July 2, 2014 – CoP PSU IT Blog

จาก วิธีตรวจสอบเว็บไซต์ที่โดน Hack #7 : การตรวจสอบ Windows Server ที่ถูก Hack ด้วย PowerShell ซึ่งเป็นกระบวนการตรวจสอบ Windows Server ซึ่งโดนเจาะด้วยช่องโหว่ JCE ของ Joomla ก็มีคนถามว่า จะมีกระบวนการแก้ไขป้องกัน เหมือนกับที่ทำกับ Apache ซึ่งแสดงใน วิธีตรวจสอบเว็บไซต์ที่โดน Hack #12 : เทคนิคการตั้งค่า Apache Web Server เพื่อให้ปลอดภัยจากช่องโหว่ ตอนนี้มีคำตอบแล้วครับ

เทคนิคนี้ ใช้ผ่าน Internet Information Services (IIS) Manager โดยการแก้ไข Request Filtering ในระดับ Web Server เลย โดยดำเนินการตามวิธีการต่อไปนี้

เรียก Command ด้วย การกดปุ่ม Windows + R แล้ว พิมพ์ inetmgr แล้วกดปุ่ม Enter
คลิกเว็บเซิร์ฟเวอร์ของเครื่องที่ต้องการใน Connection Tab (ตัวอย่างในภาพ คลิกที่ WUNCAWEBSEC)
ต่อไป ภายใต้หัวข้อ IIS ให้ Double-Click ที่ Request Filtering
คลิกที่ Rules tab
เพิ่มกฏสำหรับ JCE Bot
ซึ่ง ไม่ต้องการให้ PHP ทำงานภายใต้ URL ซึ่งมีข้อความว่า “images/stories”
โดย ไปที่ Action ด้านขวามือ แล้ว คลิกที่ Add Filtering Rules …
แล้วใส่ข้อมูลตามภาพ แล้วคลิกปุ่ม OK

เพิ่มกฏสำหรับ Upload โฟลเดอร์
ซึ่ง ไม่ต้องการให้ PHP ทำงานภายใต้ URL ซึ่งมีข้อความว่า “upload”
โดย ไปที่ Action ด้านขวามือ แล้ว คลิกที่ Add Filtering Rules …
แล้วใส่ข้อมูลตามภาพ แล้วคลิกปุ่ม OK
ผลที่ได้ใน Rules tab

ทดสอบผลการทำงาน

สมมุติเดิมโดนวางไฟล์ Backdoor ไว้ที่

http://localhost/corin/images/stories/backdoor.php

แต่เมื่อตั้ง Rules ดังกล่าวแล้ว จะทำให้ Hacker ไม่สามารถเรียกใช้งาน PHP ที่วางไว้ใน images/stories ได้ โดยจะได้ Error เช่นนี้

วิธีนี้มีข้อดีคือ สามารถป้องกันการใช้งาน PHP ใน images/stories (และใน upload โฟลเดอร์) แต่ยังสามารถเรียกไฟล์ภาพและไฟล์อื่นๆได้ตามปรกติ เช่น

http://localhost/corin/images/stories/clownspin.gif

ลองใช้งานดูครับ 😉

Day: July 2, 2014

วิธีตรวจสอบเว็บไซต์ที่โดน Hack #15

ทดสอบผลการทำงาน