ເທັກໂນໂລຢີ

ແກ້ບັນຫາເບື້ອງຕົ້ນກໍລະນີເຊີບເວີຖືກໃຊ້ເພື່ອໂຈມຕີເວັບໄຊອື່ນ

Leave a comment

ຕາມທີ່ຂຽນໄປໂພສກ່ອນໜ້ານີ້ວ່າເຊີບເວີມີບັນຫາຖືກໃຊ້ໂຈມຕີເວັບໄຊອື່ນ ກໍໄດ້ພະຍາຍາມຫາທາງແກ້ໄຂ ໂດຍໃນລິນຸກຈະມີຫຼາຍໆ ຄຳສັ່ງທີ່ໃຫ້ເຮົາສາມາດຊອກຫາຕົ້ນຕໍໄດ້

ການໂຈມຕີທີ່ເກີດຂຶ້ນນັ້ນ ທາງຜູ່ເສຍຫາຍໄດ້ແຈ້ງມາວ່າມີການໃຊ້ເຊີບເວີເຮົາພະຍາຍາມ bruteforce ໄປ wp-login.php ຂອງເວັບໄຊເຂົາເຈົ້າເປັນຈຳນວນຫຼາຍ ເຊິ່ງຫຼັງຈາກທີ່ກວດສອບດ້ວຍ clamscan ແລ້ວກໍບໍ່ພົບວ່າເວັບໄຊໃດຂອງເຮົາມີບັນຫາໄວຣັສທີ່ໜ້າສົງໃສ ຈຶ່ງຕ້ອງກວດສອບຈາກການເຊື່ອມຕໍ່ທີ່ເກີດຂຶ້ນໃນລະບົບດ້ວຍຄຳສັ່ງ tcpdump

[/]# tcpdump -A -i eth0 -s 1500 port not 22
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 1500 bytes
15:57:41.788367 IP ip-107-180-24-242.ip.secureserver.net.http > dragon.punlaohosting.com.42018: Flags [.], ack 3475535864, win 114, options [nop,nop,TS val 3880042036 ecr 4039536], length 0
E..4.q@.4.L.k……..P.”.KGE.(w….r$Z…..
.D.4.=.p
15:57:41.788439 IP dragon.punlaohosting.com.42018 > ip-107-180-24-242.ip.secureserver.net.http: Flags [P.], seq 1:513, ack 0, win 115, options [nop,nop,TS val 4039608 ecr 3880042036], length 512
E..4..@.@.c+….k….”.P.(w..KGE…s…….
.=…D.4Host: www.va***ra.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.0
Content-Length: 76
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://www.va***ra.com/wp-login.php
Cookie: wordpress_test_cookie=WP+Cookie+check
Connection: close
Content-Type: application/x-www-form-urlencoded

log=va****admin&pwd=va***ra.com%21%40%23%24&wp-submit=Log%2BIn&testcookie=1
15:57:41.789513 IP dragon.punlaohosting.com.32861 > u.arin.net.domain: 41678% [1au] A? r.arin.net. (39)
E..C….@.B……=.2.].5./

ການໃຊ້ແມ່ນພິມ tcpdump -A -i eth0 -s 1500 port not 22 ລະບົບຈະແຈ້ງຂໍ້ມູນການເຊື່ອມຕໍ່ຕ່າງໆ ທີ່ເກີດຂຶ້ນແບບ realtime ອອກມາໃຫ້ເຫັນ

ການໂຈມຕີຍັງເກີດຂຶ້ນຕໍ່ເນື່ອງ ດັ່ງນັ້ນຈຶ່ງໃຊ້ຄຳສັ່ງ lsof -i :80 ກວດເບິ່ງເພີ່ມເຕີມ ເຊິ່ງຄຳສັ່ງນີ້ຈະສະແດງການເຊື່ອມຕໍ່ໄປຫາ host ອື່ນໆ ທີ່ເກີດຂຶ້ນໃນເວລານັ້ນ ປາກົດວ່າມີໂປຣເຊສຈຳນວນນຶ່ງຈາກ user pasalao ພະຍາຍາມສົ່ງຂໍ້ມູນໄປໂຮສຕ່າງໆ ຢູ່ (ຫຼືຈະໃຊ້ ps faux ກໍໄດ້) ຕອນນີ້ກໍບໍ່ຍາກ ໃຊ້ຄຳສັ່ງ lsof -p ຕາມດ້ວຍ PID ຂອງໂປຣເຊສເພື່ອເບິ່ງລາຍລະອຽດເພີ່ມເຕີມ ຂັ້ນຕອນນີ້ເອງທີ່ສະແດງໃຫ້ເຫັນ path ຂອງໄຟລ໌ທີ່ໃຊ້ໂຈມຕີ ກໍຈັດການລຶບອອກຊະ ແລ້ວກໍຈົບການໂຈມຕີ ຍົກເວັ້ນໂປຣເຊສທີ່ຍັງຄ້າງໃນລະບົບ ກໍສັ່ງ kill ຕາມດ້ວຍ PID ໄປຕາມລຳດັບ

Leave a Reply

Your email address will not be published. Required fields are marked *