นโยบายการจัดการความรู้ มหาวิทยาลัยสงขลานครินทร์ 1.ให้ใช้เครื่องมือการจัดการความรู้ผลักดัน คุณภาพคน และกระบวนทำงาน 2.ส่งเสริมการแลกเปลี่ยนประสบการณ์การทำงาน จากหน้างาน 3.ส่งเสริมให้มีเวทีเรียนรู้ร่วมกัน
อ่าน: 4376
ความเห็น: 4

ติดไวรัส W32.Confi - แนวทางป้องกัน (Server เป็น Linux ครับ)

ป้องกันได้อย่างเบ็ดเสร็จแล้วครับ

หลังจากที่ปวดหัวกับการแพร่กระจายของไวรัส W32.Confi เมื่อปลายปีที่แล้ว (อ้างอิงจากบันทึกนี้ครับ คลิก) เมื่อเวลาผ่านไปสักเดือน จึงคิดวิธีป้องกันได้วิธีหนึ่ง และเมื่อเวลาผ่านไปเกือบปี ก็ไม่มีการแพร่กระจายของไวรัสใดๆผ่านทาง server (Linux) อีกเลย ผมจึงมั่นใจว่าวิธีนี้ได้ผลแน่นอน

"ป้องกันได้อย่างเบ็ดเสร็จแล้วครับ"

ก่อนอื่นคงต้องเืท้าความสักนิด

ระบบการแชร์ไฟล์ของศูนย์ฯ
server ของศูนย์ฯใช้ระบบปฏิบัติการ Linux ครับ จะมีการแชร์ไฟล์โดยการ Map Network Drive จากเครื่องลูกข่าย (ส่วนใหญ่เป็น Windows) ไวรัส W32.Confi จะทำงานในขั้นตอนนี้ครับ (ทำงานเฉพาะเครื่องที่ไม่ได้ปิดการทำงาน autorun หรือ autoplay ถ้าเครื่องไหนปิดก็จะไม่ติดในขั้นตอนนี้ แต่อาจจะติดเมื่อไป double click โฟลเดอร์หรือไดรฟ์ที่ map ไปตะกี๊ ผ่านทางโปรแกรม windows explorer)

server ติดไวรัสรึเปล่า? แล้วติดได้อย่างไร?
จริงๆอาจจะถือว่า server ไม่ได้ติดไวรัสนะครับ (เอ๊ะ หรือว่าใช่ งงแฮะ) เพียงแต่มันจะทำหน้าที่แพร่ไวรัสเท่านั้น
แล้วไวรัสมาได้ไง? ก็ผ่านการ map network drive ของบุคลากรที่มีไวรัสอยู่ในเครื่องของตัวเองนั่นแหละครับ พอ map มา ไวรัสก็ทำหน้าที่สร้าง autorun.inf และ copy ตัวเองไปไว้ใน server (ในโฟลเดอร์ Recycler) เพื่อที่จะได้กระจายตัวเองไปยังเครื่องอื่นๆที่ map เข้ามา

ตัดวงจรการแพร่กระจาย

เท้าความเสร็จแล้ว ก็เข้าถึงเนื้อหาหลักของบันทึกนี้กันครับ เมื่อดูการทำงานของไวรัสแล้ว พบว่า มันจะทำงานโดยใช้ไฟล์ autorun.inf เพื่อเรียกตัวเองมาทำงาน

  1. admin ต้องไปที่หน้าเครื่อง server (local access) แล้วก็ login ด้วย root เข้าไปก่อนครับ
  2. เข้าไปยัง path ที่แชร์ไฟล์ แล้วก็จัดการลบไฟล์ไวรัสทั้งหมดออกจาก server ครับ ซึ่งได้แก่ autorun.inf และโฟลเดอร์ Recycler ลบทิ้งให้เกลี้ยงเลยครับ
  3. สร้างไฟล์ autorun.inf และไฟล์ recycler โดยตั้ง attribute เป็น 400 ครับ คือ owner อ่านอย่างเดียว (readonly) คำสั่ง chmod 400 autorun.inf และ chmod 400 recycler หรือถ้าใช้ GUI ก็คลิกๆสั่งให้ root เท่านั้นที่อ่านได้ คนอื่นห้ามอ่าน เขียน และ execute (ประมาณนั้น)
    หมายเหตุ ในไฟล์ autorun.inf และ recycler จะใส่เนื้อหา/ข้อความหรือไม่ก็ได้ แล้วแต่ เพียงแต่อย่าใส่โค้ดไวรัสก็พอ (แหะๆ)
  4. (ไม่ทำก็ได้แต่ทำก็ดี) สร้าง text file ขึ้นมา โดยตั้งชื่อไฟล์ประมาณ "autorun_and_recycler_were_created_by_admin.txt" เพื่อแจ้งให้บุคลากรทราบว่า admin เป็นคนสร้างไฟล์ขึ้นมา ไม่ต้องตกใจ ไม่ใช่ไวรัส (ประมาณนั้น) เพื่อป้องกันบุคลากรแตกตื่น นึกว่า server ติดไวรัส (อีกแล้ว)

เท่านี้เราก็ป้องกันไม่ให้ server เป็นตัวแพร่กระจายไวรัสได้แล้วครับ ^____^

อ้อ เกือบลืมไปครับ มีเงื่อนไขอีกอย่างครับคือ admin เอง ถ้าจะเข้าใช้งาน server ก็ไม่ควรจะ map network drive ด้วย root นะครับ ควรสร้าง user ของตัวเองขึ้นมา ส่วน root ก็บังคับให้ใช้ได้แค่ที่หน้าเครื่องเท่านั้น (local) หรือถ้าจำเป็นต้องใช้การ remote access ด้วย admin แล้ว ก็ต้องมั่นใจว่าเครื่องที่ admin ใช้อยู่นั้นไม่มีไวรัสนะครับ

ปล. ถ้าใช้วิธีนี้แล้วยังมีไวรัสอยู่ใน server อีก ก็แสดงว่า ไวรัสนั้นก็มาจาก admin แล้วล่ะคร้าบบบบ (ตัวใครตัวมัน 555+)

 


 

05/07/54 16.44 น.

เพิ่มเติมอีกข้อครับ (เพิ่งนึกได้ แหะๆ)
5. ในกรณีที่ user มีโฟลเดอร์สำหรับเก็บข้อมูลส่วนตัวด้วย (มี path สำหรับ map เข้าโฟลเดอร์ส่วนตัวโดยตรง) ก็มีโอกาสติดไวรัสจากโฟลเดอร์ของตัวเองด้วย (ซึ่งตัวเองนั่นแหละเป็นคนชักนำมา -_-") ให้ admin (root) เข้าไปสร้างไฟล์ทั้ง 3 ไฟล์ข้างต้น และ chmod ให้เรียบร้อยด้วยครับ

เหตุการณ์ประมาณว่า ติดไวรัสมาจากที่อื่น > map เข้าโฟลเดอร์ส่วนตัว > โฟลเดอร์ส่วนตัวติดไวรัส > โอ๊ะ เจอไวรัสในเครื่อง (ส่วนตัว) > กำจัดไวรัสในเครื่อง (ส่วนตัว) > วันดีคืนดี map เข้าโฟลเดอร์ส่วนตัวอีกครั้ง > ติดไวรัสจากโฟลเดอร์ตัวเอง > ...

 

หมวดหมู่บันทึก: พัฒนางานประจำ
สัญญาอนุญาต: สงวนสิทธิ์ทุกประการ Copyright
สร้าง: 05 กรกฎาคม 2554 12:14 แก้ไข: 05 กรกฎาคม 2554 16:52 [ แจ้งไม่เหมาะสม ]
ดอกไม้
สมาชิกที่ให้กำลังใจ: Ico24 panyarak, Ico24 นาย ฉัตรชัย จันทร์พริ้ม, และ Ico24 สงกรานต์.
สมาชิกที่ให้กำลังใจ
 
Facebook
Twitter
Google

บันทึกอื่นๆ

ความเห็น

ขอบคุณมากครับที่แบ่งปันวิธีการป้องกันที่ได้ผล เพื่อให้เครือข่ายปลอดภัยคุกคามทางคอมพิวเตอร์ (^_^)

Ico48
ผ่านมา [IP: 172.19.51.159]
05 กรกฎาคม 2554 13:39
#66416

ขอบคุณครับ เป็นการป้องกันแบบพอเพียงจริงๆ ไม่ต้องลงทุนมาก (กดปุ่ม like)

Ico48
เลียง [IP: 172.31.16.11]
05 กรกฎาคม 2554 14:04
#66417

เป็นวิธีที่มีประสิทธิภาพจริงๆ

ผมเคยใช้วิธีนี้กับ Thumb drive และ Harddisk ควบคู่กับวิธีปิดการทำงานของ autorun

สามารถตัดปัญหาจากไวรัสเมื่อเจอ Thumb drive ที่ติดไวรัส(จาก น.ศ. ที่เอารายงานมาส่ง) ได้เป็นอย่างดีครับ.

ผู้ที่ทำงานในระบบ MS Windows มานาน จะติดนิสัยการใช้ account พวก administrator ครับ เวลาไปทำงานบน Linux server ก็พลอยนึกว่า ต้องทำเช่นนั้นด้วย เคยแนะนำให้หลีกเลี่ยงการทำแบบนั้น แต่ไม่ค่อยได้ผลเท่าไหร่

ความเคยชินนี่ เป็นอุปสรรคของการเปลี่ยนแปลงที่ยิ่งใหญ่มากๆ ครับ

ร่วมแสดงความเห็นในหน้านี้

ชื่อ:
อีเมล:
IP แอดเดรส: 18.207.238.169
ข้อความ:  
เรียกเครื่องมือจัดการข้อความ
   
ยกเลิก หรือ