ประกาศแจ้งเตือนคนใช้ da ก่อนถูก hack

1.42.0 ก็ เป็นครับ

ที่พบมีหลายเวอร์ชั่นครับ 1.41.1 ก็มีครับ

ทาง DA ตอบกลับว่า อันนี้มันต้อง admin ถึงจะแก้ได้ แล้วก็ตอน restore จะใช้ค่าจาก backup ประมาณว่าเราไป restore domain นั้นมา แล้วค่ามัน off อยู่ใน backup
ซึ่งมันคงไม่เป็นแบบนั้นซะทุกโดเมนที่เป็น off อยู่แน่ๆ แล้วหลายๆโดเมนก็ไม่น่าจะ restore มาจาก backup ด้วย

คิดว่าน่าจะโดนแก้มานานแล้ว แต่ไม่รู้ตัวกัน เพราะปกติเมนูนี้แทบไม่มีใครเข้าไปดูกันเลย

ส่วน whmcs ตัดออกไปได้ เพราะเครื่องที่ไม่ได้ควบคุมด้วย whmcs ก็เป็นเหมือนกัน

ผมมีโดเมนของลูกค้าที่ add เข้ามาใหม่ ไม่ใช่การ restore มีสถานะเป็น off เหมือนกันครับพี่

ส่วนเมนูนั้นผมไม่เคยกดเข้าไปดูเลยครับ วันนี้เป็นการกดครั้งแรกเลย :slight_smile:

ถ้าใครไม่อยากเช็คบ่อยๆ ก็แก้ custom template ของ virtual host ให้ open_basedir เป็น on ไว้เลยก็ได้ ไม่ต้องไปใส่ตัวแปล

cp -p /usr/local/directadmin/data/templates/virtual_host2* /usr/local/directadmin/data/templates/custom/

แล้วแก้ไฟล์ใน custom เอา if ออกไปเลย
|*if OPEN_BASEDIR=“ON”|
php_admin_value open_basedir |OPEN_BASEDIR_PATH|
|*endif|

เป็น
php_admin_value open_basedir |OPEN_BASEDIR_PATH|

เสร็จแล้ว rewrite httpd ใหม่
echo “action=rewrite&value=httpd” >> /usr/local/directadmin/data/task.queue

แล้ว PHP SAFE MODE เปิดไว้ดีไหมครับ ?

ของผมมี off อยู่บ้าง แต่ทั้งหมดที่ off เป็นโดเมนที่เพิ่งย้ายมาจากอีกเครื่องครับ ส่วนเครื่องต้นทางที่ย้ายมา เป็น on หมดครับ

ผม Check แล้ว
1.40.3 โดนแก้
1.42.1 ก็โดนแก้เหมือนกัน

ใครใช้ mod_ruid2 หรือ fcgi ก็ไม่ต้องทำอะไรครับ เพราะมัน write file ไม่ได้ครับ

ยกเว้นแต่ว่า ลูกค้าอุตริ เปลี่ยน chmod เป็น 777

คิดว่าเป็น BUG ของ DA แน่นอนครับ

เพราะตอนนี้ผมกำลัง Upgrade Server ของผมเปลี่ยน OS ใหม่ด้วย

เริ่มต้นด้วยผม Backup ในเมนู Admin Backup/Transfer จาก DA Version 1.37.0

จากนั้น Restore Backup ใน OS ใหม่ DA เป็น 1.42.1

พบว่า Open BaseDir เป็น OFF หมดเลยครับ แต่ตัวใหม่ผมใช้ mod_ruid2 จึงไม่มีผลให้มันเขียนไฟล์ข้าม user ได้ครับ

โดน Hack แน่นอนครับ เพราะอาการเหมือนเครื่องผมเองที่ไว้ทำเว็บฟรีโฮส โดน hack เลย

DA ก็อัพ version ใหม่ตลอดครับ

ตอนนี้ลองเปิด / ปิด ที่พี่ๆ บอกกันในนี้ ดูสถานการณ์ก่อนครับ :875328cc:

เป็นเหมือนกันครับ ดูจากโฮสที่เป็น Private (ใช้ส่วนตัว) ก็เป็นครับ ไม่เกี่ยวกับ whmcs, ruid2 แน่นอนครับ

check your script about upload file now.

เครื่องผมมีทั้ง 1.420 และ 1.421 ยังไม่มีปัญหาครับ เกี่ยวกับ Version ของ PHP ด้วยหรือเปล่าครับ เพราะของผม 5.3 ทั้งหมด มีเครื่องนึงเป็น cent5 ที่เหลือเป็น cent6 และแต่ละเครื่อง wordpress ทั้งนั้น

ผมพบปัญหาคือเว็บไหนที่ Restore จาก Backup แล้ว openbase dir จะเป็น OFF หมดเลยครับ

เจอ off เกือบหมดเลย “-”

ตัวเว็บที่ถูก unlimited hack ของผมก็ off เฉยเลยครับ
ยังไม่แน่ใจสาเหตุ พอดีก่อนหน้า ได้ทำการ restore ข้อมูลก่อนมาเช็ค


เช็ค ip server ของตัวเองได้ที่
hack-db.com , hack-mirror.com

หรือค้นจาก google ก็ได้ครับ
xxx.xxx.xxx.xxx site:hack-db.com

ที่เป็นเป้าโจมตีแน่ๆ คือ Joomla ครับ โดยเฉพาะ permission อ่อน
ลูกค้าบางคน ทำการ chmod public_html เป็น 777 ไว้เลยถูกเขียนไฟล์ index.html ลงไปครับ

วิธีการแก้คือสั่ง
/usr/local/directadmin/scripts/set_permissions.sh user_homes

เหนื่อยเลยเหมือนกันครับ เจอลูกค้าท่านนึง หาว่าเซิร์ฟเวอร์เราถูก hack
และมั่นใจมากว่า script ตัวเองพัฒนาไม่มีปัญหา เศร้าใจ

วิธีการแก้คือสั่ง
/usr/local/directadmin/scripts/set_permissions.sh user_homes

อันนี้คือยังไงหรอครับ :blink: ขอช่วยอธิบายตรงนี้หน่อยครับ

วิธีแก้ง่ายๆ คืออ่าน log ให้เป็น แล้วเอา log ไปยันกลับครับ เรามีหลักฐานการเข้าใช้งานอยู่ก็ปลอดภัยพอควรละ

ปล. มีใครโดนแล้วบ้าง? พอจะมี log มั้ยครับ?

ผมลองเทส เมื่อครู่ นี้ครับ

ลอง restore ผลปรากฏว่า base จาก ON เป็น OFF ครับ

เหมือนผมเลย เครื่องที่เพิ่งลงใหม่