ตอนนี้ ผม ลอง backup (โดยแก้ไข base เป็น ON) แล้วทำการ backup แล้วจะลอง restore อีกรอบครับ เดี๋ยว ได้ผลอย่างไร จะมา ยืนยันให้อีกครั้งนะครับ
ผล เหมือนเดิมครับ
ค่า จาก ON เมื่อ backup แล้ว ทำการ restore ค่าจะกลายเป็น OFF ไปโดยปริยาย
ตอนนี้ ผม ลอง backup (โดยแก้ไข base เป็น ON) แล้วทำการ backup แล้วจะลอง restore อีกรอบครับ เดี๋ยว ได้ผลอย่างไร จะมา ยืนยันให้อีกครั้งนะครับ
ผล เหมือนเดิมครับ
ค่า จาก ON เมื่อ backup แล้ว ทำการ restore ค่าจะกลายเป็น OFF ไปโดยปริยาย
เครื่องเก่าๆผมก็โดน off ครับว่าจะมาโพสถามหลายทีละลืม
ปักหมุด & Thanks
เครื่องที่ผม restore ไป หลายโดเมนเป้น OFF ครับ
แต่มีบาวโดเมนเป็น ON
ยังงงๆ เหมือนกัน
ผมก็เจออาการนี้เหมือนกันครับ :5c745924:
เมื่อสักครู่ ผมเช็ค ไม่ธรรมดาเลยครับ ยังดีว่า hacker คนนี้ไม่ทำลายข้อมูล
เชิญทุกท่าน ตรวจเช็ค IP ของท่านทาง
http://www.hack-db.com/ip_[COLOR=#ff0000]xxx.xxx.xxx.xxx[/COLOR].html
แทน IP ตัวแดงลงไปครับ
มาเพิ่มเติมให้ครับ
ดูเอาละกันครับ unlimited.php ทำอะไรได้บ้าง
เมื่อครู่ผมลอง test Open BaseDir
ง่ายมากที่จะทำการ สร้างโฟลเดอร์ หรือ ไฟล์ ใดๆ ข้าม directory
ฉนั้นไม่ยากเลย ที่จะ หา user ทั้งหมดภายใน เครื่อง
ฉนั้น ท่านใด ที่มีปัญหา Open BaseDir ก่อนหน้านี้ คงต้องดำเนินการ ตรวจสอบและแก้ไขโดยละเอียดทันทีครับ
ผมแชร์คร่าวๆ ดังนี้ครับ
Disable ~user ( http://help.directadmin.com/item.php?id=344 )
100% OpenBaseDir is ON ( http://www.thaihosttalk.com/showthread.php/71881-ประกาศแจ้งเตือนคนใช้-DA-ก่อนถูก-HACK?p=660983&viewfull=1#post660983 )
set default permission in /home
/usr/local/directadmin/scripts/set_permissions.sh user_homes
set permission for public_html
chmod 755 /home//domains//public_html
Find php shell script
find /home -name 'unlimited.php’
find /home -type f -name “*.php” -exec grep -H “DK Shell” {} ;
–
[B]find and rename file[/B]
for i in find /home -name 'unlimited.php'
; do mv $i echo $i | sed 's/unlimited.php/unlimited.xxr/'
; done
[B]find and delete[/B]
[COLOR=#ff0000][SIZE=5]การใช้คำสั่งใดๆ ควรใช้ด้วยความระมัดระวัง
[/SIZE][/COLOR]
อยากได้ access log อะมีน…
ไอซ์ มันมีพวกคำสั่ง grep ใน .tar.gz ไหม
ตอนนี้ยังไล่หาไม่เจอ เพราะ da pack log ไว้แต่ละ user
คนทำน่าจะ access จาก user เดียว และโยนไฟล์ ไปยัง user ต่างๆ
ซึ่งโยนแล้วก็ไม่ได้ มีการ access ใดๆ แต่ละ user อีกเลย จนไป submit ผลงาน
ขอ access หน่อยสิ เดี๋ยวไปขุดให้
ปล. skype worldicez add มาหน่อยท่าน msn ออนบน skype แต่มันคุยได้แค่บางคน เซงอยู่
Add ไปหละไอซ์ ยังไม่เห็นออน my_mean
ปล.
หนักจริง maxsite นรกแตก แน่ๆ ครับ
ขอสรุปแป๊ปครับ เรื่องมันยาวรู้แต่เว็บใครอยู่ในรายการนี้ เสร็จไปแล้วแหงๆ - -'
http://www.bing.com/search?q=รูปสมาชิก+%3A+Limit+100+kB%2C+[+width+x+height+]%3D100x80+pixels&qs=n&pq=รูปสมาชิก+%3A+limit+100+kb%2C+[+width+x+height+]%3D100x80+pixels&sc=0-0&sp=-1&sk=&first=11&FORM=PERE
[B]เอานี่ครับ เต็มๆ[/B]
http://www.hack-db.com/team/Unlimited_Hack_Team/all.html
http://www.hack-mirror.com/team/Unlimited_Hack_Team/all.html
http://www.zone-h.org/archive
[B]ท่านใดอยากทราบเว็บไหนโดนบ้าง [/B]
find /home -type f -name “*.php” -exec grep -H “DK Shell” {} ;
เป้าโจมตี maxsite
รายละเอียดเดี่ยวไอซ์จัดครับ
ปล. ขอบคุณไอซ์ พี่แมน และทุกๆ ท่านอย่างสูงครับ ที่ช่วยกันแบ่งปัน
มีน.
ดู log จากเว็บนึงที่โดนเจาะมา เป็นช่องโหว่ของ CMS Maxsite ส่วนของ module download ที่เปิดให้ upload file ได้แบบไม่มีการเชคนามสกุลไฟล์ครับ ใครใช้อยู่ก็ระวังกันหน่อยละกัน ปิดการทำงาน module นี้ได้ก็ดีฮะ
ไม่อยากเปิดเผยรายละเอียดวิธีเจาะมาก อันตรายพอควร (จริงๆ รู้แค่นี้พวกเก่งๆ ก็เอาไปเจาะกันสนุกสนานละครับ)
ส่วนเมื่อกี้ลองอะไรขำๆ … ได้วิธีทุเรสๆ ในการ block การทำงานของ shell ที่ว่านี่อันนึงครับ
iptables -A OUTPUT -m string --algo bm --string ‘shell beta version 1.0 by b47chguru’ -j DROP
ย้ำนะครับ มันเป็นวิธีทุเรสมาก ถ้า post ตรงก็ยังใช้งานได้อยู่ดี แต่เหนื่อยหน่อยเพราะไม่เห็นผลลัพท์ของมัน
สายพันเดียวกับ unlimite มั้ย
อ่า นี่คือหนึ่งในทีมที่ว่านั่นแหละครับ เข้ามาแล้วก็ฝัง หน้าเว็บไอ้ unlimited นั่นไว้ผ่าน script deface ตัวนึง (กำลังแกะการทำงานอยู)
โอ้ เชลนี้เคยพยายามใช้ตอนจะเจาะ DA ตัวเองที่คอนฟิกผิดจน SSH เข้าไปไม่ได้
ผมได้ลอง อีเมลล์ ไปหา Support Direct Admin เมื่อคืน เรื่องการ Restore แล้ว Base เป็น OFF
Hello,
Which type of PHP is used on this box… CLI or suPhp?
suPhp (with custombuild 1.1/1.2) requires other methods to enable open_basedir.
Manually check the backup to see which setting is in the backup.
cd /path/to/backups
mkdir temp
tar xvzf …/user.admin.username.tar.gz backup
cd backup/domain.com
cat domain.conf
to see what the setting is set to:
open_basedir=ON
3) Lastly, check to see what the default value is:
Admin Level –> Php Safemode Config
if a restore is done as a Reseller, then it will use the default, since a Reseller isn’t allowed to override the setting.
Thank you,
John
ในส่วนของ ข้อ 2 ผม ได้ลอง เช็คแล้ว ว่า ค่าที่ถูกเก็บไว้ใน domain.conf เป็น ON
และ ข้อ 3 Admin Level –> Php Safemode Config
Default Open BaseDir for new domains: [COLOR=#000000][FONT=verdana]On
ตอนนี้รอทาง Support DA ติดต่อกลับมาครับ[/FONT][/COLOR]