thaiall logomy background

บันทึกปัญหาเกี่ยวกับลีนุกซ์

my town
หน้าหลัก | ลีนุกซ์คืออะไร | แนะนำหนังสือ | superuser | บันทึกปัญหา |
ประสบการณ์การถูกโจมตี (h@_ked Recording)
: ผลของการถูก h@_k มีลักษณะตามอาการที่ h@_ker ต้องการ ไม่ซ้ำแบบกัน
    40. 2549-07-03 อ.อิทธิพล ทดสอบ sniffer ในเครือข่าย ทำให้รู้ว่าเราใช้ Hub และ Mail Server ของเราไม่ป้องกันเหมือนกัน scb.co.th ที่เปิดโอกาสให้โปรแกรม sniffer จับรหัสผ่านที่เชื่อมต่อกับ Server ปัญหาอยู่ที่ Server ปลายทางเช่น Web-based mail ที่ไม่มีบริการ SSL ในการเข้ารหัส จึงเริ่มต้นที่การใส่ SSL เข้าไปใน yn1 และ www ซึ่งเขียนไว้ใน 9.79
    39. 2549-03-27 windows2003 ถูก h@_k โดยส่งแฟ้ม index.html เข้ามาแทนหน้าแรก
    แต่ไม่สามารถทับแฟ้มเดิมได้ แฟ้มที่ส่งเข้ามาเป็นมีเจ้าของเป็น IUSER พอกำหนดให้ IUSER เขียนไม่ได้ ก็น่าจะแก้ปัญหาการเข้ามาสร้างแฟ้มได้ในระดับหนึ่ง แต่ที่สำคัญต้องหาว่า เขาส่งแฟ้ม index.html เข้ามาได้อย่างไร เพราะระบบใช้แฟ้ม index.php แต่ IIS กำหนดให้ index.html มี Priority มากกว่า เราสงสัยว่า script ของ moodle.org อาจมีจุดบกพร่องก็ได้
    38. 2548-03-19 windows2003 ถูก h@_k และ Redhat 9.0 ก็ล่ม
    ประมาณ 11 เมษายน ที่ผ่านมา พบว่า Windows 2003 ถูก h@_k ผมกับอ.วิเชพ พบว่า server ของเรายิงชาวบ้านไป port 445 ด้วยการใช้ netstat -an และ ftp ของเราก็ถูกปิด และเปลี่ยน เข้าใจว่าเขา remote control เข้ามาลงโปรแกรมต่าง ๆ ไว้ สุดท้ายต้องเลือก basic firewall ของ OS แล้วเปิด service เฉพาะที่ต้องการ ทำให้ไม่ยอมรับการถูก ping และทดสอบใช้โปรแกรม h@_k เข้าไป ผ่านจุดบกพร่องที่เคยมี ก็เข้าไม่ได้
    Windows2003 ที่มีหลายตัว เป็นทั้ง DHCP และ Web พึ่งติดตั้งใหม่เสร็จไม่ถึงสัปดาห์ แผนการ backup mail server หลัก ก็ไม่ทันได้ใช้ harddisk ที่เคยใช้ backup ก็ถูกนำไปใช้กับงานอื่นหมด เพราะ server เสีย จนบูธไม่ขึ้น จึงตัดสินใจลงใหม่ และพิมพ์ user name ใหม่หมด .. และเป็นโอกาสที่ได้ update หลาย ๆ เรื่องในเว็บเพจหน้านี้อีกครั้ง
    37. 2547-11-15 เครื่อง class.yonok.ac.th เปิดจากภายนอกไม่ได้
    ปัญหานี้ไม่น่าเกิดขึ้น แต่ผมปล่อยเรื้อรังมานาน ประเด็นของปัญหาคือ เปิดเว็บของ server ตัวนี้ผ่าน proxy ไม่ได้ เช่นผู้ใช้จาก 1222 หรือในโรงเรียนต่าง ๆ ที่มี proxy ขวางอยู่ เพราะการเข้าผ่าน proxy จะส่งคำขอเป็น random port เข้า web server เพราะเป็น server ที่เปิดในองค์กรได้ แต่เปิดจากข้างนอก บางองค์กรไม่ได้ จากการตรวจสอบอย่างจริงจัง ก็พบว่า router มีความสามาร block port ที่มากกว่า 3000 แล้ว ทีมงานเคยกำหนดข้อจำกัดนี้กับ ip ของเครื่อง class.yonok.ac.th เมื่อเอาออก ปัญหานี้ก็หมดไป
    36. 2547-10-19 ส่ง e-mail จากโยนก เข้า ISP รายหนึ่งไม่ได้
    ทดสอบใช้ #telnet post.xxx.co.th 25 แล้ว server ของ ISP รายนั้นไม่ตอบกลับมา หลังจากพยายามติดต่อทีมงานของเขาเกือบครึ่งเดือน จึงทราบว่าขนาด banner ที่ตอบกลับมาก ถูก block ระหว่างทาง พอเขาเปลี่ยนขนาด banner ก็สามารถส่ง e-mail ไปถึง SMTP server ของเขาได้ ทางคุณยอด ซึ่งเป็นทีมงานได้ให้ข้อมูลกับผมว่า สิงคโปร์เทเลคอม เคย block package ขนาดนี้ ผลการใช้ traceroute post.xxx.co.th พบ router ที่ต้องผ่านไปหลายตัว จึงต้องไปหาว่า router ตัวไหนของใคร เป็นคนจำกัด package ขนาดเท่านี้บ้าง .. และผมก็ไม่มีความสามารถมากพอที่จะอธิบาย ผู้ดูแล router แต่ละตัว ทาง ISP จึงอาสาจะไป clear ให้
    #traceroute post.loxinfo.co.th
    traceroute to post.loxinfo.co.th (203.146.237.154), 30 hops max, 38 byte packets
    1 door.yonok.ac.th (202.29.78.254) 0.682 ms 0.674 ms 0.717 ms
    2 202.28.29.41 (202.28.29.41) 6.826 ms 4.458 ms 3.469 ms
    3 atm-0-0-0.700.R01.MUA.uni.net.th (202.28.28.129) 18.444 ms 13.924 ms 14.145 ms
    4 202.28.28.18 (202.28.28.18) 15.069 ms 19.641 ms 16.107 ms
    5 202.129.63.82 (202.129.63.82) 14.641 ms 14.266 ms 15.081 ms
    6 cor36-G-cor22.csloxinfo.net (210.1.46.35) 14.843 ms 15.029 ms 14.958 ms
    7 cor35-G-cor22.csloxinfo.net (210.1.46.34) 15.403 ms 16.626 ms 14.658 ms
    8 post.loxinfo.co.th (203.146.237.154) 15.064 ms 15.687 ms 14.859 ms

    35. 2546-12-22 Uni.net.th ล่มในส่วนของขาอออกต่างประเทศ เพราะสาย fiber ขาดในทะเลอีกแล้ว
    uni.net.th แจ้งว่าถ้าสถาบันใดเปิด net ในประเทศไม่ได้ ให้แก้ไขแฟ้ม /etc/named.conf ส่วนขาออกต่างประเทศ ถ้ารอบริษัทที่ LA แก้อาจใช้เวลา 5-7 วัน ขณะนี้กำลังขอทาง กสท. เพื่อใช้ขอเชื่อมต่อขาออกนอกประเทศชั่วคราว ถ้าได้ก็จะให้บริการใน spedd ที่ต่ำในระยะสั้นนี้ก่อน สำหรับแฟ้ม /etc/named.conf ที่มีตัวอย่างให้แก้ไข สำหรับสถาบันที่มีปัญหาการเปิดเว็บในประเทศไม่ได้ เป็นดังนี้
    zone "th" in {
    type forward;
    forward first;
    forwarders { 202.28.0.1; };
    };

    34. 2546-12-17 Server ล่มเพราะ Harddisk มีปัญหา ใช้ fsck ก็ไม่ได้ จึงต้องลง HD ตัวใหม่
    HD ที่ backup ไว้ก็ใช้ไม่ได้ จึงต้องลง RH9.0 แล้ว copy ห้องต่าง ๆ เข้า HD ใหม่ จากนั้นก็ใช้ dd backup เข้า HD อีกตัวหนึ่ง ปัญหาที่พบใหญ่มี 2 ปัญหาคือ ระบบบริการ free webhosting โดยฐานข้อมูล user เดิมใช้ไม่ได้ พอติดตั้งใหม่ ก็ได้ แสดงว่าโปรแกรมของ cyberscript.net ไม่เหมาะกับการ copy ข้าม HD อีกปัญหาหนึ่งคือรับ mail จาก server ภายนอกไม่ได้ พอตรวจสอบก็พบว่า sendmail.mc กำหนดเรื่อง procmail แต่ใน HD ใหม่ไม่ได้ใช้ procmail จึงรับฉบับที่มาจากต่างเครือข่ายไม่ได้
    33. 2546-11-10 เข้า Linux server แบบ Single mode จาก Grub menu
    ครั้งนี้ไม่ได้ถูกใคร h@_k เพราะติดตั้ง 9.0 แล้วปัญหาต่าง ๆ น้อยลงมาก แต่สิ่งที่อยากเล่าให้ฟังคือ การ h@_k ตนเอง เพราะครั้งหนึ่งทีมงานได้ติดตั้ง RH9.0 โดยเลือก Grub เป็นตัวเริ่มต้นเข้าระบบ ปัญหาคือลืมรหัสผ่านของ root วิธีแก้ใน Redhat รุ่นเก่าคือ การกดปุ่ม ALT-X และพิมพ์ linux single ก็เข้าเป็น root ได้แล้ว แต่สำหรับ Grub จะต้องกดปุ่ม e
    เมื่อพบ kernel (hd0,0)/vmlinuz root=/dev/hda8 devfs=mount hdb=ide-scsi
    ให้เปลี่ยนเป็น kernel (hd0,0)/vmlinuz root=/dev/hda8 devfs=mount hdb=ide-scsi single แล้วกด g ก็จะเข้า single mode ในฐานะ root ได้
    32. 2545-11-31 DNS server 6.2 ถูก h@_k ผ่าน ftp
    เนื่องจากมีแผนเปลี่ยน upgrade DNS server จึงเปิด ftp เพื่อดึง mail ทั้งหมดลง server ตัวใหม่ แต่ปรากฏว่า h@_ker เข้ามาตอนตี 1 และเปลี่ยนรหัสผ่านของ root พร้องกับปิด ssh ทำให้ผมไม่สามารถปล่อย server ตัวนี้ต่อไปได้ ต้อง upgrade โดยด่วน
      เมื่อตรวจสอบแล้วผมสิ่งผิดปกติบางส่วนดังต่อไปนี้
    1. แฟ้ม /etc/rc.d/init.d/network ถูกแก้ไขโดยเพิ่มโปรแกรม /usr/bin/ssh2d -q
    2. แฟ้ม network ดังกล่าว เป็น text file แต่ไม่สามารถลบ chmod ได้ แม้จะเป็น root
    3. ห้อง /lib/security/.config ถูกสร้างขึ้น และเก็บโปรแกรมร่าง ๆ ที่น่าสงสัยเช่น login และ network เป็นต้น
    4. ประวัติการใช้งานในฐานะ root ไม่มีใน .bash_history เพราะถูกลบและเปลี่ยนด้วยคำสั่ง #ln -s /dev/null /root/.bash_history

    ftp ftpd6246 211.206.199.98 Fri Dec 27 00:08 - crash (07:34)
    ftp ftpd5616 211.96.24.84 Thu Dec 26 18:54 - crash (12:48)

    31. 2545-10-31 เครื่อง isinthai.com จากความผิดพลาด มิใช่ถูก h@_k
    หลังจากติดตั้งโปรแกรม RedHat 8.0 เรียบร้อยแล้ว ก็จะ backup โดยใช้ ghost แต่แทนที่จะเป็นการ backup กลับเป็นการ restore เพราะสลับกันระหว่างตัวแม่กับตัวลูก ทำให้ข้อมูลทั้งหมดหาย .. จึงเป็นประสบการณ์ว่า การ backup ในครั้งต่อไปต้องระวังให้ดี
    30. 2545-10-21 ได้รับแจ้งว่า server ของผมส่ง worm ออกไป จาก noc-auto@skyrr.is
    จึงต้องเข้าไปตรวจสอบ ปิดบริการต่าง ๆ และเปลี่ยน OS เป็น RH8.0 โดยขณะนี้เปิดเฉพาะ network และ httpd เท่านั้น จากส่วน setup, system services พร้อมเข้าไปศึกษาวิธีลบ worm ตัวนี้จาก http://www.f-secure.com/v-descs/slapper.shtml
    จดหมายอีกฉบับหนึ่งที่มีข้อความคล้ายกัน มาจาก Newyork university โดยเครื่องที่ส่งการโจมตีออกไปเป็นเพื่อเครื่อง Windows 98 ของธุรการในหน่วยงานหนึ่งเท่านั้น แก้ไขโดย format ใหม่ก็ไม่มีอะไรเกิดขึ้นอีก
    Date: Sun, 20 Oct 2002 16:39:06 GMT
    From: Network Operation Center Skyrr <noc-auto@skyrr.is>
    Subject: Portscan from 202.29.78.1
    
    Possible slapper worm infected host on your network. My timezone is GMT 0.
    
    More info about slapper worm and how to remove it on
    http://www.f-secure.com/slapper/
    This is an automated message please reply to noc@skyrr.is for more info
    
    Snip from log:
    
    Oct 20 06:12:53 pix2 %PIX-2-106006: Deny inbound UDP 
    from 202.29.78.1/2002 to 212.30.215.186/2002 on interface ytra
    Oct 20 06:54:27 pix2 %PIX-2-106006: Deny inbound UDP 
    from 202.29.78.1/2002 to 212.30.215.186/2002 on interface ytra
    Oct 20 13:11:11 pix2 %PIX-2-106006: Deny inbound UDP 
    from 202.29.78.1/2002 to 212.30.215.186/2002 on interface ytra
    =================
    To remove this virus
    Delete : 
    
    /tmp/.uubugtraq
    /tmp/.buqtraq.c
    /tmp/.bugtraq
    And upgrade OpenSSL to be 0.9.6e or above
    Date: Tue, 12 Nov 2002 16:49:02 -0500 (EST) From: Stephen Tihor <scan-alerts@nyu.edu> Subject: Scan from 202.29.78.51 On Tuesday, November 12, from 12:58 AM until 12:58 AM EST (GMT -0500) we detected a scan coming from 202.29.78.51, which does not have a reverse mapping in the DNS but which you administer. This IP Address scanned the netbios-ns ports of New York University's network (128.122.0.0/16). Sample router net flow data showing the event is attached. This is consistent with well-known security exploits, so we have contacted you in hopes you can look into this, find out who was doing the scanning and why, and take steps to prevent it in the future. Please let us know what you find out. The APNIC WhoIs database lists burin@yonok.ac.th as the primary contact for this system. If you are not the appropriate person to handle this matter, please pass this message along to the correct network contact. (It may also be useful to go to http://www.fr1.cyberabuse.org/whois/?page=change and update the prefered contact.) Thank you for your assistance. Stephen Tihor Senior Network Security Analyst Network and System Security Team New York University security@nyu.edu Flow Termination Time - Source Addr Dest Addr Prot S-Port D-Port Tue Nov 12 00:58:16 2002 - 202.29.78.51 128.122.168.0 UDP 1027 netbios-ns Tue Nov 12 00:58:16 2002 - 202.29.78.51 128.122.168.1 UDP 1027 netbios-ns

    29. 2545-09-30 ผมได้รับ mail จากผู้ศึกษา Linux เชิงลึกท่านหนึ่ง
    mail ให้ข้อมูลผมเกี่ยวกับระบบของ isinthai.com ว่ามีจุดบกพร่องอะไร และต้องแก้ไขอย่างไร ทำให้ผมต้องแผน upgrade จาก RH7.2 เป็น RH7.3 อีกครั้ง โดยข้อความในจดหมายของนักพัฒนาท่านนี้มีดังนี้
    สวัสดี ครับ ผมชื่อ ธนดล รามสงฆ์ หรือ นก นะครับ พอดี ได้อ่าน บทความที่ http://www.isinthai.com  ซึ่งชอบมากเลย คงเป็นตัวอย่างที่ดี กับเพื่อนๆ คนอื่น ส่วนที่ชื่อชอบคือ การแนะนำ คำสั่งเบื้องต้น อ่ะครับ และพอดี ได้อ่าน เรื่องราวของ server ตัวนี้ โดน h@_k ถึง 28 ครั้ง ทำให้ผมสนใจ ว่าเพราะอะไร ทำไมถึงโดนเยอะ ขนาดนั้น
    ส่วนที่ผม E-mail มานี้ เพื่อมาแจ้ง ความบกพร่อง ของ openssl ของ www.isinthai.com ของทีมงานคุณครับ ที่ได้ มีจุดอ่อน อยู่ที่ openssl ครับผม ซึ่งจะทำให้ คนที่เจาะเข้ามา สามารถ เป็น user apache ได้ และสามารถจะกลาย มาเป็น root ภายหลังได้ด้วยการ ใช้ local exploit อีกครั้งหนึ่ง ซึ่ง ตามที่ผมได้ทดลองในเวลา 20.25 วันที่ 29 กันยายน 2545 แล้ว ผม ก็ สามารถ มาเป็น user apache ได้ครับ และสามารถใช้คำสั่งต่างๆ ได้ทั่วไป และ ขึ้นมาเป็น root ในภายหลังได้ แต่ผมไม่ได้ทำ backdoor อะไรไว้หรอกครับ เพราะไม่อยากเสียแบบดีๆ เช่นนี้ไป เลย แจ้ง กลับมาเพื่อทราบครับผม ปล. ผมคาดว่า น่าจะมีคนอื่นเข้าได้ก่อนผม ครับ เพราะ เห็นว่ามี process bnc รันอยู่ ที่ /var/tmp  ครับ แต่ผมไม่ได้ลบออกครับ เพราะต้องการให้ทางทีมงาน ตรวจสอบ จุดบกพร่อมด้านอื่น ด้วยครับ
    สำหรับ การแก้ไข คือ update apache version ที่ใหม่กว่านี้ และ ติดตั้ง openssl ที่ตัวใหม่กว่า 0.96 ครับ ซึ่งจริงๆ ผมอยากแนะนำว่า ให้ติดตั้ง apche แบบแยกต่างหากครับ ไม่ควรติดตั้ง จาก rpm ที่ มากับแผ่น ครับ เพราะจะสามารถ ควบคุมอะไรได้ง่ายกว่านี้ครับผม อีกทั้ง ( จากความรู้สึกผมเอง ) เพียงแต่ว่า การ config ครั้งแรก อาจจะลำบากนิดนึง ครับผม สำหรับ url ที่เกี่ยวข้อง ได้แนบ มาให้ข้างใต้แล้วครับ
    http://www.cert.org/advisories/CA-2002-27.html
    http://online.securityfocus.com/bid/5362
    http://online.securityfocus.com/bid/5364
    ปล สุดท้าย ถ้าให้ดี ควร update openssh ด้วยครับ เพราะตัวนี้ ก็มีจุดบกพร่อง สามารถให้คน มา brute หา key สำหรับ root ได้เช่นกันครับผม และ ถ้าเป็นไปได้ ควรใช้ os ตัวอื่น เช่น mandrake หรือ slackware ดีกว่าครับ เพราะใน config พื้นฐานของ os สองตัวนี้จะจำกัด สิทธิ ของ file ไว้เข้มงวด มากครับ ถึงแม้ mandrake จะ ปรับมาจาก redhat ก็ตาม
    และสุดท้ายนี้ ขอเอาใจช่วย ทีมงาน เพื่อเปิดให้ ผู้อื่นมาใช้งาน เวบฟรี ของไทยเพื่อเกิดประโยชน์ต่อไปอีกครับ
    ธนดล รามสงฆ์
    Tanadon Rarmasong 
    http://www.linux-cdr.com

    28. 2545-05-25 หลังจากผมลง Redhat 7.2 ในเครื่อง yn3 ให้เป็น web server
    ในวันศุกร์ที่ 24 h@_ker ก็เข้ามาในวันเสาร์หลังจาก หายหน้าไปนานมาก เขา h@_k ระบบได้จริง ๆ เพราะสามารถเพิ่ม user ใน /etc/passwd และในเครื่องนี้ผมปิดบริการเกือบทั้งหมดแล้ว เหลือที่เปิดอยู่ก็คือ xinetd จึงได้ปิดไป
    ผมทราบว่าระบบผมถูก h@_k เพราะทาง neways.com.my แจ้งให้ทราบว่าเขาถูกโจมตี ผมแค่เปิด xinetd เพียง 3 วันก็มีคนมาใช้เครื่องไป h@_k คนอื่นได้แล้ว ผมตรวจเครื่องอื่นในระบบ ยังปกติ ไม่มีอาการของการถูก h@_k แต่ประการใด
    Date: Sat, 25 May 2002 21:37:16 -0800 (GMT+8)
    From: James Loh [jamesloh@neways.com.my]
    To: webmaster@yonok.ac.th
    Subject: h@_k attempts

    I am the system administrator of 202.187.249.50 and www.neways.com.my You have an IP address 202.29.78.14 (yn3.yonok.ac.th) which is attempting to h@_k my servers.The log below is in Malaysian time (GMT +0800). Pls investigate.
    202.187.249.50
    Attempt from 202.29.78.14 (yn3.yonok.ac.th) to in.ftpd at Sat May 25
    14:30:47 MYT 2002Attempt from 202.29.78.14 (yn3.yonok.ac.th) to in.ftpd at Sat May 25
    14:30:48 MYT 2002Attempt from 202.29.78.14 (yn3.yonok.ac.th) to in.ftpd at Sat May 25
    14:30:49 MYT 2002Attempt from 202.29.78.14 (yn3.yonok.ac.th) to in.ftpd at Sat May 25
    14:30:49 MYT 2002
    www.neways.com.my
    May 25 14:12:54 mail xinetd[17589]: refused connect from 202.29.78.14
    May 25 14:12:54 mail xinetd[17589]: refused connect from 202.29.78.14
    May 25 14:12:54 mail xinetd[17589]: FAIL: ftp libwrap from=202.29.78.14

    27. 2545-03-26 loxinfo แจ้งให้เราทราบว่า server ของเราสร้าง spam
    แนะนำให้ทำ relay ตรวจสอบแล้วพบว่าในเว็บมีหน้าเว็บที่ h@_ker เข้ามาสร้างจึง save screen ไว้ดู [หน้าเว็บที่ถูกกล่าวใน spam] ส่วนอีกปัญหาไม่แน่ใจว่าเกิดจากอะไร คือ login เข้าไปไม่ได้ จึงไป copy login ที่มีการ backup ไว้มาแทน /bin/login ก็ใช้งานได้ตามปกติ และได้ปิด /etc/hosts.deny เป็น all:all
    26. 2544-09-17 ทีมงานของ isinthai.com ไปอ่านบอร์ดของ http://www.kapook.com/hilight/2207.html
    ว่าเว็บของ http://www.malaysiaevents.com ถูก Water overflow เปลี่ยนหน้าเว็บเป็น หน้าใหม่ ซึ่งเดิมเขาเคย h@_k isinthai.com และอีกหลายเว็บในไทย
    การเป็น h@_ker นั้น ควร h@_k เข้าไปแล้ว บอกว่าระบบมีจุดผิดพลาดอย่างไร และออกมาโดยไม่ทำความเสียหาย แต่ water overflow ทำเป็นการกระทำเหมือนการก่อการร้าย เพราะเข้าไปแล้วเอา ธงชาติของประเทศไปเกี่ยวข้อง
    การ h@_k ก็คือการแสดงออกว่าตนเองมีความรู้ ผมว่ามีวิธีมากมาย ที่จะแสดงออก ในทางที่สร้างสรรค์ การแสดงออกในความรู้ของตนเองแบบนี้ เป็นความคิดที่ผิด และดูไม่มีค่าอะไร เพราะเมื่อรู้ว่าระบบปฏิบัติการตัวหนึ่งมีจุดด้อย และก็ใช้ความรู้เดิม ๆ นี้ไป h@_k เครื่องอื่น ที่มีจุดผิดพลาดเหมือนเดิม เป็นการใช้ความรู้เพื่อทำลายอย่างเดียวจริง ๆ เพราะถ้าเป็นผม จะ h@_k เข้าไปแล้ว mail ไปบอก webmaster ถึงข้อบกพร่อง ที่เว็บนั้นมีอยู่ พร้อมบอกวิธีการแก้ไข .. น่าจะเป็น h@_ker ที่สร้างสรรค์กว่า ที่ทำอยู่นี้มาก
    25. 2544-09-15 Mr RobiUz Miora [robiuz@yahoo.com] mail มาแจ้งให้ผมทราบว่า การออกจาก Restrict shell ไปเป็น shell ธรรมดาทำอย่างไร
    ทำให้ผมสามารถปิดการออกไปยัง shell ปกติได้อีกครั้ง เดิมเขาจะเข้าไปที่ ncftp แล้วก็พิมพ์ว่า !/bin/sh เพียงเท่านี้ก็ออก shell ได้แล้ว ถ้าต้องการเปลี่ยน shell ของตนถาวรก็พิมพ์ว่า chsh เท่านั้นเอง .. ขณะนี้ผมปิด ncftp แล้วเพราะลองไปเปลี่ยน 700 ให้ bash ก็ไม่ได้ จะทำให้เข้า Restrict shell ไม่ได้
    24. 2544-09-13 ผมได้รับจดหมายจากหนังสือพิมพ์ฉบับหนึ่ง(มต.) สงสัยว่า บุคลากรใน isinthai.com เป็น h@_ker
    โดยแจ้งว่าเว็บของเขาถูก h@_k และฝากชื่อ Water overflow ไว้ เมื่อเข้ามาเปิดเว็บของ isinthai.com แล้วเห็นชื่อนี้อยู่ จึงเข้าใจว่าเป็นเจ้าหน้าที่คนหนึ่ง ที่ทำเว็บ isinthai.com ซึ่งจริง ๆ แล้วผมเองก็ไม่ทราบว่า h@_ker ผู้นี้คือใคร แต่ถ้าได้อ่านในหัวข้อ 9.51 หัวข้อย่อยที่ 7 ก็จะทราบว่า Water overflow คือใคร
    Water overflow คือ h@_ker ที่เข้ามาเจาะระบบ Server ของพวกเรา ที่เคยใช้ Sun SparcV และ Linux6.2 ทุกตัวของเรา เมื่อช่วงมีนาคม 2544 ซึ่งเป็นช่วงปิดภาคเรียน และพอมีเวลาศึกษา Linux อย่างจริงจัง หลังจากศึกษา และปรับปรุงระบบอยู่พักหนึ่ง ก็ไม่แน่ใจว่า ผม upgrade ระบบดีขึ้น หรือเขาเบื่อที่จะ h@_k แล้ว จึงหันไปเจาะที่อื่นบ้าง ผมทราบจากผู้ถูก h@_k อีกท่านหนึ่ง ซึ่งดูแลเครื่อง NT อยู่ในคณะ ของสถาบันแห่งหนึ่งในพิษณุโลก จึงรู้ว่า h@_ker ผู้นี้ h@_k ได้ทั้ง SunOS, Linux และ NT
    น่าตกใจที่ Server ทุกตัวในปัจจุบัน ที่ไม่ได้จ้าง Sysadministrator มานั่งเฝ้าเครื่องเพียงอย่างเดียวตลอดเวลา และมี OS ที่ไม่ upgrade จะมีช่องให้ h@_ker เจาะได้ ผมอ่านจาก securityfocus.com ว่าเกือบทุกเดือน จะมีคนพบจุดบกพร่องของระบบปฏิบัติการ ซึ่งเป็นช่องทางที่ h@_ker เข้าไปได้ ขนาด NT เองก็ยังมีจุดบกพร่อง เพราะสิงหาคม 2544 ก็พึ่งพบว่า code red สามารถเข้าไปในจุดบกพร่องของ NT ได้ .. จึงมั่นใจไม่ได้เลยว่า ระบบที่แข็งแกร่งที่สุดในปัจจุบัน จะแข็งแกร่งตลอดไป
    23. 2544-07-26 ผมได้รับ mail จาก Pattara Kiatisevi [ott@thailinux.gits.net.th] เข้าใจว่าเป็นผู้ดูแล linux.thai.net
    เขาเข้าใจว่าผมพยายาม h@_k เข้าไปที่ server ของเขา ผมเองเป็น root แต่ไม่ได้ทำ เข้าใจว่ามี h@_ker เข้ามาในระบบของผมได้สำเร็จ แล้วก็ telnet เข้าไปในระบบของเขา โดยใช้ account pawee เข้าไปใน linux.thai.net .. ท่านสามารถ h@_k เข้ามาเป็น root ได้ กรุณาบอกผมด้วยว่าจะปิดได้อย่างไร ขอเป็นวิทยาทานนะครับ
    Date: Thu, 19 Jul 2001 17:55:44 +0700 (ICT)
    From: Pattara Kiatisevi [ott@thailinux.gits.net.th]
    To: webmaster@www.isinthai.com
    Subject: Don't try to h@_k again.

    To Administrator
    About 15 July later, I found intruder attempt to connect my server (linux.thai.net) from your host but I don't care about it because intruder can't login.
    In 18 july, my important files is diappeared and there are many file named ".root" leave back. When I run it as root, it's display protected method. thank you about .root .
    Please don't h@_k me again.
    if you try to h@_k again, I 'll ban all of your domain 202.29.78.*
    Pattara Kiatisevi
    Thai linux working group
    mailto : ott@linux.thai.net
    cat /var/log/secure
     Jul 15 00:32:14 linux in.ftpd[16466]: refused connect from root@202.29.78.1
     Jul 15 00:32:15 linux in.ftpd[16466]: refused connect from root@202.29.78.1
     Jul 15 00:32:15 linux in.ftpd[16466]: refused connect from root@202.29.78.1
     Jul 15 00:32:16 linux in.ftpd[16466]: refused connect from root@202.29.78.1
    last
     pawee    pts/0        www.isinthai.com Wed Jul 18 23:45 - 23:49  (00:04)
     pawee    pts/0        www.isinthai.com Wed Jul 18 23:45 - 23:59  (00:13)
     ott      pts/0        gw-41.wh.uni-stu Wed Jul 18 20:49 - 23:51  (04:02)
     ott      pts/0        gw-41.wh.uni-stu Wed Jul 18 19:37 - 19:53  (00:16)
    

    22. 2544-07-20 : นักศึกษาของผมคนหนึ่ง มาบอกว่ามีคนส่งโปรแกรมมาให้
    เขาลองเอาโปรแกรมนั้นเปลี่ยนรหัสผ่าน ในระบบ RH6.2 ก็สามารถทำได้ แต่เขาไม่ใช่คนที่สามารถเปลี่ยน Shell ของ demo เพราะผมเชื่อว่าการเปลี่ยน Shell ของ demo จะต้องใช้ความสามารถของ Root ซึ่ง h@_ker แสดงผมให้ผมเห็นว่าเขาเปลี่ยนได้แล้วจริง ๆ จึงทำให้ผมต้องหันไปหา Redhat Linux 7.2 เพราะน่าจะเป็นระบบที่ปลอดภัยกว่าเดิม
    21. 2544-07-19 : h@_ker เข้ามาอีกแล้วครับ
    แต่ผมไม่แน่ใจว่าเข้าเจาะมาเป็น Root ได้ไหม เพราะอาการที่เกิดในครั้งนี้คือการเปลี่ยน Title ของเว็บ ซึ่งใช้ user demo เข้าไปเปลี่ยนในจุดที่เหมาะสมก็ทำได้ และอีกอาการหนึ่งคือการเปลี่ยนรหัสผ่านของ demo ซึ่งผมได้ทำการปิดบริการ passwd แล้ว แต่เขาก็ยังเปลี่ยนรหัสผ่านได้อีก .. จึงตัดสินใจเปิด perl และ php เพราะต้องการทดสอบบริการ mail และต้องการทดสอบดูว่า หลัง patch ใหม่แล้ว h@_ker จะสามารถ h@_ker เข้ามาเป็น root ได้หรือไม่ เพราะผลการ h@_k ในครั้งนี้อาจไม่จำเป็นต้องเป็น root ก็ทำได้ 20. 2544-07-12 : มีข้อความขึ้นที่ host ตัวหนึ่ง ทั้งที่ได้ upgrade Redhat 7.2 จนหมดแล้ว
    อาจเป็นเพราะเปิดบริการมากไป จึงตัดสินใจปิด named และ hosts.deny เป็น all:all เปิดเฉพาะ ftp เท่านั้น ส่วน host อีกตัวหนึ่งที่ไม่ได้เป็น web service ผมก็ได้ปิด httpd ไปด้วย ntsysv ข้อความที่ผมเห็นที่หน้าจอ console แต่ไม่ทราบว่าถูก h@_k หรือไม่ ทั้ง ๆ ที่ใช้ chkrootkit.com เช็คแล้วก็ไม่พบ worm, sniff หรือ vulnerable เลย สำหรับ message ที่พบ คือ
      eth0 : Transmit timeout, status 0d 2000 media 08 eth0 : Tx queue start entry 10831 dirty entry 10827

    19. 2544-07-08 : วันนี้ผมไม่แน่ใจว่า h@_ker h@_k ระบบได้หรือไม่
    เพราะผมได้ปิดบริการ perl และ php พร้อมการปิด shell ทำให้โปรแกรม .sniff ที่เขาส่งเข้ามา อาจไม่สามารถประมวลผลขึ้นได้ เพราะหาอาการของการถูก h@_k สำเร็จไม่พบ และที่เครื่องดับไปอาจไม่ใช่ฝีมือของ h@_ker เพราะเครื่องที่ใช้เป็นแบบไฟกระชากแล้วหลับไป ต้องปลุกด้วยมือครับ
    18. 2544-07-03 : Server ถูก h@_k ได้มาหลายวันแล้ว
    เขาเปลี่ยน named และ aliases แบบไม่ให้ผมรู้ เพราะเปลี่ยนแล้ว restart จากนั้นก็เปลี่ยนกลับเหมือนเดิม ผมไปตรวจสอบก็ไม่พบอะไรผิดปกติ ต้อง restart อีกทีหนึ่งจึงปกติ และเป็นช่วงที่ผมพยายายม upgrade Redhat6.2 ก็ทำเอาเหนื่อย เพราะ upgrade แล้วเครื่องใช้งานไม่ได้ หาวิธีอยู่หลายวัน จนวันนี้ตัดสอนใจปิดบริการต่าง ๆ ดูว่า เขาจะเข้าได้ไหม เช่น perl และ php เพราะอย่าง se-ed.net ยังไม่ได้ให้บริการแบบเต็มที่ ผมทดสอบด้วยคำสั่งเรียก unix command หลายที่ปิดครับ แสดงว่ามีการ config ให้ปลอดภัยผมยังไม่ทราบ config สำหรับปิดบริการบางอย่างใน perl จึงปิดไปก่อนเลย
    17. 2544-06-28 : พักนี้ Server จะล่มบ่อย เพราะมีอาการเหมือนถูกยิง
    ด้วยคำว่า eth0: Something Wicked happened! 2008. ซึ่งแต่ก่อนจะขึ้นเพียง 3 ถึง 5 บรรทัด แต่พักนี้ มาติดต่อกันจนติดต่อ server ไม่ได้ บางทีข้อความหยุดแล้วถึงติดต่อได้ก็มี และบ่อยครั้งที่มาประปรายคือ 2 ถึง 5 บรรทัด แล้วก็ไม่มีปัญหาอะไร เข้าไป /var/log/messages จะพบ
    บรรทัดนี้สงสัยถูก h@_k เพราะใช้ kernel เก่า
    Jun 27 09:11:30 star kernel: eth0: Oversized Ethernet frame spanned multiple buffers, entry 0x1e$
    Jun 27 09:11:30 star kernel: eth0: Oversized Ethernet frame c1ee4ce0 vs c1ee4ce0.
    Jun 27 09:11:30 star kernel: eth0: Oversized Ethernet frame spanned multiple buffers, entry 0x1e$
    Jun 27 09:11:30 star kernel: eth0: Oversized Ethernet frame c1ee4cf0 vs c1ee4cf0.
    Jun 27 09:11:30 star kernel: eth0: Oversized Ethernet frame spanned multiple buffers, entry 0x1e$
    ที่จอ console จะขึ้น eth0: Something Wicked happened! 2008. เต็มจอเลยครับ
    Jun 27 13:23:20 star last message repeated 2 times
    Jun 27 13:23:23 star PAM_pwdb[3875]: (login) session closed for user oir
    Jun 27 13:23:23 star inetd[365]: pid 3874: exit status 1
    Jun 27 13:23:45 star kernel: eth0: Something Wicked happened! 2008.
    Jun 27 13:23:52 star last message repeated 2 times
    Jun 27 13:23:52 star PAM_pwdb[3882]: (login) session opened for user cooper by (uid=0)
    

    16. 2544-06-25 : h@_ker เข้ามาอีกแล้วครับ
    เข้า server หลาย ๆ ตัวของเรา โดยเฉพาะ DNS เห็นว่าเข้ามาลบ log ทั้งหมด และที่แน่ ๆ ผมพึ่งทราบว่าทำไมจึงขึ้นคำว่า eth0: Promiscuous mode enabled เพราะเขาใช้คำสั่ง #ifconfig eth0 -promisc ซึ่งเป็นการเปิดบริการ port ทั้งหมด ผมลองใช้คำสั่งนี้ในฐานะ user ธรรมดาก็ไม่ได้ (permission deny) และที่แปลกใจคือ ผมปิด shell ของทุกคน เหลือไว้แต่ restriced shell แล้วเขาจะใช้คำสั่งนี้ได้อย่างไร นอกจากรู้รหัสผ่านของ su และเข้ามาทาง ssh ซึ่งก็ไม่น่าเป็นไปได้อีก
    15. 2544-06-22 : วันอาทิตย์ที่ 17 ผมทราบว่าเกิดเหตุผิดปกติ
    เพราะใช้จากที่บ้านแล้วเข้า server ไม่ได้ และอ.ถนอมก็อยู่ที่โยนก ช่วยผมเรื่องย้าย server แต่ก็ไม่สำเร็จ พอเช้าวันจันทร์ จึงทราบแน่ว่า เครือข่าย leased line มีปัญหา พอดูดี ๆ อยู่พักหนึ่ง จึงรู้ว่าไฟเลี้ยงระบบเครือข่ายตก พอเปลี่ยนปลั๊ก ก็ติดต่อทั่วโลกได้เหมือนเดิม แต่ตัว DNS ยังล่ม เพราะเข้าไปดูแล้วเป็นฝีมือของ h@_ker แน่นอน เขาเข้ามาปิดระบบ DNS ของเครื่องราคาแพง ซึ่งเป็นหนามยอกอกผมมานาน การปิดระบบเขาเปิด telnet ทำให้ขึ้น error ว่า /bin/xlogin ซึ่งผมไม่มีเวลามาแก้ เดิมเครื่องนี้ถูก h@_ker เข้ามาป่วนหลายครั้ง แต่ผมไม่เคยทำอะไรได้ เพราะไม่มี software ในการติดตั้งใหม่ และถือเป็นรอยรั่วที่ใหญ่ที่สุด ที่ผมไม่สามารถอุดได้มานาน (เหมือนขโมยปีนเข้ามาทางหน้าต่าง แต่เขาไม่ทำลายหน้าต่าง ผมก็ปล่อยไปก่อน แต่ครั้งนี้เขาทำลาย ผมจึงถือโอกาสโบกปูนทับซะเลย .. เปรียบเทียบน่ะครับ) จากความเสียหายครั้งนี้ ถือโอกาสเปลี่ยนเป็น Redhat 7.2 ทั้งระบบ เพราะก่อนเขาจะทำลาย DNS เขาเข้ามา เจาะ isinthai.com ประจำ แต่ไม่แน่ใจว่าทำไมเขาเบนเข็มมา DNS ที่เขาก็รู้ว่าผมรู้ว่าเขาเข้ามาได้ ในเช้าวันจันทร์ ขณะที่กำลังติดตั้งระบบใหม่ h@_ker ก็ช่างขยันเหลือเกิน เขามาต่อหน้าผมนั่นหละ ด้วย account bin ที่เขาแอบสร้างไว้ เพราะผมนำ server ตัวหนึ่งมาปรับ config ใหม่ ทำให้ผมมีประสบการณ์มากขึ้นมาการ setup server และนำมาปรับหน้าเว็บนี้ ให้ได้อ่านทั่วกัน
    14. 2544-06-11 : เสาร์บ่ายที่ 9 h@_ker เข้ามาแล้ว
    แต่เป็นวันที่ไม่มีผู้ช่วยจึงต้องปล่อยให้ถึงวันจันทร์ และเครือข่ายทั้งหมดก็หายไป เพราะอุปกรณ์ leased line ขององค์การโทรศัพท์เสีย เช้าวันจันทร์ พบว่าผมไม่สามารถใช้ ftp เข้าเครื่องได้ แม้จะปิด lock แล้ว และที่สำคัญไม่สามารถแก้ไขอะไรแฟ้ม index.html ไม่ว่าจะ chown chmod pico หรือ rm ทั้งที่ใช้ su แล้ว จึงได้ทำการแก้ไขระบบใหม่ตามหัวข้อ 9.52 อีกครั้ง เช่น upgrade เพิ่ม และปิด /tmp เพราะที่ f2s.com เขาก็ปิด
    13. 2544-06-08 : เมื่อวานผมมั่นใจมากว่าเครื่องจะไม่ถูก h@_k
    เพราะปิดอะไรไว้มากมาย แต่ h@_ker ก็ทำได้โดยเข้ามาลบ /etc/passwd* /etc/shadow* /etc/hosts.* ทำให้ผมไม่สามารถเข้าระบบตามปกติได้ ต้องเข้าแบบ linux single แต่ผมก็ไม่ทำเพราะคิดว่า เริ่มจาก 0 ใหม่ ดีกว่าเริ่มจาก 10 แล้วไม่แน่ใจว่ามีอะไรรั่วบ้าง วันนี้ผมจึงทำหลาย ๆ อย่างให้ดีขึ้น ซึ่งเขียนรายละเอียดไว้ในหัวข้อ 9.52
    ข้อความที่เห็นที่หน้าจอของ console
    Transmit timeout, status 0D 0000 media 08
    eth0: tx queue start entry 44052 ..
    พบ ip 195.223.23.99 ซึ่งน่าจะเป็น fake ip ที่ส่งเข้ามาจาก italy
    12. 2544-06-07 : ล้างเครื่องใหม่ได้ 2 วัน โดยปิดหมดด้วย tcpwrapper
    แต่ทำให้ใช้ pop ไม่ได้จึงต้องปิดเฉพาะ in.telnetd แต่ปัญหาพบว่า มี h@_ker เข้ามาส่งแฟ้มเข้าไปใน root ของ web directory ได้ และบางครั้งมีข้อความ ขึ้นที่ console ว่า
    June 6 17:33:42 www Kernel: eth0: Something Wicked happened! 2008.
    อ่านแล้วก็ไม่เข้าใจจึงตัดสินใจ upgrade package เพิ่ม และทำการปิด ftp โดยลบทุกโปรแกรมออกจากห้อง /home/ftp/bin และ /home/ftp/lib ซึ่งก็ไม่พบปัญหาการให้บริการ ftp แต่อย่างใด และ ip ที่เข้ามาในระบบ ซึ่งเป็นข้อความที่อ่านไม่ออก น่าจะเกิดจากการทำ overflow โดย 202.44.9.117 และคาดว่าครั้งนี้จะปิดได้ดีขึ้น เพราะได้ upgrade โปรแกรมแก้ปัญหาช่องโหว่หลาย ๆ จุดแล้ว
    11. 2544-05-29 : ได้รับ mail จาก water_overflow แจ้งให้ผมทราบว่าเขา h@_k โดยการปลอม IP เข้ามา
    และส่งโปรแกรมภาษา C เข้ามาไว้ที่ห้อง /tmp เขา compile เครื่องผมไม่ได้เพราะปิด gcc ไว้ เมื่อ run program จะได้สถานะเป็น root ส่วนอีกโปรแกรมที่คิดว่าเขาไม่ได้บอกผมคือโปรแกรมชื่อ last.cgi ซึ่งอยู่ในห้อง /cgi-bin เป็นโปรแกรมที่เปิดผ่านเว็บ ไม่ได้ใช้วิธีเปิดด้วย telnet ที่ต้องตกใช้เพราะโปรแกรม last.cgi สามารถใช้คำสั่งของ shell ผ่าน browser ได้เลย และสามารถลบแฟ้มที่มีสถานะเป็น 700 ของ root ได้ ก็หมายความว่ากระทำการใด ๆ ได้หมด แต่ตอนนี้ผมยังหาวิธีแก้ปัญหากับแฟ้มนี้ไม่ได้ ที่จะทำให้โปรแกรมนี้หมดความสามารถของ root ผ่าน browser ไป ยกเว้นว่าจะปิดบริการ cgi ซึ่งไม่ต้องการทำอย่างนั้น (แม้จะทำตามขั้นตอนในข้อ 9.52 หรือปิด mount แต่โปรแกรมนี้ก็ยังมีฤทธิ์)
    10. 2544-05-28 : เมื่อวาน h@_ker เข้ามาจัดการ h@_k server ตัวนี้ได้
    โดยเปลี่ยนหน้าแรก ซึ่งเขาได้แนะนำว่าควรหา patch มา update และได้ฝากหน้าเว็บไว้ให้อ่าน หลังจากงถูก h@_k แล้ว ได้เข้าไปตรวจด้วย last ไม่พบอะไร ดูใน /etc/log/secure ก็พบแต่ที่เข้ามาไม่ได้ แต่พอเข้าไปที่ /etc/log/message พบสิ่งที่ h@_ker ฝากสิ่งดี ๆ ไว้ เรียกว่า ถ้าผมไม่ใช้ more /etc/log/messages ก็ไม่เห็น ซึ่งมีข้อความดังนี้
      May 27 10.05.11 login  Water Overflow
      To      :  Admin
      Subject :  upgrade your glibc now.   your glibc have bug..
      
      HOW TO h@_k :    
        The h@_ker can make buffer overflow in glibc/locale.  if you don't believe, go to  /tmp
      and see my own program named Xwater.    When you run Xwater program..  after overflow you 'll get root
      shell.
      HOW TO PROTECT :
        If you don't use /bin/mount   ..please change permission to can't execute for protect h@_ker
      using this hole in glibc(chmod 4700 /bin/mount). but if you upgrade glibc,you can change permission to
      execute again.
      
            nice a day.
      
           Water Overflow
      

    ในส่วนที่ h@_ker แนะนำให้ patch ซึ่งน่าจะหา download ได้จาก http://www.redhat.com/support/errata/index.html นั้น ผมพบนับได้เกือบ 100 โปรแกรม และในนั้นมีเรื่อง glibc ที่ ได้รับการแนะนำที่ http://www.redhat.com/support/errata/RHSA-2001-002.html ส่วนวิธี h@_k ที่ได้รับการแนะนำ ผมได้ลอง run โปรแกรมนี้ในห้อง /tmp ด้วย user ธรรมดา ปรากฎว่า overflow จนเป็น root จริงครับ เขาแนะนำว่าถ้าไม่ใช้ mount ก็ให้ใช้ chmod 4700 /bin/mount หรือไม่ก็ upgrade ซึ่งผมเลือกทั้ง 2 วิธีที่เขาแนะนำมาคือ
    1. upgrade glibc จาก http://www.redhat.com/support/errata/RHSA-2001-002.html จะได้แฟ้มมาหลายแล้วแล้วใช้ rpm -Fvh [filename]
    2. chmod 4700 /bin/mount

    9. 2544-05-25 : เย็นนี้ได้รับ mail จาก กลุ่มน้ำล้น ว่าจะเข้ามา h@_k วันพรุ่งนี้ ให้ป้องกันระบบให้ดี เป็นลักษณะจดหมายเตือน แต่ผมก็ป้องกันไปแล้วเต็มที่ คือการใช้ tcpwrapper ปิด ip ทั้งหมด แต่ไม่ได้เข้าไปปิด service ใน /etc/services พอเย็นวันเสาร์ผมเข้าใช้ isinthai.com ไม่ได้ ก็คิดว่า h@_ker เข้าไปแล้วเป็นแน่ จึงเข้าไปดูที่เครื่อง ปรากฤว่ามีคนปิดไฟ พอเปิดไฟก็ใช้ได้ จึงแน่ใจว่าที่ระบบหายไปในวันเสาร์ ไม่ใช่ฝีมือของ h@_ker เป็นแน่ จึงไปถาม รปภ. และทราบว่า ผมได้ย้าย server ทำให้หน้าจอตรงกับหน้าประตู เมื่อ รปภ. เดินไปเห็นว่าไฟเครื่องเปิด จึงใช้กุญแจไขเข้าไป ช่วยปิดให้ .. สรุปว่าผมได้ clear กับ รปภ. แล้วว่า ต่อไปห้ามยุ่งกับเครื่องเหล่านั้นอีก .. ก็เรียบร้อย
         Please prevent  www.isinthai.com  now..  coz there're many h@_kers would
    like to drill your system..
        On 26  May   at 10.00 am.    if we can invade your system.  we'll deface
    your web..   Don't worry.  we don't destroy your system....  and if we found
    the hole ..  we 'll reveal to you and how to protect.
         I have a few time for drill your web ,because I can entrance and begin to
    study engineering in university recently. So maybe I have no time for drilling
    any more.
                                                                   water overflow.
    

    8. 2544-05-24 : พบว่าใช้ useradd นึกว่าโดย h@_k อีกแล้ว
    แต่คิดว่าไม่ใช่ เพียงแต่เกิดแฟ้ม group.lock ในห้อง /etc จึงทำให้ใช้คำสั่ง useradd ไม่ได้ เมื่อลบ group.lock ก็ใช้ได้ตามปกติ จึงถือโอกาสเข้าไปดูแล้ว /var/log/messages ซึ่งมีข้อมูลเยอะมาก จึงเลือกดูที่มีคำว่า portmap พบว่ามี log ที่แสดง ip ขึ้นมา โดยใช้คำสั่ง cat /var/log/message|grep portmap อ่านดูก็ไม่ได้คิดว่าต้องเป็น h@_ker อาจเป็นเพียงผู้ใช้ที่เคยได้บริการ telnet และเข้ามาใช้บริการอีกเท่านั้น
    May 20 11:58:27 www portmap[13213]: connect from 211.223.208.103 to dump(): request from unauthorized host
    May 20 17:33:42 www portmap[13318]: connect from 203.155.103.249 to dump(): request from unauthorized host 
    May 22 14:38:05 www portmap[816]: connect from 211.182.75.2 to getport(status): request from unauthorized host
    May 22 16:28:57 www portmap[852]: connect from 211.182.75.2 to getport(status): request from unauthorized host
    May 22 18:03:12 www portmap[885]: connect from 211.182.75.2 to getport(status): request from unauthorized host
    

    7. 2544-05-18 : วันนี้ h@_ker กลุ่มน้ำล้น ได้เข้ามาสำแดงความสามารถว่าเขาทำได้
    ด้วยการเปลี่ยนหน้าแรกของเว็บ และยังตั้งระเบิดเวลา เมื่อปิดเครื่องแล้วจะไม่สามารถ boot ระบบ ทำให้ Server 2 ตัวที่เป็น Redhat 7.2 ที่ผมมั่นใจว่าไม่น่ามีใครทำอะไรได้
    เนื่องจาก server ตัวหนึ่ง แม้แต่ผมยังไม่สามารถเข้าเป็น Superuser และบริการหลายอย่างล่มไป จึงเข้าใจว่า h@_ker ไม่น่าทำอะไรได้อีก ส่วน Server อีกตัวหนึ่งได้ติดตั้งใหม่ ปิด gcc และ tcpwrapper แล้ว แต่ก็ยังถูก h@_k ได้ชั่วข้ามคืน และเขายังบอกว่าเป็น h@_ker กลุ่มน้ำล้น และเป็นคนไทย ที่ผมเคยเข้าใจว่าเป็นฝรั่ง แต่นี่ก็คือประสบการณ์ที่ทำให้รู้ว่าระบบของผมยังมีรอยรั่ว แต่ h@_ker กลุ่มน้ำล้น (Water overflow) ได้แนะนำว่าผมน่าจะหา Patch มาปิดรอยรั่วต่าง ๆ ทำให้ผมเริ่มหันไปสนใจเรื่องนี้มากขึ้น หลังจากที่เคยเข้าไปเห็น Patch กว่า 300 Patch ที่ Redhat ออกมาแก้ปัญหาระบบใน Redhat 7.2 สำหรับวันที่ h@_ker เจาะเข้ามาได้ ผมยังไม่ทันได้เห็นหน้าแรก เพราะก่อนผมเข้าที่ทำงาน ไฟฟ้าเกิดดับไปซะก่อน
    6. 2544-05-15 : isinthai.com เองถูก h@_k จนผมไม่สามารถเข้าเป็น superuser ได้
    ต้องไปเข้าที่ตัว Server จึงจะได้เพราะใช้ su ไม่ได้นั่นเอง แต่วันนี้ Server ตัวหลักตัวหนึ่งถูก h@_k ซึ่งมีอาการที่ยอมรับไม่ได้คือ ใช้ pico ไม่ได้ Telnet ออกไป server ตัวอื่นไม่ได้ โดย Server ตัวนั้นมีการปิด Telnet ด้วย hosts.deny แล้ว ผมตรวจด้วย Last จึงทราบว่า เขา h@_k เข้ามาด้วย Ftpd ซึ่งเข้าใจว่าเป็นการทำ Overflow ซึ่งผมยังไม่ทราบว่าทำอย่างไร ในแฟ้ม passwd เขาก็เพิ่ม user 0:0 เข้าไปได้ จึงจะลงระบบในเครื่องนี้ใหม่ทั้งหมด แต่จะปิดระบบให้หมด เหลือให้ใช้ได้เฉพาะในโยนกเท่านั้น ก็ต้องดูต่อไปว่าผมการปิดของผม ครั้งใหม่ จะสำเร็จหรือไม่ และที่แค้นใจคือ ผมพยายามใช้ Ghost copy HD ตัวนี้เพื่อ backup แต่ประเสริฐ พยายามา 2 วันก็ไม่สำเร็จไม่ในใจว่า Harddisk ตัวใดเสีย จึงทำให้ต้องมานั่งลงระบบใหม่ทั้งหมด นี่ถ้า Backup ไว้คงไม่ต้องลงระบบใหม่อย่างนี้ แต่ก็ถือเป็นประสบการณ์ เหล็กกำลังร้อนตีง่าย ซึ่ง Server ดังกล่างก็มีปัญหาหนึ่งที่ยังแก้ไม่ได้ คือเมื่อไฟตกแล้วจะดับไป ไม่ฟื้นขึ้นมาเอง แต่ถ้าเป็นเครื่อง Acer 133 จะพื้นเองได้ จึงตัดสินใจเปลี่ยนเครื่องด้วยเลย
    5. 2544-05-03 : วันนี้ผมเข้า Root โดยใช้ Su ไม่ได้
    เมื่อเข้าแล้วกรอกรหัสผ่านแล้วจะขึ้นคำว่า su: cannot set groups: Operation not permitted พอไปตรวจใน /etc/passwd ก็พบว่า h@_ker เข้ามาเปลี่ยน adm ให้เป็น :3:0: จึงเปลี่ยนกลับไป จากนั้นก็เขาเป็น root โดยใช้ linux single แล้วไปสร้าง account ขึ้นมาอีก 1 account ให้เป็นประตูหลัง จึงจะเข้าไปเป็น root ได้ ขณะนี้คงปิดระบบให้ปลอดภัยไม่ได้แล้ว เพราะเป็นระบบเปิด ผมวางแผนว่าอีกสักพักจะ ลงระบบใหม่ แล้วเริ่มปิด gcc ตั้งแต่ต้น h@_ker อาจเข้ามาไม่ได้ก็ได้ .. ขณะนี้จะเป็น root ที ต้องไปนั่งหน้า server จึงจะใช้ได้
    4. 2544-03-26 : ผมได้รับแจ้งจากคุณสุวิทย์ว่า last หาไปและมีข้อความว่า operator เป็นผู้ลบ
    แต่ผมจำได้ว่าเคยเปลี่ยนรหัสผ่านของ operator ไปแล้ว แต่ก็หาไม่พบว่า operator เข้ามาทำอะไรอีกนอกจากลบ last ไป ซึ่งผู้ที่เคยใช้ user นี้เข้ามาก็คือ h@_ker คนแรกที่มาจาก romania นั่นเอง
    3. 2544-03-20 : วันนี้ h@_ker จาก UK เข้ามา
    แต่ผมหาไม่พบว่าเข้าเขามาทำอะไร นอกจากเพิ่ม user เข้าระบบ และยังพบคุณ nat (tanma2k@hotmail.com http://www.nat.f2s.com/phpnuke/index.php) ซึ่งแนะนำผมให้ chmod 700 /usr/bin/gcc เป็นการป้องกัน h@_ker นำ shell script มาแปลงตนเองเป็น root ทำให้ผมรู้ว่า แค่มีโปรแกรม shell ตัวหนึ่ง มา run ใน server ถ้า server ยอมให้ใช้ gcc ซึ่งเป็น C compiler ก็จะทำให้เกิด overflow จนเปลี่ยนสถานภาพปกติ กลายเป็น root ทันที และคุณ nat ยังแนะนำเว็บ www.rootshell.com และ www.technotronic.com เพื่อให้ผมมีความรู้ไว้ ปรับปรุงระบบ ซึ่งคุณ oak จาก loxinfo.co.th ก็เคยเล่าให้ผมฟังถึงวิธีการนี้ เพียงแต่ตอนนี้ ผมยังไม่ได้ shell script ตัวนั้นมาทดลอง และก่อนนี้ไม่กี่วัน AusCERT Probe Reporter [auscert@auscert.org.au] และ Phil Crooker [pcrooker@orix.com.au] ก็แจ้งมาว่า มี h@_ker พยายามเจาะระบบเขาจาก ip ของเรา
      Apr  8 10:53:16  denied tcp 202.29.78.1(3744) -> 203.23.109.14(53), 1 packet
      Apr  8 10:53:17  denied tcp 202.29.78.1(3793) -> 203.23.109.63(53), 1 packet
      Apr  8 10:53:18  denied tcp 202.29.78.1(3806) -> 203.23.109.76(53), 1 packet
      

    จริง ๆ ไม่ใช่ 202.29.78.1 นะครับ แต่จาก server อีกตัวที่ปิดมิดชิด เพราะถ้าเป็น เบอร์ 1 คือ isinthai.com จะไม่แปลกใจเพราะเปิดให้เข้ามาใช้แต่นี่เป็น server อีกตัวครับ แล้วเข้าก็แนะนำว่าเข้าเว็บต่อไปนี้ เพื่อศึกษาวิธีการปิดระบบ
    1. http://www.linuxnewbie.org/nhf/intel/security/armorlin.html
    2. http://securityfocus.com
    3. http://bastille-linux.sourceforge.net/
    4. http://www.auscert.org.au/Information/Auscert_info/papers.html
    5. http://packetstorm.securify.com

    2. 2544-03-29 : เมื่อแก้รหัสผ่านจาก h@_ker ในครั้งแรกได้
    เข้าใจว่า h@_ker คนเดิม รู้ว่าผมรู้จักเขาได้อย่างไร เพราะผมใช้ hosts.deny ปิดเขา ตามหัวข้อ 9.54 ครั้งนี้ จึงเข้ามาก่อกวน รุ่นแรงกว่าเดิม เพราะครั้งแรกแค่ยึด super user ไป ครั้งนี้จึงปิดระบบ network ของเรา โดยเข้าไปแก้ไขแฟ้มต่าง ๆ เช่น resolv.conf hosts named.conf network static-routes ifcfg-eth0 เป็นต้น ซึ่ง h@_ker คนนี้ได้ทิ้งข้อความไว้หลายจุดว่า SnaK3.Is.The.Best.H4k3r.org 212.62.7.9 และเว็บที่เขาทิ้งไว้คือ www.snak3.co.uk เป็นเว็บ free email โดย another.com ซึ่งอาจไม่เกี่ยวข้อง โดยตรงกับ h@_ker ผู้นี้ก็ได้ ในครั้งนี้ ก็เกือบต้อง format หรือ reinstall เพื่อลง linux ใหม่ ดังนั้นก่อนเปิดระบบ จึงต้องใช้ NortonGhost เพื่อ clone HD ในระดับ partition ให้ได้ก่อน เพราะมีลูกศิษย์ที่ชื่อ วิรุฬห์ ยวงเอี่ยมใย แนะนำมา
    1. 2544-03-26 : เปิดระบบทดลอง install โปรแกรมต่าง ๆ ตั้งแต่ต้นเดือน
    วันนี้ถูก h@_ker เข้ามาเปลี่ยนรหัสของ root นั่งหาวิธีอยู่ 3 วันจึงรู้วิธีแก้ไขรหัสผ่าน ตามหัวข้อ 9.61 ซึ่งเลข ip 193.231.178.98 ที่เข้ามาโดยใช้คำสั่ง last พบว่ามาจาก Romania
Thaiall.com