ติดตั้ง sis 5.5.5 เปิด squid ตัวเดียว ใช้แชร์เน็ตโรงเรียนอย่างเดียวครับ
ปิดพอร์ต 22 และอื่น ๆ หมด
โดนมือดีเข้ามาทำให้เข้า Webadmin ไม่ได้ ต้องลงใหม่
ไม่ทราบว่าจะป้องกันอย่างไรครับ
เพราะโดนมาไม่ตำ่กว่า 5 ครั้ง แล้วครับ
ขอบคุณล่วงหน้าครับ
กรณีของคุณนี่ ไม่ทราบว่า Boot ด้วยแผ่น Recue ของค่ายใดๆ หรือเข้า Rescue mode เป็นหรือเปล่าครับ? ผมอยากได้ไฟล์ใน /var/log ทั้งหมดมาดูจังเลยครับ คือถ้าตามที่บอกแล้วยังโดนมือดีเล่นงานได้ ก็น่าสนใจวิธีการเขาแล้วล่ะครับ อีกอย่างคือ ถ้าคุณจะ *ป้องกัน* ผมก็แนะนำว่า คุณก็ต้อง *เรียนรู้* ก่อนว่า ผู้โจมตีใช้วิธีการใดกับระบบของคุณครับ
ถ้าคุณสามารถเข้า Rescue mode ได้ คุณสามารถทำเป็น ช่วยบอกด้วยนะ ผมสนใจ log ในเครื่องคุณมากครับ ถ้าทำไม่เป็นแต่สนใจที่จะรู้ว่าเครื่องตนเองโดนได้อย่างไร ก็บอกอีกเหมือนกันครับ ผมจะพยายามบอก "วิธีทำ" ให้เท่าที่ทำได้ครับ
=Read The Fxxx Manual _| ̄|○
Don't Learn to HACK - Hack to LEARN
ถ้าไม่รู้ว่า RTFM คืออะไรให้ไปอ่าน ถามอย่างไรจึงจะได้คำตอบ
ก่อนอื่นขอเรียนว่าใช้ server2000 มาก่อน โดนมือดีทำให้เครื่องพังเมนบอร์ดเสีย ต่อมาใช้ FreeBSD ก็โดนมาเรื่อย ๆ พยายามแก้ เช่น เปลี่ยนพรอ์ต 22 ยกเลิก ftp , ssh , telnet เปิดเฉพาะแชร์เว็บโรงเรียน ก็โดนมาตลอดโดยเฉพาะวันเสาร์ อาทิตย์ วันจันทร์มาหน้าจอโชว์ให้ login ป้อนรหัสเดิมก็ไม่ผ่าน ตัดสินใจโหลด sis 5.5.5 มาลงเพราะมีประสบการณ์มาบ้างจาก sis 4 มาบ้าง แต่ ftp sis 5.5.5 เซทอยากมาก ยังทำไม่ได้เลยครับ บางวันลองติดตั้งอีกเครื่องหนึ่งจู่ ๆ เครื่องปิดเองและเข้า login ใหม่ จนต้องดึงสายแลนออกจึงจะติดตั้งสำเร็จ บางครั้งยังไม่ทันเปลี่ยพอร์ต พวกก็ใจดีช่วยเซทอัพให้เลย
ตั้งแต่เปิดเทอมมานี้ ติดตั้ง server เกือบจะทุกวันครับ
ลืมบอกผมใช้ leadline และ ip จริงครับ
ผมต้องการ firewall ที่ป้องกันได้จริง ๆ ครับ
เรียนคุณจักรนันท์
ผมได้ทำไฟล์ log แล้วครับไปที่
http://203.172.209.60/~praphan/log.html
ไฟล์ ณ วันที่ 9 ก.ค.51 เวลา 9.26 น. ครับ
load ที่
http://www.uploadtoday.com/download/?5cefd4a116079427f04b09ce9cf93b10
ขอบคุณครับ
ผมขอ Zip หรือ Tar ทั้ง /var/log มาเลยน่ะครับ ผม D/L มาดูแล้ว มีแค่ log ที่ syslogd บันทึกล่าสุดแค่ประมาณวันครึ่ง มีแค่ Message เกียวกับการ Initialize hardware ทั้งหลาย ไม่ครอบคลุมช่วงเวลาโดนโจมตี อีกทั้งดูยากมากเพราะผมไม่ทราบว่าคุณทำอย่างไร ไฟล์ Log ที่ควรเป็นแค่ Text ออกมากลายเป็น html ติดกันยาวเป็นพรื่ดเลย เมื่อผมแกะรอยแล้วผมต้องตามไปดู Log ของ Service ที่ถูกใช้เป็นช่องทางโจมตีด้วย (ซึ่งยังไม่รู้ว่า Service ใด) จึงได้ขอทั้ง Directory เลย
ผมจะพยายามแกะรอยให้ว่า เครื่องคุณถูกโจมตีเข้าทางไหน อย่างไร เพราะมีอะไรไม่เข้าท่า (ที่ไม่น่าจะเป็นไปได้ ตรงที่บอกว่า "จนต้องดึงสายแลนออกจึงจะติดตั้งสำเร็จ" เพราะในขณะติดตั้ง Linux OS นั้น Distro *น่าจะ* ทั้งหมด จะยังไม่ Start Network interface ให้ทำงาน และขณะติดตั้งคุณเอา Log ออกมาไม่ได้แน่ๆ ตรงนี้จึงต้องปล่อยไป) ดังนั้นผมจึงอยากได้ Log ทั้งหมดของทุก Service โดยเฉพาะ Log นั้นควรมีช่วงเวลาที่คุณคิดว่าโดนโจมตีด้วยครับ
หรือ... เว้นเสียแต่ว่า...
log เก่าถูกลบไปเพื่อติดตั้งใหม่แล้วครับ เครื่องติดตั้งเมื่ออาทิตย์ที่แล้วครับ
เสาร์-อาทิตย์ ปิดเครื่อง ตอนเย็นปิดเครื่องทุกวัน เริ่มเบื่อการเซทอับ
วันนี้จะเปิดไว้ดู แล้วพรุ่งนี้จะส่งไฟล์ให้ครับ
เลยมีไฟล์ /var/log/messages ตามที่เห็นครับ
ขณะที่ตอบนี้ทำจากเครื่องแม่ครับ
1. ติดตั้ง sis 555 ใหม่โดย format ของเดิมทิ้ง
2. run firstboot แล้วใส่รหัสผ่าน root และ admin ที่เดายาก (6 ตัวขั้นไป ห้ามใช้อักขระพิเศษ)
3. ปรับแต่ง eth1 ให้ต่อ net ได้
4. ไม่ต้องปรับแต่งใดๆ เพิ่มเติม ไม่ต้อง up ข้อมูลเก่าใดๆ ขึ้นไป
5. ลองเปิดทิ้งดูว่า โดนอีกหรือไม่ครับ :)
เซทอัพแล้วเสร็จ ใช้ไอพีจริง (อีกตัวหนึ่ง)
แชร์เน็ตอย่างเดียว ครับ
ขอบคุณคำแนะนำครับ
แล้วจะแจ้งผลให้ทราบในวันจันทร์ครับ
ใช้ ip จริง และไม่เปิดบริการใดๆ ครับ (ไม่ share net ด้วย)
ทำไมเหรอครับ เพื่อตรวจสอบก่อนว่า มันรั่วที่ SIS หรือมันรั่วที่อะไร
การ share net ก็เป็นเหตได้นะครับ ถ้า client หนะ มันไม่รักดี :)
วันนี้ทดลองเข้าเครื่องจากบ้านมาที่เครื่องเซอร์เวอร์ปรากฎว่า
|
|
IP doesn't Access for Host !! | |
ดังรูป เข้าไม่ได้ครับ
วันจันทร์ โรงเรียนเปิดจะไปนั่งหน้าเครื่อง ว่ามีอะไรผิดปกติหรือไม่
ขอบคุณ คุณ somdej มากครับที่ให้คำแนะนำครับ
วันนี้นั่งหน้าเซอร์เวอร์
เหตุการณ์ปกติครับ
แล้วจะลองลงข้อมูลเว็บโรงเรียนดู
มีอะไรผิดปกติจะมารายงานให่้ทราบครับ
จะได้หาสาเหตต่อไปครับ
ถ้าทิ้งไว้นานแล้วไม่เป็นไร ก็ค่อยๆ เปิดบริการที่คุณเคยใช้ทีละอัน แล้วก็ดูว่าเป็นอีกไม้ ถ้าทิ้งไว้ไม่เป็น ก็เปิดอันต่อไป เรื่อยๆ เพื่อดูว่า มันมีปัญหาที่ service ไหน หรือ config ไหนครับ
ถ้าหาสาเหตเจอ ก็จะได้แก้ไขได้ครับ :)
หรืออีกวิธีนึง เมื่อชัดเจนได้ว่า sis ปรกติไม่มีปัญหาเรื่องนี้ ก็เปิดใช้งานเลย
พอโดนแล้ว ก็เอา log มาวิเคราะห์ดูครับ :)
ลองดูนะครับ :)
ตอนเช้าเข้า Filezilla putty ได้ตามปกติ
ลองใช้คำสั่ง (ตามคุณ Mrchoke) เพื่อที่จะให้สมาชิก upload ข้อมูล
-----------------
modprobe ip_nat_ftp
เปิด ports 21/tcp 21/udp
edit /etc/sysconfig/iptables-config (อาจใช้ pico,vi หรือใดๆ ตามถนัด)
แก้บรรทัด
IPTABLES_MODULES="" เป็น
IPTABLES_MODULES="ip_nat_ftp"
----------------
ปรากฏว่า เข้า Fileziila Learesquare phpmyadmin ไม่ได้
แจ้งว่า username password ไม่ถูกต้อง
ลองเข้าไปดูไฟล์ log ที่
http://203.172.209.60/~praphan/log.tar.gz
ว่ามีใครมาทำอะไรหรือเปล่าครับ
ผมเปลี่ยน port 22 แล้วครับ กลัวว่าจะมาทำให้เครื่องพังครับ
ขอบคุณล่วงหน้าครับ
วันนี้ลองเข้าที่ https://linuxsis.intranet/phpMyAdmin/
พบว่ามีีสมาชิกเพิ่มเข้ามาโดยที่ได้เพิ่มเอง ชื่อ ANY โฮสต์ %
Password ---
ได้ remove ออกจากระบบ แต่ยังเรียกใช้จากเครื่องลูกไม่ได้ครับ
Learnsquare ได้ลงใหม่ใช้งานได้ปกติ อย่างอื่นยังเข้าไม่ได้ครับ
ไม่รู้ว่าจะกันผู้ไม่ประสงวค์ดีอย่างไรครับ
ลองเปลี่ยนสิทธิ
chmod 755 phpMyadmin
เรียกเครื่องลูกปรากฏว่าสามารถเรียกใช้งานได้ครับ
วันนี้ได้ทบทวนว่าสั่งทำอะไรไว้มั่ง แล้วมานั่งแก้ดังนี้
1.เปลี่ยนพอร์ต เป็น 22
2.สั่งให้ ssh เริ่มทำงาน
3.ลองใช้ Filezilla จากเครื่องลูกสามารถใช้งานได้โดยใช้ในกลุ่มของ user ก็เข้าได้
เป็น 555 แล้วไม่ใช่เหรอครับ ไม่ต้องทำตาม mrchoke ก็ได้
เอ แล้วทำไปทำไมครับ จะเปิด ftp หรือเปล่าครับ หรือว่าอย่างไร
ถ้าต้องการนำข้อมูล upload ขึ้น server เนี่ย ใช้ ssh ดีกว่าครับ ปลอดภัยดี
ทำอย่างไร อ่านคู่มือเลยครับ ;)
ต้องการให้สมาชิก upload ข้อมูลเองครับ ทดลองดูก็ใช้ได้ครับ แต่เห็นใส้เห็นพุงหมดเลยครับ เลยต้องให้เฉพาะที่สนใจจริง ๆ ครับ
แต่ใช้ Filezilla upload แต่ ftp เรียกไม่ได้
แนะนำให้ใช้ ssh นั่นแหละดีแล้วครับ (ผ่านทาง filezilla)
คำว่า เห็นใส้เห็นพุงหมดเลยครับ เนีย เป็นอย่างไรครับ หมายถึง ไปได้ทุก directory ใช่ไม้ครับ
ถึงไปได้ก็ไม่ต้องกลัวหรอกครับ user ธรรมดาไม่มีสิทธิทำอะไรได้ ทำได้เฉพาะใน home ตัวเองเท่านั้น แต่อย่างไรก็ตาม ก็ไม่ควรให้ user ที่ไม่เกี่ยวข้องเข้าได้อยู่ดี เพราะเขาก็อาจจะทำอะไรที่เป็นการทำร้าย server ได้ครับ
ssh เนี่ยดีแล้ว ปลอดภัยกว่า ftp เยอะครับ :)
ที่ลูกศิษย์คุณบอกว่า sis มีประตูหลังหนะ เป็นอย่าไรเหรอครับ
ถ้ามันมีประเด็น จะได้แก้ไขให้ครับ
อ้อ ถ้าใช้ sis อย่างถูกต้อง มันก็มีความปลอดภัยในตัวเองซึ่งดีกว่าใช้ linux server ธรรมดา แต่ไม่ป้องกัน (คือ เปิดให้บริการเป็น แต่ป้องกันไม่เป็น) อยู่พอสมควรแล้วครับ :)
ตอนบ่ายโมงกว่า ๆ ก็ใช้ได้ แต่ตอนนี้เข้าไปที่ Learnsquare โปรแกรมให้ install
ลองเข้า phpmyadmin ก็เข้าไม่ได้ สงสัยมีมือดีแอบเปลี่ยนรหัสผ่าน
พร้อมกับลบไฟล์ที่ติดตั้ง Learnsquare ครับ
ตอนนี้แบคอับข้อมูลอยู่ ยังไม่กล้า install Learnsquare กลัวข้อมูลสมาชิกหาย
เราจะแก้พาสเวิร์ด phpmyadmin ตรงไหนครับ ตอนนี้เข้า phpmyadmin ทั้งเครื่องลูกและเครื่องแม่ไม่ได้เลยครับ
login ข้างบนไม่ใช่ของผม (praphan48) ครับ
ตอนนี้เปลี่ยนพาสเวิร์ดของ webadmin แล้วครับ ใช้ได้ปกติ
ขอบคุณล่วงหน้าครับ
ระบบหนะ รั่วตรงไหนครับ
เช่น มี user อะไรที่น่าสงสัย หรือคุณไม่ได้ทำตามกฏแห่งความปลอดภัยตรงไหน
หรือ เขาเจาะเข้ามาทางไหน
ไม่งั้น ทำไปเหมือนเดิม ก็โดนอีกอยู่ดีแหละครับ :)
ก็แก้ตามคู่มือและตามคำแนะนำต่าง ๆ ไม่รู้ถูกจุดหรือเปล่า
และก็ไม่รู้อีกว่าโดนโจมตีที่รั่วตรงไหนครับ
เป็นงงครับ
กำลังนั่งรอเครื่องไป MY เดี๋ยวกลับมาวันอาทิตย์แล้วผมจะไล่ log ให้นะครับ คุณ parphan48
ถ้าเกิดมี log ใหม่ที่คิดว่าโดนจะๆ ก็เอา Link มา Post รอไว้เลยก็ได้นะครับ
จัดทำและดูแลโดย โครงการพัฒนาและส่งเสริมการใช้ซอฟต์แวร์โอเพนซอร์ส ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ
Powered by Drupal, an open source content management platform | Debian, a free operating system
Posts: 43
Joined: 25-07-2006