/~user ปิดยังไงหรอครับ ของผมเปิดอยู่[/COLOR]:016:
/etc/httpd/conf/extra/httpd-vhosts.conf
1 Like
ihotVPS
December 26, 2012, 12:59am
6
ต้องทำ 1, 2, 3 หรือ ทำแค่ 3 อันเดียวหรือเปล่าครับ
kke
December 26, 2012, 1:03am
7
ถ้ามี ip เดียว แก้ httpd-vhosts.conf ไฟล์เดียว แล้ว restart apache พอครับ ในไฟล์มีอยู่ 2 จุด ใส่ # หน้า Aliasmatch ให้ครบ
ก่อนหน้านี้ผมทำ 3 อันเดียว ก็เปิดไม่ได้แล้วครับ แต่ตอนหลังไปเจออันนี้ เลยทำตามอีกนิดหน่อย
catnet
December 26, 2012, 1:05am
9
ของผม open base on 100% แต่โดน unlimited.php และ html สิทธ apache พวกที๋โดนคือ joomla กับ atomymaxsite ผ่าน folder ที่อับโหลดไฟล์ครับ (พวก tinymceditor )
เจอ off เป็น บางโดเมนครับ ไม่รู้ว่า off ได้อย่างไรเหมือนกันครับ
ผมใช้ whmcs เหมือนกันครับพี่ตอนที่มีข่าวรั่วก็ รีบ update patch และ เปลี่ยน password หมดแล้วครับ
เดี๋ยวเปลี่ยนอีกรอบครับ
ihotVPS
December 26, 2012, 1:11am
11
:875328cc: แก้ไขแล้วครับ ขอบคุณมากครับ
kke
December 26, 2012, 1:12am
12
ไปเช็คใน log DA ย้อนหลัง (เหลือแค่ 30 วัน) ก็ไม่เจอว่ามีสั่งเปลี่ยน มีแต่ของวันนี้ที่แก้กลับเป็น ON
grep ‘/CMD_PHP_SAFE_MODE’ /var/log/directadmin/2012-*
พี่แมนครับ เครื่องลูกค้าพี่ลง mod_ruid2 ด้วยหรือเปล่าครับ
kke
December 26, 2012, 1:33am
14
ไม่ได้ลงครับ
ตอนนี้ไล่เช็คดู มีเป็น off ไม่ต่ำกว่า 6 เครื่อง แล้ว บางเครื่องก็ไม่ได้ใช้ whmcs น่าจะตัด whmcs ไปได้เลย
คิดว่าน่าจะโดน hack ผ่านทาง DA เองตรงๆ แล้วก็ไม่ใช่ password หลุดด้วย เพราะถ้าหลุดมันคง off หมดทั้งเครื่อง ไม่เหลือ on ไว้หลอมแหลมแบบนี้
ส่งเมล์แจ้งทาง DA ไปแล้ว แต่ก็ไม่ได้มีข้อมูลอะไรมาก เบื่องต้นคงต้องเช็คเองก่อน
catnet
December 26, 2012, 1:43am
15
ผมมีโดเมนตัวหนึ่งที่โดน แต่โดเมนตัวนั้น ได้ suspend domain ไว้ (ต่ออายุให้ แต่ลูกค้าไม่จ่าย เลย suspand domain ) โดน unlimited ด้วย
อาจจะเป้นที่ url ชั่วคราวมั้ยครับ
ใช้ DA Version อะไรกันครับ ของผมเป็นเฉพาะเวอร์ชั่นใหม่ที่เพิ่งลง 1.42.1 มี on บ้าง off บ้าง ส่วนอีกเครื่องเวอชั่นเก่า 1.42.0 on ทั้งหมดไม่มี off เลย ปกติดี
ทั้งหมดยังไม่พบสิ่งผิดปกติเข้ามา
เครื่องผม Version DA เก่ากว่า 1.42.0 ครับ ที่พบ off ไม่น่าจะเฉพาะ Version ใหม่ที่โดนครับ
[COLOR=#000000][FONT=verdana]เครื่องลูกค้าที่ base off เอง ใช้ DA 1.42.1
ค้นหาใน log ไม่พบอะไรเหมือนกันครับ
ที่ดูเครื่องลูกค้า ไม่ได้เปิด [/FONT][/COLOR][COLOR=#333333] ip/~user ไว้ด้วยครับ[/COLOR]
Bug Version [COLOR=#333333]1.42.1 [/COLOR]ป่าวนี่