เมื่อไม่กี่วันก่อน ตรวจสอบเจอว่าเครื่องนึงของลูกค้ามี phpBB worm
วิ่งเข้าไป แล้วก็วาง script ไว้ใน /tmp เล่นๆ เป็น ircbot (perl script)
ผมเลยคิดว่า พอมีเวลามาเขียนแนะนำวิธีป้องกันแก้ไข เผื่อคนอื่นจะเป็นประโยชน์บ้าง
ใครมีแนวคิดอื่นใด แลกเปลี่ยนกันได้
ประการแรก ตัวนี้เป็น phpBB highlight vulnerability ซึ่งถ้าโดนเข้า ก็คงสามารถ
เอา worm หรือ อะไร เช่น irc มาลงไว้รันในเครื่องเราได้ อย่างแรกก็ต้องตามล้าง
เจ้าพวกนั้นออกไปก่อน
ซึ่งการแก้ไขทำได้โดยหลายวิธีครับ เช่น (เช่น นะครับ เช่น ไม่ได้แปลว่าครบ)
-
update phpBB เป็นตัวล่าสุด
-
ใช้พวก apache filtering เช่น mod_security หรือ mod_rewrite
เพื่อเอา request ที่ exploit ช่องพวกนั้นออก ลองอ่านอันนี้ดู ไม่เลวครับ
http://castlecops.com/article-5642-nested-0-0.html -
อย่าลืมทำให้ /tmp noexec ด้วยครับ
ทั้งหมดนี้ ถ้าเครื่อง set ไว้ดี หรือ patch/maintain สม่ำเสมอ
รวมถึงพวก script มีการปรับปรุงตลอด โอกาสโดนลักษณะนี้ก็น้อยลงครับ
แต่ในโลกแห่งความเป็นจริง มันลำบาก โดยเฉพาะคนทำ Hosting ที่
ลูกค้าร้อยพ่อพันแม่ บางรายลง script ทีเดียวแล้วก็เลิกตาม update
ก็น่าเป็นห่วงครับ แต่พวก mod_security ช่วยได้เยอะ แต่การใช้งาน
ก็ต้องตาม maintain กันหน่อย
อย่าถามรายละเอียด จนกว่าจะอ่าน url พวกที่ผมแนบมาครบนะครับ