เตือนภัยผู้เช่า vps เพื่อโจมตีครับ

วันนี้ได้รับสายจากลูกค้าท่านนึง ขอเช่า VPS ถามว่า สาย G หรือไม่ ขอจ่ายครึ่งนึงก่อนแล้วพรุ่งนี้จะจ่ายเพิ่มให้

ผมก็เปิดให้ใช้ไปก่อนชั่วคราว แล้วก็โทรมาขอร้องให้ช่วยตั้งค่าไฟวอลจากการร้องขออีเมล

, วีรศิลป์ บรรจงดี wrote:

> IP : 27.254.35.207

> User : root

> Pass : 123qwe

>

> ใช้เครื่องทำเว็บโฮสติ้งครับ

> เปิดเฉพาะ port

> ที่จำเป็นก็พอ อย่าลืมพวก

> FTP SSH นะครับ

> *พิเศษ port : 12031 , 12032 , 12033

> เปิดสามอันนี้ด้วยนะครับ

เครื่องนี้อยู่ที่ CS ก็ช่วยให้ตามประสาก็ช่วยไม่ได้ติดใจอะไร

แต่แล้วไม่นาน ก็ได้รับโทรศัพท์ บอกว่า IP VPS ผมไปโจมตีเครื่องที่ CS ซะงั้น

IDC CSLoxinfo ขอรบกวนทาง Inet ช่วยตรวจสอบ Log ด้านล่าง เนื่องจากทาง CSL ตรวจพบการ Attack Domestic ที่รุนแรงเข้ามาส่งผลกระทบกับลูกค้า IP 203.170.192.224 หากตรวจสอบแล้วพบการ attack ออกมาจริง ทาง CSL รบกวนขอให้ช่วยดำเนินการตามขั้นตอนของ Inet ต่อไปครับ ขอบคุณครับ

Pox 203.151.xx.xx Vlxx 203.170.192.xx 11 A358 0016 1882K

Pox 203.151.xx.xx Vlxx 203.170.192.xx 11 A358 0016 2058K

Pox 203.151.xx.xx Vlxx 203.170.192.xx 11 A358 0016 1196K

ก็แปลกใจเล็กน้อยไม่ได้ทำอะไรครับ ก็ยกเลิกการให้บริการลูกค้ารายนี้ไป

ทั้งนี้ผมขออภัย ท่านเจ้าของ IP 203.170.192.xx มา ณ ที่นี้

ข้อมูลเบื้องต้น

นาย วัชรพงษ์ จันทร์ศรี

1105434859032 <<< อาจจะปลอมหรือปล่าวไม่แน่ใจ

เบอร์ติดต่อ 0877447546 และ 0802758800 อันนี้ชัวร์ เพราะ โทรมาหาผม

Email >> dexzabza@hotmail.com

[color="#FF0000"]เจ้าของ root Server IP: 27.254.35.207

Domain RO + Camfrog

http://sarah.serverthai.in.th/

http://flipstyle.in.th/

อ้างอิงข้อมูลจากการเข้าไปแก้ไขไฟวอล Server CentOS ให้คับ[/color]

อันข้อมูลข้างใน กันซักหน่อย เข้าไปดูที่ VPS เขาทำอะไร?

2  passwd

3  nano /etc/sysconfig/network-scripts/ifcfg-eth0

4  server perl

5  perl

6  yum install perl

7  nano /etc/sysconfig/network-scripts/ifcfg-eth0

8  yum install nano

9  nano /etc/sysconfig/network-scripts/ifcfg-eth0

10 nano /etc/sysconfig/network-scripts/ifcfg-eth

11 nano /etc/sysconfig/network-scripts/ifcfg-venet0

12 nano /etc/sysconfig/network-scripts/ifcfg-lo

13 nano /etc/sysconfig/network-scripts/ifdown-eth

14 nano /etc/sysconfig/network-scripts/ifup-eth

15 perl 1.pl 203.170.192.224 22 1024 0

16 perl 1.pl 203.170.192.224 22 1024 0

จงใจยิงมากๆ แต่ไม่เป็นไรครับ ดันไม่โปรทิ้งคราบเอาไว้

Dec 16 20:29:38 vps74 sshd[1646]: Accepted password for root from 113.53.52.172 port 27548 ssh2

Dec 16 20:29:38 vps74 sshd[1646]: pam_unix(sshd:session): session opened for user root by (uid=0)

Dec 16 20:29:38 vps74 sshd[1646]: subsystem request for sftp

Dec 16 20:29:39 vps74 sshd[1617]: pam_unix(sshd:session): session closed for user root

Dec 16 20:29:45 vps74 sshd[1655]: Accepted password for root from 113.53.52.172 port 27549 ssh2

ก็ไม่มีอะไร คิดว่าตามไม่ยาก หลักฐานมันบ่งชี้บ้านใช้เนท TOT จ๊า

ยังไงขอให้กระทู้นี้เตือนผู้ให้บริการทุกท่านระวังๆ หน่อยครับ มีใครอยากตามจัดการกะผมมั่งฮี่ๆ

ด้วยความหวังดี

อ่อ ลูกค้าคุณยิงผมเองหรอ

เดี๋ยวโทรไปหาฮะ

ขอโทษด้วยครับ เด็กมันคัน

คิดว่าคนที่ยิงมีความสัมพันธ์กับ ไอพี 27.254.35.207 ของใครดูแลฮะ

เดี่ยวผมโทรไปคุยครับ ขอเบอร์หน่อยจ้า

วันจันทร์มีศพ ขอบคุณ คุณ LiteSpeedครับ

เฮ้ย พิมพ์ผิด ความหมายผิด

เบลอ พิมพ์ผิดฮะ

ตกใจเลย คิดว่าสั่งเก็บไปแล้ว

105282

วัชรพงศ์ จันทร์ศรี อนุบาลปากท่อ ราชบุรี

การทำงานผิดพลาด รับไม่ดู ทำให้คุณป๊อบเดือดร้อน

ถ้าเป็นไปได้ขอแรง MOD verify ip 113.53.52.172 ในบอร์ด วันนี้คงตาม user ได้ว่าเป็นใคร

คุณป๊อบส่งเอกสารไปแล้วครับ

ศุภกร

ขอบคุณครับผม ไม่ใช่ความผิดใครฮะความผิดไอ้เด็กเวรนั่นฮะ

เดี๋ยวนี้เด็กเกรียนเยอะครับ ^^… ต้องทำใจ

เซ็งไอพวกยิง ผู้ให้บริการเขาอยู่ของเขาดีๆมันก็มาทำแบบนี้ เสียหายกันหมด

ผมก็เปิด vps อยู่ เจอเหมือนกัน 2 รอบแระ

โทรมาหาด้วยนะครับคนนี้ ตี 1 ครึ่ง

บอกว่าจะทำโฮสติ้ง เสียงเหมือนรีบร้อน ๆ

ผมก็เลยบอกให้ order มาก่อน แล้วก็หายตัวไปเลย

แล้วจะให้ไกล่เกลี่ยกะใครละเนี่ย

ย้ายดีกว่าน่ะ 555

0877447546 นี่ก็โทรมาหาผมเหมือนกันเมื่อ 1:15 น. สองรอบ - -"

โทรซะดึกเชียว…

ปิดหนีไปแล้วหนิ call site ยังระบุตำแหน่งอยู่