Server Directadmin โดนแฮก ยิงออกเอง

วิธีที่คุณบอกให้ลองดูทีละเวบว่าเวบไหนยิงคงจะทำไม่ได้อะครับเพราะผมโดนบล๊อก udp ไปแล้วยังไงถ้าดูจากกราฟจะไม่เห็นว่าพุ่งครับ

server-stats

เวลายิงออก ที่เครื่องคุณจะเห็นในกราฟครับ … แต่ต้องไปปลดไอ้ iptables ที่ทำไว้ก่อนนะ

clamscan -ir /home/ เลยครับ แต่รอนานหน่อยนะ

อ่อแล้วถ้าเกิดเอา iptables ที่ทำไว้ออกแล้ว แต่โดนทางIDC บลีอก udp อยู่กราฟจะขึ้นให้เห็นด้วยหรอครับ

พอพิมคำสั่งแล้วขึ้นว่าไม่มีคำสั่ง สงสัยจะยังไม่ได้ลงไว้- - วิธีลงต้องเปิด epel ก่อนรึป่าวครับ

ครับ เพราะมันก็ถูกยิงออกจากเครื่องเรา ออกไปอยู่ดี แต่ไม่สามารถออกทะลุ Rounter ISP ได้ครับ MRTG จึงจับปริมาณการใช้งาน Lan ได้ครับ ^^

แล้วถ้าหากว่าเป็นแบบ http://103.246.19.194/mrtg/ นี้ละครับมันขึ้นช่วงนั้นช่วงเดียวพอโดนทาง idc บลีอกมันก็หายไปมันใช่อาการของไฟล์ที่ฝังอยู่นั้นมันคือของ userอัพขึ้นมารึป่าว โดยมันไม่ได้ฝังอยู่rootใช่ไหมครับ

clamav อย่าไปใช้เลยหาไม่เจอหรอกครับ แค่ code ที่ encoded มาง่าย ๆ ก็ detect ไม่ได้แล้วครับ

ทางที่ดีที่สุด ต้องคัดลูกค้าที่มีปัญหาในเครื่องเราออกครับ ถ้าคุณลง OS ใหม่ แต่ลูกค้าคุณยังคนเดิม เดี๋ยวก็จะมีปัญหาเดิมกลับมาอีกครับ

เจอกระทู้นี้ เลยไปดุของตัวเองบ้าง เมื่อกี้เลย
mrtg ขาออกปกติร้อยกว่าเม็ก มาจากไหนไม่รู้อีก 400 งง ไม่ใช่แค่ของเขาของเราก็โดนนี่

เลยเปิด apache server status ไปๆ เปิดมา เจอ

89.248.171.2 - - [19/Apr/2013:13:27:10 +0700] “GET ///templates/system/online.php?action=udp&host=198.144.121.201&time=60&port=21 HTTP/1.0” 200 251 “-” “Wget/1.12 (linux-gnu)”

ตกใจ เลยจดชื่อเว็บไว้ก่อน ลอง refresh ซ้ำหาไม่เจอแล้วครับ หายไปเลยครับ ร้ายจริงๆ
suspend ลูกค้าเรียบร้อย มาจากช่องโหว่ joomla อีกแล้ว :154218d4:

นั้นล่ะใช่เลยไฟล์ที่โดนวาง
แต่ผมไม่ suspend ลูกค้านะ ใจเขาใจเรา
ผมจะ chmod file ที่โดนวางเป็น 600 กับ chown จาก apache มาเป็น user ไว้ก่อนเพื่อไม่ให้เรียกได้อีก
และ chmod folder ที่โดนวางไฟล์เป็น 755 เพื่อไม่ให้เขียนไฟล์ได้อีก
แล้วก็ค่อยแจ้งให้ลูกค้ามาลบไฟล์ และหาทางป้องกันต่อไป ถ้ายังแก้ไม่ได้ก็อย่าเพิ่ง chmod folder เป็น 777 ยังไงมันก็วางไฟล์ไม่ได้

ขอบคุณมากครับ
คราวหลังเดี๋ยวลองแก้ไขแบบที่พี่แมนแนะนำบ้างครับ
ผม suspended อย่างเดียวเลยเดี๋ยวลูกค้าหนีหมด

:040:

Monitor ด้วย apachetop ครับ งานนี้ต้องเฝ้า ไม่งั้นหาเจอยาก