งานงอกแต่เช้าเลย

BWebMass · December 1, 2011, 9:39am

เมื่อเช้า server ค้าง ไล่ไปมาพบ script ในเว็บหนึง่ของลูกค้ากำลัง spam mail อย่างเมามันส์

เมื่อจัดการปัญหาทั้งหมดจนนิ่งได้แล้ว เลยไล่ว่ามาจากกอะไร

จนไปพบ php script ในเว็บลูกค้า แต่ว่า owner เป็นของลูกค้าเอง แปลว่าเว็บไม่ได้รั่วจนโดนอัพไฟล์เข้ามา เพราะว่าไม่อย่างนั้นน่าจะต้องเป็น apache

จนไปไล่ ftp log เลยพบ ip

มาจากไทยนี่แหล่ะ 210.1.31.182

inetnum: 210.1.31.0 - 210.1.31.255

netname: idc-csloxinfo

country: TH

descr: reassign to “IDC-CBW-IDC customer”

descr: contact “dc@csloxinfo.net”

admin-c: LIA1-AP

tech-c: LIA1-AP

status: ASSIGNED NON-PORTABLE

changed: domaster@loxinfo.co.th 20091104

mnt-by: LOXINFO-IS

mnt-irt: IRT-CSLOXINFO-TH

source: APNIC

role: Loxinfo IP Admins

remarks: CS LOXINFO PUBLIC COMPANY LIMITED

address: 90 Cyber World Tower A, 17-20th Floor

address: Ratchadapisek Road, Huai Khwang, Bangkok 10310

country: TH

phone: +66-2263-8000

fax-no: +66-2263-8790

e-mail: ip_admin@csloxinfo.net

admin-c: DL85-AP

tech-c: DL85-AP

nic-hdl: LIA1-AP

mnt-by: LOXINFO-IS

changed: ip_admin@csloxinfo.net 20060703

changed: ip_admin@csloxinfo.net 20091125

source: APNIC

ก็เลย งงๆ คนไทยเล่นกันเองซะแล้ว แต่ว่า ip ตอนที่ส่ง spam มาจาก turkey นะ

แต่ที่เด็ดกว่าคือเมื่อเอา ip ไปค้น google จนเจอคนอื่นก็โดน

http://www.ipillion.com/ip/210.1.31.182

เบื้องต้นการ block และ

แล้วเค้าจะหยุดมั้ยนี่ ก็ระวังกันด้วยนะครับ

icez · December 1, 2011, 9:48am

อยากเห็น log ที่ว่าครับ

Trying 210.1.31.182…

Connected to 210.1.31.182.

Escape character is ‘^]’.

220-th21.hostpacific.com

sailomsaengdaed · December 1, 2011, 10:33am

ปัญหาคือลูกค้าเป็นคนเอาเข้ามาหรือไม่ครับ

Ant · December 1, 2011, 10:38am

ส่วนใหญ่ที่เจอเกิดจากลูกค้า save password ไว้ใน program FTP

BWebMass · December 1, 2011, 12:07pm

ProFTPd [9704] 210.1.31.182 [29/Nov/2011:01:40:16 +0700] "USER XXปกปิดuserXX" 331

ProFTPd [9704] 210.1.31.182 [28/Nov/2011:18:40:16 +0000] "PASS (hidden)" 230

Mon Nov 28 18:40:16 2011 0 210.1.31.182 3540 /home/[path ของเครื่องลูกค้าผม]/public_html/bag/3b54.php a _ i r XXปกปิดuserXX ftp 0 * c

ส่วนส่งเมล ตัดมาส่วนหนึ่ง

188.127.230.60 - - [01/Dec/2011:05:03:48 +0700] "POST /bag/3b54.php HTTP/1.1" 200 287 "-" "-"

78.111.96.10 - - [01/Dec/2011:05:10:14 +0700] "POST /bag/3b54.php HTTP/1.1" 200 273 "-" "-"

188.127.230.60 - - [01/Dec/2011:05:15:37 +0700] "POST /bag/3b54.php HTTP/1.1" 200 287 "-" "-"

78.111.96.10 - - [01/Dec/2011:05:19:34 +0700] "POST /bag/3b54.php HTTP/1.1" 200 273 "-" "-"

78.111.96.10 - - [01/Dec/2011:05:28:54 +0700] "POST /bag/3b54.php HTTP/1.1" 200 273 "-" "-"

188.127.230.60 - - [01/Dec/2011:05:30:34 +0700] "POST /bag/3b54.php HTTP/1.1" 200 287 "-" "-"

78.111.96.10 - - [01/Dec/2011:05:38:23 +0700] "POST /bag/3b54.php HTTP/1.1" 200 273 "-" "-"

188.127.230.60 - - [01/Dec/2011:05:46:59 +0700] "POST /bag/3b54.php HTTP/1.1" 200 287 "-" "-"

78.111.96.10 - - [01/Dec/2011:05:47:48 +0700] "POST /bag/3b54.php HTTP/1.1" 200 273 "-" "-"

78.111.96.10 - - [01/Dec/2011:05:57:13 +0700] "POST /bag/3b54.php HTTP/1.1" 200 273 "-" "-"

78.111.96.10 - - [01/Dec/2011:06:06:39 +0700] "POST /bag/3b54.php HTTP/1.1" 200 273 "-" "-"

2getherz · December 1, 2011, 7:06pm

ลูกค้าเป็นคนเข้าหรือเปล่าครับ

shoko · December 1, 2011, 11:53pm

spam mail อย่างเมามันส์

system · May 16, 2016, 8:21am