มาแชร์ประสบการณ์ เมื่อ vps ลูกค้าโดนแฮก

nProtect · May 23, 2013, 4:54pm

เนื่องจากเมื่อวาน ได้รับโทรศัพท์มาแจ้งว่า เครื่อง Remote Desktop ไม่ได้ จึงลองรีโมทเข้าไปดู อ่าวไม่ได้จริงๆ
จึงไปที่เครื่องหลักเพื่อดูว่าเกิดจากอะไร ปรากฏว่าเครื่องที่ว่านั้น จอดำไปเลย เลย Reboot ไปทีนึง แล้วโทรให้เขา
ลองรีโมทเข้าไปอีกที ปรากฏว่า ก็รีโมทไม่ได้อีก เราก็เอ๊ะ เครื่องก็ปกติ เลยขอ password เพื่อล๊อกอินเข้าไป ปรากฏว่า
ไม่สามารถล๊อกอินได้ เลยถามไปว่าพาสถูกแน่นะ เขาก็ยืนยันว่าพาสนี้ แต่ในเมื่อล๊อกอินไม่ได้ ผมจึงใช้เทคนิคลักไก่นิดหน่อย
เพื่อทำการ Reset admin password (ใช้แผ่น windows server นั่้นแหละ) เราเลยสงสัยว่า มีไฟล์อะไรเข้าไปวางไว้มั้ย
เลยใช้ Notepad เข้าไปดู เจอไฟล์ตามรูปนี้

พอเปลี่ยนพาส ล๊อกอินเข้าไปได้แล้ว เลยไปดูสถานะการ์ดแลน อ่าว โดน disable ไปแล้ว (แถมแอนตี้ไวรัสแจ้งเตือนไฟล์ udp.pl อีก)

แล้วก็ไปเจอไฟล์นี้แอบซ่อนไว้

แถมไดร์ D ที่เก็บข้อมูล โดนลบซะเกลี้ยง (ชนิด format ทิ้ง)
แต่ไฟล์ที่เข้ามานั้น เขายืนยันว่าไม่ได้เป็นคนเอามาลง (เชื่อใจเพราะรู้จักกันด้วย คาดว่าคนแฮก แฮกมาเพื่อเอาเครื่องไปทำ botnet client)
ตอนนี้เลยให้เขาไปจัดการต่อแล้ว มาแชร์ประสบการณ์เฉยๆ ครับ :875328cc:

icez · May 23, 2013, 5:48pm

ชื่อตรง description นั่นคุ้นๆ นะ

nProtect · May 23, 2013, 6:04pm

อันนี้เนื้อหาในไฟล์ udp.pl ครับ (พอดีเพิ่งเห็นว่ามันแค่ Quarantine เฉยๆ ไม่ได้ลบไป เลยกู้ออกมา)

ตอนนี้บอกให้ลูกค้าลองกู้ไฟล์ไดร์ D ขึ้นมา เผื่อจะเจออะไรบ้าง

zephythor · May 23, 2013, 6:39pm

ชื่อเวปใน TXT คุ้นๆแฮะ

เหมือนจะเคยมีดราม่าใน THT ไปเมื่อไม่กี่เดือนนี้เอง

fabza · May 23, 2013, 8:39pm

ผมว่าเจ็บสุดๆตรง Good Bye fu_k Server เนี่ยแหละครับ :th_085_:

croquette · May 23, 2013, 11:22pm

ลูกค้าผมเคยโดนแบบว่า boot เครื่องขึ้นมา เจอข้อความ "I am a virus, fuck you :-)"
แถมด้วยลบ mbr โดยเอาข้อความนั้นมาขึ้นแทน, ลบ partition ทั้งหมดทิ้ง แต่ดีที่ยังพอกู้ได้ - -"
ฝัง script flood dns udp, http ไปเมืองนอก, scan virus ไม่เจอด้วย แสบจริงๆ

TarZa · May 24, 2013, 12:22am

อันนี้ มันแฮกมาทางไหนเหรอครับ เหรอเข้าทาง admin เลย

nProtect · May 24, 2013, 3:42pm

มันทำได้ยังไงละนั่น

Diamondza · May 24, 2013, 10:58pm

ห้าๆ ของคนแถวๆนี้นี่น่าาา เค้าบอกไว้ว่า “เพื่อการศึกษา” น๊ะจ๊ะ

ihotVPS · May 24, 2013, 11:05pm

บ่องตง โลกนี้อยู่ยากขึ้นทุกวันจุงเบย :026::026::026:

packwap · May 27, 2013, 12:26pm

ผมเคยโดนอยู่ครับตัวนี้แก้โดยการ install mbr ใหม่แล้วก็รีโคเวอรีพาทติชั่นกลับมา จบด้วยสแกนไวรัสครับ

ihotVPS · May 27, 2013, 3:07pm

Hack แล้ว Flood ไม่เป็นไร Hack แล้วเอาไป Hack เครื่องคนอื่นต่อ หรือ Hack ระบบโอนเงินออนไลน์นี่ิีอันตรายกว่าครับ :07baa27a:

nt-hosting · May 28, 2013, 1:25am

ฮ่าๆ เค้าของสคลิป ปืนทอง ผมรู้จัก ส่วน Hack ทางไหนตอบได้เลยครับ exe เจ้าของ VPS คงโหลด Crack ที่เป็น .exe แล้วรัน เลยเรียบร้อย Spynet

ปล. ถ้าใช้สคลิปนี้ คงไม่พ้นคนวงการ Camfrog ครับ

DinoNet · May 28, 2013, 2:01am

คนพวกนี้ที่ทำ ผมเรียก “หน้าตัวเมีย” ครับ

อย่าให้เจอตัว ตืบก่อน ส่งตำหนวดทีหลัง

แล้วก็อย่าได้คิดว่าจะตามตัวไม่เจอ อยู่ที่ว่าไปทำเรื่องอะไรไว้มากกว่า ตำหนวดไทย ก็เก่งใช้ได้นะครับ (ถ้าจะลงมือจริง) หึหึหึ

TarZa · May 28, 2013, 4:39am

ถ้าโดนวาง.exe ในวินโด้ สามารถตั้งไม่ให้เขียนไฟล์ นามสกุลไหน ลงได้นะครับ แล้วหาโปรแกรม logs ซักตัวมาติดตั้งเวลา ทีีใครทำอะำรในเครื่องมันจะบันทึกแล้วส่งเข้า email เราหมดเลย จะได้รู้ว่าโดนแฮกแบบไหน ต่อไปได้ป้องกันได้

ICOM · May 28, 2013, 10:00am

ตำหนวด เนี่ยไม่เกี่ยวกับคนมีหนวดใช่ไหม 555

boy_pishit · May 28, 2013, 10:42am

เข้าทางไหนกัน

ihotVPS · May 28, 2013, 11:11am

บันทึก log ส่งเข้า e-mail น่าสนใจครับ มีโปรแกรมแนะนำไหมครับ ขอบคุณล่วงหน้าครับ

TarZa · May 28, 2013, 11:14am

เป็นโปรแกรมที่ต้องซื้อครับ ผมจำชื่อไม่ได้เดี๋ยว เดี๋ยวลองไปหาดูแล้วจะมาบอกเคยซื้อใช้นานแล้ว หลักการมันคล้ายกับพวก คีย์ล็อคเกอร์ แต่ว่า มัน คิวโปรเซส ทิ้งไม่ได้ และ ไม่โชว์ โปรเซส ด้วย

ihotVPS · May 28, 2013, 11:25am

น่าสนใจมากครับ ทำให้ส่ง log ตลอด มีปัญหา ได้ดู log จากเมลล์ได้เลยครับ สะดวกดี :d5f02ecd: