Server Directadmin โดนแฮก ยิงออกเอง

vpsthai · April 18, 2013, 10:00pm

ใช้ os centos 6.3 เป็นVPS โดนแฮก Directadmin พอบูท os แล้วระบบยิงออกออโต้ใครที่แก้เป็นติดต่อมาที่ 086-6083711 เลยครับ ต้องการด่วนมากๆๆ

ton1 · April 18, 2013, 10:10pm

รายละเอียดน้อยเกินครับ DA Version ไหนครับ ?
แล้วเว็บ เขียนเอง หรือใช้ พวก CMS อะไร Version ไหน ?

ขอรายละเอียดประมาณนี้ครับ

vpsthai · April 18, 2013, 10:15pm

DA 1.430000

เป็นโฮสติ้งให้ลูกค้าเช่าอะครับตรงที่ถามเขียนเองคงจะตอบยากหน่อย พวก CMS ลูกค้าก็จะมีใช้ discuz smf joomla wordpress ipbboard etc.

vpsthai · April 18, 2013, 10:16pm

อ่อขอเสริมอีกนิดหน่อย พอปิดเครื่องไปสักพักนึงมารันบูท os ใหม่เครื่องก็ไม่ได้ยิงออกแล้วครับแต่เดี๋ยวอยู่ดีๆมันก็ยิงขึ้นมาอีกครับ

ton1 · April 18, 2013, 10:18pm

tcpdump ออกมาดูครับ ว่าเกิดจากส่วนไหน

icez · April 18, 2013, 10:18pm

ก็คงมีเว็บในเครื่องซักเว็บ (หรือหลายเว็บ)โดนเจาะ + วางยาไว้นั่นแหละครับ ไล่ๆ หาดูจาก server status ก็ได้

vpsthai · April 18, 2013, 10:27pm

ตอนนี้พอรันขึ้นมาเชื่อมต่อเนตตามปกติ มันหยุดยิงออกแล้วแต่กลัวว่าน่าจะถูกฝังอยู่ในเครื่อง

แต่พอไม่ยิงพอลองเชค tcpdump หรือ server-status ก็ปกติน่ะครับ

BrainFreeze · April 18, 2013, 10:32pm

ลองอ่านกระทู้นี้ครับ
www.thaihosttalk.com/showthread.php/72486-แนวทางแก้ปัญหาของการยิงออกจาก-Server-เราไปโจมตีผู้อื่น

kke · April 18, 2013, 10:36pm

น่าจะโดนวางไฟล์ในเว็บใดเว็บหนึ่ง
พอโดนเรียกไฟล์นั้นผ่านหน้าเว็บมันก็ยิงทันที
รอเช็ค server status เทียบกับ top ดู ตอนกำลังยิง ปกติหาเจอไม่ยาก

ton1 · April 18, 2013, 10:39pm

ถ้าตัวแจ๋วๆ top มาไม่เห็นหรอกครับ

vpsthai · April 18, 2013, 10:43pm

พอใช้คำสั่งไปมันขึ้นกับมาแบบนี้อะครับ

[root@cologta ~]# iptables -A OUTPUT -d 203.146.237.237 -j ACCEEPT
iptables v1.4.7: Couldn’t load target `ACCEEPT’:/lib64/xtables/libipt_ACCEEPT.so: cannot open shared object file: No such file or directory

เกิดจากอะไรหรอครับ

vpsthai · April 18, 2013, 10:48pm

พะดีตอนนี้บูทมารอบนี้เครื่องไม่ยิงออกแล้วครับ เพราะทาง IDC บล๊อก udp ไปแล้วเลยจะเชคตอนยิงคงจะไม่ได้ครับ

icez · April 18, 2013, 10:51pm

พิมพ์ผิดครับ ACCEPT มี E ตัวเดียวครับ

ส่วนที่ยิงออกมันก็ยังยิงออกได้อยู่นะครับ แต่ส่งไปไม่ถึงปลายทาง… แค่นั้นเอง

vpsthai · April 18, 2013, 10:57pm

อ่อครับโทดทีพะดีก๊อปปี้วาง ไม่ได้มอง:70bff581:

ขอบคุณมากครับ

ส่วนทีนี้ถ้าจะหาตัวที่ถูกฝังอยู่นี่จะหาได้ด้วยวิธีไหนบ้างหรอครับช่วยแนะนำหน่อยครับ

ton1 · April 18, 2013, 10:59pm

หาทางแก้ที่ต้นเหตุ ดีกว่าครับ

ThaiHostCool.com · April 18, 2013, 11:00pm

ยังไม่ unblock ให้นะครับ รบกวนแก้ไขให้เรียบร้อยก่อน

iLhay · April 18, 2013, 11:14pm

อาการแบบนี้ … มีจากฝังไฟล์แน่นอนฮะ (แต่ผมเดาว่าไม่ได้ฝังหรอก user นี่ละอัพขึ้นเอง)

ลองไปนั่งไล่ ftp logs แล้วดูจากไฟล์ที่เก็บลงเครื่อง ว่ามี STOR กี่อัน

หลังจากนั้นไล่ดูไฟล์ชื่อแปลกๆ แล้วดูว่ามียิงหรือเปล่าครับ (หรือจะดู ServerStatus ประกอบด้วยก็ได้ครับ)

แต่ถ้า เจ้าของเครื่อง ไม่เปิดให้มีการ access ก็คงต้องไล่จากไฟล์ครับ

natthaphon · April 18, 2013, 11:52pm

server วางอยู่ที่ไหนหรอครับ ip อะไรครับแล้วยิงออก Domain ไหนไปหรอครับ

vpsthai · April 19, 2013, 12:08am

csloxinfo ครับส่วนไอพีก็เป็นไอพีตัวเครื่อง directadminของผมเองยิงออกไปที่ ไอพีอื่น ส่วนโดเมนที่เป็นตัวยิงออกยังผมหาไม่เจออะครับพอจะมีวิธีหาไหมครับ

bangkok4u · April 19, 2013, 12:37am

เอาแบบแก้ขัดไปก่อน ใช้ DA เรียงจำนวนการใช้ Bandwidth หรือ Disk แล้วลอง Suspend ทีละเว็บแล้วรอดูว่ายังมีการยิงออกไปมั้ย ถ้าไม่ใช่เว็บนั้นๆ ก็ UnSuspend เว็บนั้นๆ แล้วลองเว็บต่อไป น่าจะเจอเร็วและง่ายที่สุดในตอนนี้ครับ ^^

ปล ลองลง MRTG ของท่าน icez แล้วรอดูอาการ ก็น่าจะเห็นว่า Traffic ลงมาหรือไม่ ความเร็วนั้นขึ้นอยู่การตั้งค่า อับเดต MRTG ทุกๆ กี่นาที (ของผมทำทุก 5นาที)
ปล ควรปิด Option Cron ใน User Option เพราะเคยโดนมาเยอะละ ปัจจุบันไม่เคยเปิด Option CGI , Cron ให้ลูกค้าใช้เลยสงบสุขมานานพอควรละ ^^