เอื๊อก เทศกาลแฮก กลับมาอีกแล้้วหรือนี

Pattrawut_Injan · March 22, 2011, 12:43pm

โดนเล่นงานมา 2วันติด

อยู่ๆก็มีโฟเดอร์ ฟิชชิ่ง โพล่มาใน /var/www/html

แถมยังมีสั่ง crontab อีก ลบแล้วก็มาเรื่อยๆ พึ่งหาเจอเลย จัดการซะ

แต่มันก็ยังกลับมาอีก เหนื่อยใจจริงๆ kernel ล่าสุด ก็ยังโดนซะได้

หมั่นๆดู crontab ด้วยนะครับ

ดีหน่อยเวบไม่เป้นไร

mean · March 22, 2011, 12:56pm

ดูโฟลเดอร์ ใน www ว่า owner เป็นอะไร

ถ้า apache ก็มีโอกาสที่ tmp รั่วเด๋อ

ส่วนเขียน crontab ได้นี่เสียวๆ นะนั้นหน่ะ

Pattrawut_Injan · March 22, 2011, 1:10pm

ครับพี่มีน VPS ลูกค้านะพี่ โดนหนักเลย ไม่รู้ลูกค้าลงอะไรบ้าง

sailomsaengdaed · March 22, 2011, 1:18pm

อาจจะไม่เกี่ยวกับ kernel ก็ได้ครับ

pattonline · March 22, 2011, 1:19pm

Folder ชื่ออะไรครับ เด๋วผมไปดุของผมบ้าง ชักเสียวๆ

ขอบคุณที่มาแชร์

Pattrawut_Injan · March 22, 2011, 1:19pm

ครับพี่ คงไม่เกี่ยวแล้วแหละ ผมลองไล่ดูหลายๆกระทู้เก่าๆ พูดถึงkernel แต่ ของผมไม่น่าทางนี้

ผมก็ไม่เก่ง มั่วไปเรื่อยเปื่อย แหะๆ

Pattrawut_Injan · March 22, 2011, 1:51pm

lloyds local_bdno ฟิชชิ่งธนนาคารครับ

BigKrub · March 22, 2011, 3:37pm

ผมโดนไป 2 เว็บแล้วครับ

ต้องลบและ pass ใหม่หมด อย่าลืม blackup นะครับ ^^

kke · March 22, 2011, 4:13pm

phishing ธนาคาร เครื่องลูกค้าผมมีโดนเรื่อยๆเลยครับ แต่ไม่ใช่ใน /var/www จะอยู่ใน public_hrml/images ที่กำหนด permission ไว้เป็น 777 จะโดนเป็นเว็บๆไป เป็นช่องโหว่ของตัว script ที่ลูกค้าใช้

ถ้าโดนขนาดเขียน cron ได้นี่น่ากลัวแล้วครับ แต่ถ้าเป็น cron ของ user ยังพอคิดว่ามาทาง DA ได้ โดยเอา password ที่ดักได้เข้ามา

Pattrawut_Injan · March 22, 2011, 4:40pm

ปัญหาคือเข้าถึง root ได้เลย

ตอนนี้ รุ่นพี่ท่านนึงแนะนําว่า อาจจะเป็นรูที่ proftpd ก็เลยอัพแหละ

http://www.directadmin.com/forum/showthread.php?t=38335

รอดูพรุ่งนี้

360 · March 22, 2011, 4:49pm

proftp ต้อง 1.3.3d ครับอัพไปได้เลย. แล้วลองใช้ claimd scan tmp กับเว็บต้นตอดูครับว่าเจออะไรผิดปกติหรือเปล่า

Pattrawut_Injan · March 22, 2011, 11:41pm

โดนอีกแล้ว แต่ตอนี้คิดดว่าดักได้แล้ว

angell:x:0:502::/usr/angell/:/bin/bash

cote:x:0:503::/usr/cote/:/bin/bash

เพราะเจอ เจ้า user ประหลาดเข้ามา แอบวางไข่ไว้

man10u · March 23, 2011, 12:44am

โดนเหมือนกันครับ เข้ามาใน Folder ที่เปิด CHMOD 777 ไว้กำลังหาทางแก้อยู่ครับ มาจากอินโดฯ พอมีวิธีแก้บ้างมั้ยครับ

Pattrawut_Injan · March 24, 2011, 4:36pm

หายแล้วครับ

วิธีแก้

ที่ผมโดนหลายๆรอบ ข้อแรกเลยเพราะ crontab สั่งรันให้มันกับมา ผมทําการลบ crontab ทิ้ง ก็ยังกลับมา

เลยลองเช็ค /etc/passwd ปรากฏว่า มี 2user ที่มีสิทธิ์ เทียบเท่า root ซึ่งไม่ใช่ผม

ผมทําการลบ2 user นั้นทิ้ง ก็หายครับผม

ขอบคุณ ทุกๆท่านครับ ของบคุณ ท่านพี่ Icez ที่ช่วยน้องๆได้ตลอดกาล

sailomsaengdaed · March 24, 2011, 4:45pm

แค่นี้ไม่หายหรอกครับ

ต้องตรวจสอบว่าทำไมถึงมี user 2 นั้นมีสิทธิเท่ากับ root

อีกอย่างครับ คุณเปิดให้ root สามารถ remote มาเครื่องได้โดยตรงหรือไม่ครับ

ถ้าใช้ก็ควรปิดนะครับ

อีกอย่าง ของบ คุณ Icez ไปทำอะไรเหรอครับ

Pattrawut_Injan · March 24, 2011, 4:50pm

ของบ ไปซื้อ server ตัวใหม่ครับ

ขอบคุณครับ

DCH · March 24, 2011, 5:41pm

ผมเจอแต่ฟิชชิ่งเพย์พาลวางไว้ใน var/www/html ครับ

toooooooon · July 21, 2011, 4:53pm

ฟัชชิ่งเว็บ ธนาคาร ?

ถ้ามันมไม่มาใช้ ฐานข้อมมูล อย่างนี้ต้อง curl ยิ่ง httpPost เข้าฐานข้อมมูลมันนะ

เอา ขยะไปใส่ หรือด่ามัน

FeNixZ · July 21, 2011, 5:20pm

ลองเช็ค SSHd ด้วยครับ

แล้วก็ Roundcube

พวกนี้จะเอา top , sshd , php script ,ftpd ของตัวเองมาแทนของเดิมด้วย

พวกนี้จะดักรหัสผ่าน เวลาเราเข้าไปใช้งานด้วยครับ

ถึงจะลบ จะเปลี่ยนยังไง

ถ้า SSHd ยังเป็นตัวที่เขาเอามาลง แล้วดักรหัสผ่าน ก็โดนอยู่ดีครับ

ทางที่ดี ล้างลงใหม่เลยครับ

จะมี shell script หลายตัว ที่ไว้เช็คพวก backdoor พวกนี้

แต่ทางที่ดี ลงใหม่ครับ

ถ้าโดนเข้าถึง root แล้ว

ควรจะล้างระบบลงใหม่เลยครับ จูน / ปรับ secure ใหม่หมด ชัวร์สุดครับ

ถ้ามัวแต่พยายามแก้ จะเสียเวลาเปล่าครับ พวกนี้จะวางยาไว้หลายจุดมากครับ

system · May 16, 2016, 8:12am