ใครที่อยากจะทำโฮส หรือโฮสมือใหม่ เชิญทางนี้

แต่ละวัน ที่ผมกับพนักงาน นั่ง Monitor Server กันอยู่นี่ เครื่องจะโดนพวกร้อนวิชา พยายามเข้าเจาะระบบอยู่เรื่อยๆ

อันนี้ตัวอย่าง มาจากไต้หวัน (เช็คจาก ไอพี)

Failed logins from these:
adine/password from 203.71.234.21: 10 Time(s)
admin/password from 203.71.234.21: 10 Time(s)
administrator/password from 203.71.234.21: 10 Time(s)
andres/password from 203.71.234.21: 10 Time(s)
barbara/password from 203.71.234.21: 10 Time(s)
jack/password from 203.71.234.21: 10 Time(s)
marvin/password from 203.71.234.21: 10 Time(s)
root/password from 201.155.75.153: 2 Time(s)
root/password from 203.156.48.14: 1 Time(s)
test/password from 203.125.230.106: 39 Time(s)

Users logging in through sshd:
root logged in from 203.156.48.14 using password: 9 Time(s)

อันนี้มาจากเน็ต KSC

Failed logins from these:
00089/password from 203.195.103.6: 7 Time(s)
Aaaaaa/password from 218.22.26.98: 7 Time(s)
Aaliyah/password from 203.195.103.6: 8 Time(s)
Aaron/password from 203.195.103.6: 29 Time(s)
Aba/password from 203.195.103.6: 8 Time(s)
Abel/password from 203.195.103.6: 8 Time(s)
Access/password from 203.195.103.6: 8 Time(s)
DTM/password from 203.195.103.6: 7 Time(s)
Exit/password from 203.195.103.6: 8 Time(s)
Ionut/password from 203.195.103.6: 29 Time(s)
Jewel/password from 203.195.103.6: 8 Time(s)
ROOT/password from 203.195.103.6: 8 Time(s)
Where/password from 203.195.103.6: 8 Time(s)
Zmeu/password from 203.195.103.6: 16 Time(s)
a/password from 203.195.103.6: 9 Time(s)
a/password from 218.22.26.98: 7 Time(s)
a12345/password from 218.22.26.98: 7 Time(s)
a1b2c3/password from 218.22.26.98: 7 Time(s)
a1b2c3d4/password from 218.22.26.98: 7 Time(s)
aa/password from 203.195.103.6: 14 Time(s)
aaa/password from 218.22.26.98: 7 Time(s)
aaaaaa/password from 218.22.26.98: 7 Time(s)
aage/password from 203.195.103.6: 4 Time(s)
aaron/password from 203.195.103.6: 4 Time(s)
aartjan/password from 203.195.103.6: 4 Time(s)
abacus/password from 203.195.103.6: 4 Time(s)
abbas/password from 203.195.103.6: 4 Time(s)
abbess/password from 203.195.103.6: 4 Time(s)
abbot/password from 203.195.103.6: 4 Time(s)
ablazed/password from 203.195.103.6: 4 Time(s)
abode/password from 203.195.103.6: 4 Time(s)
abomb/password from 203.195.103.6: 4 Time(s)
about/password from 203.195.103.6: 4 Time(s)
abuse/password from 203.195.103.6: 8 Time(s)
abyss/password from 203.195.103.6: 4 Time(s)
ac/password from 203.195.103.6: 14 Time(s)
academician/password from 203.195.103.6: 4 Time(s)
academy/password from 203.195.103.6: 4 Time(s)
accent/password from 203.195.103.6: 4 Time(s)
access/password from 203.195.103.6: 4 Time(s)
account/password from 203.195.103.6: 16 Time(s)
ace-html/password from 203.195.103.6: 14 Time(s)
ace/password from 203.195.103.6: 4 Time(s)
acount/password from 203.195.103.6: 8 Time(s)
adam/password from 203.195.103.6: 29 Time(s)
adame/password from 203.195.103.6: 21 Time(s)
add/password from 203.195.103.6: 8 Time(s)
addict/password from 203.195.103.6: 4 Time(s)
address/password from 203.195.103.6: 12 Time(s)
adept/password from 203.195.103.6: 4 Time(s)
adi/password from 203.195.103.6: 5 Time(s)
adilson/password from 203.195.103.6: 5 Time(s)
adine/password from 203.195.103.6: 7 Time(s)
adm/password from 203.195.103.6: 29 Time(s)
admin/password from 203.195.103.6: 394 Time(s)
admin/password from 210.240.17.44: 9 Time(s)
administrator/password from 203.195.103.6: 15 Time(s)
admins/password from 203.195.103.6: 16 Time(s)

จริงๆ เขาพยายามมากกว่านี้ครับ เอาแค่สั้นๆ มาให้ดู :blink:

วิธีการที่พวกนี้เขาใช้ก็คือ จะใช้พวก tool เข้ามาเดา password ของ root หรือไม่ก็ user และก็สุ่มไปเรื่อยๆ

และหากใครที่ใช้ Linux kernel เก่าๆ ก็ต้องยิ่งระวัง เพราะเขาจะมีเครื่องมือเอาไว้เจาะระบบมากมาย

พยายามอัพเดทอย่างสม่ำเสมอ เป็นไปได้ ก็ควรที่จะอัพเดท Linux เป็น core ใหม่ๆ พวก 2.6 ซึ่งเขาจะเจาะได้ยากกว่า

ใครที่คิดว่าอยากทำโฮส เพราะเห็นว่าแค่ซื้อเครื่อง ลง OS, CP แล้วก็จ่ายค่า Colo รอแค่ขายเอาตัง

มันไม่ได้ง่ายขนาดนั้นนะครับ ลองถามคนที่มำมาหลายๆ ปี ดูสิครับ ว่าแต่ละคนจะต้องรบราฆ่าฟัน กับพวก Hacker ขนาดไหน

ผมเองก็เคยโดนเหมือนกัน สมัยลองทำระบบใหม่ๆ เล่นเอาเหงื่อหยดไปหลายปี๊บเลยครับ

ถ้ารักจะทำกันจริงๆ ก็หมั่นหาข้อมูล หาความรู้ให้มากๆ นะครับ จะได้แก้ปัญหาให้เร็วขึ้น ลูกค้าจะได้สบายใจ

ฝากเอาไว้ด้วยนะครับ :wink:

ปล.นอกจากจะรบกับพวก Hacker ที่มีมากขึ้นทุกวันแล้ว ยังต้องคอบตามล้างตามเช็ด ก็พวก SPAMER อีก เฮ้อ… :angry:

ศึกนอกก็เยอะ (hacker)
ศึกในก็แยะ (user)

พยายามอัพเดทอย่างสม่ำเสมอ เป็นไปได้ ก็ควรที่จะอัพเดท Linux เป็น core ใหม่ๆ พวก 2.6 ซึ่งเขาจะเจาะได้ยากกว่า

อีกข้อ 1 ที่ีไม่ได้บอก คือต้องหมั่นทำใจ และเตือนให้ลูกค้าหมั่นทำใจครับ
:stuck_out_tongue:

ลองเอานี่มาช่วยนะครับ
BFD (Brute Force Detection)
Advanced Policy Firewall

ขยายความเผื่อบางคนเข้าใจผิด การ hack ผ่านเข้ามายังระบบส่วนใหญ่ ไม่ได้เกี่ยวกับ kernel เท่าไหร่ ผมเดาๆเอาจากที่เห็นมาในตลาดเมืองไทยนะครับ

มากกว่า 50% มาจาก script ลูกค้า
อีก 30-40% มาจากพวก apache, sendmail, ssh, bind รุ่นเก่าๆ (IIS/windows ไม่มีสถิติครับ)
ที่เหลือเป็นเหตุการณ์อื่นๆ

ดังนั้น ถ้ากัน 2 เรื่องแรกได้ ก็หมดห่วงไปหลายขุม

การกันเรื่องแรก กันได้จากการหมั่นให้ลูกค้า update script แต่พูดง่ายกว่าทำ เพราะเว็บลูกค้าส่วนใหญ่ พอลงระบบแล้วก็ลืมไปเลย ไม่มานั่งทำอีก บางท่านก็จ้างมือปืนทำ ทำเสร็จก็ไม่ได้คอยดูแล ปัญหาก็มาตกกับพวกคนทำ host เพราะเวลาโดน hack ก็อาจจะโยนความผิดมาให้ (เว้นลูกค้าบางรายที่เข้าใจจริงๆ) ในส่วนของพวกเราคนทำโฮสต์เอง ก็ป้องกันได้โดยการใช้พวก mod_security แต่ก็อีกละครับ ก็ต้องคอยตรวจสอบ rule ว่าเหมาะสมแค่ไหน หรือต้องเพิ่มลดอะไรให้เป็นไปตามสภาวะ ไม่มีอะไร 100% perfect

การกันเรื่องที่ 2 มาจากความขยันของ admin ระบบ อย่างเดียวเลยครับ Bruce Schneier เคยบอกว่า “Security is not a product, but a process” (อะไรทำนองนั้น) อ่านแล้วตีความเอานะครับ

ส่วนการเจาะ kernel เข้ามาโดยตรงผมว่ายากส์ครับ เพราะ kernel ไม่ใช่ service ที่จะทำงานกับภายนอก ดังนั้น weakness ของ kernel จะอยู่ที่ user ที่เป็น user ในระบบ ทำการเจาะเพื่อเป็น root มากกว่า้ เขาเรียกภาษาอังกฤษว่า privilege escalation

(จบการรายงาน เมื่อยมือดี)

Edit: ขยายความบางที่ และแก้คำผิด

เพิ่มเติมอีกนิดนึง

kernel ที่เก่าๆ โดยมากจะมี local exploit โดย user สามารถเจาะผ่านเข้ามาทาง apache / ssh / samba / service เก่าๆ อื่นๆ บางส่วนได้ครับ แต่ยังไงก็ต้องเจาะผ่าน remote exploit ทางอื่นตามที่พี่ pizzaman บอกมาแล้วอยู่ดี เพื่อให้ได้สิทธิระดับ user ก่อน

ปล. ผมว่านะ … redhat 9 เลิกใช้เหอะครับ ทรมานมาก นั่งเฝ้าเครื่องเพื่อนวันนึงโดนพยายาม hack เป็นร้อยรอบ (ดีที่ update software เท่าที่ up ได้หมดแล้ว) ตอนลงใหม่ๆ ถ้า access จาก internet ได้รับรองว่าโดน hack ภายในไม่กี่ชั่วโมงเลยครับ พวกนี้ scan ip เก่ง

โดนกันทั่วหน้าแหล่ะครับแบบนี้

ใครไม่โดนอ่ะ แปลก คิดเป็นว่า เครื่องเรามีอะไรดีๆอยู่แน่ๆ มันเลยอยากเข้ามา ฮิฮิ อุด patch หมดก็ ok แล้ว

ศึกนอกก็เยอะ (hacker)
ศึกในก็แยะ (user)

[quote]พยายามอัพเดทอย่างสม่ำเสมอ เป็นไปได้ ก็ควรที่จะอัพเดท Linux เป็น core ใหม่ๆ พวก 2.6 ซึ่งเขาจะเจาะได้ยากกว่า

อีกข้อ 1 ที่ีไม่ได้บอก คือต้องหมั่นทำใจ และเตือนให้ลูกค้าหมั่นทำใจครับ
:stuck_out_tongue: [/quote]
ตำรวจจับโจร ฉันใด ก็ฉันนั้น (แลเออออ)

เห็นด้วยครับน่ากลัวมากครับประเถทนี้นะ เอาใจช่วยเพื่อน ๆ ครับ :smiley:

ศึกนอกก็เยอะ (hacker)
ศึกในก็แยะ (user)

[quote]พยายามอัพเดทอย่างสม่ำเสมอ เป็นไปได้ ก็ควรที่จะอัพเดท Linux เป็น core ใหม่ๆ พวก 2.6 ซึ่งเขาจะเจาะได้ยากกว่า

อีกข้อ 1 ที่ีไม่ได้บอก คือต้องหมั่นทำใจ และเตือนให้ลูกค้าหมั่นทำใจครับ
:stuck_out_tongue: [/quote]
ที่โฮสเก่าของผม เคยโดนด้วยล่ะครับ จากการตรวจสอบ มันเป็นเว็บ portal ที่แข่งกันแฮกค์เครื่องเซอร์เวอร์ ว่าใครได้มากที่สุด โดยเครือ่งที่โดน ในแต่ละเว้บมันจะเป็นรุป คนแคระชูนิ้วกลางอยู่ (น่ารักดี อิอิ) ทำให้โฮสเน่าไปหลายราย สำหรับ linux ที่รุ่นเก่า ๆ ส่วน window ยังรอดตัวได้บ้าง เห้นทีว่าจะต้องติดซีเคียวริติ้ เพิ่มซะแล้วละทุกท่าน :lol: :lol: