วันแรกโดนฝังสคริปที่ crontab ผมเปิดดูไฟล์ที่รันแล้วตามไปลบ พยายามหาทางแก้อยู่หลายวัน
อาการที่เจอคือ ทาง datab center แจ้งว่ามีการใช้งาน traffic ที่สูงมากผ่าน port upd
ผมพยายามแก้ตามแหล่งความรู้ต่างๆ แก้ไปหายบ้างไม่หายบ้าง และทาง hacker ก็จะเปลี่ยนไอพีเข้ามาใหม่ตลอด
จนวันนี้ผมได้แก้ไข firewall ให้เป็นดังนี้ครับ

Firewall configuration written by system-config-firewall

Manual customization of this file is not recommended.

*filter
####DRop All packet
-F INPUT
-F FORWARD
-F OUTPUT
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT

Firewall Rule

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8888 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8081 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 517 -j DROP
-A INPUT -m state --state NEW -m udp -p udp --dport 517 -j DROP
-A INPUT -p udp -m limit --limit 5/s -j LOG
####Close ping of dead
-A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

sync flood

-A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
#######Close Scan
-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
commit

จากนั้นก็ไม่มีเข้ามาอีกเลยในระบบ และทาง data center ก็แจ้งว่าสถานะปกติ เหตุการณ์นี้เกิดขึ้นเมื่อประมาณสองสามเดือนก่อน
ผมไม่ได้เก่งอะไร แค่อยากมาแบ่งปันความรู้กันครับ ผิดถูกให้อภัยด้วยจ้า หรือใครมีอะไรแนะนำเชิญครับ
ขอบคุณแหล่งความรู้ดีๆ THT

ขนาดเข้ามาแก้ crontab ได้นี่ น่าจะรั่วเอาการเลยนะ

มันเป็น host ที่เพิ่งเข้ามารับผิดชอบนะครับ ต้องค่อยๆปรับ security คุณแมน มีอะไรแนะนำบ้างมั้ยครับ

แนะนำจากใจ Backup แล้วลงใหม่ครับ

ถ้าโดน compromise ถึงระดับ OS ไปแล้ว Backup Data แล้วลงใหม่จะดีกว่า เพราะว่าเราไม่มีทางรู้ได้เลยว่าโดนวาง Backdoor ไว้ตรงไหนบ้าง

แล้วก็ถ้าเข้ามาแก้ crontab ได้แล้ว ก็มีความเป็นไปได้สูงว่าจะโดนแก้ไข iptables ได้เหมือนกันครับ

crontab ในที่นี่คือ user crontab (da) หรือ system crontab ที่เข้าผ่าน root ครับ

crontab ที่ root เลยครับ
จากการเข้า #crontab -e ไปเจอสคริปต์มาใหม่หนึ่งบรรทัด ผมก็ค่อยๆปิด root login ssh แล้วก็ระบบต่างๆ เพราะเซิฟเวอร์ตัวนี้ผมเพิ่งมาดูแลนะครับ

แบบนี้อันตรายครับ อย่างที่ท่านอื่นๆ ได้กล่าวไว้ครับ

มีท่านไหนเสนอแนะ การแก้ปัญหาโดน attack เพื่อเป็นแนวทางกับท่านอื่นๆเผื่อเจอปัญหาเดียวกันนะครับ

เรื่องนี้ต้องดูเป็นเคสไปครับ มันไม่มีอะไรตายตัว
service หรือ port อะไร ที่เราไม่ได้ใช้ ก็ไม่ควรเปิดครับ

Backup ลงใหม่ง่ายกว่าครับ อย่างที่พี่ๆ ข้างบนบอกครับ

แบบนี้ผมก้ว่าอันตรายน่ะ

Backup แล้วลงใหม่ครับ
แล้วตรวจสอบให้ดีครับที่ Backup มี script ฝั่งไว้หรือไม่

ถ้าขนาดเข้ามาในระดับนี้ได้ ผมว่าเค้าคงวาง back door ไว้แล้วครับ

ปกติแล้วการโดนยิงจน link เต็ม ไม่สามารถแก้ไขได้โดยตัวเราเองครับ ต้องประสานงานให้ทาง IDC บลอคให้ แต่คิดว่า ผู้โจมตีหยุดโจมตีไปเองมากกว่าครับ ยังไงแล้ว ในเคสที่โดน access ระบบเข้ามาปรับค่าต่างๆได้แบบนี้ ควรลง OS ใหม่เป็นกรณีเร่งด่วนครับ กรณีที่ต้อง backup ข้อมูลไว้ ก็ต้องดูดีๆครับว่า ข้อมูลส่วนที่เรา Backup นั้น มี backdoor ซ่อนไว้หรือไม่ ทางที่ดี พยายาม backup ไว้น้อยที่สุดครับ

โดนยิงหรือเรายิงเขา ถ้าเรายิงออก แก้ตามคุณ icez แนะนำครับ ผมลองแล้ว โอเค

อ้าว โดนขุดมานี่หว่า