ผู้เขียน หัวข้อ: โดนแล้ว HACKER  (อ่าน 13397 ครั้ง)

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

ออฟไลน์ ANPANMAN

  • Sr. Member
  • ****
  • กระทู้: 288
  • มนุษย์เงินเดือน
  • Respect: 0
    • ดูรายละเอียด
    • โรงพยาบาลหนองหญ้าปล้อง
โดนแล้ว HACKER
« เมื่อ: สิงหาคม 24, 2010, 09:00:54 AM »
0
สวัสดีครับ..
หลังจากที่ผมได้ทำ web server จาก adsl ได้สำเร็จ ก็ได้ปล่อยลองของมาพักนึง
ผลก็คือ  ได้พบผู้มาเยือนโดยไม่หวังดี

ระบบ server ที่สร้างไว้คือ
FreeBSD 8.0 64bit
ติดตั้งตามค่ามาตรฐานต่างๆ ไม่มีการเพิ่มระบบป้องกันใดๆ

พบร่องรอยจากไหน ?
: ปกติก็ไม่ค่อยได้ตรวจสอบ log เท่าไร  แต่ดันเหลือบไปเห็น monitor server เข้า (ปกติจะ remote เข้าเครื่อง เลยไม่เห็นระบบ message ต่างๆ) พบการ log

in ผิดพลาดจำนวนมาก จึงวิ่งไปดู log authen ด้วยความตื่นเต้น

เมื่ออยากรู้ว่าผู้ใดเข้ามาเยือน ?
: หา ip จาก log มาแล้วจัดการค้นหาเส้นทาง ก็เป็นที่น่ายินดีว่า ชาวต่างชาตินี่เอง (ip มาจากนอกประเทศ หรืออาจจะเป็นนกต่อ)


สรุปเหตุการณ์ดังนี้
1.เหตุุการณ์นี้ยังไม่ร้ายแรง เพราะคือการพยายามเข้ามาใช้งานระบบโดยสุ่ม user และ password (แต่ถ้าเข้ามาได้ ก็แย่แน่ๆ)
2.ถึงแม้ไม่ร้ายแรง แต่ web server ทำงานมากขึ้นจากการ log in แบบ วินาที เลยทีเดียว
3.ผมยังไม่ได้ตรวจสอบระบบความปลอดภัย และยังคงปล่อยให้ผู้มาเยือนกลับมาอีก โดยหวังว่าจะเก็บพฤติกรรมการมาเยือนเพื่อป้องกันให้ถูกจุดมากยิ่งขึ้น
4.การตรวจสอบเส้นทางที่คาดว่าคือผู้มาเยือนคือการตรวจสอบเบื้องต้นเท่านั้น


พฤติกรรมที่พบ
00.พบเส้นทางจาก 3 ประเทศ คือ UK,KENYA,CHINA
UK:ใช้โปรแกรมสุ่ม user password ยิงเข้ามาที่เครื่อง server เฉลี่ยแล้ว 1 user/ 1 วินาที () เป็นเวลา 2 ชม. เต็มๆ หน่วย
(ความถี่ของการพยายามมากที่สุด)
KENYA:เหมือน UK แต่ใช้เวลาประมาณ ครึ่ง ชม.(ความถี่ของการพยายามน้อยกว่า UK )
CHINA:ใช้การสุ่ม user จากการให้บริการ เช่น mysql, oracle, test จะสุ่มประมาณ 4-5 ชื่อแล้วก็เลิกไป (ความถี่ของการพยายามน้อยที่สุด)
00.การพยายามเข้ามานี้จะเกิดขึ้นทุกๆ วัน (ช่วงเวลา ยังไม่แน่นอน รอเก็บข้อมูลเพิ่มเติมครับ)

ข้อมูลที่ตรวจสอบได้บางส่วน
Aug 19 02:00:01 nongyaplong sshd[17231]: Invalid user nishino from 162.42.166.2
Aug 19 02:00:04 nongyaplong sshd[17249]: Invalid user nishioka from 162.42.166.2
Aug 19 02:00:06 nongyaplong sshd[17251]: Invalid user nishitani from 162.42.166.2
Aug 20 14:07:46 nongyaplong sshd[73707]: Did not receive identification string from 61.16.240.36
Aug 20 14:13:03 nongyaplong sshd[73727]: Did not receive identification string from 61.16.240.36
Aug 20 19:16:37 nongyaplong sshd[74290]: Invalid user oracle from 116.28.64.158
Aug 20 19:16:41 nongyaplong sshd[74292]: Invalid user test from 116.28.64.158
Aug 20 21:42:24 nongyaplong sshd[74534]: Invalid user nagios from 218.75.79.18
Aug 22 19:00:00 nongyaplong sshd[81208]: Invalid user jens from 196.201.228.242
Aug 22 19:00:01 nongyaplong sshd[81208]: error: PAM: authentication error for illegal user jens from 196.201.228.242
Aug 22 19:00:01 nongyaplong sshd[81208]: Failed keyboard-interactive/pam for invalid user jens from 196.201.228.242 port 35031

ssh2
Aug 22 19:00:07 nongyaplong sshd[81227]: reverse mapping checking getaddrinfo for 196.201.228.242.reverse.kdn.co.ke

[196.201.228.242] failed - P
OSSIBLE BREAK-IN ATTEMPT!

*** ใครโดนบ้าง และรับมืออย่างไร เล่าให้ฟังบ้างครับ

ภาพประกอบบางส่วน

SShttp://nongyaplong.pbro.moph.go.th
เริ่มระบบ BMS20091109
ปัจจุบัน CentOS 5.4x64, MySQL5.1.41, HOSxP 3.54.3.17, HP ProLaint ML150G6, Ram 4 GB, S-ATA 320x2

ออฟไลน์ dotAtainer

  • Hero Member
  • *****
  • กระทู้: 1,256
  • กระบี่กรียุค
  • Respect: +3
    • ดูรายละเอียด
    • http://www.nondindeang.com
Re: โดนแล้ว HACKER
« ตอบกลับ #1 เมื่อ: สิงหาคม 24, 2010, 09:42:24 AM »
0
 ;D ;D ;D น่ากลัวจริงๆนะครับถ้าเกิดเข้ามาได้
สวัสดีครับ ผม Admin จากโรงพยาบาลโนนดินแดง จังหวัดบุรีรัมย์ ยินดีที่ได้รู้จักทุกท่านและขอบคุณสำหรับคำแนะนำจากผู้รู้ทุกท่านในอนาคตอันใกล้ครับ T_T
server>>>> IBM  Cpu  Xeon  Ram 12 GB   SCSI  136 GB For Marter&slav
Hosxp  เวอร์ชั่นพิมพ์นิยม
<>Server Master : OS freebsd 8.1 : Mysql5.5.8
<>Server slav: OS freebsd 8.1 : Mysql 5.5.8
ขึ้นระบบ:ขึ้นระบบเอง:จากคำแนะนำของทีมงาน BMS
ตอนนี้ใช้ Unix เป็นชีวิตจิตใจครับ
:ปัญหาคือที่มาของประสบการณ์:พรแสวงไม่ทำให้ใครเสียแรงเปล่า
dotatainer@hotmail.com
http://www.nondindeang.com
http://www.facebook.com/dotatainer
ความใฝ่ฝันที่ทำได้แค่ฝันใฝ่
http://www.musicatm.com/indy/%E0%B8%A3%E0%B8%B1%E0%B8%81%E0%B9%80%E0%B8%98%E0%B8%AD%E0%B8%AA%E0%B8%B8%E0%B8%94%E0%B8%AB%E0%B8%B1%E0%B8%A7%E0%B9%83%E0%B8%88-14296.html

http://www.musicatm.com/indy/%E0%B8%A7%E0%B9%88%E0%B8%B2%E0%B8%87%E0%B9%80%E0%B8%9B%E0%B8%A5%E0%B9%88%E0%B8%B2-11276.html

ออฟไลน์ manoi

  • Hero Member
  • *****
  • กระทู้: 8,669
  • Respect: +170
    • ดูรายละเอียด
    • HOSxP Community Center
Re: โดนแล้ว HACKER
« ตอบกลับ #2 เมื่อ: สิงหาคม 24, 2010, 09:59:12 AM »
0
ลง denyhosts ครับ

yum install denyhosts

service denyhosts start
« แก้ไขครั้งสุดท้าย: สิงหาคม 24, 2010, 10:18:47 AM โดย manoi »
HOSxP Project Manager / Cheif Developer / BMS MD

ออฟไลน์ เกื้อกูล ครับ..

  • Hero Member
  • *****
  • กระทู้: 12,611
  • Respect: +169
    • ดูรายละเอียด
    • โรงพยาบาลปากท่อ
Re: โดนแล้ว HACKER
« ตอบกลับ #3 เมื่อ: สิงหาคม 24, 2010, 10:05:26 AM »
0
โชคดี  ผม..มีอาจารย์มาทำให้...เลยรอดตัว  แต่ก็ยังโดนพยายาม   hack ทุกวันแหล่ะครับ....
Implement  HOSxP  Start 2548 ---> NOW!
Station : 140 Client   V.3 Version  3.67.7.8
Server  : CENTOS 7 +MySQL maria 10.x.x

ออฟไลน์ Adeno Benzoate

  • Sr. Member
  • ****
  • กระทู้: 257
  • May You Always Find Happiness in All You Do
  • Respect: 0
    • ดูรายละเอียด
    • Langu Hospital
Re: โดนแล้ว HACKER
« ตอบกลับ #4 เมื่อ: สิงหาคม 24, 2010, 11:36:20 AM »
0
อืม user ที่ตั้งไว้ชักอันตรายแฮะ ศึกษาไว้ก่อนครับ  :o
https://www.languhospital.com/
https://www.facebook.com/languhos
ขึ้นระบบ 04/11/2552
PowerEdge R440
Processor Intel(R) Xeon(R) Silver 4210R CPU @ 2.40GHz
32GiB System Memory
479GB PERC H730P Adp

ออฟไลน์ เข้ม

  • Hero Member
  • *****
  • กระทู้: 2,805
  • Respect: +4
    • ดูรายละเอียด
    • phichit hospital
Re: โดนแล้ว HACKER
« ตอบกลับ #5 เมื่อ: สิงหาคม 24, 2010, 12:57:00 PM »
0
โชคดี  ผม..มีอาจารย์มาทำให้...เลยรอดตัว  แต่ก็ยังโดนพยายาม   hack ทุกวันแหล่ะครับ....


ระบบ server ที่สร้างไว้คือ
FreeBSD 8.0 64bit
ติดตั้งตามค่ามาตรฐานต่างๆ ไม่มีการเพิ่มระบบป้องกันใดๆ

ข้อมูลที่ตรวจสอบได้บางส่วน
Aug 19 02:00:01 nongyaplong sshd[17231]: Invalid user nishino from 162.42.166.2
Aug 19 02:00:04 nongyaplong sshd[17249]: Invalid user nishioka from 162.42.166.2
Aug 19 02:00:06 nongyaplong sshd[17251]: Invalid user nishitani from 162.42.166.2
Aug 20 14:07:46 nongyaplong sshd[73707]: Did not receive identification string from 61.16.240.36
Aug 20 14:13:03 nongyaplong sshd[73727]: Did not receive identification string from 61.16.240.36
Aug 20 19:16:37 nongyaplong sshd[74290]: Invalid user oracle from 116.28.64.158
Aug 20 19:16:41 nongyaplong sshd[74292]: Invalid user test from 116.28.64.158
Aug 20 21:42:24 nongyaplong sshd[74534]: Invalid user nagios from 218.75.79.18
Aug 22 19:00:00 nongyaplong sshd[81208]: Invalid user jens from 196.201.228.242
Aug 22 19:00:01 nongyaplong sshd[81208]: error: PAM: authentication error for illegal user jens from 196.201.228.242
Aug 22 19:00:01 nongyaplong sshd[81208]: Failed keyboard-interactive/pam for invalid user jens from 196.201.228.242 port 35031

ssh2
Aug 22 19:00:07 nongyaplong sshd[81227]: reverse mapping checking getaddrinfo for 196.201.228.242.reverse.kdn.co.ke

[196.201.228.242] failed - P
OSSIBLE BREAK-IN ATTEMPT!

*** ใครโดนบ้าง และรับมืออย่างไร เล่าให้ฟังบ้างครับ


เป็นเหตุการณ์ปกติ อยู่แล้วครับ
รับมือกับพวกนี้อย่างไร ....
ตัว freebsd เองถ้าติดตั้งปกติระบบไม่ได้เปิด port เผื่อเอาไว้ให้ ถ้าไม่ได้สั่งให้เปิด (ย้ำว่าถ้าไม่ได้เปิดเผื่อไว้นะครับ)
อีกอย่าง password ก็หมั่นเปลี่ยนบ่อย ๆด้วย
ssh ก็ไปกำหนด ไม่ให้ root เข้ามาได้ก็จะดี กำหนดให้เข้าได้เฉพาะ user ที่เราตั้งขึ้นอย่างเดียว
อย่างน้อย ก็ใช้ user name >> root ไม่ได้ไป 1 account แล้ว อยากเข้ามาก็ให้มันเดาไปละกัน
คนไทยดีอย่างหนึ่ง ชื่อ เขียนเป็นภาษาอังกฤษ มันเดายากอยู่แล้ว  ;D
Phichit Hospital
HOSxP 3.61.10.31 on FreeBSD 9.2
By BMS - Dec 26, 2007

ออฟไลน์ Auing

  • Sr. Member
  • ****
  • กระทู้: 458
  • " *-* "
  • Respect: 0
    • ดูรายละเอียด
Re: โดนแล้ว HACKER
« ตอบกลับ #6 เมื่อ: สิงหาคม 24, 2010, 13:28:10 PM »
0

00.พบเส้นทางจาก 3 ประเทศ คือ UK,KENYA,CHINA
UK:ใช้โปรแกรมสุ่ม user password ยิงเข้ามาที่เครื่อง server เฉลี่ยแล้ว 1 user/ 1 วินาที () เป็นเวลา 2 ชม. เต็มๆ หน่วย
(ความถี่ของการพยายามมากที่สุด)
KENYA:เหมือน UK แต่ใช้เวลาประมาณ ครึ่ง ชม.(ความถี่ของการพยายามน้อยกว่า UK )
CHINA:ใช้การสุ่ม user จากการให้บริการ เช่น mysql, oracle, test จะสุ่มประมาณ 4-5 ชื่อแล้วก็เลิกไป (ความถี่ของการพยายามน้อยที่สุด)
00.การพยายามเข้ามานี้จะเกิดขึ้นทุกๆ วัน (ช่วงเวลา ยังไม่แน่นอน รอเก็บข้อมูลเพิ่มเติมครับ)



จากรูปใช้โปรแกรมใหนหาเหรอครับ
Santisuk Hosp
Mr.NOPHADON,>เจ้าพนักงานเครื่องคอมพิวเตอร์ชำนาญการกินเป็นพิเศษ
MSN      : auinga@hotmail.com    
Server   :   HP, Cen OS 6.4 64 bit, Ram 2 G 
Hosxp structure version    : 3.56.8.21, MariaDB 5.5.32
HOSxP Start : 13092549

ออฟไลน์ E-Hos

  • Hero Member
  • *****
  • กระทู้: 711
  • Respect: 0
    • ดูรายละเอียด
    • http://www.erawanhospital.com/index.php
Re: โดนแล้ว HACKER
« ตอบกลับ #7 เมื่อ: สิงหาคม 24, 2010, 13:55:51 PM »
0

00.พบเส้นทางจาก 3 ประเทศ คือ UK,KENYA,CHINA
UK:ใช้โปรแกรมสุ่ม user password ยิงเข้ามาที่เครื่อง server เฉลี่ยแล้ว 1 user/ 1 วินาที () เป็นเวลา 2 ชม. เต็มๆ หน่วย
(ความถี่ของการพยายามมากที่สุด)
KENYA:เหมือน UK แต่ใช้เวลาประมาณ ครึ่ง ชม.(ความถี่ของการพยายามน้อยกว่า UK )
CHINA:ใช้การสุ่ม user จากการให้บริการ เช่น mysql, oracle, test จะสุ่มประมาณ 4-5 ชื่อแล้วก็เลิกไป (ความถี่ของการพยายามน้อยที่สุด)
00.การพยายามเข้ามานี้จะเกิดขึ้นทุกๆ วัน (ช่วงเวลา ยังไม่แน่นอน รอเก็บข้อมูลเพิ่มเติมครับ)



จากรูปใช้โปรแกรมใหนหาเหรอครับ

ใช่ครับ อยากรูปอยากรูปครับ กำลังศึกษาเรื่องงระบบความปลอดภัยครับ เคยศึกษาผ่านมา แล้วก็ลืมแล้วครับ  ;D ;D ;D ;D
ACADEMIC COMPUTING.  Erawan_Hospital
>> Thanks ... DansaI HospitaL L-o-E-i
>> By อ. Decha, อ.Armds

=> NoW !! HosXP SERVER Version 3.58.1.1
=> Client 50 client  OS: SP2 >> 3.58.1.1
=> ER Room  NoW ! HosXP Version 3.57.7.25D
=> Doctor Room  NoW ! HosXP Version 3.58.1.1
=> HosXP Test  Version 3.58.1.xx
=> Coming Soon >>UP Version 3.58.1.xx
wait...
-----------------------------
Start  System  8 January 2009

ออฟไลน์ dotAtainer

  • Hero Member
  • *****
  • กระทู้: 1,256
  • กระบี่กรียุค
  • Respect: +3
    • ดูรายละเอียด
    • http://www.nondindeang.com
Re: โดนแล้ว HACKER
« ตอบกลับ #8 เมื่อ: สิงหาคม 24, 2010, 14:02:19 PM »
0
 ;D ;D ;D จริงด่้วยสิครับ freebsd มันมี security ที่โหดมากถึงมี password root ก็ใช่ว่าจะรีโมทเข้าไปได้
ยกเว้นได้รับการยินยอมให้ user ธรรมดาใช้คำสั่ง su แต่ถ้าเป็น mysql password ก็ไม่แน่่เพราะมันวิ่งผ่านคนละ port อิอิผมพูดถูกมั้ยเนี่ย

 
โชคดี  ผม..มีอาจารย์มาทำให้...เลยรอดตัว  แต่ก็ยังโดนพยายาม   hack ทุกวันแหล่ะครับ....


ระบบ server ที่สร้างไว้คือ
FreeBSD 8.0 64bit
ติดตั้งตามค่ามาตรฐานต่างๆ ไม่มีการเพิ่มระบบป้องกันใดๆ

ข้อมูลที่ตรวจสอบได้บางส่วน
Aug 19 02:00:01 nongyaplong sshd[17231]: Invalid user nishino from 162.42.166.2
Aug 19 02:00:04 nongyaplong sshd[17249]: Invalid user nishioka from 162.42.166.2
Aug 19 02:00:06 nongyaplong sshd[17251]: Invalid user nishitani from 162.42.166.2
Aug 20 14:07:46 nongyaplong sshd[73707]: Did not receive identification string from 61.16.240.36
Aug 20 14:13:03 nongyaplong sshd[73727]: Did not receive identification string from 61.16.240.36
Aug 20 19:16:37 nongyaplong sshd[74290]: Invalid user oracle from 116.28.64.158
Aug 20 19:16:41 nongyaplong sshd[74292]: Invalid user test from 116.28.64.158
Aug 20 21:42:24 nongyaplong sshd[74534]: Invalid user nagios from 218.75.79.18
Aug 22 19:00:00 nongyaplong sshd[81208]: Invalid user jens from 196.201.228.242
Aug 22 19:00:01 nongyaplong sshd[81208]: error: PAM: authentication error for illegal user jens from 196.201.228.242
Aug 22 19:00:01 nongyaplong sshd[81208]: Failed keyboard-interactive/pam for invalid user jens from 196.201.228.242 port 35031

ssh2
Aug 22 19:00:07 nongyaplong sshd[81227]: reverse mapping checking getaddrinfo for 196.201.228.242.reverse.kdn.co.ke

[196.201.228.242] failed - P
OSSIBLE BREAK-IN ATTEMPT!

*** ใครโดนบ้าง และรับมืออย่างไร เล่าให้ฟังบ้างครับ


เป็นเหตุการณ์ปกติ อยู่แล้วครับ
รับมือกับพวกนี้อย่างไร ....
ตัว freebsd เองถ้าติดตั้งปกติระบบไม่ได้เปิด port เผื่อเอาไว้ให้ ถ้าไม่ได้สั่งให้เปิด (ย้ำว่าถ้าไม่ได้เปิดเผื่อไว้นะครับ)
อีกอย่าง password ก็หมั่นเปลี่ยนบ่อย ๆด้วย
ssh ก็ไปกำหนด ไม่ให้ root เข้ามาได้ก็จะดี กำหนดให้เข้าได้เฉพาะ user ที่เราตั้งขึ้นอย่างเดียว
อย่างน้อย ก็ใช้ user name >> root ไม่ได้ไป 1 account แล้ว อยากเข้ามาก็ให้มันเดาไปละกัน
คนไทยดีอย่างหนึ่ง ชื่อ เขียนเป็นภาษาอังกฤษ มันเดายากอยู่แล้ว  ;D
สวัสดีครับ ผม Admin จากโรงพยาบาลโนนดินแดง จังหวัดบุรีรัมย์ ยินดีที่ได้รู้จักทุกท่านและขอบคุณสำหรับคำแนะนำจากผู้รู้ทุกท่านในอนาคตอันใกล้ครับ T_T
server>>>> IBM  Cpu  Xeon  Ram 12 GB   SCSI  136 GB For Marter&slav
Hosxp  เวอร์ชั่นพิมพ์นิยม
<>Server Master : OS freebsd 8.1 : Mysql5.5.8
<>Server slav: OS freebsd 8.1 : Mysql 5.5.8
ขึ้นระบบ:ขึ้นระบบเอง:จากคำแนะนำของทีมงาน BMS
ตอนนี้ใช้ Unix เป็นชีวิตจิตใจครับ
:ปัญหาคือที่มาของประสบการณ์:พรแสวงไม่ทำให้ใครเสียแรงเปล่า
dotatainer@hotmail.com
http://www.nondindeang.com
http://www.facebook.com/dotatainer
ความใฝ่ฝันที่ทำได้แค่ฝันใฝ่
http://www.musicatm.com/indy/%E0%B8%A3%E0%B8%B1%E0%B8%81%E0%B9%80%E0%B8%98%E0%B8%AD%E0%B8%AA%E0%B8%B8%E0%B8%94%E0%B8%AB%E0%B8%B1%E0%B8%A7%E0%B9%83%E0%B8%88-14296.html

http://www.musicatm.com/indy/%E0%B8%A7%E0%B9%88%E0%B8%B2%E0%B8%87%E0%B9%80%E0%B8%9B%E0%B8%A5%E0%B9%88%E0%B8%B2-11276.html

ออฟไลน์ ANPANMAN

  • Sr. Member
  • ****
  • กระทู้: 288
  • มนุษย์เงินเดือน
  • Respect: 0
    • ดูรายละเอียด
    • โรงพยาบาลหนองหญ้าปล้อง
Re: โดนแล้ว HACKER
« ตอบกลับ #9 เมื่อ: สิงหาคม 24, 2010, 14:26:17 PM »
0
เป็นเหตุการณ์ปกติ อยู่แล้วครับ
อืมครับ..เพียงแค่แปลกใจ มาเร็วเกินคาด ปล่อยออนไลน์ได้แค่อาทิตเดียวมาซะแล้ว

คนไทยดีอย่างหนึ่ง ชื่อ เขียนเป็นภาษาอังกฤษ มันเดายากอยู่แล้ว  ;D
ใช่ครับ... ผมก็ชอบนี่ละ

จากรูปใช้โปรแกรมใหนหาเหรอครับ
ไม่ยากเลยครับ ผมบอกไว้แล้วขั้นต้น คือ google ดีดี นี่เอง
keyword : whois ip xxxxx    :P  เพราะว่า ในระบบจะต้องมีค้นทางแน่นอน  แต่จะเป็น ip plubic หรือ private ก็อีกเรื่องครับ ที่ใช้กระทำเข้ามา
รอโดนเยอะๆ แล้วค่อยหาวิธีเจาะลึกมากกว่านี้ครับ

SShttp://nongyaplong.pbro.moph.go.th
เริ่มระบบ BMS20091109
ปัจจุบัน CentOS 5.4x64, MySQL5.1.41, HOSxP 3.54.3.17, HP ProLaint ML150G6, Ram 4 GB, S-ATA 320x2

ออฟไลน์ เข้ม

  • Hero Member
  • *****
  • กระทู้: 2,805
  • Respect: +4
    • ดูรายละเอียด
    • phichit hospital
Re: โดนแล้ว HACKER
« ตอบกลับ #10 เมื่อ: สิงหาคม 24, 2010, 14:54:26 PM »
0
;D ;D ;D จริงด่้วยสิครับ freebsd มันมี security ที่โหดมากถึงมี password root ก็ใช่ว่าจะรีโมทเข้าไปได้
ยกเว้นได้รับการยินยอมให้ user ธรรมดาใช้คำสั่ง su แต่ถ้าเป็น mysql password ก็ไม่แน่่เพราะมันวิ่งผ่านคนละ port อิอิผมพูดถูกมั้ยเนี่ย


user ธรรมดา ถ้าไม่ได้กำหนดให้อยู่ใน wheel group ก็ su ไม่ได้ ... ดีอย่างนี้แหล่ะ  ;D ;D


Phichit Hospital
HOSxP 3.61.10.31 on FreeBSD 9.2
By BMS - Dec 26, 2007

ออฟไลน์ ANPANMAN

  • Sr. Member
  • ****
  • กระทู้: 288
  • มนุษย์เงินเดือน
  • Respect: 0
    • ดูรายละเอียด
    • โรงพยาบาลหนองหญ้าปล้อง
Re: โดนแล้ว HACKER
« ตอบกลับ #11 เมื่อ: สิงหาคม 24, 2010, 15:03:34 PM »
0
;D ;D ;D จริงด่้วยสิครับ freebsd มันมี security ที่โหดมากถึงมี password root ก็ใช่ว่าจะรีโมทเข้าไปได้
ยกเว้นได้รับการยินยอมให้ user ธรรมดาใช้คำสั่ง su แต่ถ้าเป็น mysql password ก็ไม่แน่่เพราะมันวิ่งผ่านคนละ port อิอิผมพูดถูกมั้ยเนี่ย
user ธรรมดา ถ้าไม่ได้กำหนดให้อยู่ใน wheel group ก็ su ไม่ได้ ... ดีอย่างนี้แหล่ะ  ;D ;D

เรื่อง user นี่ผมก็หวั่นๆ อยู่เหมือนกันครับ  เพราะโปรแกรมบางตัว ก็จะสร้าง group / user ขึ้นมา เหมือนกัน
มีโปรแกรมไหนบ้าง ที่ต้องสร้าง user มาเอง อันนี้คงต้องตรวจสอบอีกพักใหญ่เลย
SShttp://nongyaplong.pbro.moph.go.th
เริ่มระบบ BMS20091109
ปัจจุบัน CentOS 5.4x64, MySQL5.1.41, HOSxP 3.54.3.17, HP ProLaint ML150G6, Ram 4 GB, S-ATA 320x2

ออฟไลน์ dotAtainer

  • Hero Member
  • *****
  • กระทู้: 1,256
  • กระบี่กรียุค
  • Respect: +3
    • ดูรายละเอียด
    • http://www.nondindeang.com
Re: โดนแล้ว HACKER
« ตอบกลับ #12 เมื่อ: สิงหาคม 24, 2010, 15:32:00 PM »
0
 ;D ;D ;D ดูตัวนี้เพิ่มละกันครับเผื่อจะช่วยได้การ turning ระบบ security freebsd

http://www.freebsd.sru.ac.th/index.php/firewall
สวัสดีครับ ผม Admin จากโรงพยาบาลโนนดินแดง จังหวัดบุรีรัมย์ ยินดีที่ได้รู้จักทุกท่านและขอบคุณสำหรับคำแนะนำจากผู้รู้ทุกท่านในอนาคตอันใกล้ครับ T_T
server>>>> IBM  Cpu  Xeon  Ram 12 GB   SCSI  136 GB For Marter&slav
Hosxp  เวอร์ชั่นพิมพ์นิยม
<>Server Master : OS freebsd 8.1 : Mysql5.5.8
<>Server slav: OS freebsd 8.1 : Mysql 5.5.8
ขึ้นระบบ:ขึ้นระบบเอง:จากคำแนะนำของทีมงาน BMS
ตอนนี้ใช้ Unix เป็นชีวิตจิตใจครับ
:ปัญหาคือที่มาของประสบการณ์:พรแสวงไม่ทำให้ใครเสียแรงเปล่า
dotatainer@hotmail.com
http://www.nondindeang.com
http://www.facebook.com/dotatainer
ความใฝ่ฝันที่ทำได้แค่ฝันใฝ่
http://www.musicatm.com/indy/%E0%B8%A3%E0%B8%B1%E0%B8%81%E0%B9%80%E0%B8%98%E0%B8%AD%E0%B8%AA%E0%B8%B8%E0%B8%94%E0%B8%AB%E0%B8%B1%E0%B8%A7%E0%B9%83%E0%B8%88-14296.html

http://www.musicatm.com/indy/%E0%B8%A7%E0%B9%88%E0%B8%B2%E0%B8%87%E0%B9%80%E0%B8%9B%E0%B8%A5%E0%B9%88%E0%B8%B2-11276.html

ออฟไลน์ Knott

  • Hero Member
  • *****
  • กระทู้: 889
  • Respect: +1
    • ดูรายละเอียด
Re: โดนแล้ว HACKER
« ตอบกลับ #13 เมื่อ: สิงหาคม 25, 2010, 00:23:25 AM »
0
 ;D ;D ;D
รพช.วัดโบสถ์ จ.พิษณุโลก
ขึ้นระบบ 1 เมษายน 2551 (ขึ้นระบบเอง)
Server : IBM x3250 M2, RAM 4 GB, FreeBSD 7.2, Mysql 5.1.30
HOSxP Version 3.56.1.15

ออฟไลน์ Bordin

  • Hero Member
  • *****
  • กระทู้: 1,089
  • อย่าคิดว่าทำไม่ได้ ถ้ายังไม่ลองทำ
  • Respect: +1
    • ดูรายละเอียด
    • ADMIN PCB. sz
Re: โดนแล้ว HACKER
« ตอบกลับ #14 เมื่อ: สิงหาคม 25, 2010, 07:52:20 AM »
0
โดน Bruteforce แล้ว ;D
เปลี่ยน port 22 เป็น port อื่นสิครับ เวลา forward port จาก WAN -> LAN  ;D ;D

ผมก็เคยโดนเหมือนกัน

ออฟไลน์ ANPANMAN

  • Sr. Member
  • ****
  • กระทู้: 288
  • มนุษย์เงินเดือน
  • Respect: 0
    • ดูรายละเอียด
    • โรงพยาบาลหนองหญ้าปล้อง
Re: โดนแล้ว HACKER
« ตอบกลับ #15 เมื่อ: สิงหาคม 25, 2010, 08:18:16 AM »
0
;D ;D ;D ดูตัวนี้เพิ่มละกันครับเผื่อจะช่วยได้การ turning ระบบ security freebsd
http://www.freebsd.sru.ac.th/index.php/firewall
ขอบคุณครับ ตรงประเด็นเลย

โดน Bruteforce แล้ว ;D
เปลี่ยน port 22 เป็น port อื่นสิครับ เวลา forward port จาก WAN -> LAN  ;D ;D
ผมก็เคยโดนเหมือนกัน
ขอบคุณครับ สำหรับประสบการณ์

แต่ไม่ทราบว่า port อื่นๆ จะต้องป้องกันไหมครับ.. นอกจาก ssh
SShttp://nongyaplong.pbro.moph.go.th
เริ่มระบบ BMS20091109
ปัจจุบัน CentOS 5.4x64, MySQL5.1.41, HOSxP 3.54.3.17, HP ProLaint ML150G6, Ram 4 GB, S-ATA 320x2

ออฟไลน์ Tuleedin

  • Full Member
  • ***
  • กระทู้: 113
  • Respect: +5
    • ดูรายละเอียด
Re: โดนแล้ว HACKER
« ตอบกลับ #16 เมื่อ: พฤศจิกายน 01, 2010, 16:36:05 PM »
0
ต้องทำ DenyHosts อย่าง อาจารย์ว่าครับ เพื่อลดภาระการทำงานของเครื่องครับ แต่ใช้ freebsd นี่ดีอย่างครับ ลดภาระเรื่องนี้ลงไปได้เยอะครับ ไม่ค่อยมีปัญหาเรื่องโดนเจาะง่ายๆๆ นอกจากโดนเฉพาะ user เพราะตั้งรหัสผ่านง่ายไป แต่อย่าไปใช้พวก cms ตระกูล nuke หรือบอร์ดตระกูล phpbb น่ะครับจะโดนเจาะเอาง่ายๆๆ เลยครับ เพราะเค้าจะเจาะผ่านพวก cms โดยอาศัย bug จากโค้ดต่อให้ os ดีแค่ไหนก็ตามครับ
Laemchabang Hospital
Master : Dell PowerEdge R720 Xeon E5-2667@2.90GHz RAM 144GB Oracle Linux 6.6(x64) Percona 5.5.41 Structure@3.60.9.26 Client@3.60.9.26
Slave : Dell PowerEdge R720 Xeon E5-2667@2.90GHz RAM 96GB Oracle Linux 6.6(x64) Percona 5.5.41 Structure@3.60.9.26 Client@3.60.9.26
by BMS 2011