กรุณาปิด AdBlock!

Cancel your adBlock please.

ขยายหน้าเว็บRegister Login
 โฆษณา
หน้า: [1] 2  ลงล่าง
  พิมพ์  
topic

การแจ้งเตือนเรื่องฟิชชิงของ http://dekitclub.com/  (อ่าน 21481 ครั้ง)

ไอที
« เมื่อ: 11, 01 2010, 12:39:28 AM »
เรียน ท่านเจ้าของเว็บไซต์หรือผู้ดูแลเว็บของ http://dekitclub.com/ link

We recently discovered that some pages on your site look like a possible phishing attack, in which users are encouraged to give up sensitive information such as login credentials or banking information. We have begun showing a warning page to users who visit this site in certain browsers that receive anti-phishing data from Google, as well as users redirected to this site from various Google properties.

Below are one or more example URLs on your site which may be part of a phishing attack:

http://dekitclub.com/forum/log/pib-home/2/1/personal/hsbc.co.uk/IBlogin.html link

ต่อไปนี้เป็นลิงก์ไปยังหน้าคำเตือนตัวอย่าง: http://www.google.com/interstitial?url=http://dekitclub.com/forum/log/pib-home/2/1/personal/hsbc.co.uk/IBlogin.html link

เราขอแนะนำให้คุณตรวจสอบเรื่องนี้ทันทีเพื่อเป็นการปกป้องผู้ใช้ที่กำลังถูกนำทางไปยังการโจมตีที่น่าสงสัยว่าเป็นการโจมตีแบบฟิชชิงซึ่งมีอยู่ในเว็บไซต์ของคุณ แม้ว่าบางไซต์เจตนาใส่ให้มีการโจมตีดังกล่าวอยู่ แต่บ่อยครั้งที่ผู้ดูแลเว็บจะไม่ทราบ เนื่องจาก:

1) เว็บไซต์ถูกโจมตี

2) เว็บไซต์ไม่ได้ตรวจสอบเนื้อหาที่ประสงค์ร้ายซึ่งมาจากผู้ใช้

หากไซต์ของคุณถูกโจมตี คุณควรลบเนื้อหาที่เกี่ยวข้องกับการโจมตีแบบฟิชชิงนี้ ตลอดจนระบุและแก้ไขช่องโหว่ที่ทำให้เนื้อหาดังกล่าวมาปรากฏในไซต์ของคุณ เราขอแนะนำให้คุณติดต่อกับผู้ให้บริการโฮสติ้งของคุณหากไม่แน่ใจว่าต้องดำเนินการอย่างไร

เมื่อคุณได้รักษาความปลอดภัยให้กับไซต์ของคุณ และลบเนื้อหาที่เกี่ยวข้องกับการโจมตีที่น่าสงสัยว่าเป็นการโจมตีแบบฟิชชิงแล้ว หรือถ้าคุณคิดว่าเป็นความผิดพลาดของเรา และนี่ไม่ใช่การโจมตีแบบฟิชชิงที่แท้จริง คุณสามารถร้องขอให้เราลบคำเตือนนั้นได้โดยไปที่หน้านี้ และรายงาน "การแจ้งเตือนที่ไม่ถูกต้อง" เราจะตรวจสอบคำขอนี้และดำเนินการอย่างเหมาะสม

ขอแสดงความนับถือ

ทีมงานด้านคุณภาพการค้นหาของ Google

เวรกรรม  aiwebs_034
เด็กไอทีคลับ
เด็กไอทีตัวพ่อ
เด็กไอทีคลับชั้นเซียน
*
พลังความคิด 89
กระทู้: 3,536
บันทึกการเข้า
ไอที
« ตอบ #1 เมื่อ: 11, 01 2010, 07:23:15 PM »
รายงานสืบเนื่องจากการโดนโจมตีในรูปแบบของ phishing

เมื่อราวอาทิตย์แรกของเดือน มกราคม 2553 ได้เกิดความปั่นป่วนขึ้นในเว็บเด็กไอทีคลับ เนื่องมาจาก ปลายปี 2552 ได้ทำการอัพเกรด upgrade SMF เป็น version 1.1.11 ทำให้ต้องมีการ CHMOD directory บางส่วนให้เป็น 777 เพื่อใช้ในการติดตั้งระบบ และ mod ต่างๆ เป็นผลทำให้เกิดช่องโหว่ ที่ hacker สามารถเจาะเข้ามาได้

ด้วยวิธี Remote file inclusion ซึ่งเป็นเทคนิคการเรียกใช้งานข้ามเครื่องแม่ข่าย
ตัวอย่าง: http://dekitclub.com/forum/log/pib-home/2/1/personal/hsbc.co.uk/IBlogin.html link

อธิบายเพิ่มเติม ซึ่งเป็น script file ที่ถูกฝังลงบน server ของเด็กไอทีคลับสาเหตุอาจจะเกิดจากช่องโหว่ บนเครื่องที่เปิดให้บริการซึ่งเป็นช่องทางให้ hacker เข้าฝัง script ลงบนเครื่องเพื่อที่ดูข้อมูลสำคัญ ต่างๆบนเครื่องหรือใช้เครื่องบริการดังกล่าวเป็นช่องทางในการโจมตีหรือบุกรุกเครื่อง server อื่นๆ

ในภาพแรกนี้ จะเป็นว่ามี folder หรือ directory (ต่อไปนี้จะใช้ย่อว่า DIR) ชื่อ customer.ibc ซึ่ง มั่นใจได้เลยว่า เราเองคงไม่เผลอไปตั้งชื่อ DIR แบบนี้แน่นอน เพราะมันมี . (จุด) ต่อท้ายด้วย เมื่อลองเปิดเข้าไปเรื่อย จะพบกันภาพที่ 2



ภาพที่ 2 ทำให้แน่ใจขึ้นว่า นี่เป็น phishing ที่ถูกติดตั้งเข้ามาโดยการโจมตีระบบ



เด็กไอทีคลับ
เด็กไอทีตัวพ่อ
เด็กไอทีคลับชั้นเซียน
*
พลังความคิด 89
กระทู้: 3,536
บันทึกการเข้า
ไอที
« ตอบ #2 เมื่อ: 11, 01 2010, 07:37:32 PM »
เมื่อได้เห็นภาพที่ 2 แล้ว แน่นอนว่า คุณควรจะลบมันเสียทั้ง DIR

แต่!! มันไม่ได้ง่ายอย่างนั้น เนื่องจากมันมีอะไรที่สลับซับซ้อนกว่านั้น ผมได้ทำการลบ DIR ที่ชื่อ customer.ibc แล้ว แต่หลังจากที่มีการแจ้งจากโปรแกรม FTP ว่าได้ลบไฟล์ออกหมดแล้ว พอมัน refresh list มาใหม่ เจ้า customer.ibc กลับยังอยู่เหมือนเดิม ด้วยปัญญาที่มีอยู่ในขณะนั้น ก็ได้ลองเข้าไปลบ file อื่นๆ ที่อยู่ใน DIR นั้นก่อน เผื่อมีการตั้งค่าอะไรไว้ แต่กลับไม่ได้เช่นเดิม จึงคิดว่า ไฟล์ที่ทำให้สร้าง DIR นี้ขึ้นมา คงไม่ได้อยู่ตรงนี้ที่เดียว จึงทำการสำรวจไปยัง DIR อื่นๆ

ก่อนหน้านั้นได้ทำการ ปิด CHMOD เป็น 600 ทั้งหมด หรือจะเรียกได้ว่า ป้องกันไม่ให้มีการ request URL เข้ามาจากภายนอก เป็นการปิดกั้นการทำ Remote file inclusion ไปในตัว



แล้วก็มาเจอไฟล์ avatars.php ซึ่งซ่อนอยู่ใน DIR /forum/avatars เมื่อลอง download file เข้ามายังเครื่องใช้งาน โปรแกรม antivirus กลับเด้งขึ้นมาเตือนว่าเป็น trojan

ชื่อ Threat: PHP/C99shell.W trojan

ดังภาพประกอบ หลังจากนั้นได้ทำการลบไฟล์นี้ออก แล้วกลับไปลบ DIR /customer.ibc อีกครั้ง แต่ก็ยังไม่หาย

เด็กไอทีคลับ
เด็กไอทีตัวพ่อ
เด็กไอทีคลับชั้นเซียน
*
พลังความคิด 89
กระทู้: 3,536
บันทึกการเข้า
ไอที
« ตอบ #3 เมื่อ: 11, 01 2010, 08:00:21 PM »
เมื่อยังไม่หาย จึงทดลองไปค้นหาไฟล์อื่นๆ ที่อยู่ตาม DIR ที่น่าสงสัย โดย มีวิธีการดังนี้

1. สังเกตุชื่อที่แปลก (ทั้ง DIR และ FILE) ที่เราเองไม่ได้เป็นคนตั้ง หรือ upload เข้าไป
2. ดูวันที่ในการแก้ไขปรับปรุงล่าสุด (modify)
3. ดูสิทธิ์การเข้าถึง (Attribute) ที่เป็น drwxrwxrwxr (0777) * ทำโดย CHMOD777 ซึ่งจะเป็น DIR ที่ถูกโจมตี


จากข้อ 3 ให้ทำการ CHMOD ตามที่กล่าวไปข้างต้น ให้เป็น 644, 600 ก็ได้ แล้วแต่สะดวก ซึ่งที่โดนโจมตีในครั้งนี้ ทำให้ DIR หลังอย่าง publish_html ถูกตั้งค่าเป็น 777 ด้วยเหมือนกัน หมายถึงสามารถ เข้าถึง,อ่าน,แก้ไข ข้อมูลที่อยู่ภายในนั้นได้ ตามสิทธิที่ได้รับ

ได้ทำการค้นหาไฟล์แปลกปลอมไปเรื่อยๆ จนพบกับไฟล์ที่ชื่อ data.php จึง download มาดู พบว่า เป็นไฟล์ที่มีการเขียนขึ้น โดยมีการเข้ารหัส (encrypt) ไว้ ทำให้มองไม่เห็นโค๊ด (source code) ทีเ่ขียน ดังภาพ



จากนั้นได้ลอง print ออกมาดูพบกับความไม่น่าเชือ เมื่อพบกับโปรแกรมที่ทำงานสมบูรณ์ perfect ขนาดที่ว่าเป็นระบบจัดการข้อมูลได้เลย ซึ่ง ในอดีตเคยคิดจะเขียนไฟล์ แบบนี้ขึ้นมา ที่เป็นไฟล์ เพียงไฟล์เดียว แต่สามารถจัดการข้อมูลได้ทุกอย่าง โดยผ่าน FTP แต่ด้วยปัญญาในขณะนั้น ไม่มีความสามารถพอที่จะเขียนไฟล์ ที่จะเปิด port ติดต่อ socket ได้ขนาดนี้ ลองดูตัวอย่างด้านล่างต่อไป



ในภาพนี้ เป็นการแก้ไขข้อมูลของไฟล์ อาทิ ผมจะแก้ไฟล์ index.html เพื่อประกาศศักดา ว่า "ข้า hack แล้ว" ก็สามารถแก้ไขได้ เลย ด้วย tools ที่มีมาให้อย่างพร้อมศัพท์



ภาพต่อมาเป็นการอัพโหลดไฟล์, สร้าง DIR ใหม่, ดูข้อมูล, เปิด ไฟล์พาสเวิร์ดที่เป็น shadow ของ host บร๊ะจ้าววช่วยกล้วยทอด อะไรมันจะสุดยอดขนาดนี้



มันเหมือนเป็นดาบสองคม ถ้าเราเอาไปใช้ในทางที่ผิด มันก็ำทำได้โดยงาน

ซึ่งก็เหมือนกับ ตำรวจกับโจร ดีๆนี่เอง ต่างกันแค่หน้าที่ แต่มี อาวุธ เหมือนกันพร้อมที่จะประหัดประหารกันได้ทุกเมื่อ
เด็กไอทีคลับ
เด็กไอทีตัวพ่อ
เด็กไอทีคลับชั้นเซียน
*
พลังความคิด 89
กระทู้: 3,536
บันทึกการเข้า
ไอที
« ตอบ #4 เมื่อ: 11, 01 2010, 08:10:23 PM »
เมื่อลบไฟล์นั้นออกแล้วก็ลองมาลบ DIR /customer.ibc อีกครั้ง ก็พบว่ายังไม่หาย

จึงเข้าไปที่ Direct Admin เพื่อปฏิบัติการในระดับ root เป็นระดับที่สูงกว่าสิทธิใดๆ

เมื่อเปิดไฟล์ จาก DA (ย่้อจาก direct admin) พบว่า ไฟล์ที่ถูกสร้างขึ้นมานั้น ใช้ UID, GID เป็น Apache หมายถึงเป็น ตัวระบบนั่นเอง ซึ่งอาจเป็นสาเหตุหนึ่้งที่ไม่สามารถลบไฟล์ออกได้ จึงได้ทำการเปลี่ยน Owner ให้เป็น ไปตามสิทธิที่เราสามารถแก้ไขได้ ก็คือ UID,GID ของเราเอง โดยกดที่ลิ้งค์ Reset Ownership เพื่อแก้ไขสิทธิ

"phishing Threat: PHP/C99shell.W trojan"

หน้าต่างแสดงผลการแก้ไขสิทธิ

"phishing Threat: PHP/C99shell.W trojan"

หลังจากแก้ไขสิทธิหมดทุกไฟล์ที่อยู่ใน customer.ibc เรียบร้อยแล้วก็ทำการลบออก โดย ต้องลบออกใน DIR ที่ลึกที่สุดออกมา เนื่องจากไม่สามารถลบจาก DIR นอกได้เพราะมีไฟล์อยู่ด้านในด้วย เมื่อทำการลบดังภาพแล้ว พบว่าสามารถลบได้

"phishing Threat: PHP/C99shell.W trojan"

จากนั้นก็ใช้ DA ตรวจสอบไฟล์ที่มีสิทธิเป็น Apache อื่นๆ ที่คาดว่าน่าจะเกิดจากการโจมตี โดยแก้ไขสิทธิและลบทิ้งไม่ให้เหลือซาก

จากนั้นลอง FTP เข้าไปดูอีกครั้งหนึ่ง พบว่า customer.ibc ได้หายออกไปจากระบบเรียบร้อยแล้ว

แต่ยังนิ่งนอนใจไม่ได้ ได้ลองเข้าไปตรวจสอบไฟล์ ที่มีการแก้ไข ภายใน 1 อาทิตย์ หรือมีการ modified ล่าสุด เพื่อให้แน่ใจว่า ไม่มี script ใดถูกดันแปลงแก้ไข

เพื่อให้ระบบกลับสู่สภาพปกติ

จบการรายงานการปรับปรุงแก้ไข phishing ณ วันที่ 11 มกราคม 2553 เวลา 20.10 น.

เพิ่มเติม

ในอีก domain หนึ่ง ที่อยู่ใน host เดียวกันกับที่โดน phishing นี้ ยังมีไฟล์แอบแฝงอยู่ ที่พบเพิ่มเติมมี 2 ไฟล์ด้วยกัน ดังนี้

functilon.php | wp-content\uploads\2009\05

wp-lenks.php | wp-content\uploads\2009\05


ซึ่งวิธีแก้ไขกฺ็คือลบมันทิ้ง รูปแบบการทำงานของไฟล์ เหมือนกับด้านบนไม่มีผิดเพี้ยน แสดงว่าเว็บของใครที่โดน phishing ด้วยวิธีนี้ และ host เองมีระบบป้องกันที่หละหลวม!! ขอเตือนเลยว่า เว็บไซต์ทุก domain ของคุณ ตกอยู่ในภาวะติดเชื้อ ให้ทำงานล้างระบบใหม่ทั้งหมด (ถ้าเป็นไปได้) เนื่องจากมันจะมีไฟล์แอบแฝงอยู่มากมาย หากเป็นเว็บที่ทำงานด้วย CMS อาจจะดูยากหน่อย ผมแนะนำให้ อัพไฟล์ใหม่เข้าไปเลย แล้ว dump database เอา น่าจะง่ายกว่า

ส่วนเว็บที่เขียนขึ้นใหม่ น่าจะไม่ยากอะไร ลองดูไฟล์เปรียบเทียบ ระหว่างของเก่าและของใหม่ น่าจะช่วยแยกแยะได้ ว่าอันไหนคือไฟล์ phishing อันไหนเป็นไฟล์ของระบบ

จบการรายงานการปรับปรุงแก้ไข phishing ณ วันที่ 1 เมษายน 2553 เวลา 6.30 น.
เด็กไอทีคลับ
เด็กไอทีตัวพ่อ
เด็กไอทีคลับชั้นเซียน
*
พลังความคิด 89
กระทู้: 3,536
บันทึกการเข้า
ไอที
« ตอบ #5 เมื่อ: 11, 01 2010, 08:27:51 PM »
แล้วพี่เหม่งก็ได้สคริปต์อันทรงพลานุภาพเข้ามาอยู่ในกำมือ เก็บไว้ดีๆนะพี่ อย่าเอาไปเล่นกับใครเขาล่ะ
IRONKONG
RUK-YOM
เทพไอทีมาจุติ
*
พลังความคิด 37
กระทู้: 2,486
เว็บไซต์
บันทึกการเข้า

"BN002"
ไอที
« ตอบ #6 เมื่อ: 11, 01 2010, 09:06:22 PM »
อ้อลืมไป นี่ของแถม

How To Hack Any Site Use paFileDB Script [Lesson4] link

มีสอน hack ซะด้วย
เด็กไอทีคลับ
เด็กไอทีตัวพ่อ
เด็กไอทีคลับชั้นเซียน
*
พลังความคิด 89
กระทู้: 3,536
บันทึกการเข้า
ไอที
« ตอบ #7 เมื่อ: 11, 01 2010, 09:53:41 PM »
ที่รัก ห้ามไปใช้กับใครนะค่ะ

ไม่งั้นฟ้า จะปลดที่รัก ออกจากการเป็น ...............เหอะ ๆ
CoolPha
ยามเฝ้าบอร์ด
ปรมาจารย์ด้านไอที
*
พลังความคิด 76
กระทู้: 5,261
เว็บไซต์
บันทึกการเข้า

ไอที
« ตอบ #8 เมื่อ: 15, 01 2010, 04:18:15 AM »
ขอบคุณสำหรับ บทความ ค่ะ
HUJAHN
เด็กไอทีคลับขาเมาท์
*
พลังความคิด 24
กระทู้: 872
บันทึกการเข้า
ไอที
« ตอบ #9 เมื่อ: 15, 01 2010, 05:22:24 PM »
อันนี้เป็นการเขียนรายงานค่ะพี่ศิลป์ ชี้แจง

ว่าเกิดอะไรขึ้น และ ทางเราทำไรไปแล้วบ้าง
CoolPha
ยามเฝ้าบอร์ด
ปรมาจารย์ด้านไอที
*
พลังความคิด 76
กระทู้: 5,261
เว็บไซต์
บันทึกการเข้า

ไอที
« ตอบ #10 เมื่อ: 15, 01 2010, 05:28:26 PM »
ฮึม....เทพไอที

HUJAHN
เด็กไอทีคลับขาเมาท์
*
พลังความคิด 24
กระทู้: 872
บันทึกการเข้า
ไอที
« ตอบ #11 เมื่อ: 15, 01 2010, 08:19:30 PM »
5555555555555555555555++

เทพ ตัวพ่อ เลยค่ะนั่น
CoolPha
ยามเฝ้าบอร์ด
ปรมาจารย์ด้านไอที
*
พลังความคิด 76
กระทู้: 5,261
เว็บไซต์
บันทึกการเข้า

ไอที
« ตอบ #12 เมื่อ: 9, 02 2010, 07:44:53 PM »
 :wowww:ขั้นเทพเลยนะคับนั้น ว้าววว
ลดขา link | อาหารดี link
jokerzero
บุคคลทั่วไป
บันทึกการเข้า
ไอที
« ตอบ #13 เมื่อ: 10, 02 2010, 09:33:12 AM »
ใครโดน script นี้เข้าไป ตกสวรรค์เอาง่ายๆเลย
เด็กไอทีคลับ
เด็กไอทีตัวพ่อ
เด็กไอทีคลับชั้นเซียน
*
พลังความคิด 89
กระทู้: 3,536
บันทึกการเข้า
ไอที
« ตอบ #14 เมื่อ: 10, 02 2010, 01:20:05 PM »
เหมือนที่เราเจอ ใช่ป่ะจ้ะ
CoolPha
ยามเฝ้าบอร์ด
ปรมาจารย์ด้านไอที
*
พลังความคิด 76
กระทู้: 5,261
เว็บไซต์
บันทึกการเข้า

หน้า: [1] 2  ขึ้นบน
  พิมพ์  
 
กระโดดไป: