โดนเข้าแล้ว haCked Бy » r00t-x

kke · May 25, 2008, 12:16pm

เฮ้อ เครื่องลูกค้าโดนไปเต็มๆ เป็น CentOS 5 64bit

อาการ

ไฟล์ที่มีชื่อ index* ถูกเปลี่ยนหมดทั้งเครื่อง กระทั่ง /usr/bin/indexmaker ของ mrtg ก็ยังโดนไปด้วย
ไฟล์ main.php ของ DirectAdmin ก็ถูกเปลี่ยนด้วยเช่นกัน ทำให้เข้าหน้า DA ไม่ได้ด้วย
folder /var/log โดนลบเกลี้ยง (folder log หายไปเลย)
ไฟล์ /usr/local/directadmin/data/user/[usera]/domains/domain.conf ถูกแก้ไข (เฉพาะของ user A)
ไฟล์ /usr/local/directadmin/data/user/[usera]/domains/httpd.conf ถูกแก้ไข (เฉพาะของ user A)
คาดว่าโดนโจมตีมาจากโดเมนของ User A นี้ ผ่านทางช่องโหว่ของ DA (ไม่แน่ใจว่าลูกค้าทำการ update DA หรือเปล่า)

แก้ไขเบื้องต้น

สร้าง folder /var/log และ ไฟล์ย่อยๆข้างใน
update DirectAdmin เป็นเวอร์ชั่นล่าสุด
แก้ไขไฟล์ index ต่างๆ ให้กลับมาใช้งานได้ก่อน
ตรวจสอบ restart service หลักๆ ว่าสามารถทำงานได้ปกติ

การแก้ไขต่อไป

Backup เว็บทั้งหมดในเครื่องด้วย AdminBackup ของ DirectAdmin
ติดตั้งระบบใหม่
Restore Backup กลับมาทั้งหมด

วิเคราะห์สาเหตุ

เท่าที่ตรวจสอบเบื้องต้นลูกค้าสร้าง package แล้วติ๊กเปิด ssh เอาไว้ทุก package ทำให้ทุก user เข้า ssh ได้หมด
DirectAdmin ไม่ได้ update เป็นเวอร์ชั่นล่าสุด อาจจะมี bug ที่เมื่อ login เป็น user A ได้แล้่วสามารถแก้ไขไฟล์บางไฟล์ได้
คิดว่าปัญหามาจาก 2 สาเหตุดังกล่าว ใครยังไม่ได้ update DA ก็รีบเข้าไป Update ซะนะครับ ส่วนใครที่เปิด SSH ใน package ลูกค้าไว้ด้วย ก็ไล่ปิดซะให้หมด

แบบนี้ยังเรียก Hacker หรือเปล่าน้อ สร้างความเสียหายปั่นป่วน ไฟล์ index ถ้าไม่มี backup ไว้ก็จบเลย เพราะถูกทับหมด
ที่ร้ายคือ /var/log หายไปเลย
:angryfire:

เพิ่มเติม:

Disable functions ใน php.ini ถูกแก้ไม่เหลืออะไรเลย อันนี้ไม่รู้ว่าโดนแฮกเกอร์แก้หรือว่าลูกค้าไปแก้ออกเอง (ถ้าลูกค้าแก้ออกเองอันนี้ก็เป็นการเปิดช่องโหว่ไว้เอง)

EThaiZone · May 25, 2008, 12:25pm

สงสัยโดนสคริปรันเอา
เลยจัดการแก้ index ไฟล์ทั้งหมดเลย

ส่วนมากเป้าหมายพวกนี้ ผมเห็นจะเป็นการฝังโทรจันลงบนหน้าเว็บ
ที่ TSB ก็โดนกันเยอะ

kke · May 25, 2008, 12:29pm

Search เจอข้อมูล Profile
http://www.zone-h.org/component/option,com_attacks/Itemid,160/filter_defacer,r00t-x/page,1

OS เป็น Linux ล้วนๆเลย ไม่รู้ว่ารวมถึง FreeBSD ด้วยหรือเปล่า

ปล. หน้าที่โดนแก้เป็นหน้า Html ธรรมดาๆ ไม่มีการฝัง code ใดๆ

pook · May 25, 2008, 12:38pm

อาการเดียวกับที่ผมเคยโดนมาแล้วเลยพี่
/var/log นี่หายไปเลย ส่วนหน้า index
โดนทุก path อย่างทั่วถึง ตอนนี้ก็เกือบแย่

ปุ๊ก

cat · May 25, 2008, 12:40pm

คุณแมนไม่เชยแล้วค่ะ

siamwebsolution.com · May 25, 2008, 12:46pm

เคยโดนเหมือนกันครับ

capucino · May 25, 2008, 1:01pm

เคยโดนเหมือนกันคิดว่าเป็น script ครับ เพราะเปิด SSH ไว้ให้เข้าได้ไม่กี่ IP ครับ

bunpot · May 25, 2008, 1:34pm

อืม…

เบื่อไอ้พวกนี้จริงๆ

:dry:

ton1 · May 25, 2008, 2:18pm

อืม

icez · May 25, 2008, 4:05pm

ลบ /var/log ได้แสดงว่าได้สิทธิ์ root สิครับ

bestthaihost · May 25, 2008, 4:36pm

ลองสั่ง

lsattr /bin/ls

สิครับ
มันขึ้นอะไรมั่ง มีอะไรนอกจาก ----- มะ

berkbaan · May 25, 2008, 5:35pm

โดนไปจังๆเหมือนผมเลยครับ
แ่ต่ DA ก็อับเดดใหม่อยู่ตลอดเวลานะครับ CentOS 5.0 เหมือนกัน
คิดว่าเนื่องจากเปิด SSH ให้ลูกค้า
ตอนนี้ปิดหมดแล้ว

Nipitpon · May 25, 2008, 8:29pm

เปิด ssh แล้วตั้ง password ผิดติดกัน 3 ครั้งสั่ง ban ip กันไม่ได้หรอครับ …
สมัยแรกๆ คนในนี้แหละ สอนผมให้ ปิด root ใช้ user พิเศษสั่ง su - ได้เท่านั้น …
แค่นี้ hacker มันก็เดา user พิเศษไม่ออกแร้ว …
งึมๆ ไม่รู้แค่นี้พอจะทำให้เปิด ssh ได้รึเปล่านะครับ

bestthaihost · May 25, 2008, 9:25pm

อันนี้มันคนละกรณีครับ
กรณีนี้โดนเจาะมาทางรูโหว่ของ DA ครับ เลยสามารถเข้า root ได้

smartnet.co.th · May 25, 2008, 10:17pm

เครื่องลูกค้าที่ใช้ DA ผมลบ admin user ไม่ให้เข้า ssh ได้จาก default และ root

kke · May 26, 2008, 5:58am

แก้ไฟล์ได้ทั้งเครื่องแบบนี้ ได้ root แน่นอนครับ
ดูเหมือนเจาะผ่านทาง DA เพระมีการแก้ไฟล์ da config ของ user นึงเป็น id=0

lsattr -a /bin

เป็น ----- หมดทุกคำสั่ง ครับ

ThaiTumweb · May 26, 2008, 4:56pm

kernel ใหม่ล่าสุดหรือปล่าวครับ
แล้ว openbase นี่ระบุไหมครับ
ผมเองเพิ่งโดนไป disable ใน php ยังเหมือนเดิมปิดไว้หมด แต่ secure tmp ไม่ได้ทำ
สงสัยคืออาจจะโดนผ่าน cgi
ผมก็ไม่รู้จะตามยังไง เพราะว่า log ไม่มี สำคัญคือต้องมาแก้เว็บลูกค้าก่อนเลยไม่คิดอย่างอื่นเลย

เจอช่องโหว่แล้วมาบอกกันบ้างครับ