นโยบายการจัดการความรู้ มหาวิทยาลัยสงขลานครินทร์ 1.ให้ใช้เครื่องมือการจัดการความรู้ผลักดัน คุณภาพคน และกระบวนทำงาน 2.ส่งเสริมการแลกเปลี่ยนประสบการณ์การทำงาน จากหน้างาน 3.ส่งเสริมให้มีเวทีเรียนรู้ร่วมกัน
อ่าน: 2159
ความเห็น: 0

ระวังถูก Hack เวปไซต์ด้วยวิธี Upload ไฟล์ [C]

ระวังถูก Hack เวปไซต์ด้วยวิธี Upload ไฟล์

เกิดเหตุเวปไซต์หนึ่งใน มอ. ของเราโดน Hack แล้วมาวางไฟล์หลอกลวงว่าเป็น ธนาคาร (โดน Phishing) ถูกร้องเรียนจากต่างประเทศมา จึงเข้าไปตรวจสอบ

  1. เครื่องดังกล่าวเป็น
    CentOS 5.3
    PHP 5.0.4     
    Apache 2.0.54

    มี Website ที่ให้บริการเป็น Mambo
    ซึ่งตามที่เคยตรวจสอบมา Version ของ PHP/Apache ที่ใช้อยู่ ก็น่าจะปิดช่องได้ในระดับหนึ่ง (แต่ก็ยังอันตรายที่ Mambo นี่แหล่ะ) เมื่อคราวก่อน ใน มอ. โดนไปด้วยวิธีในบทความ "Mambo ทั้งหมดตกอยู่ในอันตราย !!!!"
  2. เวปไซต์นี้ ผู้ดูแลวางแผนเป็นอย่างดีคือ กำหนดให้ทั้ง Owner และ Group ของ File และ Directory เป็น User เฉพาะ ไม่ใช่ Apache 
  3. เข้าไปตรวจสอบ ตำแหน่งของไฟล์ Phishing ที่วางไว้ ปรากฏว่า ได้สิทธิเป็น apache:apache ซึ่งผิดปรกติ (แสดงว่า Hack มาด้วยช่องโหว่อะไรสักอย่างที่ได้)
  4. ตรวจสอบใน /var/www/html ว่ามีไฟล์ใดบ้างที่มี Owner เป็น apache:apache ด้วยคำสั่ง

    find /var/www/html -user apache

    พบว่ามี Directory หนึ่งชื่อ upload ให้สิทธิ apache:apache เขียนได้ และพบว่า มีการให้ Upload ไฟล์ขึ้นมาโดยไม่ต้องยืนยันตัวตน

    ผู้ร้ายจึง Upload ไฟล์ชื่อ 2.php.pdf ขึ้นมา ถ้าตรวจเฉพาะชื่อไฟล์อาจคิดว่าเป็น PDF ธรรมดา แต่ลองเข้าไปดูข้างใน ปรากฏว่าเป็น PHP  ซึ่งเป็นฐานหลักในการโจมตี โดยสามารถเรียกไฟล์ดังกล่าวผ่านทาง URL ปรกติ แล้วส่ง Upload ไฟล์อื่นๆเข้าไปยังพื้นที่ ทีมีสิทธิเขียนได้
  5. โชคร้าย มีอีก Directory หนึ่งซึ่งผู้ดูแลคงกำลังทดสอบทำอะไรสักอย่าง จึงเปิดสิทธิ 777 หมายถึง ให้ผู้อื่นเขียนไฟล์ได้ด้วย จึงมีการเขียนไฟล์ชื่อ image.php ลงไป ข้างใน สอดใส้ PHP ที่ใช้ในการ Hack อีกเช่นกัน (ไม่ใช่การทำงานเกี่ยวกับภาพดังชื่อไฟล์สื่อ)
  6. เมื่อได้สิทธิ์เขียนของ apache:apache แล้วเอาไฟล์ Backdoor มาวางไว้ทั่วไปหมด เช่น global.php, admin.php, dl.php
  7. จากนั้น ก็เอา Phishing มาวางไว้
  8. ประกาศบอกเพื่อนของมัน ให้มาดู และร่วมโจมตี
  9. ผลการตรวจสอบ พบว่า มาจาก ไนจีเรีย อีกแล้วครับท่าน

ข้อคิด:

  1. ระวังสิทธิการเขียนของ apache:apache ให้ดี ควรให้มี User แยกออกไปที่ไม่ใช่ apache และต้องไม่ให้ group apache เขียนได้

    ถ้าไฟล์ใดจำเป็นต้องให้เขียนได้จริงๆ ให้กำหนดเป็นไฟล์ๆไป อย่าเปิดทั้ง Directory
  2. ถ้ามีการให้ Upload ไฟล์ต้องตรวจสอบก่อนให้เขียนไฟล์  นามสกุลของไฟล์ไม่ได้ช่วยอะไร
  3. ควรเลิกใช้ Mamboหากยังจะใช้ ต้องตาม Update Patch ให้ทันสมัยตลอดเวลา
  4. Log ไฟล์เป็นข้อมูลสำคัญในการตรวจสอบ และสำหรับผู้ที่ดูแลเวปไซต์ ต้องให้ความสำคัญกับ พรบ.50 ที่ต้องเก็บไว้นาน 90 วัน หากเกิดเรื่องแล้วไม่มีให้ตรวจสอบ Webmaster นั้นๆ ต้องรับผิดชอบ
  5. การ Hack มักเกิดในวันและเวลาไล่เลี่ยกัน บางครั้งต้องหาไฟล์ที่เกิดขึ้นในเวลาดังกล่าว กรุณาอ่าน "วิธีหาไฟล์ที่สร้างในวันที่ ที่เราต้องการค้นหา"
  6. โดยส่วนตัว ผมไม่คุยกับไนจีเรีย ไม่ว่ากรณีใดๆ ลองพิจารณาวิธีการต่อไปนี้ "ปิดกั้นทั้งประเทศ"

 

หมวดหมู่บันทึก: เรื่องทั่วไป
คำสำคัญ (keywords): apache  hack  phishing
สัญญาอนุญาต: สงวนสิทธิ์ทุกประการ Copyright
สร้าง: 25 กรกฎาคม 2553 08:08 แก้ไข: 25 กรกฎาคม 2553 08:38 [ แจ้งไม่เหมาะสม ]
ดอกไม้
สมาชิกที่ให้กำลังใจ
 
Facebook
Twitter
Google

บันทึกอื่นๆ

ความเห็น

ไม่มีความเห็น
คุณต้องทำการเข้าระบบก่อนแสดงความเห็น