การแก้ไข
1. ห้ามใช้ IE ในการ FTP ใครชอบใช้ให้เลิกซ่ะ
2. เครื่องที่จะใช้ upload หมั่น scan virus
3. หลังจาก upload ข้อมูลเสร็จ ให้ทำการเปลี่ยน Password ที่ server ทันที
4. ลองอ่าน log ไฟล์ "cat /va/log/proftpd/access.log" ดูว่า ip ไหนเข้ามา ftp เปลี่ยนไฟล์ ให้ทำการ Block IP นั้นซะ
ที่เครื่องมี user ที่ ftp ได้ทุกโดเมนอยู่หรือเปล่าครับ
เพราะปกติไวรัสต้วนี้จะดัก ftp password จากเครื่องที่ใช้ ftp แก้ไขเว็บ
เสร็จแล้วมันก็เข้าไปแก้ไขไฟล์เราผ่านทาง ftp ด้วย password ที่ดักได้
ถ้าดูจาก ftp log จะเห็นชัดเจนเลย ว่ามี connection เข้ามาแก้ไขไฟล์
และใน log ยังบอกอีกด้วยว่าใช้ user อะไรมาจาก ip ใหน
วิธีการแก้ไข
1. เปลี่ยนรหัส ftp ของ user ที่โดนใหม่ (หาเครื่องอื่นเข้าไปเปลี่ยน)
2. แก้ไขไฟล์ที่ถูกแก้ไขกลับมาเหมือนเดิม (ลบ tag ที่เพิ่มมาออก)
3. scan virus ในเครื่องที่ติดโทรจัน (เครื่องที่โดนดัก password)
แต่ถ้าโดนทั้งเครื่องแบบว่าไม่มี log การเข้ามาทาง ftp อันนี้แสดงว่าโดน hack ทางช่องโหว่ใดซักอย่าง
ปัญหาจะหนักกว่าแบบแรก คือต้องหาช่องโหว่ให้พบ ไม่งั้นไว้ก็มาอีก
Next
« Prev Post
« Prev Post
Previous
Next Post »
Next Post »
สมัครสมาชิก:
ส่งความคิดเห็น (Atom)
EmoticonEmoticon