อยากให้เข้ามาดู

iFast.host · September 5, 2005, 1:04am

สิ่งที่คนทำโฮสน่าจะเจอะเจอกันอยู่บ่อยๆ

--------------------- SSHD Begin ------------------------

Failed logins from these:
09003516/password from 201.134.69.250: 8 Time(s)
127/password from 201.134.69.250: 8 Time(s)
16/password from 201.134.69.250: 8 Time(s)
1a4/password from 201.134.69.250: 8 Time(s)
1dd/password from 201.134.69.250: 7 Time(s)
22b/password from 201.134.69.250: 6 Time(s)
2a/password from 201.134.69.250: 6 Time(s)
3e/password from 201.134.69.250: 6 Time(s)
4ct/password from 201.134.69.250: 6 Time(s)
561/password from 201.134.69.250: 6 Time(s)
587/password from 201.134.69.250: 6 Time(s)
72/password from 201.134.69.250: 6 Time(s)
75/password from 201.134.69.250: 6 Time(s)
9ia/password from 201.134.69.250: 6 Time(s)
Admin/password from 201.134.69.250: 32 Time(s)
Administrator/password from 201.134.69.250: 10 Time(s)
Cisco/password from 201.134.69.250: 5 Time(s)
DEADJOE/password from 201.134.69.250: 5 Time(s)
Dima/password from 201.134.69.250: 5 Time(s)
Jefferson/password from 201.134.69.250: 5 Time(s)
Joe/password from 201.134.69.250: 5 Time(s)
MICRO/password from 201.134.69.250: 5 Time(s)
Moe/password from 201.134.69.250: 4 Time(s)
OPER/password from 201.134.69.250: 4 Time(s)
Operator/password from 201.134.69.250: 4 Time(s)
SITE69/password from 201.134.69.250: 4 Time(s)
SPSS/password from 201.134.69.250: 4 Time(s)
SYSA/password from 201.134.69.250: 4 Time(s)
Secure/password from 201.134.69.250: 4 Time(s)
Stuart/password from 201.134.69.250: 4 Time(s)
Sysop/password from 201.134.69.250: 4 Time(s)
System/password from 201.134.69.250: 4 Time(s)
TT_DB/password from 201.134.69.250: 4 Time(s)
Webmail/password from 201.134.69.250: 4 Time(s)
Zope/password from 201.134.69.250: 4 Time(s)
a-fukuda/password from 201.134.69.250: 4 Time(s)
a-suzuki/password from 201.134.69.250: 4 Time(s)
a-takigawa/password from 201.134.69.250: 4 Time(s)
a3sky/password from 201.134.69.250: 4 Time(s)
a4/password from 201.134.69.250: 29 Time(s)
admin/password from 210.0.142.182: 2 Time(s)
admin/password from 210.53.138.21: 7 Time(s)
administrador/password from 210.53.138.21: 1 Time(s)
administrator/password from 210.53.138.21: 1 Time(s)
admins/password from 210.53.138.21: 1 Time(s)
alex/password from 210.53.138.21: 3 Time(s)
amy/password from 210.53.138.21: 2 Time(s)
auth/password from 210.53.138.21: 2 Time(s)
backup/password from 210.53.138.21: 3 Time(s)
bob/password from 210.53.138.21: 2 Time(s)
cisco/password from 210.53.138.21: 2 Time(s)
computer/password from 210.53.138.21: 1 Time(s)
cpanel/password from 210.53.138.21: 2 Time(s)
daniel/password from 210.53.138.21: 4 Time(s)
data/password from 210.53.138.21: 2 Time(s)
database/password from 210.53.138.21: 1 Time(s)
db2/password from 210.53.138.21: 1 Time(s)
dba/password from 210.53.138.21: 1 Time(s)
dbadmin/password from 210.53.138.21: 3 Time(s)
default/password from 210.53.138.21: 1 Time(s)
demo/password from 210.53.138.21: 2 Time(s)
eric/password from 210.53.138.21: 2 Time(s)
games/password from 210.53.138.21: 2 Time(s)
guest/password from 210.0.142.182: 1 Time(s)
guest/password from 210.53.138.21: 12 Time(s)
jack/password from 210.53.138.21: 2 Time(s)
jason/password from 210.53.138.21: 2 Time(s)
jerry/password from 210.53.138.21: 2 Time(s)
john/password from 210.53.138.21: 2 Time(s)
mail/password from 210.53.138.21: 2 Time(s)
master/password from 210.53.138.21: 2 Time(s)
mysql/password from 210.53.138.21: 5 Time(s)
news/password from 210.53.138.21: 2 Time(s)
oracle/password from 210.53.138.21: 2 Time(s)
patrick/password from 210.53.138.21: 2 Time(s)
paul/password from 210.53.138.21: 2 Time(s)
pub/password from 210.53.138.21: 2 Time(s)
research/password from 210.53.138.21: 2 Time(s)
richard/password from 210.53.138.21: 2 Time(s)
root/password from 210.0.142.182: 3 Time(s)
root/password from 210.53.138.21: 4 Time(s)
root/password from 211.157.108.104: 21 Time(s)
simon/password from 210.53.138.21: 2 Time(s)
staff/password from 210.53.138.21: 2 Time(s)
student/password from 210.53.138.21: 6 Time(s)
support/password from 210.53.138.21: 2 Time(s)
sysadmin/password from 210.53.138.21: 3 Time(s)
teacher/password from 210.53.138.21: 1 Time(s)
temp/password from 210.53.138.21: 1 Time(s)
test/password from 210.0.142.182: 2 Time(s)
test/password from 210.53.138.21: 13 Time(s)
tmp/password from 210.53.138.21: 1 Time(s)
update/password from 210.53.138.21: 3 Time(s)
upload/password from 210.53.138.21: 2 Time(s)
user/password from 210.0.142.182: 1 Time(s)
view/password from 210.53.138.21: 2 Time(s)
webadmin/password from 210.53.138.21: 3 Time(s)
webmaster/password from 210.53.138.21: 2 Time(s)
work/password from 210.53.138.21: 1 Time(s)
www/password from 210.53.138.21: 6 Time(s)
wwwadmin/password from 210.53.138.21: 1 Time(s)

Users logging in through sshd:
root logged in from 203.156.40.229 using password: 2 Time(s)

SFTP subsystem requests: 1 Time(s)

Unmatched Entries

ผมเจอบ่อยๆ ครับ ตัวอย่างข้างต้นคือคนที่กำลังพยายามเดาพาสเวิร์ด เพื่อเข้ามาในระบบ
เมื่อเขาสามารถเข้ามาได้ในฐานะ user แล้วละก็ เขาจะมีเครื่องมืออีกชุดหนึ่ง ที่จะเปลี่ยน
ตัวเองให้กลายเป็น Super User ที่มีสิทธิ์เท่ากับ Root และเขาจะสามารถคุมเครื่องของเราได้

สำหรับคนที่ใช้ Linux ควรศึกษาและหมั่นอัพเดทอยู่เสมอๆ เพราะทุกวันนี้เครื่องมือสำหรับ
เจาะเข้าระบบ มันหาง่ายยิ่งกว่าร้าน 7-11 แล้วละครับ ใครๆ ก็สามารถทำได้ :ph34r:

พวกที่ใช้ CP เถื่อน ก็ระวังไว้นึดนึงครับ เพราะคุณจะไม่สามารถอัพเกรดรูโหว่ต่างๆ ได้
และจะตกเป็นเป้าได้ง่ายกว่า

หมั่นติดตามข่าวสาร และ Patch ต่างๆ จาก Linux Distro ที่ตัวเองใช้อยู่ เพื่ออัพเดทให้ทันสมัย
และคอยให้ความรู้กับลูกค้า ถ้าเขาใช้เว็บสำเร็จรูปทั้งหลาย ว่าต้องทำอย่างไรถึงจะปลอดภัย

คอยเฝ้าดูเครื่องของคุณอยู่เสมอๆ นะครับ :blink:

Registration · September 5, 2005, 8:33am

เพื่อนๆ สมาชิก และท่านลูกค้าที่แวะเวียนเข้ามาในกระทู้นี้ เห็นแบบนี้แล้วก็ป้องกัน
กันสักหน่อยนะครับ เพื่อความปลอดภัยของตัวท่านเองด้วยครับ

ขอบคุณพี่ STANDHOST.COM ครับ … มีโอกาสผ่านไปเมืองเลยจะโทรหานะครับ
(ผ่านนครสวรรค์ หล่มสัก ชุมแพ ขอนแก่น เส้นทางนี้วิ่งค่อนข้างบ่อย แต่เชื่อมั๊ย
ว่าไม่เคยไปเมืองเลย สักครั้งเดียว … ต้องหาโอกาสไปแน่นอนครับ เรียน มข. ตั้งนาน
ก็ยังไม่ได้ไป… เสียดายจิงๆ)

pizzaman911 · September 5, 2005, 9:47am

เมืิองเลย มีไว้ให้ขับเลย ยังงั้นเหรอท่าน
แวะหน่อยนะ 555

iFast.host · September 5, 2005, 7:47pm

เมืองเลย กับ ขอนแก่น ห่างกันแค่ 200 กิโลเองครับ ขับรถแค่ 2 ชั่วโมงเศษ ก็ถึงแล้ว

ผมเองก็ไปเที่ยวขอนแก่นเกือบทุกอาทิตย์

เมืองเลย เป็นเมืองปิดครับ มันไม่ใช่ทางผ่าน ต้องเป็นคนที่ตั้งใจมาจริงๆ ครับ ถึงจะมาถึง

เพราะกว่าจะขับรถมาถึง ต้องผ่านทางเขา เกือบ 100 กิโลทุกเส้นทางครับ

หนาวนี้ใครอยากมาเที่ยว เชิญเลยนะครับ ยินดีต้อนรับเสมอครับ :lol:

1111 · September 5, 2005, 8:27pm

กลายเป็นกระทู้การท่องเที่ยวไปซะแล้ว :lol:

ไอ่พวก plesk นี่เก็บพาสเวิร์ดเป็นอะไรอ่ะครับ เก็บใน mysql หรือเปล่าครับ (ไม่รู้ครับไม่เคยมี server เป็นของส่วนตัว )

มีสิทธิ์โดนพวก sql injection หรือเปล่าครับ

mysql ที่ user เป็น root จะโดนไหมครับ

ไม่ค่อยมีความรู้ฮะ ช่วยตอบที

Thaipowerhost · September 5, 2005, 8:54pm

อันตราย…มากเลย อ่า…ผมว่าเปลี่ยนพอร์ตเลยดีก่า…

iFast.host · September 7, 2005, 5:35pm

มันไม่เกี่ยวอะไรกับพอร์ตหรอกครับ

เขาก็แค่ Shell เข้ามา แล้วก็ใช้การเดาสุ่ม username กับ password ก็เท่านั้นเองครับ

ผมว่าถ้าเจ้าของโฮสทุกท่าน ที่อยู่ในฐานะ root ก็โดนแบบผมทั้งนั้นแหละครับ

ขึ้นอยู่กับว่าจะรู้ตัวหรือเปล่าเท่านั้นเองครับ

ลองหมั่นเข้าไปตรวจสอบพวก Log กับ root mail บ้างนะครับ :lol:

icez · September 7, 2005, 8:41pm

หลักการเบื้องต้นของการทำเครื่อง linux ให้ปลอดภัย

แงะ software ทุกตัวในเครื่องออกมาดูให้หมด ว่ามีอะไรบ้าง
แงะ config ของ software ที่ใช้น้อยๆออกมาดูให้หมด ปรับเรื่อง security ตามที่ต้องการ
ถ้าขี้เกียจเจอ log แบบด้านบนสุด ก็… เปลี่ยน port ssh จะช่วยได้นิดหน่อย
disallow direct login by root ของ ssh เลย
เซต pam ให้ su ได้เฉพาะ user ที่อยู่ใน group wheel เท่านั้น
กรณีใช้ plesk เถื่อน

หาทางลงบน fedora core 4 ให้ได้ (ผมทำมาแล้ว – แต่เครื่องคนอื่นนะไม่ใช่เครื่องผม) แล้วก็ตาม update โปรแกรมให้ดี

เข้าเว็บพวก packetstormsecurity หรือเว็บของพวก hacket ทั้งหลายซะบ้าง
admin ที่ดีควรเป็น hacker ด้วย (เจาะเครื่องตัวเอง อย่าไปเจาะเครื่องชาวบ้านเค้า)
/var/log เข้าไปดูบ่อยๆ ก็ดี
password root เปลี่ยนทุกเดือน ถ้าทำได้
password user ที่จะ su เป็น root เปลี่ยนทุกสัปดาห์ ถ้าทำได้ (เวอร์ไปมั้ง)
webmin เครื่องมืออันตราย ลงไว้ได้ แต่อย่ารันถ้าไม่ใช้อะไร

สุดท้าย: admin ที่ป้องกันระบบได้สมบูรณ์แบบ 100% ไม่มีในโลกนี้ ขนาด microsoft กับ yahoo ยังเคยโดนถล่มจนล่มเป็นวันมาแล้ว

1.> ไอ่พวก plesk นี่เก็บพาสเวิร์ดเป็นอะไรอ่ะครับ เก็บใน mysql หรือเปล่าครับ (ไม่รู้ครับไม่เคยมี server เป็นของส่วนตัว� )

2.> มีสิทธิ์โดนพวก sql injection หรือเปล่าครับ

3.> mysql ที่ user เป็น root จะโดนไหมครับ

1.> password ของ user admin เก็บใน text file ครับ แฟ้มชื่อ /etc/psa/.psa.shadow ถ้าเข้า root ได้ก็เปิดดูได้เลย
2.> sql injection ของ plesk เท่าที่รู้ไม่เคยมีใครโดนนะครับ
3.> ขึ้นอยู่กับว่าเรา grant access ไว้ระดับไหนครับ ต่อให้ชื่อ user ว่า root แต่ไม่ได้ grant access มันก็ทำอะไรไม่ได้

pizzaman911 · September 7, 2005, 10:45pm

หลักการเบื้องต้นของการทำเครื่อง linux ให้ปลอดภัย

แจ๋วมากครับ

2.> sql injection ของ plesk เท่าที่รู้ไม่เคยมีใครโดนนะครับ

ไม่ใช่ SQL Injection แต่เป็น XSS
Plesk Reloaded Cross Site Scripting Vulnerability
http://www.nessus.org/plugins/index.php?view=single&id=14369