เอาว่า ใครอยากติตตั้งง่าย ลองดู (เชื่อมั่นใน L2TP ว่าจะอยู่รอดได้) 1.คลิกขวาที่ System Tray ตรง Connection แล้วเลือก Open Network and Sharing Center 2.คลิก Set up a new connection or network 3.คลิก Connect to a workplace 4. คลิก Use my Internet connection (VPN) 5. ใส่ Internet Address : vpn.psu.ac.th Destination name: PSU-VPN 6. เวลาจะใช้ ก็เลือก PSU-VPN
(ตอนนี้ จะเน้นการตรวจสอบ Joomla เป็นหลักครับ) จาก “วิธีตรวจสอบเว็บไซต์ที่โดน Hack #3” ซึ่ง เป็นการตรวจสอบเบื้องต้นว่า มีการบุกรุกผ่านช่องโหว่ต่างๆของ Web Server เข้ามาวาง Backdoor หรือไม่ ซึ่ง ตั้งสมมุติฐานว่า Hacker จะเอาไฟล์ .php มาวางไว้ในไดเรคทอรี่ images/stories เท่านั้น แต่ความจริงแล้ว … ไม่ใช่เช่นนั้น เพราะ Hacker ต้องคิดต่อไปอีกขั้นหนึ่ง คือ ต้องวางไฟล์ Backdoor ไว้ในที่อื่นๆด้วย รวมถึง พยายามแก้ไขไฟล์ .php ของ Joomla เพื่อไม่ให้ผิดสังเกต และเป็นช่องในการกลับเข้ามาในภายหลัง ในบทความนี้ เป็นแนวทางปฏิบัติที่พึงดำเนินการ เพื่อการสืบสวน ค้นหา และทำลาย Backdoor ที่อื่นๆ รวมถึง เสนอแนวทางปฏิบัติ เพื่อผู้ดูแลระบบจะได้ทราบว่า มีไฟล์ใดบ้างที่เปลี่ยนแปลง ในอนาคต ภาพรวมขั้นตอนการปฏิบัติ 1. ทำการตรวจสอบไฟล์ .php ใน images/stories แล้วเก็บเป็น List เอาไว้ 2. ดึงไฟล์ Backdoor ที่พบ มาเก็บไว้ก่อน ด้วยคำสั่ง tar 3. ค้นหาไฟล์ ที่เกิดขึ้นหรือถูกแก้ไข ในเวลาใกล้เคียงกันกับ Backdoor นั้นๆ แล้วเก็บเป็น List เอาไว้ 4. ดึงไฟล์ ต้องสงสัย มาเก็บไว้ก่อน แล้ว ตรวจสอบ เป็นรายไฟล์ 5. ลบไฟล์ Backdoor จาก List ในข้อ 1. 6. ลบไฟล์ ต้องสงสัย หลังจากการตรวจสอบในข้อ 4. 7. ตรวจสอบ Web User คือใคร 8. ค้นหา Directory ที่ Web User จากข้อ 7. ที่สามารถเขียนได้ 9. ค้นหา Backdoor พื้นฐานเพิ่มเติม รายละเอียดการปฏิบัติ คำสั่งต่อไปนี้ อยู่บนพื้นฐานที่ว่า Document Root ของ Web Server อยู่ใน /var/www/ ของแต่ละผู้ใช้ ดังนั้น ขอให้ปรับเปลี่ยนตามระบบของท่าน 1. ทำการตรวจสอบไฟล์ .php ใน images/stories แล้วเก็บเป็น List เอาไว้ ใช้คำสั่งต่อไปนี้ find /var/www/ -name “*.php” -type f | grep ‘images/stories’ > /tmp/backdoor.txt 2. ดึงไฟล์ Backdoor ที่พบ มาเก็บไว้ก่อน ด้วยคำสั่ง tar เพื่อให้ในการตรวจสอบ และภายหลัง cat /tmp/backdoor.txt | xargs tar -cvf /tmp/backdoor.tar ลองตรวจสอบว่า คำสั่งดังกล่าว เก็บไฟล์ได้จริงหรือไม่ ด้วยคำสั่งต่อไปนี้ tar -tvf /tmp/backdoor.tar 3. ค้นหาไฟล์ ที่เกิดขึ้นหรือถูกแก้ไข ในเวลาใกล้เคียงกันกับ Backdoor นั้นๆ แล้วเก็บเป็น List เอาไว้ ให้สร้างไฟล์ ชื่อ findbackdoor.sh แล้วใส่เนื้อหาตามนี้ #!/bin/sh BD=”/tmp/backdoor.txt” TMP01=”/tmp/otherbackdoor.txt” DMROOT=”/var/www/” for f in $(cat $BD) ; do echo “:: $f ::”
ต่อจาก “วิธีตรวจสอบเว็บไซต์ที่โดน Hack #1” และ “วิธีตรวจสอบเว็บไซต์ที่โดน Hack #2” จากการใช้งาน CMS ยอดนิยม อย่าง Joomla อย่างแพร่หลาย ซึ่งเป็นเรื่องง่ายในการพัฒนาเว็บไซต์ เพราะผู้ใช้ สามารถสร้างเนื้อหาได้ง่ายดาย แถมรุ่นใหม่ๆ สร้างแทรกภาพ แทรกวิดีโอได้มากมาย ทำให้เว็บไซต์น่าสนใจ แต่สิ่งที่แลกมา คือ ความปลอดภัย เพราะมี Joomla รุ่น 1.5 และใช้เครื่องมือการแก้ไขข้อความ (editor) ที่ชื่อว่า JCE นั้น (รุ่นต่ำกว่า 2.5) มีช่องโหว่ ซึ่งเรียกรวมๆว่า JCE Exploited รายละเอียดของช่องโหว่ สามารถอ่านได้จาก http://www.bugreport.ir/78/exploit.htm โดยสรุป วิธีการ Hack ทำเช่นนี้ 1. ตรวจสอบว่า website เป้าหมายมี com_jce หรือไม่ 2. ถ้ามี จะส่งคำสั่ง ผ่านช่องโหว่ทาง URL เข้าไปเพื่อสร้างไฟล์ชื่อ xxxx.gif แล้วเขียนหัวไฟล์ว่า GIF89 3. จากนั้น ก็ใส่ php code ซึ่งจะใช้เป็น Backdoor เข้าไป 4. ใช้ช่องโหว่ JCE แก้ไขไฟล์เป็น .php เมื่อสามารถเขียนไฟล์ ลงไปได้แล้ว Hacker ก็จะเข้ามาจัดการเครื่องเราในภายหลัง … เช่น เบื้องต้น อาจจะวางไฟล์ 0day.php หรือ อะไรก็แล้วแต่ เพื่อเอาไปอวดเพื่อนๆว่า นี่ๆ ฉัน Hack ได้แล้ว หรือบางคน ก็เข้ามาเปลี่ยนหน้าตาของ Website และเลวร้ายที่สุด คือ สามารถเข้ามาแล้ว เอา Source Code มา Compile บนเครื่องของเรา แล้วยึดเครื่องได้เลย หรืออาจจะเข้ามาใน Network เพื่อ Scan และยิงเครื่องอื่นๆได้เลยทีเดียว จาก website ที่อ้างอิงข้างต้น เป็นโค๊ดที่สามารถ นำไปใช้ทดสอบเครื่องในความดูแลของตนเอง แต่ในขณะเดียวกัน ก็จะมี Hacker มือใหม่ หรือที่เรียกว่า Script Kiddie จะลองของ โดยเอา PHP, Perl Script ข้างต้น ไปลอง Hack ดู ซึ่ง … สร้างความเสียหายได้ง่ายๆ วิธีการตรวจสอบ ซึ่ง ผู้ดูแล Website พึงตรวจสอบเป็นประจำ 1. พวก Script Kiddie จะเอาโค๊ดไปใช้ โดยไม่แก้ไขอะไร หรือ แก้ไขเฉพาะให้ Hack ได้ โดยจะลืมแก้ Signature ของ Script ดังภาพ (ส่วนหนึ่งของ Script) ดังนั้น จะใน Log File ของ Web Server ก็จะปรากฏข้อความ “BOT for JCE” ด้วย จึงสามารถใช้คำสั่งต่อไปนี้ ค้นหาว่ามีความพยายาม Hack หรือไม่ grep -i “BOT for JCE” /var/log/httpd/domains/*.log | grep 200 คำสั่งนี้ จะค้นหาคำว่า “BOT for JCE” ในที่ที่เก็บ Log File คือ /var/log/httpd/domains/*.log ( ซึ่งแต่ละแห่งใช้ที่เก็บ Log ไม่เหมือนกัน เช่นอาจจะเป็น /var/log/apache2/access.log.* ก็ได้ ขอให้ปรับเปลี่ยนตามความเป็นจริง) และ grep 200
[Update 16/06/60] วิธีการติดตั้งเป็นขั้นตอนง่าย ๆ ครับดังนี้ครับ 1. ดาวน์โหลดไฟล์ติดตั้ง OpenVPN (โปรดเลือกให้ตรงกับ Windows Version ที่ตัวเองใช้อยู่ครับ) [วิธีดูว่า Windows เป็น Version อะไร] [Link สำหรับ Windows XP 32bit] http://ftp.psu.ac.th/pub/openvpn/openvpn-install-2.3.16-I001-i686.exe [Link สำหรับ Windows XP 64bit] http://ftp.psu.ac.th/pub/openvpn/openvpn-install-2.3.16-I001-x86_64.exe [Link สำหรับ Windows Vista/7/8/8.1/10 32bit] http://ftp.psu.ac.th/pub/openvpn/openvpn-install-2.3.16-I601-i686.exe [Link สำหรับ Windows Vista/7/8/8.1/10 64bit] http://ftp.psu.ac.th/pub/openvpn/openvpn-install-2.3.16-I601-x86_64.exe 2. ทำการติดตั้ง OpenVPN 2.3.16 (ให้รันให้ตรงกับไฟล์ที่โหลดมาครับ สำหรับ Windows Vista/7/8/8.1 64bit) โดยคลิกขวา Run as Admin ดังรูป (จากนั้น Next ๆ ติดตั้งตามปกติ) ในกรณีที่เป็น Windows 10 (บาง Version) จะติด Windows SmartScreen ดังรูปให้กด More info แล้วเลือก Run anyway ดังรูป 3. ดาวน์โหลดไฟล์ Config VPN และ PSU Cert http://ftp.psu.ac.th/pub/openvpn/openvpncer.zip 3.1) แตก Zip File ดังรูป 3.2) จะได้ไฟล์ 2 ไฟล์ ให้ทำการ copy ไฟล์ดังกล่าวไว้ 3.3) ทำการวางไฟล์ทั้งสองใน c:\Program Files\OpenVPN\config 4. จากนั้นทำการตั้งค่าให้ Run as Administrator ทุกครั้งที่เปิดใช้ OpenVPN GUI ที่ c:\Program Files\OpenVPN\bin ดังรูป หรือสามารถรันตรง ๆ ได้ดังนี้ (ผลเหมือนกัน แต่แนะนำให้ตั้งค่าไว้เลยแบบรูปข้างบน จะได้ไม่ต้องมา Run as administrator ทุกครั้ง เหมือนรูปข้างล่างนี้) [TIP] วิธีการเพิ่ม shotcut ไว้ที่ taskbar บน Windows 8.1 วิธีการเพิ่ม shotcut ไว้ที่ taskbar บน Windows 10 วิธี Re-Check ว่าได้ IP VPN แล้วหรือยัง 1. ตรวจสอบโดยเอาเมาส์ไปวางบน icon ดังรูปแล้วสังเกตุเบอร์ IP ในช่อง Assigned IP : 2. เปิด Web Browser พิมพ์ URL : http://server-dev.psu.ac.th/checkipvpn ตรวจสอบว่า IP ตรงกับข้อ 1 หรือไม่ ถ้าตรงแสดงว่าสามารถใช้งาน VPN ได้แล้วครับ วิธีตรวจสอบว่าแบบละเอียดว่าโปรแกรมทำงานเป็นปกติหรือไม่ (บางครั้งถึง icon เขียวก็ไม่ได้บอกว่าจะใช้ได้) ถ้าปรากฎข้อความดังภาพแสดงว่าเส้นทางการเชื่อมต่อสมบูรณ์
การติดตั้งเครื่องบันทึกภาพกล้องวงจรปิด เตรียมอุปกรณ์ Hardware เตรียมชุดข้อมูล Software+config Config ระบบอินเทอร์เน็ต เตรียมอุปกรณ์ Hardware มีอะไรบ้าง ? (สำหรับการติดตั้งกล้องวงจรปิด 4 ช่องสัญญาณครับ) 1. สาย RG สีขาวยี่ห้อ Link หรือ Commscope ยาว 100 เมตร 2. หัวแจ๊คสัญญาณ RG 6 (BNC Type) จำนวน 4 ตัว 3. รางเก็บสายไฟฟ้า PVC สีขาว 5*5 cm ยาว 4 m. 4.สายไฟฟ้า VCT 2*0.5 SQ.mm หรือ VCT 2*1.5 SQ.mm ความยาว 20 เมตร 5.ปลั๊กตัวเมีย 2 ตัว 6. กล่องกันน้ำขนาด 6*6*8 จำนวน 2 ใบ 7. เกลียวปล่อยขนาด #7*1 หัว JP 30 ตัว 8 พุกผีเสื้อจำนวน 30 ตัว 9.เครื่องบันทึกภาพ 4 ช่อง INNEKT ZLD104A H.264 Full D1 อินเตอร์เฟช GUI OSD, คอนโทรลเลอร์ USB Mouse 4CH 10.กล้องอินฟาเรด ขนาด 1/3″CMOS ความละเอียด 600 TVL 11.Harddisk western digital ขนาด 500 GB รวมราคา 14,097.25 บาท นี่คือราคาของอุปกรณ์ Hardware ที่เราซื้อมาติดตั้ง รวม Vat 7% แล้วนะครับ สำหรับการเดินสายอุปกรณ์ทั้งหมดในส่วนของ Hardware ต้องขอขอบพระคุณพี่ประเสริฐ นายช่างใหญ่จากจังหวัดภูเก็ตเดินทางมาติดตั้งให้ครับ (งานนี้จะเป็นงานเดินสายสัญญาณบนฝ้าเพดานครับ) รูปที่ 1 แสดงการเชื่อมต่ออุปกรณ์กล้องวงจรปิด เตรียมอุปกรณ์ Software+Config มีอะไรบ้าง ? (สำหรับการติดตั้งกล้องวงจรปิด 4 ช่องสัญญาณครับ) 1. หน้าจอสำหรับ Monitor เครื่อง DVR สำหรับการเข้าใช้งานครั้งแรก ใส่ User Name : admin , Password : 123456 (การทำงานของระบบคลิกซ้ายคือการเข้าใช้งาน คลิกขวาคือการย้อนกลับไปยังเมนูก่อนหน้า) 2. วิธีการตั้งค่าวันที่และเวลาเครื่อง คลิกขวาเลือก Main Menu > Configuration > System ตั้งค่าวันที่และเวลาเรียบร้อยแล้วกดปุ่ม Save กด Apply และกด OK 3. วิธีการตั้งค่าการบันทึก คลิกขวาเลือก Main Menu > Configuration >Record Channel คือ การเลือกกล้อง Resolution คือขนาดของภาพ แนะนำที่ D1 Frame Rate คือ ความเร็วในการบันทึก Real-time อยู่ที่ 25 FPS สามารถ config All Channel ได้จากฟังก์ชัน Copy ครับ 4. วิธีการเลือกรูปแบบการบันทึก สามารถเลือกได้