Track anonymous hacker (Hacked WordPress with eShop Plugin)

จากบทความ [1], [2] Case Study: Web sites hacked, WordPress โดนแฮก และการแกะรอยแฮกเกอร์ คราวนี้มาดูรายละเอียดจาก access_log ไฟล์กันบ้างครับ ### –> START: ACCESS YOUR SITE ### [sourcecode]<br />180.244.249.92 – – [28/May/2013:14:48:27 +0700] "GET /wp-content/plugins/sitepress-multilingual-cms/res/css/language-selector.css?v=2.0.4.1 HTTP/1.1" 200 5615<br />180.244.249.92 – – [28/May/2013:14:48:25 +0700] "GET /category/coffee/bean/ HTTP/1.1" 200 50899<br />180.244.249.92 – – [28/May/2013:14:48:27 +0700] "GET /wp-content/themes/อีช้อปปิ้ง/library/css/slider.css HTTP/1.1" 200 2474<br />180.244.249.92 – – […]

Continue readingMore Tag

Case Study: Web sites hacked, WordPress โดนแฮก และการแกะรอยแฮกเกอร์ #2

ต่อจากบทความที่แล้ว Case Study ก็คือแฮกเกอร์ทำการเจาะเข้าไปในระบบ (เจาะผ่านช่องทางไหน?) เพื่อเปลี่ยนแปลงข้อมูลเว็บไซต์ (ส่วนมากแล้ว หน้าแรก index ไฟล์) ส่วนข้อมูลใหม่ที่แสดงก็ขึ้นอยู่กับกลุ่มแฮกเกอร์เหล่านั้นใช้รูปภาพสัญญาลักษณ์อะไร หรืออาจถ้อยคำไม่สุขภาพ เป็นต้น แต่ที่สำคัญ case นี้แฮกเกอร์ไม่ได้ทำเท่าที่ว่ามา มีการรันสคริปต์ผ่านเว็บเบราว์เซอร์เพื่อให้ในการดึงข้อมูลระบบมาแสดง (รายละเอียดอธิบายด้านล่างครับ) มาเริ่มเลยล่ะกัน [ขั้นตอนที่ 1] – ให้สำรองไดรเรกทอรีที่ติดเชื้อไว้ทั้งหมด (ไดร์เรกทอรี WordPress) [ขั้นตอนที่ 2] – สั่งหยุดการทำงานของเว็บเซิร์ฟเวอร์ (Apache) [ขั้นตอนที่ 3] – แก้ไขปัญหาที่เกิดขึ้นอย่างรวดเร็ว (แบบชั่วคราวก่อน) [3.1] ตรวจสอบไดร์เรกทอรี “wp-connent/uploads/” ว่ามีไฟล์แปลกบ้างไหม (ปกติ WordPress จะไม่มีไฟล์ PHP ในไดร์เรกทอรีนี้) หรือใช้วิธีเปรียบเทียบไฟล์กับข้อมูล backup ก็ได้ [sourcecode] find . -wholename ‘*wp-content/uploads/*.php’ -exec ls -al […]

Continue readingMore Tag

Case Study: Web sites hacked, WordPress โดนแฮก และการแกะรอยแฮกเกอร์ (FingerPrint)

เหยื่อหรือเครื่องเป้าหมาย: your domain การหาเหยื่อหาได้ไม่ยากครับ เครื่องมือต่างๆ เช่น Vulnerability Scanner, Sucurity Site Check Scanner อื่นๆ Google มีเยอะ แฮกเกอร์: ลักษณะการแฮก คือผู้ไม่หวังดีทำการอัพโหลดไฟล์ PHP สคริปต์ที่เขียนขึ้นเอง (ตัวอย่าง) ผ่านช่องโหว่ของปลั๊กอินสคริปต์อัพโหลดของ WordPress (“wp-content/uploads”) ขึ้นไปยังเว็บโฮสติ้ง โดยใช้ช่องโหว่ของ PHP 5.3.8 (exploits and vulnerabilities) ทำการ bypass ฟังก์ชั่น open_baseddir ให้เป็น Off (php.ini) หรือสมัครสมาชิกบนเว็บไซต์หลอกๆ แล้วเจาะช่องโหว่ผ่านยูสเซอร์ ทำให้สคริปต์สามารถทำงานทำงานบนไดร์เรกทอรีอื่นๆ ได้อีก คือยุ่มย่ามไปทั่วไดร์เรกทอรีเว็บไซต์ได้ตามสบาย เช่น การใช้เขียนสคริปต์คำสั่ง PHP ไปนำข้อมูลในไฟล์ “cat /etc/passwd” หรือการทำลิงก์ไปยัง / รูทไดเรกทอรี แล้วเขียน .htaccess ให้แสดงไฟล์ต่างบนเบราว์เซอร์ […]

Continue readingMore Tag

บริษัท มิตซูบิซิ (ด้านอุตสาหกรรม) โดนแฮก

สำนักข่าวเอเอฟพีรายงานแฮกเกอร์ลักลอบเจาะระบบคอมพิวเตอร์ของบริษัท มิตซูบิซิ (ด้านอุตสาหกรรม) ซึ่งเป็นบริษัทคู่สัญญากับกระทรวงกลาโหมญี่ปุ่น เบื้องต้น นายยาสุโอะ อิจิกาวา รัฐมนตรีกลาโหมญี่ปุ่นแถลงต่อสื่อมวลชนว่า มีมัลแวร์แพร่กระจายในคอมพิวเตอร์แม่ข่าย 45 เครื่อง และคอมพิวเตอร์ที่เชื่อมกับส่วนกลางอีก 38 เครื่อง หลังถูกเจาะระบบเมื่อกลางเดือนสิงหาคมที่ผ่านมา แต่แฮกเกอร์ไม่สามารถโจรกรรมข้อมูลที่สำคัญออกไปได้ ที่มา – Blognone, Cyberwarnews, ASTV ผู้จัดการออนไลน์

Continue readingMore Tag
Scroll to top
X