ท่านใดที่ถูก hack ก่อนตั้งคำถามกรุณาตรวจสอบด้วยตัวเองเบื้องต้น ดังนี้ครับ
1. เข้าไปดู log file ของ apache ครับในนั้นจะมี ip ให้ดูอยู่ และก็ดูว่าก่อน apache จะ down มี ip ไหนข้างบ้าง และเข้าไปที่ file ไหนบ้าง
2. คำสั่ง last เพื่อดูว่ามีใคร login เข้ามาบ้าง ทั้งจาก ssh และ ftp (มี ip ให้เช่นกัน)
3. คำสั่ง dmesg ดูว่ามี error อะไรแปลกๆ บ้าง
4. คำสั่ง netstat -a เพื่อดูว่าขณะนั้นมีใคร connect เข้ามาบ้าง มี port อะไรเปิดอยู่บ้าง
5. คำสั่ง top เพื่อดู process อะไรรันอยู่บ้าง และ process อะไรใช้ CPU high สุดที่เป็นสาเหตุให้เครื่องช้า (แบบ real time)
6. คำสั่ง ps -U root เพื่อดู process ของ root ว่ามี process อะไรแปลกๆ บ้าง
ท่านใดมีอะไรเพิ่มเติมแนะนำได้ครับ
เพิ่มเติม netstat -pan (มี opton -p เพิ่มเข้ามา) จะระบุ PID และ program name ของ port ที่เปิดใช้งานอยู่ด้วp
Reply With Quote
