ผมมือใหม่ปัญหาเยอะครับต้องขออภัยด้วยที่ขอมารบกวนปรึกษาบ่อยๆ
:875328cc::875328cc::875328cc:
วันนี้เจอเรื่องอีกละครับ กำลังดูหนังกะแฟนเพลินๆ สักพักได้รับเมลฉบับนี้
[Incident#XCU-893316]
Dear Web Host
The FraudWatch International Security Operations Centre (www.fraudwatchinternational.com) has received a report of a malicious PAC File (used for proxy on Phishing and Malware) hosted on your network.
This file redirects an infected users browser to the genuine Internet Banking site via a proxy, allowing criminals to hijack sessions and steal users bank login credentials.
URL: http://XXXXXXXXXXXXXX.com/main/wp-content/themes/ecobiz/cache/1.jsp
Additional URL's:
Brand Targeted: Santander Brasil (Banco Santander)
IP Address: XXX.XXX.XXX.XXX
*************************
On behalf of our client, we would greatly appreciate your assistance in:
-- Urgently Cleaning, closing or disallowing access to the site listed above as appropriate.
*************************
If you are not the correct person to be dealing with this incident, please forward this request to the relevant person.
If you are already aware of this matter, we apologise for any inconvenience. If possible, we would still appreciate a copy of any relevant files from the host, including logs and any php files relevant to the phishing site, which may indicate where the stolen login credentials are being sent.
This incident has been assigned an Incident Number, found in the subject line. We will be monitoring this incident, and tracking its progress to closure. Please use this incident code in the subject line of all correspondence relating to this Incident.
Please contact us should you require any clarification or assistance. We thank you for your urgent consideration of this request.
Regards,
Kritin
Security Operations
FraudWatch International
Tel USA: +1-(415) 200 0621
Tel AUS: +613 9887 6777
Fax: +613 8660 2688
Email: security@fraudwatchinternational.com
http://www.fraudwatchinternational.com
พอได้รับเมล์เลยรีบsuspend id ลูกค้าก่อนเลยครับ ตามไปสืบดูพบ
เว็บลูกค้าติดตั้ง Wordpress ครับ chmod directory ชื่อ cache ใน theme Wordpress เป็น 777 GID ของ Folder เป็น User ID ของลูกค้าครับ
ข้างในโดนวาง php ยั้วเยี้ยะเลย
ลองอ่านๆ ดูมี
Script Mess Mail ส่ง spam
Script อ่าน User Pass ของ Cpanel (ผมใช้ DirectAdmin จะเป็นไรรึเปล่าไม่รู้ครับ เปลี่ยน Password ลูกค้าแล้ว)
หน้าเว็บสำหรับ phrising ตกเหยื่อที่หลงกลมาจาก email
และ mail อยู่ในคิวมหาสารเลยครับ พอดีตั้งไว้ที่ limit ส่งได้ 1000 เลยออกไปแค่นั้นครับ
เหตุการณ์ลักษณะนี้พี่ๆ มีวิธีป้องกันอย่างไรบ้างครับ
ผมลอง หาก folder เจ้าปัญหานี้ไม่ chmod 777 รูปที่โพสขึ้นไปเป็น thumbnail ของ wordpress ก็จะไม่แสดงครับ ลอง 775 แล้ว รูปไม่ขึ้นครับ
ผมสำรวจดูมี user อีกหลายคนเลยครับ ที่ ซื้อ theme มาใช้แล้วการติดตั้งของ theme ที่ซื้อมาก็ระบุให้ chmod folder cache ใน theme เป็น 777
และก็ยังเจออีกหลาย folder ที่น่าเสี่ยงมากเลยครับใน wordpress และ cms อีกหลายตัวเช่น
folder uploads ของ wordpress chmod ก็ 777 ครับ GID เป็น user แถมข้างในมีการสร้าง folder แยกเดือน แยกปี folder พวกนั้นก็ chmod 777 ครับโดย GID จะเป็น apache
เครื่องนี้ผม
secure tmp
ย้าย upload tmp dir ไปที่ /tmp
ย้าย session.save_path ไปที่ /tmp
dissable function php
คอมไพลปิด cgi
==================
มีจุดไหนที่พลาดไปทำให้เกิดปัญหาลักษณะนี้บ้างมั้ยครับ เนื่องจากพบว่ามี user อีกหลายคนเลยครับที่มีการ chmod folder ลักษณะนี้ เผื่อจะได้ป้องกันไว้ครับ:baa60776:
ขอบคุณสำหรับทุกคำตอบครับ ขออภัยด้วยที่ต้องรบกวนอีกแล้วครับ
:875328cc::875328cc::875328cc: