ແກ້ບັນຫາເບື້ອງຕົ້ນກໍລະນີເຊີບເວີຖືກໃຊ້ເພື່ອໂຈມຕີເວັບໄຊອື່ນ
ຂຽນເມື່ອ October 2, 2015, ໃນຫມວດ ເທັກໂນໂລຢີ.
ຕາມທີ່ຂຽນໄປໂພສກ່ອນໜ້ານີ້ວ່າເຊີບເວີມີບັນຫາຖືກໃຊ້ໂຈມຕີເວັບໄຊອື່ນ ກໍໄດ້ພະຍາຍາມຫາທາງແກ້ໄຂ ໂດຍໃນລິນຸກຈະມີຫຼາຍໆ ຄຳສັ່ງທີ່ໃຫ້ເຮົາສາມາດຊອກຫາຕົ້ນຕໍໄດ້
ການໂຈມຕີທີ່ເກີດຂຶ້ນນັ້ນ ທາງຜູ່ເສຍຫາຍໄດ້ແຈ້ງມາວ່າມີການໃຊ້ເຊີບເວີເຮົາພະຍາຍາມ bruteforce ໄປ wp-login.php ຂອງເວັບໄຊເຂົາເຈົ້າເປັນຈຳນວນຫຼາຍ ເຊິ່ງຫຼັງຈາກທີ່ກວດສອບດ້ວຍ clamscan ແລ້ວກໍບໍ່ພົບວ່າເວັບໄຊໃດຂອງເຮົາມີບັນຫາໄວຣັສທີ່ໜ້າສົງໃສ ຈຶ່ງຕ້ອງກວດສອບຈາກການເຊື່ອມຕໍ່ທີ່ເກີດຂຶ້ນໃນລະບົບດ້ວຍຄຳສັ່ງ tcpdump
ການໃຊ້ແມ່ນພິມ tcpdump -A -i eth0 -s 1500 port not 22 ລະບົບຈະແຈ້ງຂໍ້ມູນການເຊື່ອມຕໍ່ຕ່າງໆ ທີ່ເກີດຂຶ້ນແບບ realtime ອອກມາໃຫ້ເຫັນ
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
[/]# tcpdump -A -i eth0 -s 1500 port not 22 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 1500 bytes 15:57:41.788367 IP ip-107-180-24-242.ip.secureserver.net.http > dragon.punlaohosting.com.42018: Flags [.], ack 3475535864, win 114, options [nop,nop,TS val 3880042036 ecr 4039536], length 0 E..4.q@.4.L.k........P.".KGE.(w....r$Z..... .D.4.=.p 15:57:41.788439 IP dragon.punlaohosting.com.42018 > ip-107-180-24-242.ip.secureserver.net.http: Flags [P.], seq 1:513, ack 0, win 115, options [nop,nop,TS val 4039608 ecr 3880042036], length 512 E..4..@.@.c+....k....".P.(w..KGE...s....... .=...D.4Host: www.va***ra.com User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.0 Content-Length: 76 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Referer: http://www.va***ra.com/wp-login.php Cookie: wordpress_test_cookie=WP+Cookie+check Connection: close Content-Type: application/x-www-form-urlencoded log=va****admin&pwd=va***ra.com%21%40%23%24&wp-submit=Log%2BIn&testcookie=1 15:57:41.789513 IP dragon.punlaohosting.com.32861 > u.arin.net.domain: 41678% [1au] A? r.arin.net. (39) E..C....@.B......=.2.].5./ |
ການໂຈມຕີຍັງເກີດຂຶ້ນຕໍ່ເນື່ອງ ດັ່ງນັ້ນຈຶ່ງໃຊ້ຄຳສັ່ງ lsof -i :80 ກວດເບິ່ງເພີ່ມເຕີມ ເຊິ່ງຄຳສັ່ງນີ້ຈະສະແດງການເຊື່ອມຕໍ່ໄປຫາ host ອື່ນໆ ທີ່ເກີດຂຶ້ນໃນເວລານັ້ນ ປາກົດວ່າມີໂປຣເຊສຈຳນວນນຶ່ງຈາກ user pasalao ພະຍາຍາມສົ່ງຂໍ້ມູນໄປໂຮສຕ່າງໆ ຢູ່ (ຫຼືຈະໃຊ້ ps faux ກໍໄດ້) ຕອນນີ້ກໍບໍ່ຍາກ ໃຊ້ຄຳສັ່ງ lsof -p ຕາມດ້ວຍ PID ຂອງໂປຣເຊສເພື່ອເບິ່ງລາຍລະອຽດເພີ່ມເຕີມ ຂັ້ນຕອນນີ້ເອງທີ່ສະແດງໃຫ້ເຫັນ path ຂອງໄຟລ໌ທີ່ໃຊ້ໂຈມຕີ ກໍຈັດການລຶບອອກຊະ ແລ້ວກໍຈົບການໂຈມຕີ ຍົກເວັ້ນໂປຣເຊສທີ່ຍັງຄ້າງໃນລະບົບ ກໍສັ່ງ kill ຕາມດ້ວຍ PID ໄປຕາມລຳດັບ
Tags: attack, CentOS, server, ລິນຸກ
