kke
May 25, 2008, 12:16pm
1
เฮ้อ เครื่องลูกค้าโดนไปเต็มๆ เป็น CentOS 5 64bit
อาการ
ไฟล์ที่มีชื่อ index* ถูกเปลี่ยนหมดทั้งเครื่อง กระทั่ง /usr/bin/indexmaker ของ mrtg ก็ยังโดนไปด้วย
ไฟล์ main.php ของ DirectAdmin ก็ถูกเปลี่ยนด้วยเช่นกัน ทำให้เข้าหน้า DA ไม่ได้ด้วย
folder /var/log โดนลบเกลี้ยง (folder log หายไปเลย)
ไฟล์ /usr/local/directadmin/data/user/[usera]/domains/domain.conf ถูกแก้ไข (เฉพาะของ user A)
ไฟล์ /usr/local/directadmin/data/user/[usera]/domains/httpd.conf ถูกแก้ไข (เฉพาะของ user A)
คาดว่าโดนโจมตีมาจากโดเมนของ User A นี้ ผ่านทางช่องโหว่ของ DA (ไม่แน่ใจว่าลูกค้าทำการ update DA หรือเปล่า)
แก้ไขเบื้องต้น
สร้าง folder /var/log และ ไฟล์ย่อยๆข้างใน
update DirectAdmin เป็นเวอร์ชั่นล่าสุด
แก้ไขไฟล์ index ต่างๆ ให้กลับมาใช้งานได้ก่อน
ตรวจสอบ restart service หลักๆ ว่าสามารถทำงานได้ปกติ
การแก้ไขต่อไป
Backup เว็บทั้งหมดในเครื่องด้วย AdminBackup ของ DirectAdmin
ติดตั้งระบบใหม่
Restore Backup กลับมาทั้งหมด
วิเคราะห์สาเหตุ
เท่าที่ตรวจสอบเบื้องต้นลูกค้าสร้าง package แล้วติ๊กเปิด ssh เอาไว้ทุก package ทำให้ทุก user เข้า ssh ได้หมด
DirectAdmin ไม่ได้ update เป็นเวอร์ชั่นล่าสุด อาจจะมี bug ที่เมื่อ login เป็น user A ได้แล้่วสามารถแก้ไขไฟล์บางไฟล์ได้
คิดว่าปัญหามาจาก 2 สาเหตุดังกล่าว ใครยังไม่ได้ update DA ก็รีบเข้าไป Update ซะนะครับ ส่วนใครที่เปิด SSH ใน package ลูกค้าไว้ด้วย ก็ไล่ปิดซะให้หมด
แบบนี้ยังเรียก Hacker หรือเปล่าน้อ สร้างความเสียหายปั่นป่วน ไฟล์ index ถ้าไม่มี backup ไว้ก็จบเลย เพราะถูกทับหมด
ที่ร้ายคือ /var/log หายไปเลย
:angryfire:
เพิ่มเติม:
Disable functions ใน php.ini ถูกแก้ไม่เหลืออะไรเลย อันนี้ไม่รู้ว่าโดนแฮกเกอร์แก้หรือว่าลูกค้าไปแก้ออกเอง (ถ้าลูกค้าแก้ออกเองอันนี้ก็เป็นการเปิดช่องโหว่ไว้เอง)
สงสัยโดนสคริปรันเอา
เลยจัดการแก้ index ไฟล์ทั้งหมดเลย
ส่วนมากเป้าหมายพวกนี้ ผมเห็นจะเป็นการฝังโทรจันลงบนหน้าเว็บ
ที่ TSB ก็โดนกันเยอะ
kke
May 25, 2008, 12:29pm
3
Search เจอข้อมูล Profile
http://www.zone-h.org/component/option,com_attacks/Itemid,160/filter_defacer,r00t-x/page,1
OS เป็น Linux ล้วนๆเลย ไม่รู้ว่ารวมถึง FreeBSD ด้วยหรือเปล่า
ปล. หน้าที่โดนแก้เป็นหน้า Html ธรรมดาๆ ไม่มีการฝัง code ใดๆ
pook
May 25, 2008, 12:38pm
4
อาการเดียวกับที่ผมเคยโดนมาแล้วเลยพี่
/var/log นี่หายไปเลย ส่วนหน้า index
โดนทุก path อย่างทั่วถึง ตอนนี้ก็เกือบแย่
ปุ๊ก
เคยโดนเหมือนกันคิดว่าเป็น script ครับ เพราะเปิด SSH ไว้ให้เข้าได้ไม่กี่ IP ครับ
icez
May 25, 2008, 4:05pm
10
ลบ /var/log ได้แสดงว่าได้สิทธิ์ root สิครับ
ลองสั่ง
lsattr /bin/ls
สิครับ
มันขึ้นอะไรมั่ง มีอะไรนอกจาก ----- มะ
โดนไปจังๆเหมือนผมเลยครับ
แ่ต่ DA ก็อับเดดใหม่อยู่ตลอดเวลานะครับ CentOS 5.0 เหมือนกัน
คิดว่าเนื่องจากเปิด SSH ให้ลูกค้า
ตอนนี้ปิดหมดแล้ว
เปิด ssh แล้วตั้ง password ผิดติดกัน 3 ครั้งสั่ง ban ip กันไม่ได้หรอครับ …
สมัยแรกๆ คนในนี้แหละ สอนผมให้ ปิด root ใช้ user พิเศษสั่ง su - ได้เท่านั้น …
แค่นี้ hacker มันก็เดา user พิเศษไม่ออกแร้ว …
งึมๆ ไม่รู้แค่นี้พอจะทำให้เปิด ssh ได้รึเปล่านะครับ
อันนี้มันคนละกรณีครับ
กรณีนี้โดนเจาะมาทางรูโหว่ของ DA ครับ เลยสามารถเข้า root ได้
เครื่องลูกค้าที่ใช้ DA ผมลบ admin user ไม่ให้เข้า ssh ได้จาก default และ root
kke
May 26, 2008, 5:58am
16
แก้ไฟล์ได้ทั้งเครื่องแบบนี้ ได้ root แน่นอนครับ
ดูเหมือนเจาะผ่านทาง DA เพระมีการแก้ไฟล์ da config ของ user นึงเป็น id=0
lsattr -a /bin
เป็น ----- หมดทุกคำสั่ง ครับ
kernel ใหม่ล่าสุดหรือปล่าวครับ
แล้ว openbase นี่ระบุไหมครับ
ผมเองเพิ่งโดนไป disable ใน php ยังเหมือนเดิมปิดไว้หมด แต่ secure tmp ไม่ได้ทำ
สงสัยคืออาจจะโดนผ่าน cgi
ผมก็ไม่รู้จะตามยังไง เพราะว่า log ไม่มี สำคัญคือต้องมาแก้เว็บลูกค้าก่อนเลยไม่คิดอย่างอื่นเลย
เจอช่องโหว่แล้วมาบอกกันบ้างครับ