ไปเปิด service อะไรไว้บ้าง (โดยเฉพาะ ssh) ไป add access control list ให้ ip อะไรไว้หรือไม่ ไปให้ passwd ใครไว้บ้าง (โดยเฉพาะ passwd ของ admin กับ root) ไปสร้าง account ชนิดให้ login (เช่น เป็น webmaster) ให้ใครบ้าง และมีโอกาสไหม ที่คนร้ายจะมานั่งทำงานหน้าเครื่อง (ต่อ จอ keyboard mouse ไว้หรือไม่ ห้อง lock กุญแจดีหรือไม่)

ตอนนี้ ถ้าจะพยายามรื้อ ก็ต้องรื้อโดยดูจาก log แหละครับ ค่อยๆ งมหาไปว่า เขาเข้ามาได้อย่างไร และทำอะไรไปบ้าง 

เข้า admin ได้ แสดงว่า passwd ของ admin ยังใช้ได้

ให้ใช้คำสั่ง

sudo -i แล้วใส่ passwd ของ admin ก็น่าจะได้ root shell

passwd แล้วใส่รหัสผ่านของ root ใหม่

แล้วเข้าหน้า webadmin แล้วเปลี่ยนรหัสผ่านของ admin ซะ

หรือไม่งั้นก็

อ่านคู่มือ แล้วทำตาม ในกรณีที่ลืมรหัสผ่าน เพื่อเปลี่ยนรหัสผ่านทั้ง admin และ root

ทำด่วนเลยครับ

อ้อ แนะนำให้นำข้อมูลที่สำคัญออกซะ แล้วลง SIS ใหม่ เอา 5.5 ไปเลยก็ดีครับ (ตัวเต็มนะ)

ยินดีด้วยครับ ที่มีโอกาสได้ฝึกฝีมือ และคุณอาจจะเป็น admin ที่ดีได้ในอนาคต ถ้าระวังในสิ่งที่ผมกล่าวไว้ด้านบน อย่างว่าแหละครับ บอกไปก็ไม่สนใจระวังกัน จนกว่าจะเจอด้วยตัวเองจึงจะเข้าใจครับ

อ้อ virus ดังกล่าว ไม่น่าจะมีผลใดๆ ต่อเครื่อง SIS ครับ ;)

keep in mind ว่า ห้าม login เป็น root หรือ admin เป็นอันขาดเวลาใช้งาน SIS ผมพูดอย่างนี้ทุกครั้งที่สอน SIS ครับ :) 

ผมก็เปิด SSH ออกบ่อย ไม่น่าจะรั่วได้หรอก

1. ใช้ SSH Version 2 เท่านั้น

2. เพื่อหลีกเลี่ยงถูกสแกน port  อย่ารับ SSH ที่ port 22  ย้ายไปใช้ port อื่นๆที่จำง่าย เช่น 10022 

โปรแกรม control ระบบตัวอื่นๆก็เช่นกัน เปลี่ยน port ไปเลยจะดีกว่า

 (พวกสแกน port เกือบ 100% จะสแกนที่ port มาตรฐานเท่านั้น ในทางปฏิบัติ เรามักจะมี port forwarding จึงไม่ต้องเปลี่ยนอะไรที่ Server 

ของผมรับที่ ADSL Router  xxxx22 --> forward to  Server 22)

3. เรื่องง่ายๆที่หลายคนลืม

ไม่ว่าจะเป็น Router ,Server หรือ Application ตัวไหน อย่าใช้  Default password โดยเด็ดขาด

ระบบแข็งแต่ใช้  Default default password หรือ 123456789 อะไรทำนองนี้ จะโดน Hack ง่าย

4. ขณะติดตั้ง อย่าเพิ่งต่อ  LAN ต่อเน็ท ติดตัังยังไม่ทันเสร็จโดนซะแล้วก็เป็นไปได้

:)

อ่านคู่มือสิ /etc/ssh/sshd_config อะไรพวกนี้ไง เยอะแยะอ่านๆ หน่อย

ว่างๆ ก็ man ssh อ่านเข้าไป

ขอให้อ่านจนตาแฉะ

ผู้ดูแลระบบเองแหละครับ 

1. ไม่เปิดบริการที่ไม่ได้ใช้ โดยเฉพาะ ssh เนี่ย เปิดแล้วต้องปิดซะบ้าง ถ้าไม่ได้ใช้

2. ตั้งรหัสผ่านของ admin กับ root ให้ "เดายาก แต่จำง่าย" 

3. เปลี่ยนรหัสผ่านบ้าง อาจจะปีละ 2-3 ครั้ง 

4. ไม่ให้ passwd ของ admin กับ root กับคนอื่น

5. ไม่สร้างผู้ใช้ให้กับคนที่ไม่เกี่ยวข้อง 

6. ไม่อนุญาติให้ผู้ใช้ login ได้ (ในหน้า WebAdmin) โดยไม่จำเป็น คือ อนุญาติให้เฉพาะผู้ใช้ที่มีหน้าที่ดูแล website หลักเท่านั้น (พวก webmaster นั่นแหละ)

7. คนที่จะให้เป็น webmaster นั้น ต้องเป็นคนที่ไว้ใจได้เท่านั้น 

8. ไม่ login เป็น root และ admin ทั้งที่หน้าเครื่อง หรือ ssh

9. เมื่อ login ไว้ไม่ว่าที่ไหนก็ตาม ให้ logout เมื่อใช้งานเสร็จ (ไม่ว่าที่หน้าเครื่อง ssh WebAdmin หรือ logon ของ windows แล้วเข้าไปใน share directory ของ SIS) 

10. ไม่เพิ่ม access list ให้กับเครื่องอื่นใดใน internet หรือเมื่อจำเป็นต้องเพิ่มเพื่อ admin เครื่อง เมื่อเสร็จแล้ว ให้ลบออกทันที 

และที่สำคัญ

11. ห้อง server ต้อง lock ไว้ตลอด ใครเข้าออก ต้องขออนุญาติ และลงสมุดบันทึกการเข้าออกทุกครั้ง โดยต้องระบุว่า ใครเข้ามา ตั้งแต่กี่โมง ถึงกี่โมง เข้ามาทำอะไร และใครอนุญาติ ที่สำคัญ ห้ามปล่อยให้เข้าไปโดยลำพัง (ต้องเฝ้าด้วย) 

12. หมั่นตรวจตราเครื่อง server อยู่เสมอ คอยสังเกตดูว่ามี user ใดที่ไม่รู้จักอยู่ในระบบหรือไม่ ดู quota ของผู้ใช้บ้าง ดูว่าผู้ใช้ใดชอบ login แล้วเปิดเครื่องค้างไว้บ้าง จะได้คอยระวัง และตักเตือนผู้ใช้นั้นๆ ได้

ถ้าทำตามนี้ได้ละก็ โดน hack ได้ยากครับ ;)