ขอความรู้เกี่ยวกับคำสั่งพวกนี้ค่ะ รบกวนผู้รู้ช่วยตอบและอธิบายด้วยค่ะ

mlm3level · January 10, 2013, 9:03pm

เผอิญว่า server เจอคำสั่งพวกนี้ และอยู่ดีๆ database ก็หายไปหมด พร้อมกับ user admin ก็หายไปด้วย
และเมื่อ user admin กลับมาใช้ได้ โดยการ add เข้าไปใหม่ ก็เจอ log พวกนี้ค่ะ
ใครทราบไหมค่ะว่า log พวกนี้มาจากที่ใด ใครเป็นคนทำแบบนี้ได้ค่ะ และมันคืออะไรบ้าง
ขอบคุณล่วงหน้าสำหรับคำตอบนะคะ

Jan 8 04:04:06 server useradd[9829]: failed adding user apache', data deleted Jan 8 04:04:38 server useradd[9910]: failed adding userdiradmin’, data deleted
Jan 8 04:08:15 server useradd[10596]: failed adding user mysql', data deleted Jan 8 04:08:15 server usermod[10597]: change usermysql’ GID from 104' to104’
Jan 8 04:08:19 server usermod[10725]: change user mysql' shell from/bin/false’ to /bin/false' Jan 8 04:26:54 server useradd[12514]: failed adding usermajordomo’, data deleted
Jan 8 04:26:55 server userdel[12896]: delete user admin' Jan 8 04:26:55 server userdel[12896]: removed groupadmin’ owned by `admin’

ton1 · January 10, 2013, 9:15pm

Admin add มั่วป่ะครับ ?

mlm3level · January 10, 2013, 9:21pm

คำสั่งแบบนี้ admin ของเครื่องเป็นคนทำเหรอค่ะ คืนนั้นไม่มีใครเข้าไปทำอะไรเลย
เช้ามาก็เลยงงว่า ทำไมเกิดเหตุการณ์แบบนี้ เราวาง co lo ไ้ว้น่ะค่ะ พอถามไปที่
ฝ่าย support เค้าก็บอกว่าหน้าจอ network ก็ปกติไม่ได้มีรายงานอะไร
ก่อนหน้าที่จะเกิดเรื่องก็คือ เราให้ฝ่าย support ลงเครื่องใหม่น่ะคะ
และก็ใช้งานอย่างปกติ จนเกิดเหตุการณ์นี้ขึ้น และหาคำตอบไม่ได้ว่าผู้ใดเป็นคนทำ
ที่แน่นอนก็คือทางเราไม่ได้ทำเองอย่างแน่นอน

ton1 · January 10, 2013, 9:23pm

mlm3level:

คำสั่งแบบนี้ admin ของเครื่องเป็นคนทำเหรอค่ะ คืนนั้นไม่มีใครเข้าไปทำอะไรเลย
เช้ามาก็เลยงงว่า ทำไมเกิดเหตุการณ์แบบนี้ เราวาง co lo ไ้ว้น่ะค่ะ พอถามไปที่
ฝ่าย support เค้าก็บอกว่าหน้าจอ network ก็ปกติไม่ได้มีรายงานอะไร
ก่อนหน้าที่จะเกิดเรื่องก็คือ เราให้ฝ่าย support ลงเครื่องใหม่น่ะคะ
และก็ใช้งานอย่างปกติ จนเกิดเหตุการณ์นี้ขึ้น และหาคำตอบไม่ได้ว่าผู้ใดเป็นคนทำ
ที่แน่นอนก็คือทางเราไม่ได้ทำเองอย่างแน่นอน

คำสั่งพวกนี้ ต้อง permission root หรือเฉพาะบาง user ที่ได้รับอนุญาต ให้ใช้คำสั่งนี้ได้ครับ
ไม่ก็มีคนรู้ password root เข้ามาใช้งาน ไม่ก็เจอ exploit ครับ ไม่มีไรมากกว่านั้น +___+

mlm3level · January 10, 2013, 9:35pm

ขอบคุณมากค่ะสำหรับคำตอบ exploit น่าจะเป็นคำตอบที่ถูกต้องนะคะ
เพราะใน logs files ไม่มีรายงานว่าสามารถเจาะ root เข้ามาได้
ส่วน user ที่ได้รับอนุญาต ก็น่าจะเกิดจากการ exploit ค่ะ
ถ้าเราลบไฟล์ต้องสงสัยที่ผู้บุกรุกสามารถ exploit เข้ามาได้ทิ้งไป
เค้าก็จะไม่สามารถเข้ามาได้อีกใช่ไหมค่ะ น่ากลัวมาก T-T

kke · January 10, 2013, 9:43pm

ตั้ง password root / admin ไว้แบบง่ายๆหรือเปล่าครับ
หรือไม่ก็ระบบมีช่องโหว่แล้วโดน exploit ครับ

kke · January 10, 2013, 9:48pm

Basic Security Config

ปิดไม่ให้ ssh เข้าเป็น root ตรงๆ
ระบุ user ที่อณุญาตให้ ssh เข้าระบบได้
แก้ให้เฉพาะ user ใน wheel group เท่านั้นที่สามารถ su เป็น root ได้
หากใช้งาน php ก็ต้อง disable พวกคำสั่ง exec system passthru … ด้วย
ถ้ามีใช้งานหลายโดเมนในเครือง ก็ต้องปัองกันการอ่านเขียนไฟล์ข้ามโดเมน ด้วยการเปิด open_basedir
ไม่ใช้ url ชั่วคราวที่เป็น ip/~username

mlm3level · January 10, 2013, 10:04pm

ขอบคุณมากๆ เลยค่ะ เป็นคำแนะนำที่ดีมากๆ เลยค่ะ ^^

ton1 · January 10, 2013, 10:14pm

เพิ่มเติมนิดนึงครับ ยกเลิกการใช้ FTP ไปเลย โดยเฉพาะ user สำคัญๆ
เพราะปัจจุบัน พวกโปรแกรม FTP Client ต่างๆ ติด virus ติด malware
กันมาก พอได้ user-password แล้ว ก็สามารถ นำ file exploit ไปวาง
แล้ว run เป็นสิทธิ root ได้ครับ

system · May 16, 2016, 8:32am