Tag: windows

Error 0x8007232b or 0x8007007B occurs when you try to activate Windows
- ตรวจสอบว่าแจ้ง IP address แล้วหรือไม่ หากยังไม่ด้แจ้งมาสามารถแจ้งได้ที่ http://www.cc.psu.ac.th/complains
- ตั้งค่า DNS Suffix แล้วหรือไม่ ให้ตั้งค่า DNS Suffix ว่า psu.ac.th หากมีหลายโดเมนก็ให้ psu.ac.th เป็นอันแรก
- ตั้ง Time zone เป็น GMT+7 แล้วหรือไม่
- รอให้มัน activate เองซึ่งปกติจะ activate เองอัตโนมัติทันทีเมื่อข้อ 1-3 ผ่านหมดแล้ว
- กรณีที่รอหลายวันแล้ว (เกิน 7 วัน) มันก็ยังไม่ activate ให้ตรวจสอบตามข้อถัดไป
- เปิด cmd ด้วยสิทธิ์ของผู้ใช้ในกลุ่ม administrators
- ping kms1.psu.ac.th ต้องได้ผลลัพธ์ว่า
Pinging kms1.psu.ac.th [192.168.102.167] with 32 bytes of data:
Reply from 192.168.102.167: bytes=32 time=1ms TTL=127
Reply from 192.168.102.167: bytes=32 time=3ms TTL=127
Reply from 192.168.102.167: bytes=32 time=1ms TTL=127
Reply from 192.168.102.167: bytes=32 time=1ms TTL=127

Ping statistics for 192.168.102.167:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 3ms, Average = 1ms
- nslookup -type=all _vlmcs._tcp ต้องได้ผลลัพธ์ว่า
_vlmcs._tcp.psu.ac.th   SRV service location:
priority       = 0
weight         = 0
port           = 1688
svr hostname   = kms1.psu.ac.th

_tcp.psu.ac.th nameserver = dc5.psu.ac.th
_tcp.psu.ac.th nameserver = dc2.psu.ac.th
_tcp.psu.ac.th nameserver = dc3.psu.ac.th
_tcp.psu.ac.th nameserver = dc7.psu.ac.th
_tcp.psu.ac.th nameserver = dc6.psu.ac.th
_tcp.psu.ac.th nameserver = dc1.psu.ac.th
_tcp.psu.ac.th nameserver = dc4.psu.ac.th
kms1.psu.ac.th internet address = 192.168.102.167
dc1.psu.ac.th   internet address = 192.168.100.59
dc2.psu.ac.th   internet address = 192.168.101.37
dc3.psu.ac.th   internet address = 192.168.128.23
dc4.psu.ac.th   internet address = 192.168.192.28
dc5.psu.ac.th   internet address = 192.168.240.31
dc6.psu.ac.th   internet address = 192.168.224.11
dc7.psu.ac.th   internet address = 192.168.100.97
- สั่งคำสั่งต่อไปนี้
cscript c:\windows\system32\slmgr.vbs -skms kms1.psu.ac.th cscript c:\windows\system32\slmgr.vbs –ato
- หากไม่ได้ผลลัพธ์ตามข้างบนโทร 2082 ครับ
June 7, 2014
วิธีตรวจสอบเว็บไซต์ที่โดน Hack #7
คราวนี้ เป็นการตรวจสอบ ที่เป็น Windows Server 2008 32bit ที่ใช้ IIS6 เป็น Web Server และใช้ PHP 5.2.17 เครื่องของหน่วยงานภายในมหาวิทยาลัย ซึ่ง ถูก Google Webmaster Tools ตรวจพบว่า เครื่องดังกล่าวน่าจะโดน Hack และมีการวาง Backdoor เอาไว้

เบื้องต้น พบว่า เครื่องนี้ ใช้ Joomla และรายงานของ Google ก็บอกไฟล์ปัญหา เป็น php ใน images/stories จึง เริ่มจากทำตาม วิธีตรวจสอบเว็บไซต์ที่โดน Hack #3 แต่ ต้องเปลี่ยนไปใช้คำสั่งบน PowerShell แทนที่จะเป็น Shell Script อย่างเดิม

พื้นที่ Document Root อยู่ที่ c:\inetpub\wwwroot

วิธีการตรวจสอบ

1. ใช้ powershell ด้วยสิทธิ์ administrator privilege

2. ค้นหา ไฟล์ *.php ซึ่งอยู่ใน directory “stories” (ใน PowerShell ทำงานแตกต่างจาก Shell Script มากๆ จึงต้องดัดแปลงบางอย่าง)
```
gci c:\inetpub\wwwroot -rec -include "*stories*" | where {$_.psiscontainer} | gci -Filter "*.php"
```
โดยที่คำสั่งนี้ ใช้ชื่อย่อ และมีความหมายดังนี้

gci = Get-ChildItem : ทำงานเหมือนคำสั่ง find และใช้ option “-rec” ย่อมาจาก Recurse ซึ่งหมายถึง ค้นหาลงลึกไปใน Subdirectory ด้วย และ เอาเฉพาะใน Directory ย่อย “stories” เท่านั้น

ส่วนการใช้ ไพพ์ “|” ก็ไม่เหมือนใน Shell Script ที่เป็นการส่ง String หรือข้อความตรงๆ แต่เป็นการส่งต่อ Object

gci -Filter “*.php” หมายถึง เมื่อค้นหาลึกไปใน Subdirectory “stories” แล้ว ให้กรองเอาเฉพาะไฟล์ แบบ *.php

ผลที่ได้คือ

พบว่ามี php file จำนวนมาก ใน images/stories จริงๆ

ดังภาพ

3. ตรวจสอบ Log ซึ่งอยู่ที่ c:\inetpub\logs และค้นหาไฟล์ในนั้น ดูว่า มี “BOT.*JCE” บันทึกหรือไม่ ด้วยคำสั่ง
```
gci c:\inetpub\logs -rec  | where {$_.psiscontainer} | gci -rec -filter "*.log" | get-content | select-string -pattern "BOT.*JCE"
```
ผลที่ได้คือ

ซึ่งพบว่า มีการโจมตีมาเป็นจำนวนมาก

4. หา Backdoor อื่นๆ ที่อาจจะเกิดขึ้น หลังจาก Backdoor ใน images/stories เหล่านั้น โดยทดลองดูว่า มีไฟล์ใหม่เกิดขึ้น หลังจากแต่ละ Backdoor นั้นๆ 2 วันหรือไม่ ด้วยคำสั่ง
```
$backdoor=gci C:\inetpub\wwwroot\sticorner\images\stories -filter "*.php"
foreach ($f in $backdoor) {
  $other=gci C:\inetpub\wwwroot\ -rec -filter "*.php" | where-object { $_.LastWriteTime -ge $f.LastWriteTime -and $_.LastWriteTime -le ($f.LastWriteTime).adddays(+2) }  | %{$_.fullname}
 $f.fullname
 $other
}
```
จากการตรวจสอบ พบไฟล์อื่นๆบ้าง แต่ตรวจสอบแล้ว ในระยะเวลา 2 วันหลังจากวางไฟล์ ไม่มีการเขียน Backdoor อื่นๆเพิ่ม

5. ตรวจสอบหา Backdoor พื้นฐาน ซึ่ง อาจจะใช้ eval แล้วตามด้วย base64_decode ด้วยคำสั่ง
```
gci C:\inetpub\wwwroot\ -rec -filter "*.php" | select-string -pattern "eval.*base64" | select-object -unique path >  evalbase64.txt
```
โดย เลือกเฉพาะไฟล์ *.php ที่มีคำสั่ง eval ตามด้วย base64_decode มาเก็บไว้ในไฟล์ evalbase64.txt เพื่อใช้ตรวจสอบต่อไป

พบว่า มีไฟล์จำนวนมาก ที่เป็น Backdoor ดังกล่าว และ Hacker เอาไฟล์มาวางไว้เมื่อ 14/01/2556 แต่ ปลอมวันที่เป็น 15/12/2552 ด้วย ดังภาพ

และไฟล์ที่พบ มีดังต่อไปนี้

สำหรับคนที่ดูแล Windows Server ก็ลองใช้เทคนิคข้างต้น ในการค้นหา Backdoor ด้วย PowerShell ด้วย

ขอให้โชคดีครับ
December 18, 2013
Putty + Xming = Xwindows
- สำหรับผู้ใช้งานวินโดวส์ อยากใช้บางโปรแกรมของ Xwindows แต่ไม่อยากเดินไป Log In หน้า Console
- ต้องมี putty และ xming โหลดที่
  - ftp://ftp.psu.ac.th/pub/putty สำหรับ 32-bit
  - https://blog.splunk.net/wp/64bit-putty/ สำหรับ 64-bit
  - ftp://ftp.psu.ac.th/pub/xming/ อันนี้ไม่มีแยก
- โหลดโปรแกรมทั้งสองมาติดตั้งในเครื่องให้เรียบร้อย (next tech) สำหรับ putty สามารถโหลด putty.exe มาไฟล์เดียวก็ได้
- เปิด putty และ xming
สำหรับ xming เปิดแล้วโปรแกรมจะไปอยู่ที่ Task Bar
- ที่ Putty ในหัวข้อ Connection -> SSH -> X11 เลือกหัวข้อ Enable X11 forwarding
- กลับมาหน้า Session ในช่อง Saved Sessions สร้างชื่อใหม่เก็บไว้ใช้เวลาต้องการ
- ทดสอบใช้งาน ให้เลือกไปที่ X11 Forwarding ที่สร้างไว้ แล้วกด Load แล้วใส่ชื่อ Host Name ที่ต้องการ
- เมื่อ Log In เรียบร้อยในครั้งแรก จะมีข้อความว่า /usr/bin/xauth: creating new authority file ….
- ลองเรียกใช้งานโปรแกรมที่ต้องใช้ Xwindows เช่น gedit
- จบ … ขอให้สนุกครับ
October 1, 2013
Windows – วิธีการ Activate Windows สำหรับห้องปฎิบัติการ
สวัสดีครับ
ในกรณีที่ติดตั้งระบบปฎิบัติการ Windows สำหรับห้องปฎิบัติการ และต้องการลงทะเบียน Windows License สำหรับใช้ในมหาวิทยาลัย ด้วยวิธีการใช้ KMS Keys สามารถทำได้โดยไม่ต้องตั้งค่า DNS suffixes

ในระบบปฎิบัติการ Windows ให้เปิดโปรแกรม command prompt ด้วยวิธีการกด Start > Run พิมพ์คำสั่ง cmd และคลิกเมาส์ขวามือเลือก “Run as Administrator“
1. ในหน้าต่าง command prompt ไดเร็กทอรีปัจจุบันอยู่ที่ C:\Windows\System32
2. พิมพ์คำสั่ง cscript slmgr.vbs /skms kms1.psu.ac.th กดปุ่ม Enter
3. พิมพ์คำสั่ง cscript slmgr.vbs /ato
4. จบกระบวนการลงทะเบียน Windows activation.
November 13, 2012
Windows – ผู้ใช้ Windows 8 มีเฮ Critical Update Patch

ผู้ใช้ Windows 8 และ Windows อื่นๆ เตรียมตัวรับ Critical Updates Patch Tuesday, Nov. 13, 2012
สำหรับ Windows 8 น่าจะเป็น Patch แรกๆหลังวางขาย… มาเร็วจริงๆ ดีใจจัง… ^_^

November 12, 2012
Windows – วิธีการถอน Windows Key ลิขสิทธิ์ประจำเครื่อง
หากท่านเป็นผู้หนึ่งซึ่งซื้อเครื่องคอมพิวเตอร์ PC หรือ Notebook พร้อม OS Windows License ถูกต้อง
ซึ่งจะมีแผ่นสติกเกอร์แปะติดหน้า-หลังเครื่อง ซึ่งจะมีรหัสแสดง 25 ตัวเลขดังนี้
XXXXX-XXXXX-XXXXX-XXXXX-XXXXX

ในกรณีที่ต้องการขายเครื่องคอมพิวเตอร์ หรือเปลี่ยนเครื่องโดยต้องการใช้ Windows License ตัวเดิม
สามารถทำการถอดถอน Windows Product Key ก่อนโดยทำดังนี้
1. ในระบบปฎิบัติการ Windows ให้เปิดโปรแกรม command prompt ด้วยวิธีการกด Start > Run พิมพ์คำสั่ง cmd และคลิกเมาส์ขวามือเลือก “Run as Administrator“
2. พิมพ์คำสั่ง slmgr /dlv
3. รอจนปรากฎหน้าต่าง “Windows Script Host” ให้สังเกตุหาบรรทัดข้อความ Activation ID:
4. พิมพ์คำสั่ง slmrg /upk “ตามด้วยรหัส Activation ID” ตามภาพข่างล่าง
5. ถ้าพิมพ์ถูกต้องจะปรากฎหน้าต่าง “Uninstalled product key successfully.” แสดงว่าถอน Product Key เรียบร้อยแล้ว
6. จะปรากฎว่า Windows activation ไม่มี License key แล้ว
November 12, 2012