ແກ້ບັນຫາເບື້ອງຕົ້ນກໍລະນີເຊີບເວີຖືກໃຊ້ເພື່ອໂຈມຕີເວັບໄຊອື່ນ

ຂຽນເມື່ອ October 2, 2015, ໃນຫມວດ ເທັກໂນໂລຢີ.

ຕາມທີ່ຂຽນໄປໂພສກ່ອນໜ້ານີ້ວ່າເຊີບເວີມີບັນຫາຖືກໃຊ້ໂຈມຕີເວັບໄຊອື່ນ ກໍໄດ້ພະຍາຍາມຫາທາງແກ້ໄຂ ໂດຍໃນລິນຸກຈະມີຫຼາຍໆ ຄຳສັ່ງທີ່ໃຫ້ເຮົາສາມາດຊອກຫາຕົ້ນຕໍໄດ້

ການໂຈມຕີທີ່ເກີດຂຶ້ນນັ້ນ ທາງຜູ່ເສຍຫາຍໄດ້ແຈ້ງມາວ່າມີການໃຊ້ເຊີບເວີເຮົາພະຍາຍາມ bruteforce ໄປ wp-login.php ຂອງເວັບໄຊເຂົາເຈົ້າເປັນຈຳນວນຫຼາຍ ເຊິ່ງຫຼັງຈາກທີ່ກວດສອບດ້ວຍ clamscan ແລ້ວກໍບໍ່ພົບວ່າເວັບໄຊໃດຂອງເຮົາມີບັນຫາໄວຣັສທີ່ໜ້າສົງໃສ ຈຶ່ງຕ້ອງກວດສອບຈາກການເຊື່ອມຕໍ່ທີ່ເກີດຂຶ້ນໃນລະບົບດ້ວຍຄຳສັ່ງ tcpdump

ການໃຊ້ແມ່ນພິມ tcpdump -A -i eth0 -s 1500 port not 22 ລະບົບຈະແຈ້ງຂໍ້ມູນການເຊື່ອມຕໍ່ຕ່າງໆ ທີ່ເກີດຂຶ້ນແບບ realtime ອອກມາໃຫ້ເຫັນ

ການໂຈມຕີຍັງເກີດຂຶ້ນຕໍ່ເນື່ອງ ດັ່ງນັ້ນຈຶ່ງໃຊ້ຄຳສັ່ງ lsof -i :80 ກວດເບິ່ງເພີ່ມເຕີມ ເຊິ່ງຄຳສັ່ງນີ້ຈະສະແດງການເຊື່ອມຕໍ່ໄປຫາ host ອື່ນໆ ທີ່ເກີດຂຶ້ນໃນເວລານັ້ນ ປາກົດວ່າມີໂປຣເຊສຈຳນວນນຶ່ງຈາກ user pasalao ພະຍາຍາມສົ່ງຂໍ້ມູນໄປໂຮສຕ່າງໆ ຢູ່ (ຫຼືຈະໃຊ້ ps faux ກໍໄດ້) ຕອນນີ້ກໍບໍ່ຍາກ ໃຊ້ຄຳສັ່ງ lsof -p ຕາມດ້ວຍ PID ຂອງໂປຣເຊສເພື່ອເບິ່ງລາຍລະອຽດເພີ່ມເຕີມ ຂັ້ນຕອນນີ້ເອງທີ່ສະແດງໃຫ້ເຫັນ path ຂອງໄຟລ໌ທີ່ໃຊ້ໂຈມຕີ ກໍຈັດການລຶບອອກຊະ ແລ້ວກໍຈົບການໂຈມຕີ ຍົກເວັ້ນໂປຣເຊສທີ່ຍັງຄ້າງໃນລະບົບ ກໍສັ່ງ kill ຕາມດ້ວຍ PID ໄປຕາມລຳດັບ

 

Tags: , , ,

ຂຽນຄຳເຫັນ

*

code