Tag Archive for 'spam'

โดนแล้ว Phishing

Published
by
Wanchana
on September 17, 2007
. Comment

Phishing เป็นชื่อเรียกหนึ่งในวิธีโจรกรรมข้อมูล ของพวกมิจฉาชีพบนโลกอินเทอร์เน็ทครับ ถ้าใครตามข่าว ไม่ระมัดระวังพอ ก็มีสิทธิ์ที่จะถูกหลอกเอาได้ง่ายๆ ใครใช้งานธนาคารทางอินเทอร์เน็ทของธนาคารกสิกรไทยอยู่ จะเห็นได้ว่ามีข่าวคราวขึ้นมาเตือนอยู่เสมอ ก็คือเรื่องการปลอมแปลงเว็บไซท์สักเว็บหนึ่ง ในที่นี้คือเว็บของกสิกรไทย อาจจะตั้งเป็น url คล้ายๆกับของจริง เช่น kbank.org , kbanks.com kbank.net อะไรประมาณนั้น จากนั้นเขาก็จะส่งอีเมล์เข้ามา หรือเอาไปปล่อยไว้ตามที่ต่างๆ ที่คาดว่าจะมีลูกค้าของธนาคารแวะเวียนเข้ามา ถ้าเกิดเผลอเข้าไป หน้าตาเว็บที่คล้ายกันจนไม่ได้เอะใจ ก็จะกรอก username /password ลงไปในช่อง พอกดส่งข้อมูลนี่สิ มันจะส่งข้อมูลเข้ากระเป๋าของพวกแครกเกอร์ แครกเกอร์ก็เอาข้อมูลพวกนั้นของเรา กรอกแล้วเข้าสู่ระบบที่หน้าเว็บไซท์จริงๆของธนาคาร

ผมไม่ได้โดย Phishing เองครับ แต่เป็นเครื่อง Server www2 ที่โดนเจาะเข้ามา คือจริงๆไม่ได้เจาะนะ แต่ผู้ใช้บริการพื้นที่ ที่เราให้บริการเขาตั้งชื่อผู้ใช้กับรหัสผ่านเป็นตัวเดียวกัน เท่านั้นแหละจบเลย

จริงๆเรื่ิองนี้ตั้งนานแล้ว แต่อะไรไม่รู้ทำให้นึกเรื่องนี้ขึ้นมาได้ คือหลังจากที่จัดการเครื่อง perseus ให้สามารถใช้งาน ปรับแต่ง และทดลองทำงาน (ก็คือใช้งานจริงนั้นแหละ) มาได้สักพักใหญ่ อาจารย์กิตก็ให้แอดมินโบโต้โทรเข้ามาหาครับ บอกว่าเจ้าหน้าที่ของ CAT โทรเข้ามาบอกว่าเครื่องของเราติด Phishing ถ้าไม่รีบดำเนินการแก้ไขเขาจะตัดวงจรเชื่อมต่อของเราทันที ซึ่งก็ยังให้โอกาสเราพอจะ ssh เข้าไปแก้ไขได้บ้าง ก่อนจะตัดทั้งยวงเลย

ระหว่างนั้นให้รอเจ้าหน้าที่เขาส่งอีเมล์มายืนยันครับ ในช่วงนี้ผมก็กังวลมาก ฝากให้โบโต้ที่อยู่หน้าเครื่องเข้าไปตรวจสอบเครื่อง perseus ว่ามันเกิดอะไรขึ้น ไล่ดูตามวิธีที่สมควรทำเมื่อเครื่องถูกแครก ตอนแรกกังวลมาก เพราะถ้าเราเข้าเครื่องด้วยรหัสผ่านของเราไม่ได้ แสดงว่าแครกเกอร์วางยาส่วนนี้เอาไว้ด้วย เราต้องมาเสียเวลาในการแก้ไข ให้สามารถเข้าระบบไปกู้ข้อมูลให้ได้ก่อน ซึ่งฝันร้ายของผมคือการดาว์นระบบ ซึ่งหมายความว่าต้องหยุดการทำงานของระบบหลัก ที่วันนั้นเป็นวันธรรมดา มีเจ้าหน้าที่ใช้งานอยู่แน่นอน

ระหว่างนั้นก็ตื่นเต้นครับ สุดท้ายอาจารย์กิตโทรมาอีกรอบ บอกว่าเครื่องที่โดนนี่ไม่ใช้เครื่อง perseus ที่ผมดูแลอยู่ แต่เป็นเครื่อง www2 ของคนเก่าที่เขาเข้ามาทำเอาไว้.. โล่งใจจากนั้นให้โบโต้ลองตรวจดู ก็ถือบางอ้ออย่างที่บอกตอนต้น คือผู้ใช้พื้นที่เขาตั้งชื่อผู้ใช้กับรหัสผ่านเ็ป็นชุดเดียวกัน แบบนี้ใครๆก็ชอบสิครับ สบายเหมือนเปิดบ้านเปิดประตูให้โจรเข้ามาปล้นได้สบายๆ

ก็ให้โบโต้เก็บหลักฐานเอาไว้ และคิดว่าคงต้องจัดการเรื่องแบบนี้หน่อย จริงๆการป้องกันปัญหานี้ง่ายมากทั้งการวางระบบ การเขียนโปรแกรมแก้ไขรหัสผ่านที่โค้ดไม่กี่บรรทัด แล้วก็อะไรหลายๆอย่าง ที่จะป้องกันไว้ก่อน แทนที่จะทำให้ผมตกใจเล่นๆแบบที่เจอคราวนี้ แต่ก็ขำๆ ดีนะไม่ใช่เครื่องที่เราพึ่งปรับแต่ง ไม่อย่างนั้นเสียประวัติไปอีกนาน

bot ไม่ได้รับเชิญ

Published
by
Wanchana
on April 13, 2007
. Comments

ด้วยความที่ drupal เป็นที่นิยม (Tim Berners-Lee ก็ยังใช้ drupal ทำ blog ส่วนตัวเลยนา) ก็เลยมี “ไอ้พวกไม่ได้รับเชิญ” มาเยี่ยมอยู่บ่อยครั้ง แต่ครั้งหลังๆนี่หนักมาก ไอ้พวกที่ว่านี่คือ bot ที่ชื่อ emurhfkq นั่นเอง

เจ้านี่ถ้าเราพลาดเมื่อไหร่ มันจะทำการ spam ข้อความประเภท Link ไปเว็บโป๊ หรือว่าเว็บชั่วร้าย เข้ามาในส่วนของ comment ที่เราเปิดไว้กับ node ทุกๆ node ที่มันจะสามารถวิ่งหาได้ ยิ่ง clean url ของ drupal ด้วยแล้วยิ่งง่ายเข้าไปกันใหญ่ เพราะว่า drupal นั้นมี url ที่สวยมากๆ http://sitename/node/<ตัวเลข> ดังนั้นมันก็จะเปลี่ยนตัวเลขของ url แล้วก็ยิง spam ใส่ในช่อง comment

ในกรณีที่บางเว็บ กำหนดสิทธิ์ให้ผู้ลงทะเบียนเท่านั้นที่สามารถ post comment ได้ ไอ้เจ้าบ้านี่มันก็ฉลาดพอที่จะเข้ามา register user ให้เองเลย พอรอบหน้าแวะมาอีกครั้งมันก็จะ login user ที่สร้างขึ้นแ้ล้วยิง spam ได้ตามใจชอบเหมือนเดิม

ตอนนี้วิธีแก้แบบขอไปทีของผมคือ ปิด module comment ไปก่อน แล้วพยายามหาวิธีให้เร็วที่สุด แต่ถึงอย่างไรก็ตาม ไอ้เจ้า bot ตัวนี้มันก็พยายาม Login หรือพยายามยิง spam เข้ามาเป็นจำนวนมาก จนบางครั้ง ใน”ชั่วโมงเร่งด่วน” นี่อาจจะทำให้เว็บล่มได้เหมือนกัน

ลองดูว่ามันยิงถี่ขนาดไหน

กวนตีนด้วย reference มาจาก google.com - -”

เข้ามา register account ไว้เรียบร้อยแล้ว รอบหน้าเข้ามาอีกทีก็ถล่มได้เลย

ถึงแม้ว่าจะปิด module comment ไปแล้ว แต่มันก็ไม่ละความพยายาม คอย request เข้ามาเรี่อยๆ ปัญหาที่ตามมาคือตัว apache และ mysql ทำงานหนักขึ้นโดยใช่เหตุ