นโยบายการจัดการความรู้ มหาวิทยาลัยสงขลานครินทร์ 1.ให้ใช้เครื่องมือการจัดการความรู้ผลักดัน คุณภาพคน และกระบวนทำงาน 2.ส่งเสริมการแลกเปลี่ยนประสบการณ์การทำงาน จากหน้างาน 3.ส่งเสริมให้มีเวทีเรียนรู้ร่วมกัน
อ่าน: 2167
ความเห็น: 3

ภัยคุกคามเครือข่ายบน เครื่องให้บริการเวป mambo

เลิกเด็ดขาด จาก mambo ครับ

อรุณสวัสดีครับ

ภัยคุกคามเครือข่ายบน เครื่องให้บริการเวป php

ยังมีภาคต่อเกิดกับ  http://tennis.pn.psu.ac.th/

เนื่องจาก net@min ได้รับแจ้งว่ามีเวปไซต์ภายในมหาวิทยาลัยสงขลานครินทร์ถูกฝังหน้าเวปที่คอยดักเก็บข้อมูลบัญชีผู้ใช้รหัสผ่านของธนาคารในต่างประเทศ

http://netserv.cc.psu.ac.th/index.php/network-memo?func=view&catid=6&id=1599

ซึ่งวันนี้เกิดขึ้นอีกเป็นครั้งที่ 3 (ครั้งแรกเมื่อ 1 เดือนที่แล้ว และครั้งที่สองเมื่อวานนี้) ซึ่งก็เป็นเวปบริการแบบ แมมโบ้ Mambo อีก

จึงขอความร่วมมือท่านผู้ดูแลเครื่องให้บริการเวปให้ตรวจสอบโดยวิธีการที่คุณ คณกรณ์ หอศิริธรรม ศูนย์คอมพิวเตอร์ ม.อ. ได้แนะนำไว้ข้างล่าง


และเตรียมเปลี่ยนไปใช้โปรแกรมบริการเวปอื่นที่มีความปลอดภัยกว่า(ณ เวลานี้ เช่น จุมลา Joomla)

(^_^)

สงกรานต์


4 ก.พ. เวลา 1050น. มีภาคต่อเกิดกับ http://agro.psu.ac.th/ net@min ได้ปิดกั้นแล้ว


 

---------------------------- Original Message ----------------------------
Subject: Re: [CC-head] [CY-2966-20100202-53467] Hosted Phishing Alert mamboeasy.psu.ac.th
From:    คณกรณ์ หอศิริธรรม มอ < kanakorn.h@psu.ac.th>
Date:    Wed, February 3, 2010 10:45 am
To:      "Samrit Rithipakdee" < samrit.r@psu.ac.th>
Cc:       cc-server-admin@group.psu.ac.th
netadmin@psu.ac.th
cc-head@group.psu.ac.th
--------------------------------------------------------------------------
เรียน ท่านผู้ดูแล mamboeasy.psu.ac.th
cc-head, cc-server-admin และ ผอ.
จากการตรวจสอบด้วยคำสั่ง (บน mamboeasy.psu.ac.th)
# grep POST /var/log/httpd/access_log
จะได้ข้อมูลว่า มีการ POST ข้อความออกมาจาก website ของใครบ้าง
และเมื่อจัดการข้อมูลด้วยคำสั่ง
# grep POST /var/log/httpd/access_log | awk '{print $7}'| cut -d "/"
-f2 | grep ^~ | sort | uniq -c
พบว่า มีการโจมตีมาที่คนเหล่านี้ (จำนวนครั้ง  ชื่อ Account)
14 ~amnat.s
2038 ~julaluck.t
467 ~kosit.c
3 ~narongrit.b
1 ~nontapon.r
328 ~pairote.k
1 ~patt.e
84 ~pongbaworn.s
1 ~preecha.b
3 ~sutha.k
1 ~tipaporn.p
4 ~wiboon.w
จากนั้นเข้าตรวจสอบ julaluck.t พบว่า เป็น mambo
ซึ่งถูกเจาะด้วยวิธีการเดิม ซึ่งเราได้ทำการปิดช่องโหว่ของ apache
ตามที่เขียนไว้ที่
http://share.psu.ac.th/blog/kx-note/15088
ซึ่งสามารถ ** ป้องกันการเจาะครั้งใหม่ ** ได้  ตั้งแต่วันที่ 19 มกราคม
2553
แต่พบว่า hacker ยังเข้ามาวางไฟล์ได้อีกในวันที่ 2 กพ. ที่ผ่านมา
เป็นไปได้ว่า มันได้วางช่องโหว่เอาไว้แล้ว โดยไม่ต้องอาศัยช่องโหว่ของ
mambo อีก (เอา php มาวางไว้ แล้วเข้าเรียกใช้ได้เลย ตั้งแต่ครั้งโน้น)
มีลักษณะร่วมที่น่าสนใจคือ มันจะสร้างไฟล์ ซึ่งมี comment ว่า
FaTaLisTiCz
ในไฟล์ต่างๆ ขอให้ทุกท่าน ตรวจสอบใน web server ของตนเองด้วยว่า
มีไฟล์ดังกล่าวปรากฏอยู่หรือไม่ หากพบ แสดงว่าท่านน่าจะโดน hack แล้ว
ขณะนี้ผมตรวจสอบใน mamboeasy.psu.ac.th ต่อไปว่า มี home page
ของใครโดนอีกบ้าง
แนวทางการแก้ไข (ข้อเสนอแนะ):
- ประกาศปิด mamboeasy.psu.ac.th ถาวร และสร้างระบบใหม่ที่ใช้ control
panel ควบคุม
- เลิกเด็ดขาด จาก mambo ครับ
- ศึกษา Web Hosting Security อย่างจริงจัง ทั้งค่าย Microsoft และ Apache
--
คณกรณ์ หอศิริธรรม
PSU E-Mail SysAdmin
> เรียนพี่สงกรานต์
>
>             จริงๆแล้วมีแผนที่จะปรับตัว Mambo ทั้งหมด ที่มีอยู่ โดย
>
> 1. ใช้ Control Panel ควบคุมตาม User แต่ละ User
>
> 2. ใช้ Mambo ที่ทำการปรับ Version ที่ปลอดภัย
>
> 3. รายการทั้งหมดนี้
> ต้องขออภัยที่ผมเกิดไม่สบายและยังไม่สามารถที่จะดำเนินการอะไรได้มาก
> แต่ทั้งนี้ ยังไงรบกวนทางพี่สงกรานต์ปิดกั้นจากภายนอกก่อนนะครับ
> ผมดีขึ้นจะรีบดำเนินการให้เร็วที่สุดครับ
>
> ขอบคุณครับและขออภัยในความไม่สะดวกในครั้งนี้ด้วยครับ
> สัมฤทธิ์  ฤทธิภักดี
> ศูนย์คอมพิวเตอร์ มหาวิทยาลัยสงขลานครินทร์
> อ.หาดใหญ่ จ.สงขลา 90110
> โทร 2078
>
>> อรุณสวัสดีครับท่านผู้ดูแล mamboeasy.psu.ac.th
>>
>> และสำเนาเรียนท่านผู้บริหาร, net@min, และผู้ดูแล server หน่วยงานต่าง ๆ
>> ที่ยังคงใช้ mambo กรุณาตรวจสอบ หาทางปิดกั้นช่องโหว่ความปลอดภัยเครือข่าย
>>
>> ท่านผู้ดูแล mamboeasy.psu.ac.th โปรดตรวจสอบด่วน
>> และส่งข้อมูลตามที่ได้รับการร้องขอ
>>
>> ครั้งนี้นับเป็นครั้งที่สอง นับจากครั้งแรกเมื่อเดือนที่แล้วที่ได้เกิดกับ
>> mambo เหมือนกันแต่เป็นบนเครื่อง host.psu.ac.th
>>
>> http://netserv.cc.psu.ac.th/index.php/network-memo?func=view&catid=6&id=1586
>>
>> netadmin ได้ block
>> เครื่องนี้ไว้จนกว่าจะได้รับการแจ้งยืนยันให้ยกเลิกการปิดกั้นจากท่านผู้ดูแล
>> mamboeasy.psu.ac.th
>>
>> (^_^)
>> สงกรานต์

หมวดหมู่บันทึก: พัฒนางานประจำ
สัญญาอนุญาต: สงวนสิทธิ์ทุกประการ Copyright
สร้าง: 04 กุมภาพันธ์ 2553 07:26 แก้ไข: 04 กุมภาพันธ์ 2553 11:09 [ แจ้งไม่เหมาะสม ]
ดอกไม้
สมาชิกที่ให้กำลังใจ
 
Facebook
Twitter
Google

บันทึกอื่นๆ

ความเห็น

1 ~patt.e

ผมโดนกัน

ถ้า ประกาศปิด mamboeasy.psu.ac.th ถาวร

ผมก็เสียดายนะครับ

ผมลอง search google พบว่า มี web หน้า web ที่ ref มายัง mamboeasy.psu.ac.th

ขอบคุณความเห็นจากท่าน สายลมแสงแดด 

ครับ

มีเนื้อหาดี ๆ หลายอย่างบน mamboeasy.psu.ac.th 

แต่ด้วยช่องโหว่ความไม่ปลอดภัย ผู้ดูแลคงจะเปลี่ยนไปใช้ระบบอื่น ซึ่งจะแจ้งเจ้าของเนื้อหาให้ทราบ และคงย้ายข้อมูลให้ถ้าทำได้ไม่ลำบากนัก แต่ถ้าซับซ้อนมากก็คงต้องรบกวนเจ้าของเนื้อหาสำรองข้อมูลขึ้น แล้วนำลงระบบใหม่ครับ

(^_^)

สงกรานต์

 

Ico48
tan [IP: 192.168.100.112]
04 กุมภาพันธ์ 2553 09:20
#53773
ลองใช้ Mod_security ของ Apache ดูครับ ป้องกันการ hack ได้เยอะเลยทีเดียว โดยต้องขยัน Update signature สักหน่อย แต่มันจะกิน CPU เพิ่มขึ้นหน่อย

ร่วมแสดงความเห็นในหน้านี้

ชื่อ:
อีเมล:
IP แอดเดรส: 54.208.73.179
ข้อความ:  
เรียกเครื่องมือจัดการข้อความ
   
ยกเลิก หรือ