วิธีตรวจสอบเว็บไซต์ที่โดน Hack #17

July 29, 2016 15:31

ปัจจุบันพบว่า รูปแบบของ Backdoor เปลี่ยนไป จากเดิมเป็น Base64 ซึ่งสามารถตรวจจับได้จาก Pattern ของ eval และ base64_decode ไปเป็น การใช้ eval ร่วมกับการใช้เทคนิคที่เรียกว่า Obfuscate หรือ การทำให้ PHP Code ปรกติ แปลงไปเป็นรูปแบบที่ซับซ้อนยิ่งขึ้น ทำให้การตรวจสอบด้วยเทคนิคเดิมไม่เจอ จาก วิธีตรวจสอบเว็บไซต์ที่โดน Hack #2 แสดงให้เห็นรูปแบบเดิม ดังภาพ จะเปลี่ยนมาเป็นแบบนี้ ดังนั้น อาจจะต้องปรับเปลี่ยนคำสั่งในการค้นหาเป็น find /var/www -name “*.php” -user www-data -type f | xargs grep GLOBAL แต่ก็พบว่า มีการซ่อน base64_decode ในรูปแบบนี้ก็มี ถึงแม้จะเลี่ยงการใช้ base64_decode ตรงๆแต่ก็ยังต้องใช้ eval อยู่ดี ดังนั้น จึงต้องใช้คำสั่งต่อไปนี้ในการค้นหา find /var/www -name “*.php” -user www-data -type f | xargs grep eval > eval.txt ซึ่งอาจจะได้ไฟล์มาจำนวนมาก ทั้งทีใช่และไม่ใช่ Backdoor เก็บไว้ในไฟล์ eval.txt ดังภาพ จึงต้องใช้วิธี แก้ไขไฟล์ eval.txt ดังกล่าว โดยลบบรรทัดที่ไม่ใช่ Backdoor ออก ให้เหลือแต่บรรทัดที่น่าสงสัยว่าจะเป็น Backdoor ไว้ แล้ว Save จากนั้นใช้คำสั่งต่อไปนี้เพื่อเก็บไฟล์ทั้งหมดไว้ก่อน ในไฟล์ suspect.tar.gz cut -d: -f1 eval.txt | xargs tar -zcvf suspect.tar.gz จากนั้น ทำ List ของไฟล์ที่ต้องเข้าตรวจสอบจริงๆ เก็บในไฟล์ชื่อ eval2.txt ด้วยคำสั่ง cut -d: -f1 eval.txt > eval2.txt แล้วจึงแก้ไขไฟล์ หรือ ลบทิ้งต่อไป

Read More »

Spam 2016-07-05

July 5, 2016 16:06

หากท่านได้รับ Email ลักษณะเช่นนี้ เมื่อคลิก Link อาจจะได้หน้าตาอย่างนี้ นี่เป็น Email หลอกลวงครับ

Read More »

วิธีทำให้อีเมลของ psu.ac.th ไม่ไปอยู่ใน Spam ของ Gmail

June 23, 2016 15:04

ปัญหา: ผู้ใช้แจ้งว่าอีเมลจาก PSU ไม่ว่าจะเป็นส่วนบุคคลหรือ จาก group mail มักจะหลุดไปอยู่ใน Spam ของ Gmail วิธีการแก้ไข: ในช่อง Search ของ Gmail จะมี Search Options ให้คลิกตามภาพ 2. ในช่อง From ใส่คำว่า psu.ac.th แล้วคลิก Create filter with this search 3. คลิก Never send it to Spam แล้วคลิก Create Filter

Read More »

วิธีการเปิด Audit Log ของ Windows 2012 เพื่อให้บันทึกการเปลี่ยนแปลงเกี่ยวกับ Account Management ต่างๆ

June 3, 2016 10:41

บน Microsoft Windows 2012 โดยปรกติจะไม่ทำการบันทึกการเปลี่ยนแปลงต่างๆเกี่ยวกับ Account ขั้นตอนต่อไปนี้จะทำให้เกิดการบันทึกใน Event Log เพื่อให้ Administrator ทราบว่า ใคร เปลี่ยนแปลงอะไร  เมื่อไหร่ ไปที่ Start Menu ค้นหา Group Policy Management เลือก Computer Configuration Policies Windows Settings Security Settings Local Policies Audit Policy จากนั้น Double Click “Audit account management” คลิกที่ Define these policy settings และเลือก Success แล้วคลิกปุ่ม OK จะได้ผลดังนี้ เมื่อเปิด Event Viewer > Security Log จะได้ผลดังนี้ เมื่อมีการเปลี่ยนแปลงเกี่ยวกับ Account จะเกิด Task Category “User Account Management” มี Event ID 4738 ดังภาพ จะเห็นรายละเอียดว่า ใคร แก้ไข Account Name ใด เมื่อไหร่ และแก้ไข Attribute ใด เป็นอะไร หวังว่าจะเป็นประโยชน์ครับ Reference: https://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx https://support.microsoft.com/en-us/kb/977519  

Read More »

Case Study: ภัยจากสำเนาบัตรประชาชน Social Network ไปจนถึงการตั้งรหัสผ่านของโลก IT

May 16, 2016 10:03

ก่อนอื่นขอออกตัวว่า บทความนี้มีจุดประสงค์เพื่อตระหนักถึงความสำคัญของการเก็บรักษาความลับของตนเอง โดยเฉพาะอย่างยิ่งสำเนาบัตรประชาชนของทุกท่าน อาจจะนำไปสู่การฟ้องร้องได้ อย่างที่เกิดขึ้นกับเพื่อนผมครับ เรื่องมีอยู่ว่า … นางสาว A อยู่มาวันหนึ่ง ก็ได้รับหมายเรียกจากตำรวจ ว่ามีคนแจ้งความว่า ทำการส่ง SMS ไปด่าว่า นางสาว B จึงแจ้งความหมิ่นประมาท (A กับ B ไม่รู้จักกันเลย) ใช้ Facebook ที่มีชื่อจริง นามสกุลจริงของนางสาว A เข้าไปป่วน Facebook นางสาว B สร้างความเสื่อมเสียต่อการงานของนางสาว B นางสาว A จึงไปตามหมายเรียก พร้อมแสดงความบริสุทธิ์ใจ จากนั้น ได้เริ่มทำการสืบสวน พบว่า ที่นางสาว B แจ้งความนางสาว A เพราะว่า เอาเลขหมายโทรศัพท์ที่ส่ง SMS มานั้นไปตรวจสอบ พบว่าเป็นของ Operator รายหนึ่ง จึงให้ทราบเลขที่บัตรประชาชน และตำรวจเอาตรวจสอบในทะเบียนราษฏร์ พบเป็นชื่อ นามสกุล ของนางสาว A ทาง Operator ที่ให้บริการ SMS ที่อ้างว่ามาจากนางสาว A แจ้งให้ทราบว่า ได้มีการนำ “หมายเลขบัตรประชาชน” ของนางสาว A ไปเปิดบริการ “SIM เติมเงิน”  ผ่านบริการที่เรียกว่า “2 แชะ” โดยทางผู้รับลงทะเบียน ไม่ได้ระบุชื่อ นามสกุลของผู้ลงทะเบียน เพียงแต่ระบุว่า เป็น “เพศชาย” และเป็นการลงทะเบียนจากคนละจังหวัดกับนางสาว A ด้วย (แล้วทำไมยังลงทะเบียนได้ งงจัง) Facebook ของ นางสาว A จริงๆนั้น แทบไม่ได้ใช้งาน มีไว้แค่ให้คนรู้จักติดต่อทักเข้ามาเล็กๆน้อยๆ จากการตรวจสอบเบื้องต้น ไม่พบประวัติการเข้าไป Comment ใน Facebook ของนางสาว B แต่ประการใด ปัญหาอยู่ที่ว่า จากการสอบถาม พบว่า นางสาว A ตั้งรหัสผ่านของ Facebook แบบง่ายมาก โดยใช้ “ชื่อภาษาอังกฤษ และวันเดือนปีเกิด” เป็นรหัสผ่าน เช่น somying01122520 อะไรทำนองนั้น ตรงนี้ไม่แน่ใจว่า ถ้าไปรู้ email address ของนางสาว A ที่ใช้เปิด Facebook ก็อาจจะนำไปใช้ทดสอบ Login ได้ก็เป็นไปได้ หรือเป็นไปได้ว่า ผู้ร้ายที่นำสำเนาบัตรประชาชนของนางสาว A ไปเปิดเบอร์ คงจะค้นหาใน Facebook ด้วยชื่อนามสกุลจริง ตามในบัตร แล้วพบ Profile แล้วเห็นข้อมูลที่เปิด Public จึง “อาจจะ” สร้าง Facebook อีกอันเลียนแบบขึ้นมา โดยใช้ชื่อและนามสกุลของนางสาว A แล้วเข้าไปใน Facebook ของ B เพื่อป่วนก็เป็นไปได้ และเป็นไปได้ว่า เคยเซ็นต์สำเนาบัตรประชาชน ไม่ได้ระบุ “จุดประสงค์” การใช้งาน กล่าวคือ เซ็นแค่ สำเนาถูกต้อง และเซ็นต์ชื่อ แล้วเกิดหลุดไป ทำให้เกิดการสวมสิทธิ์จดทะเบียน SIM ดังกล่าวได้ เรื่องนี้สอนให้รู้ว่า เซ็นสำเนาบัตรประชาชนทุกครั้ง อย่าลืมเขียนทับกำกับไปเลยว่า ใช้เพื่อจุดประสงค์อะไร จะได้ไม่สามารถนำไปใช้ทำอย่างอื่นได้ เลขที่บัตรประชาชนมีความสำคัญ เป็นการระบุตัวตนได้จริง ควรเก็บเป็นความลับ หากใครรู้ และระบบจดทะเบียนที่อาจจะไม่รัดกุมพอ อาจจะนำไปสู่เหตุการณ์ดังที่กล่าวมาได้ อย่าตั้งรหัสผ่านที่มีข้อมูลที่อยู่ในบัตรประชาชนเด็ดขาด อย่างกรณีดังกล่าว ใช้ชื่อ และ วันเดือนปีเกิด เสี่ยงมาก ข้อมูลส่วนตัวใน Social Media ควรปิดเป็นความลับ เปิดเผยเฉพาะ Friends หรือไม่ก็ไม่ควรเปิดเผยเลยยิ่งดี หวังว่าจะเป็นประโยชน์ครับ

Read More »