ถูก Hack ใส่ Phishing web


อยู่ดีดี ผมก็มี account paypal นับร้อย และบัญชีบัตรเครดิตอยู่ในมือ!
เมื่อสองสามวันก่อนพบว่า Development Server ที่ใช้ในการพัฒนาเว็บนั้นมีการล่ม ไม่ตอบสนองเป็นบางครั้ง หลังจาก

boot อาการดังกล่าวก็หายไป และสักพักจะกลับมาเป็นอีก...
เป็นช่วงเวลาที่ผมก็ยุ่งมากๆ ไม่มีโอกาศได้ตรวจสอบว่าเกิดจากสาเหตุอะไร


ผ่านไปราวๆ 4-5 วัน True ส่งจดหมายเตือนให้ปิด Phishing web ซึ่งในขณะนั้นผมไม่มีโอกาศได้เข้ามาดู Server เลย
เพื่อนร่วมงานท่านหนึ่ง ได้เข้าไปลบ Phishing web นั้น

แต่ไม่นานนัก Phishing web ได้กลับมาทำงานตามปกติ แน่นอนว่า นี่ไม่ธรรมดาแล้ว การตรวจสอบจึงเริ่มขึ้น




1. ตรวจสอบดูความผิดปกติของบริการต่างๆ ของเครื่อง Server
เมล์จาก true ได้แจ้งว่า เว็บ phishing ดังกล่าว ใช้งานบน port 82
ผมใช้คำสั่งง่ายๆ อย่าง netstat -a แสดงแสดง network connections ต่างๆที่ใช้งานในขณะนั้น

จากการตรวจสอบ พบว่า port 82ยังมีการทำงานอยู่จริง ตามที่ true แจ้งให้ทราบ เพื่อนร่วมงานของผมได้บอกถึงตำแหน่งของ phishing

website ที่เขาได้ลบไปแล้ว phishing นั่นอยู่ที่ C:\WINDOWS\system32\Wins\register\apache\htdoc\
สำหรับ url ของ phishing นั้นอยู่ที่ http://xxx.xx.xx.xx:82/webscr/ ซึ่ง webscr เป็นชื่อ directory ใน paypal

ตัวอย่างหน้าจอของเว็บ phishing ซึ่งถ้าไม่สังเกตุ จะไม่รู้ว่ากำลังถูกหลอกเลย
user posted image

หน้าจอ paypal ของจริง ต่างกันที่ ip เท่านั้น
user posted image


2. สำรวจไฟล์ และก็เจอของดี!
เริ่มจาก Apache
Apache ที่ Hacker เอามาใช้นั้น มีขนาดถึง 30 MB แทบไม่มีการปรับแต่งใดใด ไม่มีการนำเอา module ต่างๆ ที่ไม่จำเป็นออก ลักษณะเช่นนี้น่าจะเป็นมือสมัครเล่นมากกว่า...ผมยิ้ม

มีการ ใช้ Session ด้วย ซึ่ง session ต่างๆถูกเก็บที่ /Apache/tmp/ และมีไฟล์ (Session) เป็นจำนวนมากโดยไฟล์แรกนั้นบันทึกตั้งแต่วันที่ 2006.10.26 ถึง 2006.10.30 มีจำนวน 90 ไฟล์ ข้างในนั้นมีอะไร?

user posted image

ไฟล์ดังกล่าวได้เก็บข้อมูล Login และ Password ของบัญชี paypal!
ครับอยู่ดีดี ผมก็มี account paypal เกือบ 100 อยู่ในมือ!

ยังจะมีอะไรมากกว่านี้อีกไหม? ผมเริ่มค้นหาต่อ เริ่มจากเข้าไปที่หน้าเว็บของ phishing ผมมองเห็นชื่อไฟล์ที่โดดเด่น ไฟล์นั้นคือ "vectorial.vec" (ชัยชนะ...ของใครล่ะ?)

"vectorial.vec" ได้ใช้ในการเก็บข้อมูลต่างๆ ไม่ว่าจะเป็นชื่อ ที่อยู่ หมายเลขบัตรเครดิต IP Address username, password..... และแล้วผมก็มีบัตรเครดิตในมืออีกแล้ว!!

user posted image



3. ตามหาร่องรอย
พลาดครั้งที่ 1 : ไม่ปกปิดเส้นทาง
อย่างที่บอก Hacker รายนี้ไม่น่าจะเป็นมืออาชีพสักเท่าไหร่ สิ่งที่แรกที่ต้องทำคือหา log ไฟล์ ... และผมก็เจอมัน!
user posted image

สิ่งแรกที่ hacker ต้องทำก่อนออกคือ ต้องทำลายหลักฐานให้หมดสิ้น เพื่อป้องการการติดตาม โดยอาจทำลาย ปลอมแปลงข้อมูล เพื่อล่อหลอกให้เสียเวลา หรือตามไปผิดทาง มาดู log กัน....

โดยปกติ คงไม่มีใครรู้ว่า ไฟล์ที่ใช้เก็บข้อมูลอยู่ที่ใด ดังนั้นผมจึง filter หาเฉพาะ http request ที่มีการร้องขอไฟล์ vectorial.vec เท่านั้น ซึ่งก็พบว่า มีการร้องขอไฟล์ตั้งแต่ 28/Oct/2006 - 30/Oct/2006 จำนวน 27 ครั้ง

user posted image

พลาดครั้งที่ 2 : ใช้ IP ซ้ำกัน
ถ้าสังเกตุจาก Log ไฟล์ จะเห็นว่ามีการใช้ IP เดิมๆ ซ้ำกัน และมี 1 IP ที่ต่างกันออกไป ........
เร็วเท่าความคิด แน่นอนว่า Hacker ยังไม่รู้ตัว ผมตรวจสอบทันทีว่า IP เหล่านี้มาจากที่ไหน

หลังจากตรวจสอบพบว่า
IP แรก เป็นของผู้ให้บริการ ADSL แห่งหนึ่งใน ประเทศ Romania
IP ที่สองนั้น เป็นของผู้ให้บริการโทรศัพท์แห่งหนึ่งใน ประเทศ Romania เช่นกัน
แสดงให้เห็นว่า Hacker อาจใช้โทรศัพท์ในการตรวจสอบข้อมูลที่ได้มา และยังติดตามผลงานอย่างใกล้ชิด ถึงขนาดใช้โทรศัพท์มาเอาข้อมูลไป

ระหว่างนี้ผมได้หาข้อมูล สำหรับการติดต่อหน่วยงานที่เกี่ยวกับของกับอาชญากรรมคอมพิวเตอร์ใน Romania ซึ่งหาได้จาก http://www.politiaromana.ro/Engleza/useful_addresses.htm


4. ปิดประตู
สาเหตุของการเข้าโจมตีในครั้งนี้
1. น่าจะเกิดจากการตั้งรหัสที่ง่ายเกินไป ของ account หนึ่ง จึงได้ทำการเปลี่ยนรหัสผ่านทั้งหมด
2. มีเครื่องคอมพิวเตอร์ฯ ในเครือข่าย เครื่องใดเครื่องหนึ่งถูก hack และถูกใช้เป็นช่องทางในการเข้าถึง และโจมตีต่อไป (backdoor)



หลังจากเฝ้าระวังสักพัก Hacker ยังไม่ปรากฏตัว ขณะเดียวกัน ก็ยังมีผู้คนตกเป็นเหยื่อมากขึ้น และผมยังต้องมีงานมากมายรออยู่ จึงส่งข้อมูลทั้งหมดให้เจ้านาย เพื่อตัดสินใจดำเนินการ


update 1: ปัจจุบัน ไม่พบร่องรอยหรือมีการพยายามเข้าถึงที่ไม่ปกติ
update 2: ผมลบ เว็บ phishing พร้อมทั้งข้อมูลเหยื่อต่างๆ ไม่ว่าจะเป็นหมายเลขบัญชีบัตรดิต และ paypal หมดแล้ว
คำสำคัญ (Tags): #computer#hacking#hacker#phishing#paypal
หมายเลขบันทึก: 57359เขียนเมื่อ 6 พฤศจิกายน 2006 09:52 น. ()แก้ไขเมื่อ 17 พฤษภาคม 2012 14:55 น. ()สัญญาอนุญาต: จำนวนที่อ่านจำนวนที่อ่าน:


ความเห็น (8)
ขอบคุณครับ ที่แบ่งปันประสบการณ์ดีๆ

ลบหมดแล้ว จิงอ่ะ 555

ได้เห็น Case Study จริงๆ ก็คราวนี้แหละ ขอบคุณมากครับ

รู้สึกวาหมู่นี้ Server ในเมืองไทยหลายที่ถูกใช้เป็นแหล่งวาง phishing web เยอะจริงๆครับ.. กลัวอีกอย่างในส่วนของ pharming ถ้าเกิดขึ้นกับ DNS Server จริงๆ นี่น่ากลัวมากเลยขอรับ
ขอบคุณที่แบ่งปันประสบการณ์ดีๆ เช่นกัน

ถ้าผู้ดูแลระบบ มากด้วยความสามารถและมันสมอง แบบคุณ Patrickz มีเยอะๆ ผมว่าการ hack เครื่อง server น่าจะลดน้อยลงครับ

เจอมาเมื่อสัปดาห์ที่แล้ว เจอทั้งไวรัส iframe เจอทั้งแฮ๊กเว็บไซต์ ก็เลยเข้าไปดู 

วิธีแก้เว็บไซต์ถูกแฮ๊ก ตามในลิ้งค์คะ น่าจะช่วยเืพื่อนๆ ได้บ้างนะคะ

พบปัญหาการใช้งานกรุณาแจ้ง LINE ID @gotoknow
ClassStart
ระบบจัดการการเรียนการสอนผ่านอินเทอร์เน็ต
ทั้งเว็บทั้งแอปใช้งานฟรี
ClassStart Books
โครงการหนังสือจากคลาสสตาร์ท