คณกรณ์ หอศิริธรรม – Page 53

วิธีตรวจสอบเว็บไซต์ที่โดน Hack #3

November 8, 2013 16:19

ต่อจาก “วิธีตรวจสอบเว็บไซต์ที่โดน Hack #1” และ “วิธีตรวจสอบเว็บไซต์ที่โดน Hack #2” จากการใช้งาน CMS ยอดนิยม อย่าง Joomla อย่างแพร่หลาย ซึ่งเป็นเรื่องง่ายในการพัฒนาเว็บไซต์ เพราะผู้ใช้ สามารถสร้างเนื้อหาได้ง่ายดาย แถมรุ่นใหม่ๆ สร้างแทรกภาพ แทรกวิดีโอได้มากมาย ทำให้เว็บไซต์น่าสนใจ แต่สิ่งที่แลกมา คือ ความปลอดภัย เพราะมี Joomla รุ่น 1.5 และใช้เครื่องมือการแก้ไขข้อความ (editor) ที่ชื่อว่า JCE นั้น (รุ่นต่ำกว่า 2.5) มีช่องโหว่ ซึ่งเรียกรวมๆว่า JCE Exploited รายละเอียดของช่องโหว่ สามารถอ่านได้จาก http://www.bugreport.ir/78/exploit.htm โดยสรุป วิธีการ Hack ทำเช่นนี้ 1. ตรวจสอบว่า website เป้าหมายมี com_jce หรือไม่ 2. ถ้ามี จะส่งคำสั่ง ผ่านช่องโหว่ทาง URL เข้าไปเพื่อสร้างไฟล์ชื่อ xxxx.gif แล้วเขียนหัวไฟล์ว่า GIF89 3. จากนั้น ก็ใส่ php code ซึ่งจะใช้เป็น Backdoor เข้าไป 4. ใช้ช่องโหว่ JCE แก้ไขไฟล์เป็น .php เมื่อสามารถเขียนไฟล์ ลงไปได้แล้ว Hacker ก็จะเข้ามาจัดการเครื่องเราในภายหลัง … เช่น เบื้องต้น อาจจะวางไฟล์ 0day.php หรือ อะไรก็แล้วแต่ เพื่อเอาไปอวดเพื่อนๆว่า นี่ๆ ฉัน Hack ได้แล้ว หรือบางคน ก็เข้ามาเปลี่ยนหน้าตาของ Website และเลวร้ายที่สุด คือ สามารถเข้ามาแล้ว เอา Source Code มา Compile บนเครื่องของเรา แล้วยึดเครื่องได้เลย หรืออาจจะเข้ามาใน Network เพื่อ Scan และยิงเครื่องอื่นๆได้เลยทีเดียว จาก website ที่อ้างอิงข้างต้น เป็นโค๊ดที่สามารถ นำไปใช้ทดสอบเครื่องในความดูแลของตนเอง แต่ในขณะเดียวกัน ก็จะมี Hacker มือใหม่ หรือที่เรียกว่า Script Kiddie จะลองของ โดยเอา PHP, Perl Script ข้างต้น ไปลอง Hack ดู ซึ่ง … สร้างความเสียหายได้ง่ายๆ วิธีการตรวจสอบ ซึ่ง ผู้ดูแล Website พึงตรวจสอบเป็นประจำ 1. พวก Script Kiddie จะเอาโค๊ดไปใช้ โดยไม่แก้ไขอะไร หรือ แก้ไขเฉพาะให้ Hack ได้ โดยจะลืมแก้ Signature ของ Script ดังภาพ (ส่วนหนึ่งของ Script) ดังนั้น จะใน Log File ของ Web Server ก็จะปรากฏข้อความ “BOT for JCE” ด้วย จึงสามารถใช้คำสั่งต่อไปนี้ ค้นหาว่ามีความพยายาม Hack หรือไม่ grep -i “BOT for JCE” /var/log/httpd/domains/*.log | grep 200 คำสั่งนี้ จะค้นหาคำว่า “BOT for JCE” ในที่ที่เก็บ Log File คือ /var/log/httpd/domains/*.log ( ซึ่งแต่ละแห่งใช้ที่เก็บ Log ไม่เหมือนกัน เช่นอาจจะเป็น /var/log/apache2/access.log.* ก็ได้ ขอให้ปรับเปลี่ยนตามความเป็นจริง) และ grep 200

การสร้าง Mail Merge ด้วย Thunderbirds

August 20, 2013 16:26

ส่งจดหมายเวียนในรูปแบบ Email ด้วย Thunderbird Download และ ติดตั้ง Thunderbird http://www.mozilla.org/en/thunderbird/all.html แล้วติดตั้ง email Account ตามปรกติ, ทดสอบให้สามารถส่ง email ออกไปได้จริง Download และ ติดตั้ง ThunderBird Mail Merge Extension https://addons.mozilla.org/en-us/thunderbird/addon/mail-merge/ โดยเปิด Thunderbird แล้วกดปุ่ม Alt-T แล้วเลือก Add-ons แล้วไปที่ รูปเฟือง แล้วเลือก Install Add-ons From file… จากนั้น เลือกไฟล์ที่ Download มา (mail_merge.XXXXX.xpi) เมื่อติดตั้งเสร็จ ให้ Restart Thunderbird Download และ ติดตั้ง Notepad++ http://notepad-plus-plus.org/download/ สร้างฐานข้อมูลด้วย Microsoft Excel หรือ LibreOffice Cal ก็ได้ โดย ให้บรรทัดแรกของตาราง เป็นชื่อของ Field ซึ่งต้องเป็นภาษาอังกฤษ ไม่มีเว้นวรรค ในที่นี้จะมีชื่อ name, email, salary, topup, bonus, sso, total แล้ว Save As เป็น .CSV (Comma Delimited) ในที่นี้ตั้งชื่อ salary.csv จากนั้นให้ปิด Excel ไปได้เลย ต่อไป ต้องปรับให้ salary.csv มีการ Encoding เป็น UTF-8 ก่อน โดยใช้โปรแกรม Notepad++ โดย Right-Click ที่ไฟล์ salary.csv แล้วเลือก Edit with notepad++ แล้วเลือก Encoding > Convert to UTF-8 เสร็จแล้ว Save แล้วปิดไป กลับมาที่ Thunderbird ให้สร้าง email ใหม่ การอ้างอิงข้อมูลใน CSV นั้น ต้องมีเครื่องหมาย {{ }} คร่อมชื่อ Field ดังภาพ เมื่อต้องการส่ง คลิก File>Mail Merge แล้วตั้งค่าดังภาพ โดยเลือกไฟล์ salary.csv ที่แก้ไขแล้วข้างต้น เมื่อกดปุ่ม OK ระบบก็จะส่งจดหมายไปตาม email ที่กำหนด ตัวอย่าง email ที่ส่งผ่านระบบ

แกะรอย Facebook Spam

August 20, 2013 11:05

ตามรอย Facebook Spam with Virus คำเตือน : ขั้นตอนต่อไปนี้ ทำเพื่อให้เห็นว่า Facebook แพร่ Virus มาได้อย่างไรเท่านั้น อย่านำไปลองทำที่บ้าน !!! โดยเฉพาะ Windows Users 1. มี Message มา เป็น Link แปลกๆ 2. ระแวงไว้ก่อน ลองใช้ Linux Mint LiveCD ตรวจสอบ โดยเปิด Link ดังกล่าวด้วย FireFox (พิมพ์ลงไป ไม่ได้เปิดโดยตรงจาก Facebook) พบว่า มันให้ Download ไฟล์ Zip ชื่อ CameraImage-35160.jpg.zip ดังภาพ แต่เดี๋ยวก่อน !!! อย่าใช้คำสั่ง Open เด็ดขาด ให้เปลี่ยนเป็น Save File หากใครเจอเหตุการณ์เช่นนั้น แล้วเผลอไปเปิด คุณก็ติด Virus เข้าแล้ว !!! 3. จะเห็นได้ว่า พวกนี้จะหลอกให้ผู้ใช้ โดยเฉพาะ Windows ที่มักจะ “ซ่อน” นามสกุลของไฟล์ (Hide known extensions) ทำให้ไม่เห็นว่าไฟล์ที่ download มานั้นเป็น .Zip ซึ่งจะสามารถสั่งให้ Execute โปรแกรมหรือ สั่งให้ Virus ทำงานได้ทันที ! ผู้ใช้ที่ไม่รู้หรือไม่สังเกตุ ก็จะเห็นเป็นแค่ CameraImage-35160.jpg ซึ่งน่าจะเป็นภาพ แทนที่จะเป็น CameraImage-35160.jpg.zip ซึ่งเป็นไฟล์อันตราย 4. คราวนี้ มาดูว่า เจ้าไฟล์นี้ มันทำอะไร โดยทดลองเปิดดู (บน Linux Mint ไวรัสไม่สามารถทำอะไรได้) พบว่าใน Zip ไฟล์นี้ มี ไฟล์ชื่อ summertime-fun.jpg.exe อยู่ ซึ่งเป็น Virus นั่นเอง (ดังภาพ) 5. ต่อไป เป็นการส่งไฟล์ไปตรวจสอบ ว่าเป็น Virus ชนิดใด ในที่นี้เลือกใช้ https://www.virustotal.com/en/ เพราะสามารถส่งไฟล์ไปตรวจสอบได้ทาง Web Browser ดังภาพ โดยเลือกไฟล์ summertime-fun.jpg.exe ข้างต้นไปตรวจสอบ ผลที่ได้คือ สรุป เป็น Virus/Malware ชนิดหนึ่ง รายละเอียดยังไม่แน่ชัด แต่ไม่ไปยุ่งกับมันเป็นดีที่สุด 6. อ่านเพิ่มเติมเกี่ยว Virus/Spam ที่มากับ Facebook ได้ที่ http://www.hacker9.com/beware-of-spambook-facebook-spam-and-virus.html สำหรับใครที่เจอเหตุการณ์นี้ แล้ว 1. ได้รับ Message แล้วคลิก Link … ถ้า Web Browser ของท่านฉลาดสักหน่อย ก็จะถามว่า จะ Save หรือ Open (กรณีใช้ Microsoft Windows เท่านั้น) ถ้าเลือก Save แล้วไม่ได้ไปเปิดไฟล์ –> ก็ยังปลอดภัย แค่ไปลบไฟล์ทิ้ง จบ ถ้าเลือก Open แล้ว ไม่ได้ไป Double Click ไฟล์ที่ซ่อนอยู่ –> ก็ยังปลอดภัย ลบไฟล์ทิ้ง จบ แต่ถ้า เลือก Open แล้ว double click –> ท่านน่าจะติด Virus ไปแล้วครับ ถ้าในเครื่องมี Antivirus แต่ไม่ Update หรือตรวจสอบไม่เจอ ก็เป็นอันว่า มันฝังในเครื่องแล้ว หากติดแล้ว จะเห็นได้ว่า เครื่องจะช้าลง

จดหมายหลอกลวง 2013-08-07

August 7, 2013 10:46

วันนี้ 7 สิงหาคม 2556 มีจดหมายหลอกลวงหลุดเข้ามาในระบบ โดยผ่าน ผู้ใช้ของมหาวิทยาลัย 3 คน ซึ่งโดนหลอกเอารหัสผ่านไปก่อนหน้านี้ ซึ่ง ทั้งหมด ถูกระงับการใช้งาน PSU Email ชั่วคราวไปแล้ว โดยจะมีหน้าตาจดหมาย เป็นภาษาไทย แต่อ่านแล้วสับสน เพราะใช้ Google Translate แปล เพื่อหลอกคนไทยโดยเฉพาะ เนื้อหาประมาณนี้ โดยหวังให้ผู้ที่โดนหลอก คลิก Link ใน Email ซึ่งจะได้พบหน้า Website นี้ เมื่อมีผู้หลงเชื่อ กรอกข้อมูลลงไป โดยเฉพาะ Username และ Password ก็ทำให้ผู้ร้ายสามารถเข้ามาใช้ PSU Webmail ของผู้นั้น เป็นฐานในการโจมตีผู้อื่นต่อไป ผลกระทบที่ผู้ถูกหลอกจะได้รับ 1. จะมีจดหมายจากตัวเอง ส่งไปหาคนทั่วโลก นับแสนคน สร้างความเดือนร้อนรำคาญ 2. ผู้ร้าย จะทำการเปลี่ยนข้อมูลส่วนตัวของผู้นั้น เมื่อผู้รับตอบกลับมา จะไม่กลับมายัง Email ของคนนั้นอีกเลย แต่จะส่งไปให้ผู้ร้ายแทน หากมีข้อมูลทางการเงิน ก็อาจทำให้สูญทรัพย์สินได้ 3. หากมีการส่ง Email ขยะออกไปมาก จะทำให้ ทั่วโลกปิดกั้นการรับข้อมูลจากมหาวิทยาลัย และทำให้เกิดความเสียหายกับทั้งมหาวิทยาลัยได้ ทางมหาวิทยาลัย จะไม่มีจดหมายลักษณะดังกล่าวไปแจ้งผู้ใช้ ** เด็ดขาด ** กรุณาอ่านเพิ่มเติม เกี่ยวกับกลลวงต่างๆได้ที่ http://share.psu.ac.th/blog/cyber007/25717 หากท่านใดได้รับ กรุณาลบทิ้งทันที อย่าได้ลองคลิก Link เด็ดขาด เพราะอาจจะมีการฝัง Script บางอย่าง เพื่อฝังไว้ในเครื่องของท่านก็เป็นได้ จึงเรียนมาเพื่อทราบ

วิธีติดตั้ง Oracle Virtualbox Guest Additions สำหรับ Ubuntu 12.04 Guest

August 2, 2013 11:22

การใช้งาน Oracle Virtualbox นั้น ต้องติดตั้ง Guest Additions เพื่อให้สามารถใช้งานความสามารถต่างๆได้มากขึ้น เช่น การ Sync Time ของ Guest จากตัว Host ได้, การ Copy-and-Paste ระหว่าง Guest กับ Host, ความสามารถในการ Copy File ข้ามระหว่าง Guest กับ Host รวมถึง การใช้งาน Share Folder ด้วย สำหรับ Guest ที่เป็น Ubuntu 12.04 Server ซึ่งไม่มี GUI สามารถใช้คำสั่งต่อไปนี้ในการติดตั้ง ใน Guest OS, เลือกเมนู Device > Install Guest Additions … ที่ Prompt ใน Guest ต้องติดตั้ง dkms และ build-essential ก่อน ด้วยคำสั่ง # sudo apt-get install dkms build-essential จากนั้น mount เอา /dev/cdrom มาไว้ที่ /media/cdrom ด้วยคำสั่ง # sudo mount /dev/cdrom /media/cdrom ติดตั้ง Guest Additions ด้วยคำสั่ง # sudo /media/cdrom/VBoxLinuxAdditions.run จากนั้น Reboot # sudo reboot การ Mount เอา Share Folder จาก Host มาให้ Guest เห็น โดยอาจจะสร้าง directory สำหรับ Mount เอาไว้ชื่อ /media/vboxshare01 และ Host ได้สร้าง share folder ชื่อ sharename ใช้คำสั่ง # sudo mkdir /media/vboxshare01 # sudo mount -t vboxsf sharename /media/vboxshare01