Virus and sshd

raaaaa · May 8, 2008, 5:54pm

สวัสดีครับ ผมมีปัญหา อยากสอบถาม 2 ข้อ ครับ ผม ชื่อ ระ ครับ

รบกวนแนะนำหน่อยครับ ผมจะสแกน และ กำจัด ใน Linux CentOs ครับใช้ ตัวสแกน อะไรดีครับแนะนำหน่อยครับ
เรื่อง SSh

jeedz · May 8, 2008, 11:17pm

ClamAV ครับ ลงให้ครบทั้ง clamd และอื่นๆ ทำตามนี้เลยครับ

login ด้วย root แล้วใช้คำสั่งตามนี้เลย

สำหรับ CentOS 5

wget http://www.os.in.th/clam/clamav-0.93-2.el5.rf.i386.rpm
wget http://www.os.in.th/clam/clamav-db-0.93-2.el5.rf.i386.rpm
wget http://www.os.in.th/clam/clamd-0.93-2.el5.rf.i386.rpm
wget http://www.os.in.th/clam/clamav-devel-0.93-2.el5.rf.i386.rpm
rpm -Uvh clam*

raaaaa · May 9, 2008, 12:13am

ข้อ 1.

jeedz · May 9, 2008, 12:39am

[quote author=raaaaa link=topic=11249.msg108977#msg108977 date=1210266799]
ข้อ 1.

raaaaa · May 9, 2008, 10:11am

ผมไม่สามารถ

jeedz · May 9, 2008, 11:31am

ขอดู file /etc/fstab

test · May 9, 2008, 1:46pm

[quote author=raaaaa link=topic=11249.msg109012#msg109012 date=1210302680]
ผมไม่สามารถ

smartnet.co.th · May 9, 2008, 1:56pm

คุณ raaaaa ตั้งคำถามให้เครียร์กว่านี้ก่อนครับ…

OS อะไร และ Version
คุณลงเองหรือให้คนอื่นลง
ช่วยเล่าว่าลงตั้งแต่แรกอย่างไร (เพื่อจะไล่ได้ว่า default ค่าต่างๆควรจะเช่นไร)
เครื่องอยู่ที่บ้าน หรือที่ ISP
คุณเป็น root เองเลยหรือไม่ หากไม่ใช่ควรจะเป็น root และ login ที่หน้าเครื่องได้ก่อน
ตั้งคำถามไปที่ละ step และแก้ปัญหา step ที่ถามให้เสร็จก่อนแล้วค่อยเริ่มถาม step ต่อไป

ปล. ผมขอถือว่าความรู้ system admin คุณเป็นศูนย์… กรุณาเริ่มต้นจากศูนย์ก่อนไปนับหนึ่งดีกว่าครับ
เริ่มถามใหม่และตอบไปที่ละข้ออย่าข้าม step

raaaaa · May 9, 2008, 2:05pm

ผมต้องขอโทษด้วยครับ ที่ถามคำถามไม่เคลียร์ หรือ อาจจะข้ามขั้นตอนไปครับ

raaaaa · May 9, 2008, 2:07pm

ขอเพิ่มเติม

test · May 9, 2008, 2:09pm

อื้มม … ถ้า login ที่หน้า console แล้ว ยังไม่ได้ อีกนี่อาการหนัก (ไม่เกี่ยวกะ ssh)
ลองเข้า single mode ดูยังอ่ะครับ
ผมว่า ไฟล์ อะไรบางอย่างต้องมีปัญหา แน่ๆ เลย

raaaaa · May 9, 2008, 2:15pm

เพิ่มเติม

test · May 9, 2008, 2:21pm

อ่อ … ถ้าเป็นงี้ ลองทดสอบ config ssh ดูอะครับ ว่ามีอะไร ผิดพลาดหรือป่าว
user อยู่ใน group ที่ไม่อนุญาติ ให้ ทำการ ssh หรือป่าว

raaaaa · May 9, 2008, 2:26pm

ตอนนี้ผม ก็ set ทุกอย่าง

smartnet.co.th · May 9, 2008, 2:32pm

[quote author=raaaaa link=topic=11249.msg109059#msg109059 date=1210316753]
ผมต้องขอโทษด้วยครับ ที่ถามคำถามไม่เคลียร์ หรือ อาจจะข้ามขั้นตอนไปครับ

smartnet.co.th · May 9, 2008, 2:33pm

[quote author=raaaaa link=topic=11249.msg109065#msg109065 date=1210318000]
ตอนนี้ผม ก็ set ทุกอย่าง

test · May 9, 2008, 2:40pm

ผมเรื่อยๆ เปื่อยๆ ง้ะครับ เรื่อง scan ผมก้อไม่ค่อยรู้ หรอกไม่ได้ใช้
ทำตามคุณ smartnet.co.th ว่านั่นแล่ะครับ ดีแล้ว อย่าลืม check ที่
/var/log/message , /var/log/secure , /var/log/daemon
หรือ อื่นๆ ดูด้วยนะครับ เผื่อจะเห็นปัญหา

smartnet.co.th · May 9, 2008, 2:42pm

คุณเลิกไปยุ่งกับ /etc/hosts.allow เลยครับ… ควร control ผ่าน fiewwall (ตอนนี้เอาไว้ที่หลังเรื่องนี้)

ก่อนจะแก้ไฟล์อะไร ให้ copy ต้นฉบับ backup เอาไว้…

ผมอยากให้คุณเริ่มต้นจากค่า default ครับ… เพราะผมหลับตาบอกคุณได้เลยหากไม่ได้ไปแก้ไอะไรต่างๆไปก่อนหน้านี้

smartnet.co.th · May 9, 2008, 2:45pm

งาน system admin จะแบ่งออกเป็นสองส่วนใหญ่

ลง system (OS, APP)
MA + Secure

ตอนนี้ด่านที่ 1 คุณยังไม่ผ่าน…ยังพูดจาภาษา admin สื่อกันไม่ได้ คุณต้องเรียนรู้ทำความเข้าใจจากข้อ 1 และส่งคำตอบมาที่ละข้อตามที่ถามไปนะ Unix นะ…ไม่ใช่ Win

เออ… ผมก็ Quote มาโดยไม่ได้ดูว่าชื่อใครเลย ขอโทษด้วยครับ Quote ผิดคน

kke · May 9, 2008, 2:48pm

โดยปกติแล้วเพื่อความปลอดภัย มักจะตั้ง ssh config ไม่ให้ login เป็น root โดยตรง
จะต้อง login เป็น user อื่นในระบบก่อน แล้วจึงใช้คำสั่ง su - เป็น root อีกทีนึง

เข้า login root หน้าเครื่อง

ตรวจสอบ user เก่าของเราว่าใช้งานได้ปกติโดยการลอง login หน้าเครื่องด้วย user นั้นๆ หรือเพิ่ม user ใหม่เลยก็ได้ (สมมติชื่อ user1)
เมื่อมี user ที่ต้องการมาแล้วให้แก้ไขไฟล์ /etc/ssh/sshd_conf
ตรวจสอบบรรทัด
PermitRootLogin no
และเพิ่มบรรทัด
AllowUsers user1

จากนั้น restart sshd

หากต้องการเข้า root โดยตรงก็ให้แก้
PermitRootLogin yes
AllowUsers root
แต่ไม่แนะนำ

ลองดูครับ