Category: Virus & Malware

  • วิธีซ่อนเวอร์ชัน Apache และ Linux (Ubuntu/Debian) OS จากส่วนหัว HTTP Headers

    taveesak.p

    How to Hide Your Apache Version and Linux (Ubuntu/Debian) OS From HTTP Headers

    ด้วย (ร่าง) มาตรฐานเว็บไซต์มหาวิทยาลัยสงขลานครินทร์ พ.ศ. 2567 และแนวปฏิบัติการรักษาความมั่นคงปลอดภัยเว็บไซต์ (Website Security Guideline) สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)

    สำหรับการใช้งาน HTTP Response headers*1 ถูกใช้เพื่อส่งต่อนโยบายความปลอดภัยไปยังเบราเซอร์  ทำให้การเปิดเว็บไซต์ของเรามีความปลอดภัยเพิ่มมากขึ้น

    ซึ่งการกำหนดให้ Server Type ไม่แสดงข้อมูล เกี่ยวกับระบบปฏิบัติการและรุ่นของโปรแกรมเว็บไซต์ ที่ส่งผ่าน HTTP Response headers ที่ใช้งานผ่าน Apache2 เวอร์ที่สูงกว่า 2.4.8 มีวิธีซ่อนเวอร์ชัน Apache และ Linux (Ubuntu/Debian) OS จากส่วนหัว HTTP Headers ดังนี้

    ขั้นตอนที่ 1 เข้าใช้งานผ่าน SSH เปลี่ยนระดับผู้ใช้งานเป็น root ที่สามารถแก้ไขข้อมูลระบบได้

    ขั้นตอนที่ 2 แก้ไขการตั้งค่า Apache server configuration โดยใช้โปรแกรม Nano (โปรแกรมแก้ไขข้อความที่คุณต้องการ)

    Debian/Ubuntu:

    nano /etc/apache2/conf-enabled/security.conf

    ขั้นตอนที่ 3 เลื่อนหาส่วนการตั้งค่า “ServerTokens”

    • เดิมจะเป็นค่า “ServerTokens OS” ซึ่งแสดงข้อมูลระบบปฏิบัติการของระบบไปกับ HTTP Response headers
    • ให้เปลี่ยนแปลงค่าเป็น “ServerTokens Prod” โดยระบบจะซ่อน Apache version และ OS จาก HTTP headers

    ขั้นตอนที่ 4 เลื่อนหาส่วนการตั้งค่า “ServerSignature”

    • แก้ไขเป็น ServerSignature Off การปิดตัวเลือกนี้จะซ่อนข้อมูลจากเพจที่เซิร์ฟเวอร์สร้างขึ้น

    ขั้นตอนที่ 5 บันทึกและออกจากไฟล์

    Nano : Crt+O เพื่อทำการบันทึก และ Crt+X เพื่อออกจากการแก้ไข

    ขั้นตอนที่ 6 Restart Apache2

    Debian/Ubuntu: /ete/ini.d/apache2 restart

    1. *อ้างอิง: Hardening your HTTP response headers – CoP PSU IT Blog ↩︎

  • Beware of open large 700+ MB PDF, SCR File

    songkrant.m

    ระวังการเปิดอ่านไฟล์ PDF, SCR ขนาดใหญ่กว่า 700 MB ด้วยอาจจะเป็น มัลแวร์ ที่สามารถสำเนาคุกกี้ในโปรแกรมเว็บเบราเซอร์ของเครื่องที่ท่านใช้งานอยู่ไปให้กับคุณแฮกเกอร์ได้

    คุณแฮกเกอร์ เมื่อได้ คุกกี้ ไปแล้วก็สามารถนำไปใช้เข้าเว็บไซต์ที่แม้จะได้มีการป้องกันด้วยระบบตรวจสอบตัวจริงหลายชั้น Multi-factor Authentication : MFA เอาไว้ ก็หลุดรอดวิธีเข้าเว็บไซต์ด้วยคุ๊กกี้นี้ไปได้อย่างง่ายดาย ทั้งนี้ด้วยช่องโหว่โปรแกรมป้องกันไวรัสจะไม่ตรวจสอบไฟล์ขนาดใหญ่กว่า 700 MB

    ก่อนคลิก คิดทบทวนกันก่อนนะครับ

    อ้างอิงจาก YouTube https://youtu.be/yXYLR8MfSz8

  • Patch Your Website NOW

    songkrant.m

    เรียนท่านผู้ดูแลเว็บไซต์ต่างๆ ภายใต้โโเมน psu.ac.th

    เนื่องด้วยเว็บไซต์หลายส่วนงานไม่ได้มีการปรับปรุงซอฟแวร์บริการเว็บไซต์และระบบปฏิบัติการให้ทันสมัยล่าสุดปิดกั้นช่องโหว่

    ส่งผลให้เว็บไซต์จำนวนมากมีช่องโหว่ พร้อมให้ถูกโจมตีได้ง่ายมาก ไม่ต้องใช้เทคนิคขั้นสูงในการเจาะระบบ

    หากท่านยังไม่ได้เคยตรวจสอบปรับปรุงเว็บไซต์ก็ขอให้ใช้เครื่องมือที่

    1. ตรวจสอบ Public IP Address ของเว็บไซต์ที่ท่านดูแล ยกตัวอย่าง www.psu.ac.th
      โดยใช้ URL
      https://bgp.he.net/dns/www.psu.ac.th/
      และแก้ไข www.psu.ac.th เป็นชื่อเว็บไซต์ที่ท่านดูแล
      ซึ่งตัวอย่าง www.psu.ac.th
      ได้ Public IP Address 192.100.77.111
    2. ตรวจสอบช่องโหว่ของเว็บไซต์ที่ท่านดูแลจาก Shodan
      โดยใช้ URL
      https://www.shodan.io/host/192.100.77.111
      และแก้ไข Public IP Address เป็น Public IP Address ของเว็บไซต์ที่ท่านดูแล

    หากด้านซ้ายล่างมีข้อความ
    Vulnerabilities และแสดง
    CVE เลบต่างๆ

    ท่านผู้ดูแลเว็บไซต์ งานเข้าเร่งด่วน ให้ ปรับปรุง ปิดกั้น ช่องโหว่ เว็บไซต์ที่ท่านดูแล
    โดยเร็วที่สุด

    ซึ่งหากท่านดูแลเว็บไซต์เองไม่ได้ก็ขอให้ย้ายเนื้อหามาใช้บริการที่
    https://webhost.psu.ac.th/
    ที่ท่านจะดูแลเฉพาะส่วนเนื้อหาในเว็บไซต์

    ในที่สุด เว็บไซต์ ที่ดูแลไม่ต่อเนื่อง มีช่องโหว่ ก็จะถูกโจมตี แบบเบาๆ ก็จะถูกวาง Link การพนัน ลามกอนาจาร ตัวอย่างเช่น
    ค้นหาด้วย Google ใช้คำว่า

    slot site:*.psu.ac.th

    ก็จะปรากฎชื่อเว็บไซต์ต่างๆ ภายใต้โดโเมน psu.ac.th ที่ถูกโจมตี จากช่องโหว่ที่ปล่อยทิ้งไว้ไม่ปรับปรุงป้องกัน
    ซึ่งตัวอย่างนี้ฝัง Link ที่ไปสู่ เว็บไซต์ การพนัน ตามคำค้นว่า slot

    ย้ำอีกครั้ง อย่าปล่อยรอไว้ จนถึงวันที่ ผู้บริหารส่วนงานท่านได้รับหนังสือจาก DiiS.PSU ว่าทาง สกมช. ได้ส่งหนังสือเรียนท่านอธิการบดี แจ้งเตือนเว็บไซต์ต่างๆ ที่ท่าน “ต้องดูแล” รับผิดชอบ ภายใต้โดโเมน psu.ac.th ถูกโจมตี

    ไม่ต้อง รอ นะครับ

  • Virus Total เครื่องมือตรวจสอบ Shorten URL (ช่วยย่อ URL, ย่อ Weblink, ลิ้งค์ย่อ)

    songkrant.m

    ในโลก Web 2.0 มีการสร้างเครื่องมือเพื่ออำนวยความสะดวกให้ผู้ใช้มากมาย และหนึ่งในนั้นคือการแชร์ URL ข้อมูลต่างๆ ซึ่งปัจจุบัน URL จะมีความยาวมาก เช่นจากการสร้าง Link แชร์เอกสาร แบบฟอร์ม ที่เก็บไฟล์ต่างๆ
    ซึ่งใน ม.อ. คุณ อัษฎายุธ ได้ช่วยอำนวยความสะดวกให้ชุมชนผู้ใช้ไอที ม.อ. ได้ใช้ Shorten URL กันตามข่าว แทนที่จะไปใช้บริการจากนอก ม.อ. เช่น bit.ly tiny.cc

    และในอีกทางหนึ่ง ทางด้านมืด สายมาร เหล่ามิจฉาชีพ ก็นำไปใช้ด้วยเช่นกัน ทำให้เหล่าผู้ใช้ น่าจะรู้สึกกังวลเวลาได้ลิ้งค์ย่อ กังวลว่ากดคลิกต่อไปแล้วจะนำไปสู่หน้าเว็บไซต์ไหน เจออะไร หรือเจอสายมืดก็เปิดเข้าไปเจอเว็บไซต์ประสงค์ร้าย มีแฝงมัลแวร์ มาพร้อมรอต้อนรับผู้ใช้ ที่ยังไม่ตระหนักรู้ ผู้ใช้สาย คลิก “ต่อไป”

    วิธีลดความเสี่ยง ในวันนี้ จึงขอเสนอว่าให้นำ Shorten URL นั้นไปแปะให้ Virus Total ช่วยตรวจสอบความปลอดภัยเบื้องต้นให้ก่อน

    https://www.virustotal.com/gui/home/url

    และฝากเพิ่มเติมสำหรับ สายแชร์ ที่สร้าง URL ลิ้งค์ ที่นำไปสู่เอกสารภายในของกลุ่ม ขององค์กร ของส่วนงาน หรือกลุ่มทำงาน ให้ตรวจสอบการตั้งค่า Share ของสิ่งนั้นให้ดี “ให้เป็นเฉพาะกลุ่ม” เพราะหากเปิดเป็นสาธารณะแล้ว หากผู้รับได้นำ Link ไปใช้ Virus Total ตรวจสอบ ก็อาจจะเป็นการเรียกทัวร์มาลง มาเยี่ยมเยียน ไฟล์ข้อมูลที่เปิดไว้เป็นสาธารณะแบบผิดๆ ไว้โดยไม่ได้ตั้งใจ เพราะ URL ต่างๆ ที่ส่งไปตรวจสอบ Virus Total ก็จะถูกเผยแพร่ไปยังระบบตรวจสอบกลางของ Virus Total ที่ใช้ร่วมกันระหว่างบริษัทที่บริการเครื่องมือความปลอดภัยต่างๆ จำนวนมาก เพื่อวัตถุประสงค์ในการใช้เป็นฐานข้อมูลในการตรวจสอบความปลอดภัยร่วมกัน

    ก่อนจะกดที่ ลิ้งค์ย่อ Shorten URL อย่าลืมใช้ Virus Total ตรวจสอบกันก่อนนะครับ

    ขอขอบพระคุณ คุณชยา ลิมจิตติ ที่ได้แนะนำเครื่องมือ Virus Total ให้ได้รู้จักกันครับ

  • ฉันโดนแฮ๊กหรือเปล่า !?!?!

    kanakorn.h

    หลายท่านอาจจะเคยได้รับ email หน้าตาประมาณนี้

    ข้อเท็จจริงคือ

    เราสามารถปลอมเป็นใคร ส่ง email ออกไปให้ใครก็ได้

    Truth …

    แล้ว จะรู้ได้อย่างไร !?!

    ต้องดูสิ่งที่เรียกว่า Header … โดยทำตามวิธีการต่อไปนี้

    1. คลิกที่ View Full Header

    จะได้ผลประมาณนี้

    จากภาพ จะเห็นว่า ส่งจาก (ดูจาก ล่าง ขึ้น บน)

    Received: from [154.117.164.59] (unknown [154.117.164.59])
         by mailscan.in.psu.ac.th (Postfix) with ESMTP id 69F2B150768
         for <kanakorn.h@psu.ac.th>; Thu, 5 Mar 2020 13:24:42 +0700 (ICT)

    แล้วจึงส่งเข้าระบบ PSU Email

    Received: from mailscan.in.psu.ac.th (unknown [192.168.107.12])
         by mail.psu.ac.th (Postfix) with ESMTP id A034D464FC7
         for <kanakorn.h@psu.ac.th>; Thu, 5 Mar 2020 13:24:46 +0700 (+07)

    แล้วจึงเข้า Mailbox ของ PSU (ข้อมูล version ของ cyrus เอาออกไม่ได้จริง ๆ ครับ ไว้รอ Upgrade)

    Received: from mail.psu.ac.th ([unix socket])
         by mail (Cyrus v2.4.18-Debian-2.4.18-3) with LMTPA;
         Thu, 05 Mar 2020 13:24:46 +0700

    จะเห็นได้ว่า ต้นทางคือ IP Address : 154.117.164.59

    ตรวจสอบว่าอยู่ที่ไหนในโลก ด้วย

    https://whatismyipaddress.com/ip/154.117.164.59

    ประมาณ South Africa

    สรุป ! ไม่ได้โดน Hack (ไม่ได้เข้ามาใช้ PSU Email ส่ง)

    ครับ

  • เตือนภัยอีเมลหลอกลวงว่าเป็นธนาคารกรุงไทย (Spam 2018-11-14)

    kanakorn.h

    เช้านี้มีอีเมลหลอกลวงหลุดเข้ามา

    อ้างว่ามาจาก Krungthai Bank PCL ดังภาพ

    จะเห็นว่า From ก็หลอกว่ามาจาก info@ktb.co.th และในเนื้อหาก็มี Logo ของธนาคาร แถมมี Link  ที่วิ่งไป

    HTTPS://WWW.KTB.CO.TH/PERSONAL/DETAIL/VERIFY/172

    แต่ไม่ใช่ของจริง !!!

    เพราะ ถ้าท่านดูอีเมลฉบับนี้แบบ HTML จะเป็นการส่ง Link ไปที่ “เว็บไซต์หลอกลวง” หรือเรียกว่า Phishing Site 

    ไม่แนะนำให้คลิกตาม

    https://scrappse.tk/jssl/ktbnetbank/krungthai/index.html

    ซึ่งจะได้หน้าตาเหมือนกับของธนาคารจริง ๆ เพราะมันไปใช้ภาพจากเว็บไซต์จริง

    เว็บไซต์หลอกลวง !!!!

    และใช้ HTTPS และได้ “กุญแจ” ที่บอกว่า valid certificate อีกด้วย เพราะใช้ Let’s Encrypt

    ดังนั้นจึงแจ้งเตือนภัยมายังประชาคมให้รับทราบ ว่าปัจจุบันนี้

    • เห็น LINK ใน Email แล้วเป็น URL ชื่อของธนาคารจริง ก็ยังไม่พอ (กรณีนี้เป็นของ www.ktb.co.th)
    • คลิกไป เจอหน้าเว็บ หน้าตาน่าเชื่อถือ ก็ไม่พอ (ตามภาพ เลียนแบบเหมือนมาก)
    • ดูว่ามี “กุญแจ” ของ HTTPS ถูกต้องก็ไม่พอ (กรณีนี้ ได้กุญแจมาแล้ว แต่เป็นของเว็บไซต์หลอกลวง)
    • ดังนั้น ต้องดูด้วยว่า URL ที่ท่านเห็นด้านบน เป็นของธนาคารจริง ๆ หรือไม่ !!! (ในกรณีนี้ ไม่จริง เพราะเป็นของ https://scrappse.tk )

    ธนาคารกรุงไทย ได้แจ้งเตือนเรื่องนี้ไว้แล้วที่ 

    https://www.ktb.co.th/th/krungthai-update/announcement-detail/162

    ดังนั้น หากท่านได้รับ Email ในทำนองนี้ ให้ตรวจสอบกับธนาคาร หรือผู้เชี่ยวชาญก่อน เพราะคนร้ายจะหลอกให้ท่านกรอก Username/Password เพื่อเข้าสู่บัญชีธนาคารของท่านได้

  • มัลแวร์สวมรอยการใช้งาน Facebook

    wachirawit.j

    มีรายงานจากศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) เมื่อวันที่ 10 พ.ค. 2559 พบว่ามีการแพร่กระจายมัลแวร์ประเภท Malicious Code ผ่าน Facebook โดยอาศัยช่องทางการแจ้งเตือนของ Facebook

    การทำงานของมัลแวร์

    เมื่อผู้ใช้ได้รับการแจ้งเตือนจาก Facebook ว่าถูกพาดพิงโดยบุคคลที่สาม หากผู้ใช้คลิกเข้าไปดูข้อความแจ้งเตือนดังกล่าวก็จะถูกนำไปยังไซต์อื่นทันที และเว็บไซต์ปลายทางที่ถูกนำพาไปจะปรากฏข้อความว่าเป็นส่วนขยายของ Browser สำหรับใช้เปลี่ยนสีของเว็บไซต์ Facebook และให้ดาวน์โหลดไฟล์ Instalador_Cores.scr มาติดตั้ง ซึ่งเป็นส่วนขยายของ Google Chrome

    รูปที่ 1 หน้าเว็บไซต์ปลายทางมีให้ดาวน์โหลดไฟล์ Instalador_Cores.scr

    หากผู้ใช้หลงเชื่อดาวน์โหลดและติดตั้งจะพบว่ามีการสร้างไฟล์ไว้ที่ไดเรกทอรี่ C:\User\[ชื่อผู้ใช้]\AppData\Local\Google\Update จากนั้นจะสร้าง Shortcut สำหรับเรียกใช้งาน Google Chrome ไว้ที่ Desktop โดยตัว Shortcut ดังกล่าวจะเป็นการเปิดใช้งาน Google Chrome โดยโหลดส่วนเสริมที่ถูกติดตั้งใหม่ขึ้นมาทำงานด้วย

    หากเปิดใช้งาน Google Chrome จาก Shortcut ดังกล่าว และเข้าใช้งานเว็บไซต์ Facebook ก็จะพบว่าสีของ Facebook เปลี่ยนเป็นสีเขียวดังรูปที่ 2 และยังสามารถปรับแต่งเป็นสีอื่นได้ตามต้องการ

    รูปที่ 2 ตัวอย่างส่วนขยายของ Google Chrome ที่สามารถเปลี่ยนสีเว็บไซต์ Facebook ได้

    นอกจากการทำงานดังกล่าวแล้วมัลแวร์ตัวนี้ยังได้แฝงการทำงานเบื้องหลังไว้โดยจะตรวจสอบว่ามีการล็อคอิน Facebook ไว้หรือไม่ หากใช่ก็จะสวมรอยไปโพสต์คอมเมนต์ในเว็บไซต์ pinandwin8.co.nz ทันที โดยในคอมเมนต์ก็จะมีการอ้างถึงผู้อื่นที่อยู่ในรายชื่อเพื่อนของผู้ใช้อีกด้วย

    การแก้ไขหากตกเป็นเหยื่อ

    1. ไปที่ไดเรกทอรี C:\User\[ชื่อผู้ใช้]\AppData\Local\Google\Update แล้วลบไดเรกทอรี่และไฟล์ที่มัลแวร์สร้าง ดังนี้ ไดเรกทอรี่ css, img, js ไฟล์ manifest.json, popup.html และ background.html
    2. ลบไอคอน Google Chrome ที่ถูกสร้างขึ้นใหม่ออกจาก Desktop

    การป้องกันการโจมตี

    1. ผู้ใช้ Facebook ควรอ่านข้อความแจ้งเตือนที่ปรากฏบนหน้าจอ โดยเฉพาะเมื่อ Facebook แจ้งว่าการคลิกลิงก์จะเป็นการเปลี่ยนเส้นทางไปยังเว็บไซต์อื่น
    2. หากคลิกลิงก์จาก Facebook แล้วพบหน้าจอขอให้ใส่รหัสผ่าน ไม่ควรใส่ข้อมูลเพราะอาจเป็นหน้าเว็บไซต์หลอกลวง (Phishing)
    3. หากคลิกลิงก์จาก Facebook แล้วพบหน้าจอขอให้ดาวน์โหลดโปรแกรม ควรพิจารณาก่อนดาวน์โหลดโปรแกรมนั้นเพราะอาจเป็นอันตรายได้
    4. ผู้ดูแลระบบอาจพิจารณาบล็อคเว็บไซต์ pinandwinco.nz เนื่องจากเป็นเว็บไซต์ที่เผยแพร่มัลแวร์

    แหล่งข้อมูลอ้างอิง