สวัสดีครับ
เรื่องนี้หลายท่านคงทราบกันแล้วแต่มีอีกหลายคนที่ยังไม่ทราบและหาสาเหตุไม่เจอะหรืออาจจะยังไม่เกิดกับท่าน เป็นแนวทางเอาไว้แก้ไข
อาการอยู่ดีๆเครื่องดับแบบไร้สาเหตุหาต้นตอไม่เจอะทำงานอยู่ดีๆดับหายไปเลยเช็ค log ก็ไม่เจอะตอนแรกนึกว่า Hardware แต่คิดผิดมันไม่ใช่อย่างที่คิด
มันมาจาก user ที่อยู่ในเครื่องเราดันไปติดไวรัสที่เครื่องคอมพิวเตอร์เขาเองและได้แอบเอารหัสผ่าน ftp เขาไปและ bot ก็เอา perl มารันเล่นในเครื่องของเราบบไม่รู้ตัว
วิธีการตรวจสอบ
1 . top คอยดู process ว่า process ไหนทำงานแปลกๆ เราจะเจอะ perl รันกันอย่างมากมายถ้าโชคดีก็จะเห็นว่า user ไหนเป็นผู้รัน perl นั้นแต่ถ้าเห็นเป็น root ก็จด PID ไว้แล้วใช้คำสั่ง #ps -aux | grep -iR PID เราก็จะเห็นไฟล์ perl
-
เราก็เอาไฟล์ perl ไปค้นหาใน home user [ # find /home -name file.pl ] เราก็จะเจอะ User ต้นตอ
-
เข้าไปลบไฟล์ perl ถ้าเราไม่มั่นใจว่ามีเยอะไหมเราก็สามารถค้นหาจาก Proftp log ได้โดย #gerp -iR “ชื่อuser” /var/log/proftp/* เราก็จะเจอะว่ามัน ftp ไปที่ไหนบ้างแล้วก็ตามเข้าไปลบ
-
reset รหัสของ user นั้นเก็บไว้แล้วแจ้งให้ทราบว่าเครื่องคอมพิวเตอร์ของเขาติดไวรัสและทำการแก้ไขให้เรียบร้อยแล้วเราค่อยส่ง รหัสไปให้เขาอีกครั้ง
ก็ขอจบเท่านี้ครับ
เพิ่มเติมครับลืมบอกว่า :
- บางทีอาจจะหาไฟล์ pl ไม่เจอะแต่ใน log บอกว่ามีไม่ต้องตกใจครับเพราะเคยเจอะบางตัวมันส่งให้ pl ทำงานแล้วลบไฟล์ทิ้งเองครับเพื่อให้หาตัวยากขึ้นครับอย่างนี้ reset password ก็ช่วยได้แล้วครับ
2 . บางที่มันอาจจะใส่ iframe หรือ java script เพื่อแพร่เชื้อต่อให้คนอื่นด้วยนะครับลองเช็คไฟล์เว็บด้วยแล้วกันครับ :
::. ขอให้ scan virus จงอยู่กับท่าน แล้วอัพเดทมันบ่อย จะช่วยท่านได้ .::