เมื่อเช้า server ค้าง ไล่ไปมาพบ script ในเว็บหนึง่ของลูกค้ากำลัง spam mail อย่างเมามันส์
เมื่อจัดการปัญหาทั้งหมดจนนิ่งได้แล้ว เลยไล่ว่ามาจากกอะไร
จนไปพบ php script ในเว็บลูกค้า แต่ว่า owner เป็นของลูกค้าเอง แปลว่าเว็บไม่ได้รั่วจนโดนอัพไฟล์เข้ามา เพราะว่าไม่อย่างนั้นน่าจะต้องเป็น apache
จนไปไล่ ftp log เลยพบ ip
มาจากไทยนี่แหล่ะ 210.1.31.182
inetnum: 210.1.31.0 - 210.1.31.255
netname: idc-csloxinfo
country: TH
descr: reassign to “IDC-CBW-IDC customer”
descr: contact “dc@csloxinfo.net”
admin-c: LIA1-AP
tech-c: LIA1-AP
status: ASSIGNED NON-PORTABLE
changed: domaster@loxinfo.co.th 20091104
mnt-by: LOXINFO-IS
mnt-irt: IRT-CSLOXINFO-TH
source: APNIC
role: Loxinfo IP Admins
remarks: CS LOXINFO PUBLIC COMPANY LIMITED
address: 90 Cyber World Tower A, 17-20th Floor
address: Ratchadapisek Road, Huai Khwang, Bangkok 10310
country: TH
phone: +66-2263-8000
fax-no: +66-2263-8790
e-mail: ip_admin@csloxinfo.net
admin-c: DL85-AP
tech-c: DL85-AP
nic-hdl: LIA1-AP
mnt-by: LOXINFO-IS
changed: ip_admin@csloxinfo.net 20060703
changed: ip_admin@csloxinfo.net 20091125
source: APNIC
ก็เลย งงๆ คนไทยเล่นกันเองซะแล้ว แต่ว่า ip ตอนที่ส่ง spam มาจาก turkey นะ
แต่ที่เด็ดกว่าคือเมื่อเอา ip ไปค้น google จนเจอคนอื่นก็โดน
http://www.ipillion.com/ip/210.1.31.182
เบื้องต้นการ block และ
แล้วเค้าจะหยุดมั้ยนี่ ก็ระวังกันด้วยนะครับ