แนวทางการป้องกันโดน Hacked ฝังไฟล์ / วิธีทำงานของ Hacked ( Unlimited Hack Team )

สำหรับ Unlimited Hack Team ชื่อนี้เค้าทำงานกันเป็นทีม

การป้องกันเซิฟเวอร์ของท่าน

1. ปิดการทำงานในส่วนของ http://ip/~user/
2. เช็ค User ทุกคนที่อยู่ในเซิฟว่ามีสคิป ATM 2.0 อยู่หรือไม่ หากเจอเราควรจะช่วนปิดช่องโหว่ให้เค้าด้วย
3. เรื่องระบบอัพโหลดไฟล์ของลูกค้าสิ่งนี้สำคัญที่สุด
4. สร้างไฟล์ .htaccess ขึ้นมาป้องกันการรันไฟล์ php ตาม Folder ที่ให้อัฟโหลดไฟล์

การทำงานของ Hacked
Hacked จะทำการเจาะเว็บแรกๆ คือพวก ATM ทั้งหลาย หากไม่สามารถหา ATM ได้ก็จะเปลี่ยนเป็น SQLI หาจาก Rank ip โดยใช้โปรแกรมที่ชื่อ AutoFinder ( ซึ่งเขียนโดยคนในทีม ) – เอาไว้หา Dork จากเว็บ Bing
เมื่อเจอเว็บเป้าหมาย เค้าก็จะหาช่องโหว่แล้วทำการยัดไฟล์ shell php ลงไป หลังจากนั้น ก็จะลอง Bypass เว็บก่อน โดนการเข้าผ่านทาง ip/~user หากเข้าได้ ก็จะทำการฝังไฟล์ ( ATD – AJ | เป็นตัวย่อ ) หรืออาจจะยัดไฟล์
( ATD – AJ ) ลงไปเลยก็ได้ เพราะว่า สคิปนี้ มีลิงค์ฺ Bypass ให้ในตัว

“( ATD – AJ )” ทำงานยังไง สคิปนี้ทำงานตามนี้
สคิปนี้จะทำงานแบบที่ Bypass แล้วเท่านั้น จากนั้นจะทำการสแกน User และ Folder ที่เจอ แล้วเช็คว่าสามารถเขียนไฟล์ได้ไหม หากสามารถเขียนไฟล์ได้ ก็จะฝังไฟล์ลงไป โดย
1.หากสามารถเขียนหน้าแรกได้ ก็จะฝังไฟล์ index.html ลงไป แต่หากไฟล์ index.html ไม่สามารถเขียนไฟล์ได้ ก็จะเปลี่ยนชื่อไฟล์เป็น index1.html
พร้อมกับ ฝัง shell ลงใน Folder นั้นๆด้วย
2.หากไม่สามารถเขียนหน้าีแรกได้ สคิปนี้จะทำการสแกน Folder ย่อยลงไปอีก หากเจอ Folder ที่สามารถเขียนไฟล์ได้ ก็จะเขียนไฟล์ที่ชื่อ unlimited.html พร้อมกับ ฝัง shell ลงใน Folder นั้นๆด้วย

จากที่กล่าวมา Team นี้ใช้ Shell ที่มีตามเน็ต และ Shell ที่ถูกเขียนขึ้นจากคนในทีม เพื่อทำการ deface หน้าเว็บต่างๆ

ที่มา:  Thaihosttalk

วิธีป้องกัน WordPress โดน Hack

อัพโหลดไฟล์ของ WordPress ขึ้นสู่โฮสสมบูรณ์แล้วให้ตั้งค่าดังนี้
1. ไปที่ไฟล์ wp-config.php เปิดไฟล์ขึ้นมา
2. ตั้งค่า DB_NAME , DB_USER , DB_PASSWORD ให้ครบถ้วน
3. สำคัญมาก หาคำว่า Authentication Unique Keys and Salts ในไฟล์ wp-config.php
4. เข้าไปที่เว็บ https://api.wordpress.org/secret-key/1.1/salt/  หรือมองหา URL ในไฟล์นั้นก็มี เพื่อหา KEY มาใส่
5. Copy Key จากเว็บด้านบนมาใส่ไว้ในไฟล์ (เว็บจะ Random Key มาให้ เพราะฉนั้นไม่มีทางซ้ำกันเด็ดขาด)
6. Save ไฟล์ให้เรียบร้อย อัพโหลดขึ้นโฮส เพียงเท่านี้ก็เพิ่มเกราะป้องกันให้กับ WordPress ของเพื่อนๆแล้วครับ

Credit: http://www.thaiseoboard.com/index.php/topic,301459.0.html

วิธี ปิด CGI from apache โดยใช้ DA custombuild

อันดับแรกให้หาก่อนว่ามีใช้ cgi อะไรบ้างตอนนี้

Code:
httpd -l | grep cgi 

โดยทั่วไปจะเจออยู่สาม (ตามที่จะเขียนไว้ด้านล่าง)

เริ่มเลย

Code:
cd /usr/local/directadmin/custombuild/configure/ap2
เสริม
cd /usr/local/directadmin/custombuild/ mkdir -p custom/ap2 cp -p configure/ap2/configure.apache custom/ap2/ vi custom/ap2/configure.apache
Code:
vi configure.apache

แล้วเพิ่ม สาม line ไว้ด้านท้าย

Code:
    "--disable-cgid" \
    "--disable-cgi" \
    "--disable-proxy-scgi"

อย่าลืมใส่ \ ให้ line สุดท้ายเดิมด้วยนะ

Code:
cd /usr/local/directadmin/custombuild
Code:
./build clean
Code:
./build apache

แล้วตรวจสอบเหมือนเดิม

Code:
httpd -l | grep cgi

ต้องว่างเปล่าแล้ว. ถ้าใช่ก็คือ apache รัน cgi ไม่ได้แล้ว

แก้ open_basedir เป็น on ไว้ตลอด

ถ้าใครไม่อยากเช็คบ่อยๆ ก็แก้ custom template ของ virtual host ให้ open_basedir เป็น on ไว้เลยก็ได้ ไม่ต้องไปใส่ตัวแปล

cp -p /usr/local/directadmin/data/templates/virtual_host2* /usr/local/directadmin/data/templates/custom/

แล้วแก้ไฟล์ใน custom เอา if ออกไปเลย
|*if OPEN_BASEDIR=”ON”|
php_admin_value open_basedir |OPEN_BASEDIR_PATH|
|*endif|

เป็น
php_admin_value open_basedir |OPEN_BASEDIR_PATH|

เสร็จแล้ว rewrite httpd ใหม่
echo “action=rewrite&value=httpd” >> /usr/local/directadmin/data/task.queue

Credit:

ป้องกันการ hack Directadmin

ลง DA เสร็จก็สั่งตามนี้ด้วย

# /usr/local/directadmin/custombuild/build secure_php
เข้า DA แล้วเช็ค php safe mode ดูครับ ถ้า open_basedir เป็น off อยู่หลายโดเมน แปลว่า  DA โดนเจาะไปได้เรียบร้อย

ต้องเป็น
safe_mode = OFF
open_basedir = ON

#vi /etc/httpd/conf/extra/httpd-vhosts.conf
แก้ httpd-vhosts.conf ไฟล์เดียว แล้ว restart apache พอครับ ในไฟล์มีอยู่ 2 จุด ใส่ # หน้า Aliasmatch ให้ครบ

 

เพิ่มเติมตรงนี้ด้วย ยิ่งปลอดภัย

# /usr/local/directadmin/custombuild/build secure_php

แก้ไข /usr/local/directadmin/custombuild/configure/ap2/configure.apache
เพิ่ม
“–disable-cgi” \
“–disable-cgid” \
แล้วก็
./build apache

เป็นการปิด cgi แต่ก่อนผมก็ไม่เคยปิด โดน Hack บ่อยมาก หลังจากปิดมา 5 ปีแล้ว ทุก Server ไม่เคยโดนด้วย CGI เลย

เทคนิคการป้องกันไม่ให้คู่แข่งสปายเวปคุณ

ทคนิคง่ายๆ เพียงแค่ใส่คำสั่งเหล่านี้ลงไปใน “robots.txt”

User-agent: *
Disallow:

User-agent: rogerbot
Disallow: /

User-agent: exabot
Disallow: /

User-agent: MJ12bot
Disallow: /

User-agent: dotbot
Disallow: /

User-agent: gigabot
Disallow: /

User-agent: AhrefsBot
Disallow: /

คำสั่งเหล่านี้เป็นการบล๊อกบอท Tool ต่างๆ เช่น Ahrefs, SEOMoz, MajesticSEO

ที่จริงแล้วยังมีบอทมากกว่านี้ และเป็นบอทที่ไม่เป็นที่รู้จักอีกมากมาย การจะบล๊อกให้หมดนั้นจึงเป็นเรื่องยาก

หากคุณต้องการคัดกรองให้เหลือแต่บอทที่สำคัญจริงๆ คุณสามารถใช้คำสั่งได้ดังนี้

User-agent: googlebot
Allow:/

User-agent: msnbot
Allow:/

User-agent: slurp
Allow:/

User-agent: bingbot
Allow:/

User-agent: *
Disallow: /

บางกรณีจะใช้ robots.txt ไม่ได้ผล ต้องแก้ไขด้วยการใส่คำสั่งใน .htaccess

RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} ^rogerbot [OR]
RewriteCond %{HTTP_USER_AGENT} ^exabot [OR]
RewriteCond %{HTTP_USER_AGENT} ^MJ12bot [OR]
RewriteCond %{HTTP_USER_AGENT} ^dotbot [OR]
RewriteCond %{HTTP_USER_AGENT} ^gigabot [OR]
RewriteCond %{HTTP_USER_AGENT} ^AhrefsBot
RewriteRule ^.* – [F,L]

เพียงแค่นี้คุณก็สามารถบล๊อกบอทที่ไม่จำเป็นได้แล้ว

Credit: VIP116