Tag: windows

  • ระวังการใช้งานบนเครื่องที่ยังเป็น Windows XP จะถูกติดตั้ง Key Logger ระบาดในมหาวิทยาลัย

    ช่วง 2-3 วันนี้ ระบบ PSU Webmail ตรวจพบว่า มีบัญชีผู้ใช้อย่างน้อย 3 ราย ถูกใช้งานจากสิงคโปร์ และตุรกี  แล้วส่ง email ออกไปเป็นจำนวนมาก ระบบตรวจจับได้ จึงทำการ Force Reset Password ของระบบ PSU Email บัญชีผู้ใช้ดังกล่าวอัตโนมัติ

    IP ที่ใช้งาน PSU Webmail ดังภาพด้านบน ตรวจสอบแล้ว พบว่า มาจาก

    • 202.189.89.116 จากเครือข่ายของ Twentieth Century Fox ที่ ตุรกี
    • 206.189.89.212 จากเครือข่ายของ Twentieth Century Fox ที่ สิงคโปร์
    • 128.199.202.189 จากเครือข่ายของ DigitalOcean ที่สิงคโปร์

    ส่งอีเมลจำนวน 4 ฉบับ ถึง 800 emails ภายใน 1 นาที ดังภาพ

    ในการตรวจสอบเชิงลึกต่อไป พบว่า IP  206.189.89.116 ยังพยายาม Login ไปยังบัญชีผู้ใช้ 2 ใน 3 ข้างต้นอีกด้วย จึงสันนิษฐาน ว่า น่าจะเป็นคนร้ายกลุ่มเดียวกัน เพียงแต่สลับแหล่งที่เข้าใช้ PSU Webmail ไปมา

    จากการลงพื้นที่ ไปดูที่เครื่องผู้ใช้ พบว่า มีพฤติกรรมที่เหมือนกัน คือ

    1. ยืนยันว่า ไม่เคยคลิกเปิด email ที่ต้องสงสัยจริง ๆ (เอ่อ ใครก็จะพูดเช่นนั้น เอาว่าไม่มีหลักฐาน ก็ไม่สามารถสรุปได้ว่าไม่จริง)
    2. *** มีการใช้คอมพิวเตอร์ส่วนกลาง *** ซึ่งหนึ่งในนั้น จะเป็น Windows XP และมีโปรแกรมเถื่อนเป็นจำนวนมาก

    จึงขอตั้งข้อสังเกตว่า ถ้าผู้ใช้ยืนยันว่า ไม่ได้คลิก email หลอกลวงแน่ ๆ และยืนยันว่า ไม่ถูกหลอกแน่ ๆ เป็นจริง ก็น่าจะเป็นเพราะพฤติกรรมการใช้คอมพิวเตอร์ส่วนกลาง ที่เป็น Windows XP ซึ่งเป็นไปได้อีกว่า คงจะมี Key Logger หรือ โปรแกรมดักจับการพิมพ์บน Keyboard แล้วส่งไปให้คนร้าย

     

    ในภาพใหญ่ของมหาวิทยาลัยสงขลานครินทร์ ยังมีเครื่องรุ่นเก่าที่ยังใช้ Windows XP อยู่ แถมยังใช้โปรแกรมเถื่อนที่อาจจะติดมาจากร้าน หรือ คนในออฟฟิซเองเอามาติดตั้งอยู่ หากสามารถ Enforce ให้เปลี่ยนได้ น่าจะลดปัญหาพวกนี้ได้

     

    กำลังหาหลักฐานที่หนักแน่นพอ เพื่อนำเสนอผู้ใหญ่ต่อไปครับ

     

  • สร้าง Shortcut ในการ Remote Desktop Connection

    ในการพัฒนาระบบงานหลาย ๆ ระบบ ซึ่งแต่ละระบบก็ต้องมี Server ถ้าระบบมีปัญหาสิ่งแรก ๆ ที่ต้องเข้าไปดูปัญหานั่นคือการ Remote ไปยัง Server นั้น ๆ เช่นดู Process Task ต่าง ๆ มีอะไรรันอยู่ มีอะไรทำงานอยู่จึงทำให้ระบบช้า หรือทำให้ระบบมีปัญหาเป็นต้น เมื่อมีหลาย Server ครั้นจะมาจดจำ IP เครื่องที่จะ Remote ไป หรือบางเครื่องที่นาน ๆ จะเกิดปัญหาที ทางออกของปัญหามีค่ะ แค่เพียงสร้างเป็น Shortcut ในการ Remote Desktop Connection นั่นเอง มีขั้นตอนดังนี้

    1. ที่หน้าจอ Desktop คลิกขวา New
    2. เลือกหัวข้อ Shortcut
    3. พิมพ์ข้อความดังนี้ C:\Windows\System32\mstsc.exe /v:192.168.100.170 /w:800 /h:600
      –> 3.1 /v:ต่อด้วย IP Address:Port
      –> 3.2 /w:ต่อด้วยขนาดหน้าจอ ความกว้าง
      –> 3.3 /h:ต้อด้วยขนาดหน้าจอ ความสูง
      –> 3.4 อื่น ๆ เช่น /f หมายถึงเต็มหน้าจอ
      /admin หมายถึง Remote เข้าด้วย Session Admin13-7-2559 13-44-06
    4. คลิกปุ่ม Next
    5. ตั้งชื่อ Shortcut
      13-7-2559 13-46-33
    6. คลิก Finish จะเห็น Icon ของ Shortcut ที่ใช้ในการ Remote เพื่อเข้า Server ตามที่ได้สร้างไว้ที่หน้า Desktop
  • วิธีการเปิด Audit Log ของ Windows 2012 เพื่อให้บันทึกการเปลี่ยนแปลงเกี่ยวกับ Account Management ต่างๆ

    บน Microsoft Windows 2012 โดยปรกติจะไม่ทำการบันทึกการเปลี่ยนแปลงต่างๆเกี่ยวกับ Account ขั้นตอนต่อไปนี้จะทำให้เกิดการบันทึกใน Event Log เพื่อให้ Administrator ทราบว่า ใคร เปลี่ยนแปลงอะไร  เมื่อไหร่

    1. ไปที่ Start Menu ค้นหา Group Policy Management
      2559-06-03 10_02_40-Program Manager
    2. เลือก
      Computer Configuration
      Policies
      Windows Settings
      Security Settings
      Local Policies
      Audit Policy
      จากนั้น Double Click “Audit account management”
      2559-06-03 10_03_26-Start
    3. คลิกที่
      Define these policy settings
      และเลือก Success
      แล้วคลิกปุ่ม OK
      2559-06-03 10_11_13-Start
    4. จะได้ผลดังนี้
      2559-06-03 10_13_01-windows2012 [Running] - Oracle VM VirtualBox
    5. เมื่อเปิด Event Viewer > Security Log จะได้ผลดังนี้ เมื่อมีการเปลี่ยนแปลงเกี่ยวกับ Account จะเกิด Task Category “User Account Management” มี Event ID 4738 ดังภาพ
      2559-06-03 10_13_54-Program Manager
    6. จะเห็นรายละเอียดว่า ใคร แก้ไข Account Name ใด เมื่อไหร่
      2559-06-03 10_15_23-windows2012 [Running] - Oracle VM VirtualBox
    7. และแก้ไข Attribute ใด เป็นอะไร
      2559-06-03 10_17_13-Start

    หวังว่าจะเป็นประโยชน์ครับ

    Reference:

    1. https://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx
    2. https://support.microsoft.com/en-us/kb/977519

     

  • file checksum integrity verifier

    Microsoft มี file checksum integrity verifier เป็น command line สามารถดาวน์โหลดมาใช้เพื่อตรวจสอบ file.iso ที่ดาวน์โหลดมาว่ามี md5sum ตรงกับที่หน้าเว็บไซต์แจ้งไว้หรือไม่ เพื่อจะได้ไม่หยิบเอา file.iso ที่อาจโดนใส่โปรแกรมไว้เนื่องจากเว็บไซต์ที่วางไฟล์ไว้อาจโดยแฮก ดาวน์โหลดได้ที่นี่ https://www.microsoft.com/en-us/download

    และค้นด้วยคำว่า file checksum integrity verifier

    fciv-website

    แตกไฟล์ออกมาไว้ใน Folder ที่ต้องการ เช่น Downloads

    นำมาใช้โดยเปิด Command Prompt และพิมพ์คำสั่ง fciv.exe file.iso ดังตัวอย่าง

    fciv-example

     

  • รวมวิธีการเปิดใช้งาน IPv6

    “บทความนี้เป็นบทความเกี่ยวกับวิธีการเปิดใช้งาน  IPv6 สำหรับบริการที่เป็น Web Server รวมถึงวิธีการตรวจสอบ Client และ Server ว่าพร้อมหรือยังที่จะใช้งาน  IPv6”


    Blog 1 : การตรวจสอบสถานะการใช้งาน IPv6 สำหรับ Client และ Server


    Blog 2การตั้งค่า Interface สำหรับ Windows Server


    Blog 3 : การตั้งค่า Interface สำหรับ Ubuntu Linux


    Blog 4 : การตั้งค่า Interface สำหรับ CentOS/Redhat Linux


    Blog 5 : การตั้งค่า Apache Web Server สำหรับ Ubuntu Linux


    Blog 6 : การตั้งค่า Lighttpd Web Server สำหรับ CentOS Linux


    Blog 7 : การตั้งค่า Nginx Web Server สำหรับ Ubuntu Linux


  • การตรวจสอบสถานะการใช้งาน IPv6 สำหรับ Client และ Server

    “เราจะตรวจสอบได้อย่างไรว่าเครื่องสามารถใช้งาน IPv6 ได้แล้ว และเราจะรู้ได้อย่างไรว่า Server ก็ให้บริการ IPv6”

    วิธีการตรวจสอบ Client

    • สำหรับวิธีตรวจสอบ Client ให้เข้า Web Site http://ipv6-test.com จากนั้นสังเกตุดังรูป

    2015-12-08_110837

    Native IPv6 หมายความว่าสามารถสื่อสารจากต้นทาง กลางทาง ปลายทางด้วย IPv6 ทั้งหมด โดยไม่ต้องผ่าน IPv4 เลย (ต้นทาง ปลายทางไม่จำเป็นต้องมี IPv4 เลยก็ได้)

    2015-12-08_110901

    Fallback คือการที่ Web Browser ที่ใช้อยู่สามารถกลับมาใช้ IPv4 ในการเชื่อมต่อได้ในกรณีที่ Web ปลายทางไม่มี IPv6

    2015-12-08_110920

    ค่าดังกล่าวเป็นการบอกว่าสามารถเชื่อมต่อ DNS ด้วย IPv4 หรือ IPv6 และสามารถ resolve  IPv4 หรือ IPv6 ได้

    วิธีการตรวจสอบ Server

    2015-12-08_133827

    ยกตัวอย่างในกรณีที่ยังไม่จด DNS จะขึ้นดังรูปเลย แต่ถ้าจดแล้วแต่ยังไม่ได้ออน Service IPv6 บน Web Server ก็จะขึ้น x ในส่วนที่ยังไม่สามารถเข้าถึงได้

    2015-12-08_133642

    ในกรณีที่ผ่านทุกอย่างก็จะปรากฎดังรูป
    • จะเห็นว่าการตรวจสอบไม่ยาก โดยเฉพาะเดี๋ยวนี้บาง Web จะมีตัวช่วยบอกว่าผู้ใช้กำลังเชื่อมต่อด้วยอะไรเข้ามาดังตัวอย่าง

    2015-12-08_135730

  • วิธีแก้ปัญหาวินโดวส์บูตไม่ได้หลังจาก resize

    ผมต้องการขยายเนื้อที่ (resize) ให้กับ Windows โดยมีพื้นที่ data (linux partition EXT4) อยู่ที่ partition ที่ 1 และ Windows 8.1 อยู่ที่ partition ที่ 2 ผมจึงต้องการไปดึงส่วนท้ายของ partition ที่ 1 มาเพิ่มให้กับ Windows

    วิธีทำก็คือ ผมก็ resize เนื้อที่ partition ที่ 1 ให้เล็กลง 25 GB จากนั้นผมก็ resize เนื้อที่ partition ที่ 2 ขยายไปทางซ้ายเพื่อเอาพื้นที่ว่างที่ได้มารวมกับเนื้อที่ Windows เดิม จากนั้นทำการ save ในระหว่างนั้นมีคำแนะนำโผล่ขึ้นมาว่า ระวังนะการทำอย่างนี้ใน partition ที่มีส่วนที่เป็น boot ของ Windows จะเสียหายและจะต้องซ่อมแซมเป็นนะ ประมาณนั้น ผมก็ตอบ Yes เพื่อลองดู (ผมบูตแผ่น SystemRescueCd  และใช้โปรแกรม gparted ในการ resize)

    ผลที่ได้คือวินโดวส์บูตไม่ได้จริง ๆ ก็ค้นหา google search พบในเว็บไซต์หลายแห่งว่าให้ไปหาแผ่นติดตั้ง Windows ที่ใช้อยู่นั้นมาบูตแล้วจะแก้ไขได้

    ผมจึงมาเล่าถึงวิธีที่ใช้ในการแก้ไขปัญหา

    1. บูตจากแผ่นติดตั้ง Windows 8

    2. เลือก Repair My Windows

    windows8repair01

    3. เลือก Troubleshoot

    windows8repair02

    4. เลือก Advanced options

    windows8repair03

    5. เลือก Command Prompt

    windows8repair04

    6. ทำคำสั่งเหล่านี้ทีละคำสั่งตามด้วยกด Enter
    bootrec.exe /FixMBR
    bootrec.exe /FixBoot
    bootrec.exe /RebuildBcd
    exit

    windows8repair05

    7. เลือก Turn off your PC

    8. เปิดเครื่องเพื่อดูผลลัพธ์

    ผมก็เลยนำมาเล่าสู่กันฟังครับ หวังว่าทุกท่านจะไม่ต้องทำขั้นตอนเหล่านี้นะ

    Reference:
    http://www.sevenforums.com/backup-restore/372700-windows-wont-boot-after-resize-windows-partition.html

  • How to use bitlocker?

    หลังจาก Truecrypt ไม่ปลอดภัย ? คนความลับเยอะจะใช้อะไรเข้ารหัส HDD กันดี ทางเลือกหนึ่งคือใช้ bitlocker ที่มาพร้อมกับ Windows 7/8/8.1/10 (รุ่น Professional, Enterprise, Education, Enterprise LTSB เท่านั้น) และ Windows Server 2008/2008R2/2012/2012R2/(2016?)

    • เพื่อความสะดวกจึงสร้าง Virtual Hard Disk ดังนี้
      • เปิด Disk Management (Start > RUN > diskmgmt.msc)
        rundiskmgmt.msc
      • จะได้ Disk Management
        diskmanagementconsole
      • คลิกที่เมนู Action เลือก Create VHD
        createvhd
      • จะได้หน้าต่าง Create and Attach Virtual Hard Disk
        createandattachvhd
      • เลือกที่เก็บ ขนาดและชนิดได้ตามชอบใจ VHD และ VHDX ต่างกันตามคำอธิบายนะครับ ดังนั้นตามตัวอย่างนี้จะได้ดังรูป
        createvhdx
      • เลือกเรียบร้อยกด OK จะได้ HDD ลูกใหม่เพิ่มขึ้นมาอยู่ในสถานะ Not Initialize เหมือนเราเอา HDD ลูกใหม่ที่เพิ่งซื้อ (สดๆ :p ) มาเสียบ
        newdiskattach
      • คลิกขวาที่ HDD ลูกใหม่นี้เลือก Initialize Disk
        initializedisk
      • เลือกชนิดพาทิชั่นที่ต้องการว่าจะเป็น MBR หรือ GPT อันนี้ปล่อยตามค่าที่ถูกเลือกไว้แต่แรกเลยก็ได้ อย่าลืมอ่าน Note: ด้านล่างด้วยนะครับ (จะเป็น MBR หรือ GPT ขึ้นอยู่กับว่าลง Windows มาในโหมดไหน UEFI หรือ BIOS)
        initializenewdisk
      • สร้าง Partition ใหม่ ตัวอย่างนี้เลือกเป็น GPT Partition Table จะเรียกเป็น Simple Volume คลิกขวาที่พื้นที่ Unallocated เลือก New Simple Volume…
        newsimplevolume
      • เลือกขนาด Partiton ให้เป็นพื้นที่ทั้งหมดไปเลย แล้วกด Next ไปเรื่อยๆ
        newsimplevolumewizard
      • จนถึงขั้นตอน Format สามารถเลือกได้ทุกชนิดไม่ว่าจะเป็น FAT32 หรือ NTFS ตามตัวอย่างนี้เลือก NTFS กด Next แล้ว Finish
        format
      • จะได้ HDD ลูกใหม่ที่มี Partition ชื่อ Bitlocker เพิ่มขึ้นมาแล้ว (H:)
        drivebitlocker
      • เปิดดูด้วย Windows Explorer จะเห็น Drive H เพิ่มขึ้นมาแล้ว เป็นอันเสร็จสำหรับการสร้าง Virtual Hard Disk
        windowsexplorer
    • คลิกขวาที่ Drive H เลือก Turn on Bitlocker
      turnonbitlocker
    • จะได้หน้าต่าง Bitlocker Drive Encryption (H:) (ชื่อ Drive อาจต่างไปจากนี้แล้วแต่เครื่องนะครับ)
      bitlockerdriveencryption
    • เลือก Use a password to unlock the drive แล้วตั้ง Password ตามต้องการ กด Next
      passwordcreate
    • จะได้หน้าสำหรับ Backup recovery key เลือกได้เลยว่าจะเก็บไว้ในรูปแบบไหน (ในตัวอย่างเลือก Save to a file ไว้ก่อนเนื่องจากไม่ได้เข้าวินโดวส์ด้วย Microsoft account) เลือกเสร็จแล้วกด Next
      backuprecoverykeyจะได้ TXT file ชื่อขึ้นต้นด้วย BitLocker Recovery Key*.txt ให้เก็บไว้ให้ดีเผื่อกรณีฉุกเฉิน (อ่านรายละเอียดเกี่ยวกับ recovery key ได้โดยคลิกที่ What is a recovery key?)
    • คลิก Start encrypting
      startencrypting
    • รอสักครู่เมื่อไปดูที่ Windows Explorer จะเป็นว่ามีรูปแม่กุญแจขึ้นที่ Drive H แล้ว
      bitlockersuceed
    • คลิกขวาที่ Drive H เลือก Eject
      eject
    • Drive H หายไปแล้ว
      nonh
    • ไปยังที่เก็บแฟ้มที่สร้างไว้ ในข้อ ๑ หัวข้อย่อย ๕ (E:\aa.vhdx)
      aa
    • คลิกขวาที่ aa.vhdx เลือก Mount
    • ดูที่ Windows Explorer จะเห็นว่า Drive H ถูกล็อคไว้อยู่
      lock
    • คลิกขวาที่ Drive H เลือก Unlock Drive… จะมีหน้าต่างปรากฏขึ้นให้ใส่พาสเวิร์ดที่ตั้งไว้
      unlock
      enterpasswordtounlock
    • Unlocked
      bitlockersuceed
    • สามารถใช้ได้เหมือน HDD ปกติ และ HDD ปกติสามารถเปิดใช้ Bitlocker ได้ด้วยวิธีการเดียวกัน โดยไม่ต้องสร้าง Virtual Hard Disk ก็ได้
    • Eject Drive H ทุกครั้งที่งานเสร็จ
    • จบ ขอให้สนุกครับ

    อ้างอิง
    http://truecrypt.sourceforge.net/
    http://www.neowin.net/news/truecrypt-audit-reveals-vulnerabilities-but-no-backdoors

  • วิธีตรวจสอบเว็บไซต์ที่โดน Hack #15

    เทคนิคนี้ ใช้ผ่าน Internet Information Services (IIS) Manager โดยการแก้ไข Request Filtering ในระดับ Web Server เลย โดยดำเนินการตามวิธีการต่อไปนี้

    1. เรียก Command ด้วย การกดปุ่ม Windows + R แล้ว พิมพ์ inetmgr แล้วกดปุ่ม Enter
    2. คลิกเว็บเซิร์ฟเวอร์ของเครื่องที่ต้องการใน Connection Tab (ตัวอย่างในภาพ คลิกที่ WUNCAWEBSEC)
    3. ต่อไป ภายใต้หัวข้อ IIS ให้ Double-Click ที่ Request Filtering
    4. คลิกที่ Rules tab
    5. เพิ่มกฏสำหรับ JCE Bot
      ซึ่ง ไม่ต้องการให้ PHP ทำงานภายใต้ URL ซึ่งมีข้อความว่า “images/stories”
      โดย ไปที่ Action ด้านขวามือ แล้ว คลิกที่ Add Filtering Rules …
      แล้วใส่ข้อมูลตามภาพ แล้วคลิกปุ่ม OK

    1. เพิ่มกฏสำหรับ Upload โฟลเดอร์
      ซึ่ง ไม่ต้องการให้ PHP ทำงานภายใต้ URL ซึ่งมีข้อความว่า “upload”
      โดย ไปที่ Action ด้านขวามือ แล้ว คลิกที่ Add Filtering Rules …
      แล้วใส่ข้อมูลตามภาพ แล้วคลิกปุ่ม OK
    2. ผลที่ได้ใน Rules tab

    ทดสอบผลการทำงาน

    สมมุติเดิมโดนวางไฟล์ Backdoor ไว้ที่

    http://localhost/corin/images/stories/backdoor.php

    แต่เมื่อตั้ง Rules ดังกล่าวแล้ว จะทำให้ Hacker ไม่สามารถเรียกใช้งาน PHP ที่วางไว้ใน images/stories ได้ โดยจะได้ Error เช่นนี้

    วิธีนี้มีข้อดีคือ สามารถป้องกันการใช้งาน PHP ใน images/stories (และใน upload โฟลเดอร์) แต่ยังสามารถเรียกไฟล์ภาพและไฟล์อื่นๆได้ตามปรกติ เช่น

    http://localhost/corin/images/stories/clownspin.gif

    ลองใช้งานดูครับ 😉