สอบถามปัญหาครับ Directadmin โดนแฮก และโดนยัน root

1.โดนแก้ทุกไฟล์ที่ขึ้นต้นด้วย index ครับ ทุก user เลยครับ แต่ข้อมูลอื่นๆไม่โดนแก้นะครับ
2.หน้าเข้า directadmin / webmail / mysql โดนเหมือนกันหมด
3.โดนครั้งแรกเมื่อ 2 เดือนก่อน ลองหาข้อมูลในนี้ ตอนนี้ครบ 2 เดือนกลับมาโดนอีกแล้ว

  • ปิด CGI แต่เครื่องใช้ FastCGI ครับเลยปิดทั้งหมดไม่ได้
    "–disable-cgid"
    “–disable-cgi” \
  • ปิดพอร์ทที่ไม่ได้ใช้ทั้งหมด
  • ปิด http://ip/~user
  • ลง DenyHosts / Fail2Ban / ClamAV / APF / Auto block Bruteforce attack
  • ssh ย้ายไปใช้พอร์ทอื่นที่ไม่ใช่ 21
  • เปิดให้เข้า directadmin พอร์ท 80 แทน 2222
    4.ตอนนี้ยัง FTP ได้อยู่ แต่ root ขึ้นว่าไม่พบ user root แล้วเลยคิดว่าไม่สามารถแก้ได้แล้ว คงต้องย้ายเว็บ และลงใหม่

ทั้งนี้ทั้งนั้น อยากสอบถามครับ ใครเคยเจอเคสแบบนี้บ้างครับ มีวิธีตั้งค่า หรือป้องกันอื่นๆอีกมั้ยครับ ถ้าเจอแบบนี้บ่อยๆ ประสาทกินตาย

os อะไร version อะไร / vps รึเปล่า uname -a หน่อยครับ

1 Like

เป็นเครื่องส่วนตัวครับ CentOS 6.8 Final ครับ ติดตั้งแบบ Web server ครับ

Linux hsv1.visualhost.com 2.6.32-642.el6.x86_64 #1 SMP Tue May 10 17:27:01 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

ได้ดู log ใน /var/log บ้างรึเปล่าครับ

1 Like

ตอบตามตรงครับ เดือนก่อนนั่งดูทั้งเดือนครับ เห็นปกติไม่มีอะไรเลยชะล่าใจคิดว่าเอาอยู่แล้ว เดือนนี้เลยไม่ได้ดูเลยครับ อาทิตย์สิ้นเดือนมาโดนเลย T_T

ยังไงวันศุกร์ ผมเข้าไปหน้าเครื่องแล้วจะลองเอาฮาร์ดดิสออกมาดึง log ดู ยังไงขอรบกวนอีกครั้งด้วยนะครับ

น่ากลัวอะ :grimacing:

วันนี้เสร็จงานไวเลยลองมานั่งดู แบคอัพลูกค้าเล่นๆก่อนเข้าไปหน้าเครื่องพรุ่งนี้ครับ…เห่อๆมาเป็นขบวนการกันเลยทีเดียว

2017-09-28_12-23-51

2017-09-28_12-24-48

2017-09-28_12-29-20

2017-09-28_12-30-31

มีคำถามเพิ่มเติมครับ ตอนผมอัพเดทมาเป็น FastCGI แล้ว เวลาลูกค้า install พวก joomla หรือสคิปต่างๆเนี่ย ลูกค้าไม่ต้องมานั่งกำหนดโฟรเดอร์เป็น 777 เหมือนก่อนอัพเดท ที่เป็นแบบนี้เพราะผมตั้งค่าอะไรผิดหรือเปล่าครับ หรือเป็นเพราะ FastCGI

เป็นปกติของ fastcgi นะครับ

1 Like

งั้น ต้องหาต่อละครับ ว่ามาจากทางไหน คือจากเมื่อก่อนเลยต้องกำหนดมัน พออัพเดทแล้วไม่กำหนด ก็เลยรู้สึกไม่ปลอดภัยนิดนึง นะครับ

ผมว่าที่ต้องกำหนดเป็น 777 นั่นแหละไม่ปลอดภัยนะครับ

1 Like

หลังจากย้ายเว็บมาได้ 1 คืน มันตามมาอีกแล้วครับ สงสัยเว็บลูกค้าจะรั่วจริง เห่อๆ

มีข้อสงสัย log อยู่ชุด 1 ครับ ขอรบกวนคนในนี้ด้วยครับ

[Fri Sep 29 00:05:24.610569 2017] [:error] [pid 5022] [client 109.63.160.76:36196] PHP Notice: Undefined variable: indtg in /home/…/public_html/index.php on line 175, referer: http://yandex.ru/clck/jsredir?from=yandex.ru%3Bsearch%3Bweb%3B%3B&text=&etext=1558.60K7zzhM_BDoFyaP0iY53e8AwITi8iSCZEB6Ub3bKGiWO0hMIEOmvRrpmg61dwC_.10d88a0202f4f659afefac2fffbf7f8bef029f26&uuid=&state=BLhILn4SxNIvvL0W45KSic66uCIg23qh8iRG98qeIXmeppkgUc0YKCJkrjchpDstTwxTkjwGrA&data=UlNrNmk5WktYejR0eWJFYk1LdmtxbERZZ19Cci1SeXA2OWc5QzhsdkZiREV6SGZ0VkdRVk9icDNWVEJNRkw1WEpteEwtV3JuMmctZkZDQWwzQkpZdFgyV3hiaFBwSkRRdktrTnJLc1Y0NzNsSXhseGgwc0NTUDViSHFjQmZPM24&b64e=2&sign=ecbd7f6648ab55d3aa4bb8185da62207&keyno=0&cst=AiuY0DBWFJ7IXge4WdYJQaYgAYq7JarriZSsiXH8iUSzpKkTg34v97vTrqtWdhLrL8otACaO7V7qczp8si63HWuPynIL5MUc3iyklTIUZ8UVfnH-6MKfLOXAk1v4X7N4F1GuUEkP-TKUHBJA4UhmHuaO01UcEWcD&ref=orjY4mGPRjk5boDnW0uvlrrd71vZw9kp5uQozpMtKCUPlG4bHKQJvI9vAM8s6oABuurJBqju87ZeMch7RkkehXc7fr2pDqQAG22N16fcRMLhuj52rwwxOELyAleKq6-&l10n=ru&cts=1506616323778&mc=6.15072565516

หมายถึงอะไรครับ

กว่าจะจบเหนื่อยครับ ขอบคุณ คุณ icez นะครับนั่งไล่อ่านกระทู้ที่คุณ icez ตั้ง ได้ข้อมูลมาอัพเลเวลตัวเองเยอะเลย ขอบคุณคุณ BrainFreeze นะครับทำให้เชื่อมั้น fastcgi มากขึ้น และไปนั่งหาข้อมูลอ่านเพิ่ม

สรุปครับ เป็นจากระบบแอดมินลูกค้ารั่วครับ ทำให้โดนเข้ามาอัพไฟล์ที่รันสคิปได้ ได้แจ้งลูกค้าที่มีปัญหาไปแล้วครับ บางส่วนแก้ไขก็ดีไปครับ บางส่วนไม่ยอมแก้ ก็ต้องยินยอมคืนส่วนต่าง และขอเชิญออกครับ ดีกว่าให้ลูกค้าทั้งหมดมีปัญหา (ผมใช้ของผมมาตั้งนานไม่เคยจะมีปัญหา ทางคุณมีปัญหาเองมากกว่ามั้ง) เห่อๆ จำขึ้นใจเลยครับคำพูดนี้ กว่าจะแก้ไขเสร็จ และทยอยย้ายลูกค้ากลับมา ครึ่งเดือนเลย

บทเรียนเลยครับ ต่อไปต้องนั่งดู log ทุกวันละครับ