เมื่อสองสามวันก่อนพบว่า Development Server ที่ใช้ในการพัฒนาเว็บนั้นมีการล่ม ไม่ตอบสนองเป็นบางครั้ง หลังจาก
boot อาการดังกล่าวก็หายไป และสักพักจะกลับมาเป็นอีก...
เป็นช่วงเวลาที่ผมก็ยุ่งมากๆ ไม่มีโอกาศได้ตรวจสอบว่าเกิดจากสาเหตุอะไร
ผ่านไปราวๆ 4-5 วัน True ส่งจดหมายเตือนให้ปิด Phishing web ซึ่งในขณะนั้นผมไม่มีโอกาศได้เข้ามาดู Server เลย
เพื่อนร่วมงานท่านหนึ่ง ได้เข้าไปลบ Phishing web นั้น
แต่ไม่นานนัก Phishing web ได้กลับมาทำงานตามปกติ แน่นอนว่า นี่ไม่ธรรมดาแล้ว การตรวจสอบจึงเริ่มขึ้น
1. ตรวจสอบดูความผิดปกติของบริการต่างๆ ของเครื่อง Serverเมล์จาก true ได้แจ้งว่า เว็บ phishing ดังกล่าว ใช้งานบน port 82
ผมใช้คำสั่งง่ายๆ อย่าง
netstat -a แสดงแสดง network connections ต่างๆที่ใช้งานในขณะนั้น
จากการตรวจสอบ พบว่า port 82ยังมีการทำงานอยู่จริง ตามที่ true แจ้งให้ทราบ เพื่อนร่วมงานของผมได้บอกถึงตำแหน่งของ phishing
website ที่เขาได้ลบไปแล้ว phishing นั่นอยู่ที่ C:\WINDOWS\system32\Wins\register\apache\htdoc\
สำหรับ url ของ phishing นั้นอยู่ที่
http://xxx.xx.xx.xx:82/webscr/ ซึ่ง webscr เป็นชื่อ directory ใน paypal
ตัวอย่างหน้าจอของเว็บ phishing ซึ่งถ้าไม่สังเกตุ จะไม่รู้ว่ากำลังถูกหลอกเลย
หน้าจอ paypal ของจริง ต่างกันที่ ip เท่านั้น
2. สำรวจไฟล์ และก็เจอของดี!เริ่มจาก Apache
Apache ที่ Hacker เอามาใช้นั้น มีขนาดถึง 30 MB แทบไม่มีการปรับแต่งใดใด ไม่มีการนำเอา module ต่างๆ ที่ไม่จำเป็นออก ลักษณะเช่นนี้น่าจะเป็นมือสมัครเล่นมากกว่า...ผมยิ้ม
มีการ ใช้ Session ด้วย ซึ่ง session ต่างๆถูกเก็บที่ /Apache/tmp/ และมีไฟล์ (Session) เป็นจำนวนมากโดยไฟล์แรกนั้นบันทึกตั้งแต่วันที่ 2006.10.26 ถึง 2006.10.30 มีจำนวน 90 ไฟล์ ข้างในนั้นมีอะไร?
ไฟล์ดังกล่าวได้เก็บข้อมูล Login และ Password ของบัญชี paypal!
ครับอยู่ดีดี ผมก็มี account paypal เกือบ 100 อยู่ในมือ!
ยังจะมีอะไรมากกว่านี้อีกไหม? ผมเริ่มค้นหาต่อ เริ่มจากเข้าไปที่หน้าเว็บของ phishing ผมมองเห็นชื่อไฟล์ที่โดดเด่น ไฟล์นั้นคือ "vectorial.vec" (ชัยชนะ...ของใครล่ะ?)
"vectorial.vec" ได้ใช้ในการเก็บข้อมูลต่างๆ ไม่ว่าจะเป็นชื่อ ที่อยู่ หมายเลขบัตรเครดิต IP Address username, password..... และแล้วผมก็มีบัตรเครดิตในมืออีกแล้ว!!
3. ตามหาร่องรอยพลาดครั้งที่ 1 : ไม่ปกปิดเส้นทางอย่างที่บอก Hacker รายนี้ไม่น่าจะเป็นมืออาชีพสักเท่าไหร่ สิ่งที่แรกที่ต้องทำคือหา log ไฟล์ ... และผมก็เจอมัน!
สิ่งแรกที่ hacker ต้องทำก่อนออกคือ ต้องทำลายหลักฐานให้หมดสิ้น เพื่อป้องการการติดตาม โดยอาจทำลาย ปลอมแปลงข้อมูล เพื่อล่อหลอกให้เสียเวลา หรือตามไปผิดทาง มาดู log กัน....
โดยปกติ คงไม่มีใครรู้ว่า ไฟล์ที่ใช้เก็บข้อมูลอยู่ที่ใด ดังนั้นผมจึง filter หาเฉพาะ http request ที่มีการร้องขอไฟล์
vectorial.vec เท่านั้น ซึ่งก็พบว่า มีการร้องขอไฟล์ตั้งแต่ 28/Oct/2006 - 30/Oct/2006 จำนวน 27 ครั้ง
พลาดครั้งที่ 2 : ใช้ IP ซ้ำกันถ้าสังเกตุจาก Log ไฟล์ จะเห็นว่ามีการใช้ IP เดิมๆ ซ้ำกัน และมี 1 IP ที่ต่างกันออกไป ........
เร็วเท่าความคิด แน่นอนว่า Hacker ยังไม่รู้ตัว ผมตรวจสอบทันทีว่า IP เหล่านี้มาจากที่ไหน
หลังจากตรวจสอบพบว่า
IP แรก เป็นของผู้ให้บริการ ADSL แห่งหนึ่งใน ประเทศ Romania
IP ที่สองนั้น เป็นของผู้ให้บริการโทรศัพท์แห่งหนึ่งใน ประเทศ Romania เช่นกัน
แสดงให้เห็นว่า Hacker อาจใช้โทรศัพท์ในการตรวจสอบข้อมูลที่ได้มา และยังติดตามผลงานอย่างใกล้ชิด ถึงขนาดใช้โทรศัพท์มาเอาข้อมูลไป
ระหว่างนี้ผมได้หาข้อมูล สำหรับการติดต่อหน่วยงานที่เกี่ยวกับของกับอาชญากรรมคอมพิวเตอร์ใน Romania ซึ่งหาได้จาก
http://www.politiaromana.ro/Engleza/useful_addresses.htm4. ปิดประตูสาเหตุของการเข้าโจมตีในครั้งนี้
1. น่าจะเกิดจากการตั้งรหัสที่ง่ายเกินไป ของ account หนึ่ง จึงได้ทำการเปลี่ยนรหัสผ่านทั้งหมด
2. มีเครื่องคอมพิวเตอร์ฯ ในเครือข่าย เครื่องใดเครื่องหนึ่งถูก hack และถูกใช้เป็นช่องทางในการเข้าถึง และโจมตีต่อไป (backdoor)
หลังจากเฝ้าระวังสักพัก Hacker ยังไม่ปรากฏตัว ขณะเดียวกัน ก็ยังมีผู้คนตกเป็นเหยื่อมากขึ้น และผมยังต้องมีงานมากมายรออยู่ จึงส่งข้อมูลทั้งหมดให้เจ้านาย เพื่อตัดสินใจดำเนินการ
update 1: ปัจจุบัน ไม่พบร่องรอยหรือมีการพยายามเข้าถึงที่ไม่ปกติ
update 2: ผมลบ เว็บ phishing พร้อมทั้งข้อมูลเหยื่อต่างๆ ไม่ว่าจะเป็นหมายเลขบัญชีบัตรดิต และ paypal หมดแล้ว