ให้ Admin แต่ละเขตพื้นที่ตรวจสอบข้อมูลที่ระบบ OmniVista

วันอังคารที่ 15 กันยายน 2552 สำนักวิทยบริการและเทคโนโลยีสารสนเทศ ได้ทำการตรวจสอบแพ็คเก็จที่ถูกส่งจากเขตพื้นที่ ปรากฏว่า มีแพ็คเก็จจำพวก ไวรัส จำนวนมาก จึงได้สั่งกักกันที่ซอฟต์แวร์ OmniVista ของแต่ละเขตพื้นที่ เพื่อความรวดเร็ว จึงขอให้ผู้ดูแลของแต่ละเขตพื้นที่ ทำการตรวจสอบ หมายเลข IP Address และ MAC Address ที่ถูกกักกัน

ในเบื้องต้นให้ตรวจสอบโดยการสั่งสแกนด้วยซอฟต์แวร์ Antivirus ที่ถนัด หรือมีอยู่ประจำเครื่อง และทำการบันทึกชื่อของไวรัส ส่งมายังสำนักวิทยบริการ เพื่อที่จะช่วยหาซอฟต์แวร์ในการจัดการไวรัสดังกล่าว



ไวรัสคอมพิวเตอร์ระบาดที่เขตพื้นที่เชียงใหม่

วันจันทร์ที่ 14 กันยายน 2552 ระบบเครือข่ายมีอาการ อัพ/ดาวน์ บ่อยครั้ง และมีแพ็คเก็จรบกวนระบบเครือข่ายจำนวนมาก จนทำให้ Core Switch 9700 ไม่ตอบสนองการเรียกใช้งาน จากการตรวจสอบถึงแหล่งที่มาของไวรัส มีดังนี้

1. อาคารศึกษาทั่วไป

2. เจ็ดยอด

3. แผนกวิชาไฟฟ้า

4. แผนกวิชาเครื่องกล

5. แผนกวิชาสถาปัตยกรรม

เบื้องต้นพบการแพร่กระจายรวมกัน รวม 6 เครื่อง แต่ละเครื่องมีการร้องขอ arp อย่างผิดปกติ และส่งข้อมูลผ่านพอร์ต 445/tcp อยู่ตลอดเวลา จนเกิดภาวะของอุปกรณ์เครือข่าย รับภาระไม่ไหว จนต้องเริ่มต้นการทำงานใหม่ (รีบูตตัวเอง) อยู่บ่อยครั้ง รวมทั้ง Core 9700 ที่ยังไม่ตอบสนองบางคำสั่ง ซึ่งมีความจำเป็นต้องรีบูต ให้เริ่มต้นทำงานใหม่อีกครั้ง (ในคืนนี้) และจะดำเนินการปิดกั้น MAC Address ของเครืองต้นเหตุในทันที



เกิดมาก็ฆ่าอีก Conficker ภาค 3

แม้ว่าข่าวคราวของ Conficker จะเงียบ ๆ ไปบ้างแล้ว แต่จากสถิติ ที่ยังพบอย่างต่อเนื่อง ทำให้เชื่อได้ว่า มันยังไม่ตายไปจากโลกไอที แต่เป้าหมายตอนนี้ น่าจะเป็น คอมพิวเตอร์แม่ข่ายที่ติดตั้งระบบปฏิบัติการเข้าไปใหม่ และยังไม่มีการอัพเดทแพทซ์ตามที่ได้แจ้งไว้ก่อนหน้านี้ ทำให้เครื่องเหล่านั้น กลายเป็นแหล่งกบดานอย่างดี และหากมีจำนวนเครื่องที่ติด conficker มากพอแล้ว แน่นอน ว่า ระบบเครือข่ายโดยรวม ก็คงจะรับมือไม่ไหว มันช่างเหมือนกับไวรัสของคนเรามาก ถ้าคนเราไม่ป้องกันตนเอง ก็จะแพร่เชื้อสู่คนอื่น หรือ หากไม่ใส่ใจในสุขภาพ (ของเครื่อง) ไวรัสก็จะมาเคาะหน้าบ้านได้อยู่เสมอ

วันนี้ ผมขอแนะนำตัวจัดการกับ Conficker แบบเด็ดขาด(ผมคิดว่างั้นนะ)มาฝากครับ

จากก่อนหน้านี้เคยแนะนะ ฆ่าล้างเผ่าพันธุ์ Conficker และ แจ้งเตือนการระบาดของไวรัส Kido , Conficker

ซึ่งบ่อยครั้งที่เจ้าตัว conficker ไม่ได้หลบอยู่ที่ system32 จึงทำให้การค้นหาไม่พบ ดังนั้น จึงต้องเพิ่มออปชั่นพิเศษสำหรับ kk.exe (ดาวน์โหลดเวอร์ชั่นใหม่จากเว็บไซต์ผู้ผลิตที่นี่ครับ) ไปแบบนี้ครับ

โดยทำการรันจาก คอมมานด์ไลน์ ดังนี้

kk.exe -f -r -y -a

kk01

ซึ่งระยะเวลาการตรวจสอบจะประมาณ 15-30 นาที แล้วแต่ความไวของเครื่อง

kk03

ซึ่งรายละเอียดของค่าตัวแปรต่าง ๆ มีดังนี้ครับ

Switches to run the utility KK.exe from the command prompt:

Switch Description
-p <scan path> scan a defined folder
-f scan hard disks, scan portable hard disks
-n scan network disks
-r scan removable drives
-y end program without pressing any key
s silent mode (without a black window)
-l <file name> write info into a log
-v extended log maintenance (the switch -v works only if the -l switch is entered in the command prompt)
z restore the services

  • Background Intelligent Transfer Service (BITS),
  • Windows Automatic Update Service (wuauserv),
  • Error Reporting Service (ERSvc/WerSvc
restore display of hidden system files
a disable auto start from all drives
m mode to monitor threads, tasks, services.

When in this mode, the utility constantly resides in memory and will periodically perform scans of threads, services, and scheduler tasks. If an infection is detected, it will perform disinfection and continue monitoring.
-j restore the registry branch SafeBoot (if the registry branch is deleted, computer cannot boot in safe mode)
-help show additional information about the utility

ขอให้แน่ใจได้เลยว่า หากเครื่องคอมพิวเตอร์ติด conficker แล้ว แสดงว่าเครื่องนั้น ไม่ได้ทำการอุดช่องโหว่ตามที่ได้แจ้งก่อนหน้านี้ ดังนั้น ให้ทำการดาวน์โหลดจาก บทความ แจ้งเตือนการระบาดของไวรัส Kido , Conficker ได้ครับ (หรือจะเอาจากเว็บไซต์ไมโครซอฟต์ก็ได้ครับผม)



ไวรัสคอมพิวเตอร์ระบาดที่ เขตพื้นที่น่าน

ได้รับแจ้งจากเขตพื้นที่น่าน ว่าการเรียกใช้งานระบบอินเตอร์เน็ตช้าเป็นอย่างมาก ส่งผลกระทบต่อการใช้งาน รวมไปถึงระบบการเงิน ที่ต้องเชื่อมต่อเครือข่าย

จึงได้ตรวจสอบเบื้องต้น พบว่า มีการ Broadcast จากเครื่องลูกข่ายจำนวนมาก อีกทั้งยังมีแนวโน้มที่จะมี Loop ในระบบเครือข่าย แต่เนื่องจาก อาจารย์ผู้ดูแลระบบเครือข่าย ติดภาระงานสอน จึงทำให้การประสานงาน ไม่ต่อเนื่อง

หากมีความคืบหน้าจะแจ้งให้ทราบต่อไป



เกิดปัญหา Duplicate Gateway ที่อิเล็กทรอนิกส์(เชียงใหม่)

วันพฤหัสบดีที่ 23 กรกฏาคม 2552 เวลา 17.30 น. ที่อิเล็กทรอนิกส์ (Node2 เชียงใหม่) มีการแจ้งจากสมาชิกผู้ใช้บริการว่า มีการบรอดแคสและการส่งแพ็คเก็จจำนวนมาก มาสู่เครื่องคอมพิวเตอร์ลูกข่ายของสมาชิก ซึ่งสามารถจับแพ็คเก็จจาก Ethereal พบว่ามีการส่งข้อมูลผ่านพอร์ต 139 และ 445 จากไอพีที่หลากหลาย ทางทีมงานจึงได้ตรวจสอบกับ Switching ที่ Node2 พบว่าการแจ้งเตือนการชนของไอพี gate way ดังนี้

THU JUL 23 15:26:43  Data: 1/0 duplicate IP address 10.2.3.x from port 1/4 eth addr xxxxxx:xxxxxx

นอกจากการชนของ Gateway แล้ว ยังทำให้ Switching Over Load รีสตาร์ทบ่อยครับ ทำให้สมาชิกที่เชื่อมต่อกับ node2 นั้น ไม่สามารถใช้งานได้ชั่วคราว และใช้งานได้ช้าในบางครั้ง

ซึ่งอาการนี้คล้ายคลึงกับเหตุการณ์ที่เกิดขึ้นกับบริหารธุรกิจ โดยสาเหตุเกิดจากไวรัสชนิดหนึ่ง

แต่ขณะนี้ยังหาเครื่องต้นเหตุไม่เจอ



เกิดปัญหา Duplicate Gateway ที่บริหารธุรกิจ(เชียงใหม่)

ช่วง 2 สัปดาห์ที่ผ่านมา ที่บริหารธุรกิจ (Node1 เชียงใหม่) มีการแจ้งจากสมาชิกผู้ใช้บริการว่า ใช้งานระบบเครือข่ายไม่ได้ หรือมีอาการติด ๆ ดับ ๆ อยู่ตลอดเวลา จากการตรวจสอบพบว่า ที่ Switching มี log บอกว่า

THU JUL 02 08:46:43 IP(15) Data: 1/0 duplicate IP address 10.1.4.x from port 1/16 eth addr 001c25:3e4c90

และมีพฤติกรรมสม่ำเสมอ คือจะเกิดขึ้นทุก ๆ 30 วินาที จึงได้ตรวจสอบย้อนกลับถึงการร้องขอไอพีแอดเดรสของเครื่องลูกข่าย พบว่า มีการสร้างไอพีแอดเดรส ที่เป็นลักษณะการเรียงตามลำดับ เช่น

10.1.4.100 จนถึง gateway จาก mac address เพียงชุดเดียว (และมีการเปลี่ยน mac เอง เมื่อมีการปิดกั้นจากส่วนกลาง) จึงเป็นสาเหตุการเกิด Duplicate gateway และเมื่อไอพีรันมาจนถึงไอพี gateway แล้ว จะทำให้ระบบดาวน์ชั่วขณะ ทำให้ลูกข่ายในซับเน็ตนี้ใช้งานไม่ได้ นอกจากนั้น เมื่อไอพีรันไปชนกับไอพีของเครื่องลูกข่ายด้วยกัน จะทำให้เครื่องนั้น ใช้งานไม่ได้ด้วย

จากการตรวจสอบอย่างละเอียด พบว่า ต้นเหตุเกิดจากเครื่องลูกข่ายเพียงเครื่องเดียว ที่มีไวรัสจำนวนมาก (หลากหลายสายพันธ์) จึงได้ปิดการเชื่อมต่อเครือข่ายของเครื่องลูกข่ายดังกล่าว จึงทำให้การใช้งานกลับมาเป็นปกติ



แจ้งเตือนการระบาดของไวรัส Kido , Conficker

ก่อนนี้ ได้เคยแจ้งเกี่ยวกับการระบาดของไวรัส Kido , Conficker ของเครื่องแม่ข่าย พร้อมทั้งวิธีการกำจัดไวรัสไปแล้วนั้น ขณะนี้พบว่า มีการแพร่กระจายของไวรัส Kido , Conficker ที่เครื่องลูกข่าย และมีแนวโน้มที่จะสูงขึ้นเรื่อย ๆ

สำนักวิทยบริการและเทคโนโลยีสารสนเทศจึงขอแจ้งให้สมาชิกทุกท่านร่วมมือกำจัดไวรัส โดยทำตามขั้นตอนดังที่เคยได้แจ้งก่อนหน้านี้ สำหรับครั้งนี้ทีมงานได้รวบรวมซอร์ฟแวร์และอัพเดทแพท ของระบบปฏิบัติการแต่ละรุ่น เพื่อให้ง่ายต่อการใช้งาน   สมาชิกทุกท่านสามารถดาวน์โหลดได้จากรายการดังข้างล่างนี้

เครื่องที่เป็นระบบปฏิบัติการ  [download id=”5″]

เครื่องที่เป็นระบบปฏิบัติการ  [download id=”6″]

เครื่องที่เป็นระบบปฏิบัติการ  [download id=”7″]

เครื่องที่เป็นระบบปฏิบัติการ  [download id=”8″]

เครื่องที่เป็นระบบปฏิบัติการ  [download id=”9″]

เครื่องที่เป็นระบบปฏิบัติการ  [download id=”10″]

เครื่องที่เป็นระบบปฏิบัติการ  [download id=”11″]

เครื่องที่เป็นระบบปฏิบัติการ  [download id=”12″]

หากยังมีข้อสงสัยหรือติดปัญหาระหว่างการใช้งาน สามารถสอบถามได้ที่ สำนักวิทยบริการและเทคโนโลยีสารสนเทศ

โทร. 053921444 ต่อ 1610



ฆ่าล้างเผ่าพันธุ์ Conficker

virusชื่อที่คุ้นหู Conficker , Downandup , Kido เป็นหนอนที่แพร่กระจายตัวเองโดยโจมตีผ่านช่องโหว่ Windows Server service (SVCHOST.EXE) ของระบบปฏิบัติการไมโครซอฟท์วินโดว์ รายละเอียดติดตามได้ที่ http://www.thaicert.nectec.or.th/advisory/alert/conficker_r.php

เมื่อติดหนอนชนิดนี้แล้ว สิ่งที่เกิดขึ้นคือ เครื่องแม่ข่ายที่ทำหน้าที่เป็นโดเม็น จะเกิดภาวะ Over Load คือ ไม่สามารถรองรับการเรียกใช้งานของเครื่องลูกข่ายได้ สืบเนื่องมาจากหนอนชนิดนี้จะสร้าง Connections จำนวนมาก

วิธีสังเกตุการติดเชื้ออย่างง่ายคือ

  • คลิ๊กที่ start –> accessories –> system tools –> scheduled tasks จะสังเกตุเห็น tasks ที่ขึ้นต้นด้วย At

conficker01

  • ที่ Task Manager จะสังเกตุการทำงานของ Process ที่ชื่อ rundll32.exe จำนวนมาก

conficker02

  • ที่เบราเซอร์ จะไม่สามารถเข้าเว็บไซต์ที่เป็นระบบ https และเว็บไซต์เกี่ยวกับ antivirus รวมไปถึงเว็บไซต์ของ microsoft ด้วย

conficker03

conficker09

เมื่อมีอาการอย่างใดอย่างหนึ่งใน 3 อาการข้างต้นนี้ ขอให้แน่ใจได้เลยว่า เครื่องของท่านอาจจะมีหนอนชนิดนี้ฝังตัวอยู่ในเครื่องแล้ว การแก้ไขปัญหาของหนอนชนิดนี้ ค่อนข้างยุ่งยากพอสมควร เพราะหนอนอาศัยการทำงานผ่านระบบเครือข่าย ที่สำคัญดังนี้

  • แชร์ไฟล์ โดยไม่ใส่รหัสผ่าน หรือรหัสผ่านคาดเดาได้ง่าย
  • ตั้งรหัสผ่านของ Administrator หรือผู้ที่ถือสิทธิของ Administrator ง่ายเกินไป
  • ฐานข้อมูลของ Antivirus เป็นรุ่นเก่า
  • การใช้งาน Flash Drive อย่างไม่ระมัดระวัง

ขั้นตอนการกำจัดหนอนชนิดนี้ ฉบับราชมงคลล้านนา (เฉพาะ ระบบปฏิบัติการ windows 2003 server 32 และ 64 bit) คือ

  • ดาวน์โหลด patch และ Fix tools ที่นี่ [download id=”4″] (เฉพาะ kb890830 และ kkiller ให้ดาวน์โหลดเวอร์ชั่นล่าสุดจากเว็บไซต์เจ้าของผลิตภัณฑ์)
    • หรือตรวจสอบไฟล์ KB ดังต่อไปนี้ที่เว็บไซต์ Microsoft อีกครั้ง
      • KB957097
      • KB958644
      • KB958687
      • kb890830 ** สำหรับสแกนไวรัส ในเว็บ noc.rmutl.ac.th นี้เวอร์ชั่น 2.8
      • KKiller.exe ในเว็บ noc.rmutl.ac.th นี้เวอร์ชั่น 3.4.4
  • ทำการแตกไฟล์ไว้ตำแหน่งที่สังเกตุเห็นได้ชัด
  • ตรวจสอบดูว่า ระบบปฏิบัติการที่ใช้เป็น 32 หรือ 64 bit

conficker06

  • ให้หยุดการทำงานของ antivirus ในเครื่อง เพื่อป้องกันการรบกวนการทำงานของซอฟต์แวร์ตัวอื่น **สำคัญมาก

conficker04

  • ยกตัวอย่างว่าเป็น 64 bit ขั้นตอนแรก ให้คลิ๊กที่ ไฟล์ KKiller.exe

conficker05

  • ทำการสแกนหนอนอีกครั้งด้วยเครื่องมือของไมโครซอฟต์ที่ชื่อว่า windows-kb890830-x64-v2.8.exe (เจอหรือไม่เจอไวรัส ก็ไม่เป็นไรครับ)
  • ให้ทำการติดตั้ง patch (เลือกว่าเป็น 32 หรือ 64 bit) ให้ครบทั้ง 3 ตัว เพื่ออุดช่องโหว่ที่หนอนใช้ในการติดต่อ

conficker07

  • รีสตาร์ทเครื่องทันที
  • เมื่อรีสตาร์ทเครื่องมาแล้ว ให้หยุดการทำงานของ Antivirus ในเครื่อง
  • ใช้ Antivirus Online ในการตรวจสอบอีกครั้ง (เลือกตัวใดตัวหนึ่งก็ได้ แต่ผมเลือก kaspersky ขนาดประมาณ 50 Mb)
    • Kaspersky
    • Trend Micro
    • Bitdefender ** ติดตั้งที่เครื่องแม่ข่าย ล็อกอินด้วยผู้ใช้ที่มีสิทธิ Administrator แล้วสั่งสแกนทั้งระบบ รวมไปถึงเครื่องลูกข่ายที่ Join Domains ด้วย
  • ให้ทำการเปิดระบบ Automatic update และทำการ update ระบบปฏิบัติการทันที
  • ทดสอบว่ายังมีอาการผิดปกติดังที่แจ้ังไว้ขั้นต้นหรือไม่ หากไม่พบแล้ว แสดงว่า ได้กำจัดหนอนชนิดนี้ออกจากเครื่องเป็นที่เรียบร้อยแล้ว แต่ต้องคอยดูแลอีกซักระยะ เพื่อไม่ให้กลับมาติดอีก

** หวังว่า คงช่วยแก้ไขปัญหาเบื้องต้นได้นะครับ