โดนแล้ว HACKER

[ANPANMAN]

สวัสดีครับ..
หลังจากที่ผมได้ทำ web server จาก adsl ได้สำเร็จ ก็ได้ปล่อยลองของมาพักนึง
ผลก็คือ  ได้พบผู้มาเยือนโดยไม่หวังดี

ระบบ server ที่สร้างไว้คือ
FreeBSD 8.0 64bit
ติดตั้งตามค่ามาตรฐานต่างๆ ไม่มีการเพิ่มระบบป้องกันใดๆ

พบร่องรอยจากไหน ?
: ปกติก็ไม่ค่อยได้ตรวจสอบ log เท่าไร  แต่ดันเหลือบไปเห็น monitor server เข้า (ปกติจะ remote เข้าเครื่อง เลยไม่เห็นระบบ message ต่างๆ) พบการ log

in ผิดพลาดจำนวนมาก จึงวิ่งไปดู log authen ด้วยความตื่นเต้น

เมื่ออยากรู้ว่าผู้ใดเข้ามาเยือน ?
: หา ip จาก log มาแล้วจัดการค้นหาเส้นทาง ก็เป็นที่น่ายินดีว่า ชาวต่างชาตินี่เอง (ip มาจากนอกประเทศ หรืออาจจะเป็นนกต่อ)


สรุปเหตุการณ์ดังนี้
1.เหตุุการณ์นี้ยังไม่ร้ายแรง เพราะคือการพยายามเข้ามาใช้งานระบบโดยสุ่ม user และ password (แต่ถ้าเข้ามาได้ ก็แย่แน่ๆ)
2.ถึงแม้ไม่ร้ายแรง แต่ web server ทำงานมากขึ้นจากการ log in แบบ วินาที เลยทีเดียว
3.ผมยังไม่ได้ตรวจสอบระบบความปลอดภัย และยังคงปล่อยให้ผู้มาเยือนกลับมาอีก โดยหวังว่าจะเก็บพฤติกรรมการมาเยือนเพื่อป้องกันให้ถูกจุดมากยิ่งขึ้น
4.การตรวจสอบเส้นทางที่คาดว่าคือผู้มาเยือนคือการตรวจสอบเบื้องต้นเท่านั้น


พฤติกรรมที่พบ
00.พบเส้นทางจาก 3 ประเทศ คือ UK,KENYA,CHINA
UK:ใช้โปรแกรมสุ่ม user password ยิงเข้ามาที่เครื่อง server เฉลี่ยแล้ว 1 user/ 1 วินาที () เป็นเวลา 2 ชม. เต็มๆ หน่วย
(ความถี่ของการพยายามมากที่สุด)
KENYA:เหมือน UK แต่ใช้เวลาประมาณ ครึ่ง ชม.(ความถี่ของการพยายามน้อยกว่า UK )
CHINA:ใช้การสุ่ม user จากการให้บริการ เช่น mysql, oracle, test จะสุ่มประมาณ 4-5 ชื่อแล้วก็เลิกไป (ความถี่ของการพยายามน้อยที่สุด)
00.การพยายามเข้ามานี้จะเกิดขึ้นทุกๆ วัน (ช่วงเวลา ยังไม่แน่นอน รอเก็บข้อมูลเพิ่มเติมครับ)

ข้อมูลที่ตรวจสอบได้บางส่วน
Aug 19 02:00:01 nongyaplong sshd[17231]: Invalid user nishino from 162.42.166.2
Aug 19 02:00:04 nongyaplong sshd[17249]: Invalid user nishioka from 162.42.166.2
Aug 19 02:00:06 nongyaplong sshd[17251]: Invalid user nishitani from 162.42.166.2
Aug 20 14:07:46 nongyaplong sshd[73707]: Did not receive identification string from 61.16.240.36
Aug 20 14:13:03 nongyaplong sshd[73727]: Did not receive identification string from 61.16.240.36
Aug 20 19:16:37 nongyaplong sshd[74290]: Invalid user oracle from 116.28.64.158
Aug 20 19:16:41 nongyaplong sshd[74292]: Invalid user test from 116.28.64.158
Aug 20 21:42:24 nongyaplong sshd[74534]: Invalid user nagios from 218.75.79.18
Aug 22 19:00:00 nongyaplong sshd[81208]: Invalid user jens from 196.201.228.242
Aug 22 19:00:01 nongyaplong sshd[81208]: error: PAM: authentication error for illegal user jens from 196.201.228.242
Aug 22 19:00:01 nongyaplong sshd[81208]: Failed keyboard-interactive/pam for invalid user jens from 196.201.228.242 port 35031

ssh2
Aug 22 19:00:07 nongyaplong sshd[81227]: reverse mapping checking getaddrinfo for 196.201.228.242.reverse.kdn.co.ke

[196.201.228.242] failed - P
OSSIBLE BREAK-IN ATTEMPT!

*** ใครโดนบ้าง และรับมืออย่างไร เล่าให้ฟังบ้างครับ

ภาพประกอบบางส่วน

[dotAtainer]

  น่ากลัวจริงๆนะครับถ้าเกิดเข้ามาได้

[manoi]

ลง denyhosts ครับ

yum install denyhosts

service denyhosts start

[เกื้อกูล ครับ..]

โชคดี  ผม..มีอาจารย์มาทำให้...เลยรอดตัว  แต่ก็ยังโดนพยายาม   hack ทุกวันแหล่ะครับ....

[Adeno Benzoate]

อืม user ที่ตั้งไว้ชักอันตรายแฮะ ศึกษาไว้ก่อนครับ 

[เข้ม]

โชคดี  ผม..มีอาจารย์มาทำให้...เลยรอดตัว  แต่ก็ยังโดนพยายาม   hack ทุกวันแหล่ะครับ....

ระบบ server ที่สร้างไว้คือ
FreeBSD 8.0 64bit
ติดตั้งตามค่ามาตรฐานต่างๆ ไม่มีการเพิ่มระบบป้องกันใดๆ

ข้อมูลที่ตรวจสอบได้บางส่วน
Aug 19 02:00:01 nongyaplong sshd[17231]: Invalid user nishino from 162.42.166.2
Aug 19 02:00:04 nongyaplong sshd[17249]: Invalid user nishioka from 162.42.166.2
Aug 19 02:00:06 nongyaplong sshd[17251]: Invalid user nishitani from 162.42.166.2
Aug 20 14:07:46 nongyaplong sshd[73707]: Did not receive identification string from 61.16.240.36
Aug 20 14:13:03 nongyaplong sshd[73727]: Did not receive identification string from 61.16.240.36
Aug 20 19:16:37 nongyaplong sshd[74290]: Invalid user oracle from 116.28.64.158
Aug 20 19:16:41 nongyaplong sshd[74292]: Invalid user test from 116.28.64.158
Aug 20 21:42:24 nongyaplong sshd[74534]: Invalid user nagios from 218.75.79.18
Aug 22 19:00:00 nongyaplong sshd[81208]: Invalid user jens from 196.201.228.242
Aug 22 19:00:01 nongyaplong sshd[81208]: error: PAM: authentication error for illegal user jens from 196.201.228.242
Aug 22 19:00:01 nongyaplong sshd[81208]: Failed keyboard-interactive/pam for invalid user jens from 196.201.228.242 port 35031

ssh2
Aug 22 19:00:07 nongyaplong sshd[81227]: reverse mapping checking getaddrinfo for 196.201.228.242.reverse.kdn.co.ke

[196.201.228.242] failed - P
OSSIBLE BREAK-IN ATTEMPT!

*** ใครโดนบ้าง และรับมืออย่างไร เล่าให้ฟังบ้างครับ

เป็นเหตุการณ์ปกติ อยู่แล้วครับ
รับมือกับพวกนี้อย่างไร ....
ตัว freebsd เองถ้าติดตั้งปกติระบบไม่ได้เปิด port เผื่อเอาไว้ให้ ถ้าไม่ได้สั่งให้เปิด (ย้ำว่าถ้าไม่ได้เปิดเผื่อไว้นะครับ)
อีกอย่าง password ก็หมั่นเปลี่ยนบ่อย ๆด้วย
ssh ก็ไปกำหนด ไม่ให้ root เข้ามาได้ก็จะดี กำหนดให้เข้าได้เฉพาะ user ที่เราตั้งขึ้นอย่างเดียว
อย่างน้อย ก็ใช้ user name >> root ไม่ได้ไป 1 account แล้ว อยากเข้ามาก็ให้มันเดาไปละกัน
คนไทยดีอย่างหนึ่ง ชื่อ เขียนเป็นภาษาอังกฤษ มันเดายากอยู่แล้ว 

[Auing]

00.พบเส้นทางจาก 3 ประเทศ คือ UK,KENYA,CHINA
UK:ใช้โปรแกรมสุ่ม user password ยิงเข้ามาที่เครื่อง server เฉลี่ยแล้ว 1 user/ 1 วินาที () เป็นเวลา 2 ชม. เต็มๆ หน่วย
(ความถี่ของการพยายามมากที่สุด)
KENYA:เหมือน UK แต่ใช้เวลาประมาณ ครึ่ง ชม.(ความถี่ของการพยายามน้อยกว่า UK )
CHINA:ใช้การสุ่ม user จากการให้บริการ เช่น mysql, oracle, test จะสุ่มประมาณ 4-5 ชื่อแล้วก็เลิกไป (ความถี่ของการพยายามน้อยที่สุด)
00.การพยายามเข้ามานี้จะเกิดขึ้นทุกๆ วัน (ช่วงเวลา ยังไม่แน่นอน รอเก็บข้อมูลเพิ่มเติมครับ)

จากรูปใช้โปรแกรมใหนหาเหรอครับ

[E-Hos]

00.พบเส้นทางจาก 3 ประเทศ คือ UK,KENYA,CHINA
UK:ใช้โปรแกรมสุ่ม user password ยิงเข้ามาที่เครื่อง server เฉลี่ยแล้ว 1 user/ 1 วินาที () เป็นเวลา 2 ชม. เต็มๆ หน่วย
(ความถี่ของการพยายามมากที่สุด)
KENYA:เหมือน UK แต่ใช้เวลาประมาณ ครึ่ง ชม.(ความถี่ของการพยายามน้อยกว่า UK )
CHINA:ใช้การสุ่ม user จากการให้บริการ เช่น mysql, oracle, test จะสุ่มประมาณ 4-5 ชื่อแล้วก็เลิกไป (ความถี่ของการพยายามน้อยที่สุด)
00.การพยายามเข้ามานี้จะเกิดขึ้นทุกๆ วัน (ช่วงเวลา ยังไม่แน่นอน รอเก็บข้อมูลเพิ่มเติมครับ)

จากรูปใช้โปรแกรมใหนหาเหรอครับ

ใช่ครับ อยากรูปอยากรูปครับ กำลังศึกษาเรื่องงระบบความปลอดภัยครับ เคยศึกษาผ่านมา แล้วก็ลืมแล้วครับ 

[dotAtainer]

  จริงด่้วยสิครับ freebsd มันมี security ที่โหดมากถึงมี password root ก็ใช่ว่าจะรีโมทเข้าไปได้
ยกเว้นได้รับการยินยอมให้ user ธรรมดาใช้คำสั่ง su แต่ถ้าเป็น mysql password ก็ไม่แน่่เพราะมันวิ่งผ่านคนละ port อิอิผมพูดถูกมั้ยเนี่ย

 

โชคดี  ผม..มีอาจารย์มาทำให้...เลยรอดตัว  แต่ก็ยังโดนพยายาม   hack ทุกวันแหล่ะครับ....

ระบบ server ที่สร้างไว้คือ
FreeBSD 8.0 64bit
ติดตั้งตามค่ามาตรฐานต่างๆ ไม่มีการเพิ่มระบบป้องกันใดๆ

ข้อมูลที่ตรวจสอบได้บางส่วน
Aug 19 02:00:01 nongyaplong sshd[17231]: Invalid user nishino from 162.42.166.2
Aug 19 02:00:04 nongyaplong sshd[17249]: Invalid user nishioka from 162.42.166.2
Aug 19 02:00:06 nongyaplong sshd[17251]: Invalid user nishitani from 162.42.166.2
Aug 20 14:07:46 nongyaplong sshd[73707]: Did not receive identification string from 61.16.240.36
Aug 20 14:13:03 nongyaplong sshd[73727]: Did not receive identification string from 61.16.240.36
Aug 20 19:16:37 nongyaplong sshd[74290]: Invalid user oracle from 116.28.64.158
Aug 20 19:16:41 nongyaplong sshd[74292]: Invalid user test from 116.28.64.158
Aug 20 21:42:24 nongyaplong sshd[74534]: Invalid user nagios from 218.75.79.18
Aug 22 19:00:00 nongyaplong sshd[81208]: Invalid user jens from 196.201.228.242
Aug 22 19:00:01 nongyaplong sshd[81208]: error: PAM: authentication error for illegal user jens from 196.201.228.242
Aug 22 19:00:01 nongyaplong sshd[81208]: Failed keyboard-interactive/pam for invalid user jens from 196.201.228.242 port 35031

ssh2
Aug 22 19:00:07 nongyaplong sshd[81227]: reverse mapping checking getaddrinfo for 196.201.228.242.reverse.kdn.co.ke

[196.201.228.242] failed - P
OSSIBLE BREAK-IN ATTEMPT!

*** ใครโดนบ้าง และรับมืออย่างไร เล่าให้ฟังบ้างครับ

เป็นเหตุการณ์ปกติ อยู่แล้วครับ
รับมือกับพวกนี้อย่างไร ....
ตัว freebsd เองถ้าติดตั้งปกติระบบไม่ได้เปิด port เผื่อเอาไว้ให้ ถ้าไม่ได้สั่งให้เปิด (ย้ำว่าถ้าไม่ได้เปิดเผื่อไว้นะครับ)
อีกอย่าง password ก็หมั่นเปลี่ยนบ่อย ๆด้วย
ssh ก็ไปกำหนด ไม่ให้ root เข้ามาได้ก็จะดี กำหนดให้เข้าได้เฉพาะ user ที่เราตั้งขึ้นอย่างเดียว
อย่างน้อย ก็ใช้ user name >> root ไม่ได้ไป 1 account แล้ว อยากเข้ามาก็ให้มันเดาไปละกัน
คนไทยดีอย่างหนึ่ง ชื่อ เขียนเป็นภาษาอังกฤษ มันเดายากอยู่แล้ว 

[ANPANMAN]

เป็นเหตุการณ์ปกติ อยู่แล้วครับ

อืมครับ..เพียงแค่แปลกใจ มาเร็วเกินคาด ปล่อยออนไลน์ได้แค่อาทิตเดียวมาซะแล้ว

คนไทยดีอย่างหนึ่ง ชื่อ เขียนเป็นภาษาอังกฤษ มันเดายากอยู่แล้ว 

ใช่ครับ... ผมก็ชอบนี่ละ

จากรูปใช้โปรแกรมใหนหาเหรอครับ

ไม่ยากเลยครับ ผมบอกไว้แล้วขั้นต้น คือ google ดีดี นี่เอง
keyword : whois ip xxxxx      เพราะว่า ในระบบจะต้องมีค้นทางแน่นอน  แต่จะเป็น ip plubic หรือ private ก็อีกเรื่องครับ ที่ใช้กระทำเข้ามา
รอโดนเยอะๆ แล้วค่อยหาวิธีเจาะลึกมากกว่านี้ครับ

[เข้ม]

จริงด่้วยสิครับ freebsd มันมี security ที่โหดมากถึงมี password root ก็ใช่ว่าจะรีโมทเข้าไปได้
ยกเว้นได้รับการยินยอมให้ user ธรรมดาใช้คำสั่ง su แต่ถ้าเป็น mysql password ก็ไม่แน่่เพราะมันวิ่งผ่านคนละ port อิอิผมพูดถูกมั้ยเนี่ย

user ธรรมดา ถ้าไม่ได้กำหนดให้อยู่ใน wheel group ก็ su ไม่ได้ ... ดีอย่างนี้แหล่ะ 

[ANPANMAN]

จริงด่้วยสิครับ freebsd มันมี security ที่โหดมากถึงมี password root ก็ใช่ว่าจะรีโมทเข้าไปได้
ยกเว้นได้รับการยินยอมให้ user ธรรมดาใช้คำสั่ง su แต่ถ้าเป็น mysql password ก็ไม่แน่่เพราะมันวิ่งผ่านคนละ port อิอิผมพูดถูกมั้ยเนี่ย

user ธรรมดา ถ้าไม่ได้กำหนดให้อยู่ใน wheel group ก็ su ไม่ได้ ... ดีอย่างนี้แหล่ะ 

เรื่อง user นี่ผมก็หวั่นๆ อยู่เหมือนกันครับ  เพราะโปรแกรมบางตัว ก็จะสร้าง group / user ขึ้นมา เหมือนกัน
มีโปรแกรมไหนบ้าง ที่ต้องสร้าง user มาเอง อันนี้คงต้องตรวจสอบอีกพักใหญ่เลย

[dotAtainer]

  ดูตัวนี้เพิ่มละกันครับเผื่อจะช่วยได้การ turning ระบบ security freebsd

http://www.freebsd.sru.ac.th/index.php/firewall

[Knott]

 

[Bordin]

โดน Bruteforce แล้ว
เปลี่ยน port 22 เป็น port อื่นสิครับ เวลา forward port จาก WAN -> LAN 

ผมก็เคยโดนเหมือนกัน

[ANPANMAN]

ดูตัวนี้เพิ่มละกันครับเผื่อจะช่วยได้การ turning ระบบ security freebsd
http://www.freebsd.sru.ac.th/index.php/firewall

ขอบคุณครับ ตรงประเด็นเลย

โดน Bruteforce แล้ว
เปลี่ยน port 22 เป็น port อื่นสิครับ เวลา forward port จาก WAN -> LAN 
ผมก็เคยโดนเหมือนกัน

ขอบคุณครับ สำหรับประสบการณ์

แต่ไม่ทราบว่า port อื่นๆ จะต้องป้องกันไหมครับ.. นอกจาก ssh

[Tuleedin]

ต้องทำ DenyHosts อย่าง อาจารย์ว่าครับ เพื่อลดภาระการทำงานของเครื่องครับ แต่ใช้ freebsd นี่ดีอย่างครับ ลดภาระเรื่องนี้ลงไปได้เยอะครับ ไม่ค่อยมีปัญหาเรื่องโดนเจาะง่ายๆๆ นอกจากโดนเฉพาะ user เพราะตั้งรหัสผ่านง่ายไป แต่อย่าไปใช้พวก cms ตระกูล nuke หรือบอร์ดตระกูล phpbb น่ะครับจะโดนเจาะเอาง่ายๆๆ เลยครับ เพราะเค้าจะเจาะผ่านพวก cms โดยอาศัย bug จากโค้ดต่อให้ os ดีแค่ไหนก็ตามครับ