สวัสดีครับผม ว่าแล้ววันนี้ก็ อารมณ์ดี มาเล่นเรื่อง hack ๆให้ ฟังหน่อยดีกว่านะครับ เรื่องมันมีอยู่ว่า
วันนี้ มีลูกค้าท่านหนึ่ง ทัก MSN มาบอกว่า เครื่องเค้าโดน Hack ต้องการให้ เราหาตัวให้หน่อย อ่าขอถนัดเลย ดักจับหนู่ๆ นี้ชอบนักแล ว่าแล้ว ผมก็ของ user & pass จากทางลูกค้า ทั้งๆที่ยังไม่ค่อยรู้จักกัน และยังไม่ได้ตกลงว่าจะให้ผมดูแล Server ให้ เค้าก็ ให้ User & Passowrd มาแต่โดยดี เหอๆๆ ว่าแล้วพอ SSH เข้าไป อ่า Linux redhat ลุกค้าลง CPANNEL ครับผม พอลอง ps -aux ดุ ปรากฎว่า เห็น process แปลกๆ ซึ่งรัน โดย user "nobody" อ่า เอาแล้วไง โดนแน่ๆ 100%
ว่าแล้วก็ เริ่มงัดวิชามาเลยครับผม ก่อนอื่ม ผมลองไป ดุที่ /tmp, /var ดู ว่ามี dir แปลกหรือไม่ เพราะผมเคยเจอ พวก hacker ท้งหลาย จะทำการ เปิด blackdor ไว้ หลักจากลอง คุ้ยๆ ค้นๆดูก็ไม่พบอะไร เลยลอง Stop httpd ดู ประกฏว่า process ดังกล่าวหายไป นั้นไงละ เจอรูหนูละ
ว่าแล้วก็เข้าไปดูยัง /home ซึ่ง cpannel จะทำการเก็บ web ของ user ไว้ใน นี้ พอ ls ดูอ่า 200 กว่า users เหอๆๆๆ จะเปิดดูไงดีหนอ ก็เลยต้องมาคิดก่อนเลย ว่า
1 . การรัน process ผ่าน http นั้น ต้องเป้น script php หรือ perl แน่นอน
2 . ไฟลื อาจจะมีเจ้าของชื่อเป็น User nobody
พอเราตั้งเป้าหายในการค้นหาได้แล้ว ผมก็เริ่มงันวิชา "ห้อยสะท้านฟ้า" (shell script) ขึ้นมา ซึ่ง script ดังกล่าว โดยใช้คำสั่ง find นั้นเอง
ว่าด้วยเรื่องของคำสั่ง find คำสั่งนี้ หลายๆท่านที่ใช้งาน linux หรือ Unix อ่านจะไม่คิดว่ามันมีประโยช แต่จริงๆแล้ว มันเป้นเครื่องมือที่ ทรงพลังยิ่งนัก คำลั่งดั่งกล่าวสามารถ ค้นหาไฟล์ และ filter เอาเฉพราะข้อมูลที่เราต้องการออกมาได้ (ไม่เชื่อลอง man find ดูดิ )
ว่าแล้วก็ เริ่มค้นหากันเลย ผมใช้คำสั่ง find /home -user nobody -name "*.php"
-user nopbody หลายถึงให้ find ค้นหาไฟล์ที่มี เจ้าของไฟล์เป้น user nobody
-name "*.php" หมายถึงให้ค้นหาไฟล์ที่มีนามสกุล .php
หลังจากผม find ไปได้สักพัก มันก็ return ออกมา ดั่งนี้
root@rakyom [/root]# find /home -user nobody -name "*.php"
/home/username1/public_html/upload/NT_FP04_DEC.php
/home/username1/public_html/upload/ul03_03_s.php
/home/username4/public_html/board/cache/attach_config.php
/home/username10/public_html/board2_0/cache/attach_config.php
/home/username13/public_html/product/file-lib/file_frontend/inc-order.min.php
นั้นไงละ เจอตัวเข้าแล้ว ตรงบันทัดนั้นแหละครับ เป้นไฟล์ที่น่าสงสัย เพราะมันถูก upload ขึ้นมาและเป้นไฟล์ นามสกุลแปลกๆ พอลองเปิดไฟลืผ่าน Link ดู มันก็ ขึ้นดั่ง รูปที่ 1 และ รูปที่ 2 ครับผม
นั่นไงละเจอตัวเข้าแล้วไง
ทำไงละทีนี้ ผมมี 2 ทางเลืกครับผม 1 ลบทิ้ง 2. ปล่อยไว้แบบเดิมแต่เอา กับดักไปวางไว้ ผมนะหรือ เลือกทางที่ 2 ครับผม
วิธีของผมคือ ผมจะปล่อย script ไว้ และทำการ ก๊อบข้อมูลไว่ก่อน แล้วก็ ทำการ เขียน script ให้ทำการ เก็บ log ในการเรียกใช้ไฟล์ ดั่งกล่าว และทำการ แจ้ง Alert ไปยังอีเมล์ผม และเมล์ ลูกค้า หากมี User มา login เข้าไปใช้งาน
หลายๆท่าน อาจจะสงสัยว่าผมจะเก็บทำไม ก้ไม่มีไรครับผม พอดี ก็เก็บหลักฐานไว้ แล้วเราก็ โทรไปหาเค้า หน่อย ที่บ้าน บอกว่า "สวัสดีครับ คุณเป็นผู้โชคดี ที่ hack server ผมได้ "
หากท่านเป้นคน hack แล้วโดนตามได้ ถึงบ้าน ท่านจะทำหน้าไงหนอ อิอิ
ป.ล. งานนี้ยังไม่จบนะครับ เมล์ยังไม่มา กำลังดักรอเลยครับ เด๋วได้ผลไง จะแจ้งให้ทราบครับผม
ที่มา www.thaiadmin.org
Reply With Quote
