ประกาศแจ้งเตือนคนใช้ da ก่อนถูก hack

jeffyplus · December 26, 2012, 4:06pm

ตอนนี้ ผม ลอง backup (โดยแก้ไข base เป็น ON) แล้วทำการ backup แล้วจะลอง restore อีกรอบครับ เดี๋ยว ได้ผลอย่างไร จะมา ยืนยันให้อีกครั้งนะครับ

ผล เหมือนเดิมครับ

ค่า จาก ON เมื่อ backup แล้ว ทำการ restore ค่าจะกลายเป็น OFF ไปโดยปริยาย

hack3rb43 · December 26, 2012, 5:27pm

เครื่องเก่าๆผมก็โดน off ครับว่าจะมาโพสถามหลายทีละลืม

pizzaman911 · December 26, 2012, 9:23pm

ปักหมุด & Thanks

bestthaihost · December 26, 2012, 11:57pm

เครื่องที่ผม restore ไป หลายโดเมนเป้น OFF ครับ
แต่มีบาวโดเมนเป็น ON

ยังงงๆ เหมือนกัน

ihotVPS · December 27, 2012, 12:02am

ผมก็เจออาการนี้เหมือนกันครับ :5c745924:

mean · December 27, 2012, 12:11am

เมื่อสักครู่ ผมเช็ค ไม่ธรรมดาเลยครับ ยังดีว่า hacker คนนี้ไม่ทำลายข้อมูล

เชิญทุกท่าน ตรวจเช็ค IP ของท่านทาง

http://www.hack-db.com/ip_[COLOR=#ff0000]xxx.xxx.xxx.xxx[/COLOR].html

แทน IP ตัวแดงลงไปครับ

mean · December 27, 2012, 12:23am

มาเพิ่มเติมให้ครับ
ดูเอาละกันครับ unlimited.php ทำอะไรได้บ้าง

เมื่อครู่ผมลอง test Open BaseDir
ง่ายมากที่จะทำการ สร้างโฟลเดอร์ หรือ ไฟล์ ใดๆ ข้าม directory

ฉนั้นไม่ยากเลย ที่จะ หา user ทั้งหมดภายใน เครื่อง
ฉนั้น ท่านใด ที่มีปัญหา Open BaseDir ก่อนหน้านี้ คงต้องดำเนินการ ตรวจสอบและแก้ไขโดยละเอียดทันทีครับ

mean · December 27, 2012, 12:54am

ผมแชร์คร่าวๆ ดังนี้ครับ

Disable ~user ( http://help.directadmin.com/item.php?id=344 )
100% OpenBaseDir is ON ( http://www.thaihosttalk.com/showthread.php/71881-ประกาศแจ้งเตือนคนใช้-DA-ก่อนถูก-HACK?p=660983&viewfull=1#post660983 )
set default permission in /home
/usr/local/directadmin/scripts/set_permissions.sh user_homes
set permission for public_html
chmod 755 /home//domains//public_html
Find php shell script
find /home -name 'unlimited.php’
find /home -type f -name “*.php” -exec grep -H “DK Shell” {} ;

–

[B]find and rename file[/B]
for i in find /home -name 'unlimited.php' ; do mv $i echo $i | sed 's/unlimited.php/unlimited.xxr/' ; done

[B]find and delete[/B]

[COLOR=#ff0000][SIZE=5]การใช้คำสั่งใดๆ ควรใช้ด้วยความระมัดระวัง
[/SIZE][/COLOR]

icez · December 27, 2012, 1:11am

อยากได้ access log อะมีน…

mean · December 27, 2012, 1:19am

ไอซ์ มันมีพวกคำสั่ง grep ใน .tar.gz ไหม

ตอนนี้ยังไล่หาไม่เจอ เพราะ da pack log ไว้แต่ละ user
คนทำน่าจะ access จาก user เดียว และโยนไฟล์ ไปยัง user ต่างๆ

ซึ่งโยนแล้วก็ไม่ได้ มีการ access ใดๆ แต่ละ user อีกเลย จนไป submit ผลงาน

icez · December 27, 2012, 1:22am

ขอ access หน่อยสิ เดี๋ยวไปขุดให้

ปล. skype worldicez add มาหน่อยท่าน msn ออนบน skype แต่มันคุยได้แค่บางคน เซงอยู่

iLhay · December 27, 2012, 1:23am

script เป็นตัวเดียวกันกับที่นี่ฮะ

//youtu.be/jrHAx-tVzKc

mean · December 27, 2012, 1:28am

Add ไปหละไอซ์ ยังไม่เห็นออน my_mean

ปล.
หนักจริง maxsite นรกแตก แน่ๆ ครับ

icez · December 27, 2012, 2:38am

ขอสรุปแป๊ปครับ เรื่องมันยาวรู้แต่เว็บใครอยู่ในรายการนี้ เสร็จไปแล้วแหงๆ - -'
http://www.bing.com/search?q=รูปสมาชิก+%3A+Limit+100+kB%2C+[+width+x+height+]%3D100x80+pixels&qs=n&pq=รูปสมาชิก+%3A+limit+100+kb%2C+[+width+x+height+]%3D100x80+pixels&sc=0-0&sp=-1&sk=&first=11&FORM=PERE

mean · December 27, 2012, 2:54am

[B]เอานี่ครับ เต็มๆ[/B]
http://www.hack-db.com/team/Unlimited_Hack_Team/all.html
http://www.hack-mirror.com/team/Unlimited_Hack_Team/all.html
http://www.zone-h.org/archive

[B]ท่านใดอยากทราบเว็บไหนโดนบ้าง [/B]
find /home -type f -name “*.php” -exec grep -H “DK Shell” {} ;

เป้าโจมตี maxsite
รายละเอียดเดี่ยวไอซ์จัดครับ

ปล. ขอบคุณไอซ์ พี่แมน และทุกๆ ท่านอย่างสูงครับ ที่ช่วยกันแบ่งปัน
มีน.

icez · December 27, 2012, 2:59am

ดู log จากเว็บนึงที่โดนเจาะมา เป็นช่องโหว่ของ CMS Maxsite ส่วนของ module download ที่เปิดให้ upload file ได้แบบไม่มีการเชคนามสกุลไฟล์ครับ ใครใช้อยู่ก็ระวังกันหน่อยละกัน ปิดการทำงาน module นี้ได้ก็ดีฮะ
ไม่อยากเปิดเผยรายละเอียดวิธีเจาะมาก อันตรายพอควร (จริงๆ รู้แค่นี้พวกเก่งๆ ก็เอาไปเจาะกันสนุกสนานละครับ)

ส่วนเมื่อกี้ลองอะไรขำๆ … ได้วิธีทุเรสๆ ในการ block การทำงานของ shell ที่ว่านี่อันนึงครับ

iptables -A OUTPUT -m string --algo bm --string ‘shell beta version 1.0 by b47chguru’ -j DROP

ย้ำนะครับ มันเป็นวิธีทุเรสมาก ถ้า post ตรงก็ยังใช้งานได้อยู่ดี แต่เหนื่อยหน่อยเพราะไม่เห็นผลลัพท์ของมัน

catnet · December 27, 2012, 3:38am

icez:

ดู log จากเว็บนึงที่โดนเจาะมา เป็นช่องโหว่ของ CMS Maxsite ส่วนของ module download ที่เปิดให้ upload file ได้แบบไม่มีการเชคนามสกุลไฟล์ครับ ใครใช้อยู่ก็ระวังกันหน่อยละกัน ปิดการทำงาน module นี้ได้ก็ดีฮะ
ไม่อยากเปิดเผยรายละเอียดวิธีเจาะมาก อันตรายพอควร (จริงๆ รู้แค่นี้พวกเก่งๆ ก็เอาไปเจาะกันสนุกสนานละครับ)

ส่วนเมื่อกี้ลองอะไรขำๆ … ได้วิธีทุเรสๆ ในการ block การทำงานของ shell ที่ว่านี่อันนึงครับ

iptables -A OUTPUT -m string --algo bm --string ‘shell beta version 1.0 by b47chguru’ -j DROP

ย้ำนะครับ มันเป็นวิธีทุเรสมาก ถ้า post ตรงก็ยังใช้งานได้อยู่ดี แต่เหนื่อยหน่อยเพราะไม่เห็นผลลัพท์ของมัน

สายพันเดียวกับ unlimite มั้ย

icez · December 27, 2012, 3:39am

อ่า นี่คือหนึ่งในทีมที่ว่านั่นแหละครับ เข้ามาแล้วก็ฝัง หน้าเว็บไอ้ unlimited นั่นไว้ผ่าน script deface ตัวนึง (กำลังแกะการทำงานอยู)

rtsp · December 27, 2012, 7:32am

โอ้ เชลนี้เคยพยายามใช้ตอนจะเจาะ DA ตัวเองที่คอนฟิกผิดจน SSH เข้าไปไม่ได้

jeffyplus · December 27, 2012, 10:58am

ผมได้ลอง อีเมลล์ ไปหา Support Direct Admin เมื่อคืน เรื่องการ Restore แล้ว Base เป็น OFF

Hello,

Which type of PHP is used on this box… CLI or suPhp?
suPhp (with custombuild 1.1/1.2) requires other methods to enable open_basedir.
Manually check the backup to see which setting is in the backup.
cd /path/to/backups
mkdir temp
tar xvzf …/user.admin.username.tar.gz backup
cd backup/domain.com
cat domain.conf

to see what the setting is set to:
open_basedir=ON
3) Lastly, check to see what the default value is:
Admin Level –> Php Safemode Config

if a restore is done as a Reseller, then it will use the default, since a Reseller isn’t allowed to override the setting.

Thank you,

John

ในส่วนของ ข้อ 2 ผม ได้ลอง เช็คแล้ว ว่า ค่าที่ถูกเก็บไว้ใน domain.conf เป็น ON

และ ข้อ 3 Admin Level –> Php Safemode Config
Default Open BaseDir for new domains: [COLOR=#000000][FONT=verdana]On

ตอนนี้รอทาง Support DA ติดต่อกลับมาครับ[/FONT][/COLOR]