● TonHor : Open Opinion ●

 

 มีเรื่องเล่าเมื่อ 2 วันที่แล้ว ผมก็ on msn ไปตามปกติของผม 

 อยู่ดีๆก็มีพี่ ตื้อดึ๋ง ขึ้นมาว่า ช่วยดู serv ให้หน่อย โดนแฮก  

 ผมนึกในใจก็ดีเหมือนกัน จะได้เก็บข้อมูลอีกแล้ว (ละไว้ในฐานที่เข้าใจนะครับ มันไม่ดี ฮ่าๆ)

 

 ผมก็เลยถามว่า แฮกมาทางไหน (ในใจก็คิดว่าเวป) 

 พี่ผมก็บอกว่าไม่รู้ให้ช่วยดูให้หน่อย พี่ไม่ค่อยสบาย (สะงั้น)

 ผมก็เลยตอบไปแล้วทำไมพี่ไม่ดู log  - -a 

 แล้วแกก็ให้ user:pass ผมมาบอก port เรียบร้อยเหอๆ

 

 เดียวบอกก่อน serv นี้เป็นของห้างชื่อดัง  เชื่อว่าบอกไปใครก็เคยไปเที่ยวชัวร์ มีทั่วประเทศ

 ไอที่เคยมีข่าวว่าลูกเจ้าของห้างขับรถชนข้างทางอะ ฮ่าๆ 

 เป็น serv ที่จัดการพวก พนักงาน ตำแหน่ง หน้าที่ ต่างๆ อันนี้ผมไม่ได้ดูรายละเอียดมาก 

 ดูคราวๆว่ามี user ที่ใช้งานประมาณ 1500 คน 

 

 เรามาดูกันว่า ไอคนสวมหมวก มาทำไรบ้าง

 อย่างแรกเลยผมดูที่ /etc/passwd ก่อน เพราะพี่แกบอกโดนแฮกserv ก็เลยมาดูว่ามี user แปลกๆ ไหม

 เจอเลย user aaทำไม home dir มาอยู่ในส่วน www ได้ยังไง ผมคิดแระว่ามาทางเวปชัวร์

•  aa:x:503:503::/var/www/html/info/posupdate/aa:/bin/bash

 ต่อไปก็ลองตามจากใน log ด้วย ชื่อ user นี้ แต่ทำไม log มันเกลี้ยงๆ - -a

 แต่ไม่เป็นไร ลอง lsof ดูสิว่ามันได้ทำไรไปบ้างโดยใช้คำสั่ง

•  lsof -u aa

 (แต่ใน serv ก็ไม่ได้ลง package นี้ไว้อีก ลำบากผมอีก)

 

 ได้ความว่า มันพยายามเข้า /etc/passwd   /etc/groupและ lib อะไรก็ไม่รุ้มากมาย

 แต่มันน่าสนใจตรงที่ มันมาลง john ใน serv ด้วย แถมถอดรหัส user ไปได้หลายคน 

 แล้วที่น่าตกใจ ผมเข้าไปดูที่ john.pot (ไฟล์ที่เก็บรหัสที่ถูกแกะได้) ปรากฎว่า มี user เป็นสิบๆคนใช้ 

 passwd ว่า 123456  และก็พวกกลุ่มคำภาษาอังกฤษง่ายๆ

 ยังงี้ กินข้าวยังไม่ทันอิ่ม ก็แกะได้หมดแล้ว - -a

 

 ต่อมาลองมาดูทางเวปบ้าง เอาเป็นว่า ผิดที่code เขียนไม่ดีครับ หละหลวม เล็กๆน้อยๆพออภัยได้ 

 แต่ที่ใหญ่เลยคือ session ยังงี้ก็ไม่เหลือ แถมประจวบกับที่ serv ที่ไม่ได้ secure เรื่อง permision อีก

 หลังจากนั้นก็น่าจะอัพ shell หละมั่งเพราะมันมีส่วนที่มีให้อัพโหลดอยู่ด้วย 

 

 หลักจากที่ผมได้บอกพี่ไป ผมก็เลยขอเสนอ จะเขียนเวปให้ใหม่ 555  

 น่าจะได้หลายบาทอยู่นะเนี่ย ห้างก็ใหญ่โต $_$  

 

 ปล. ip user aa ก็ไม่ได้ ผ่าน proxy มาแต่อย่างใด เป็น ip ของ net true นี่เอง