ปวดหัวเลยครับ เพราะไม่ได้ทำ sucure tmp ใว้ในโฮสตัวนี้พลาดไป โดนไปเต็มๆ เลย
ข้อมูลที่เจอก็ มีวางไฟล์ ใน /tmp สองไฟล์
T-T เสียใจด้วยครับ พวกนี้มันว่างดีจริงๆ สู้ๆ ครับ
มันมาจาก /tmp โดนพวก IFRAME ภายในหรือเปล่าครับ
secure /tmp ไปก็เปล่าประโยชน์ครับ ยังมีอีกหลาย folder ที่ wide writable อยู่ ถ้ามันจะเล่นจริงยังไงก็ทำได้ครับ
update kernel/software ให้ทันสมัยอยู่ ช่วยได้เยอะกว่าเยอะครับ
เบื้องต้น หาต้นตอสาเหตได้แล้วว่ามาจากเว็บบอร์ด และก็มีการวางไฟล์ใน
ขอบคุณครับสำหรับข้อมูล
ดีหะเสี่ยบิว สบายดีป่ะ ท่าน
[quote author=Armuay ตะไคร่ขึ้นID link=topic=29178.msg272756#msg272756 date=1280610923]
ดีหะเสี่ยบิว สบายดีป่ะ ท่าน
[/quote]ดีคับ อิๆๆ
ขอบคุณมากครับ ที่เข้ามาแจ้งเตือนกันให้ทราบ +1 ครับ 
secure tmp ช่วยได้ครับ ยืนยัน ผมรู้จัก secure tmp และ ทำตามจากในนี้แหละครับ
ก็ดีกว่าไม่ทำ ครับผม
LABEL=/tmp /tmp ext3 defaults,nosuid,noexec 1 2
ขอบคุณมากครับ ที่เล่าสู่กันฟังครับ
โดนจาก FTP ติด virus ป่ะครับ
มาจาก /tmp แน่ๆเลย
สู้ๆ ครับ
จากที่ดูมาวิธีป้องกันได้ดีที่สุดคือ mod_security กับ secure /tmp อย่างใด อย่างนึงไม่พอ
ใช้ rule สำหรับ mod_security ด้านล่าง สามารถป้องกันได้ แต่…ก็ต้องพยายาม update ใหม่ หา rule ใหม่ๆ มาเพิ่ม เนื่องจากพัฒนาการของพวกนี้จำนำหน้าเราอยู่เสมอ เราต้องตามให้ทัน
SecRule RESPONSE_BODY "(?:<title>[^<]*?(?:\b(?:(?:c(?:ehennemden|gi-telnet)|gamma web shell)\b|imhabirligi phpftp)|(?:r(?:emote explorer|57shell)|aventis klasvayv|zehir)\b|\.::(?:news remote php shell injection::\.| rhtools\b)|ph(?:p(?:(?: commander|-terminal)\b|remoteview)|vayv)|myshell)|\b(?:(?:(?:microsoft windows\b.{0,10}?\bversion\b.{0,20}?\(c\) copyright 1985-.{0,10}?\bmicrosoft corp|ntdaddy v1\.9 - obzerve \| fux0r inc)\.|(?:www\.sanalteror\.org - indexer and read|haxplor)er|php(?:konsole| shell)|c99shell)\b|aventgrup\.
|drwxr))" \
"phase:4,rev:'2.0.8',t:none,ctl:auditLogParts=+E,pass,nolog,auditlog,msg:'Backdoor access',id:'950922',tag:'MALICIOUS_SOFTWARE/TROJAN',tag:'WASCTC/WASC-01',tag:'OWASP_TOP_10/A7',tag:'PCI/5.1.1',severity:'2',setvar:'tx.msg=%{rule.msg}',setvar:tx.trojan_score=+1,setvar:tx.anomaly_score=+%{tx.error_anomaly_score},setvar:tx.%{rule.id}-MALICIOUS_SOFTWARE/TROJAN-%{matched_var_name}=%{matched_var}"
SecRule RESPONSE_BODY "(?:(?:<title>[^<]*?(?:\b(?:(?:c(?:ehennemden|gi-telnet)|gamma web shell)\b|imhabirligi phpftp)|(?:r(?:emote explorer|57 ?shell)|aventis klasvayv|zehir)\b|\.::(?:news remote php shell injection::\.| rhtools\b)|ph(?
:p(?:(?: commander|-terminal)\b|remoteview)|vayv)|myshell)|\b(?:(?:(?:microsoft windows\b.{,10}?\bversion\b.{,20}?\(c\) copyright 1985-.{,10}?\bmicrosoft corp|ntdaddy v[0-9]\.[0-9] - obzerve \| fux0r inc)\.|(?:www\.sanalteror\.org - ind
exer and read|haxplor)er|php(?:konsole| ?shell)|(c99|c100|r57) ?shell)\b|aventgrup\.
|drwxr| - n3t))|This is (an|a)? exploit from < ?a|php ?(4|5).+ safe_mode ?(\&|/|and)? ?open_basedir ?bypass|feelcomzfeelcomz|id: feelcomz|shirohiges
hirohige|lusif3r_666|was here \.\..*uname.*uid.*gid.*free.*used|b\.o\.v sience 20[0-1][0-9]|emp3ror undetectable|(o|0)wned by hacker|feelcomz rfi scanner|by pshyco, ยฉ 2008 error|safemodeexecdir|sh-(inf|err): )" \
"phase:4,t:none,ctl:auditLogParts=+E,auditlog,status:404,msg:'Atomicorp.com - WAF Rules: Backdoor access',id:'390149',rev:11,severity:'2'"
มาดู code ของโปรแกรมนี้ดีกว่า ปรกติจะอยู่ในรูปแบบ base64_decode
<? echo(gzinflate(base64_decode('
7P1rcxvJsiAIfr4y038IoXAKQInEiw+JpEAJBEAS
FJ8A36KaN4FMACkCSBQSIEjVUX9ZG+vZtt0dm539
sNZrNmPXbs+Y7Zpds/kPNfO/1t0jIjPyBYCUqs45
3c1zVAAiPDw8PDw8PDwiPN5vvns/6AxevoiPtGar
rX9KjPtaz0h8ZgWW+Kg1xvXEhpI5mFhDnWeu5Vff
............
?>
แต่แกะมาให้แล้ว
สู้ต่อไปครับ ขอบคุณที่เตือน
ขอบคุณครับ
้ขอบคุณครับที่มาเตือน ผมจะระวังครับ
เคยเจอเหมือนกัน เป็นกับ spam post พวก webboard ครับ
ทำ secure tmp ตามข้างบน ครับ