ขอความช่วยเหลือวิเคราะห์ log ครับ

วันนี้ลองตรวจดู auth.log พบแปลก ๆ
Oct 15 06:25:01 sentinel su[4275]: Successful su for nobody by root
Oct 15 06:25:01 sentinel su[4275]: + ??? root:nobody
Oct 15 06:25:01 sentinel su[4275]: (pam_unix) session opened for user nobody by (uid=0)
Oct 15 06:25:01 sentinel su[4275]: (pam_unix) session closed for user nobody
Oct 15 06:25:01 sentinel su[4279]: Successful su for nobody by root
Oct 15 06:25:01 sentinel su[4279]: + ??? root:nobody
Oct 15 06:25:01 sentinel su[4279]: (pam_unix) session opened for user nobody by (uid=0)
Oct 15 06:25:01 sentinel su[4279]: (pam_unix) session closed for user nobody
Oct 15 06:25:01 sentinel su[4281]: Successful su for nobody by root
Oct 15 06:25:01 sentinel su[4281]: + ??? root:nobody
Oct 15 06:25:01 sentinel su[4281]: (pam_unix) session opened for user nobody by (uid=0)
Oct 15 06:25:01 sentinel su[4281]: (pam_unix) session closed for user nobody

มีทั้งสองวัน คือวันที่ 15 - 16 เหมือนกันทุกบรรทัด เวลาเดียวกันเป๊ะเลย ท่านใดทราบกรุณาชี้แนะ

เป็นเหตุการณ์ปกติ ที่เกิดขึ้นจากการทำงานของ cron/anacron ครับผม
ไม่มีอะไรน่าตกใจครับ ถ้าเข้าไปตรวจสอบข้อมูลดี ๆ จะพบว่า

ในไฟล์ /etc/crontab

...
25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
...

ปล. เครื่องผมก็ขึ้นอย่างนี้เหมือนกันครับ
___
Neutron: Linux Addict!

ขอบคุณครับ neutron ผมกำลังพยายามทำ web ให้กับโรงเรียนที่ผมทำงานอยู่แต่ยังไม่สำเร็จสักที
ย้อนหลังไปเมื่อปีที่ผ่านมาผมเคยถูก Block IP โดยเจ้าหน้าที่ศูนย์สารสนเทศของกระทรวง แจ้งว่าถูก hack และ ก่อกวนคนอื่น
ตอนนั้นผมใช้ Gentoo + Xampp ผมก็เลย format ทำใหม่ คราวนี้ freebsd 6.2 เจ้าหน้าที่เขาก็ยอมเปิดให้ สักพักก็โดนอีก ดูใน log ก็พบว่ามีการพยามเข้ามาทาง ssh เนือง ๆแล้ว web ผมก็กระท่อนกระแท่น หยุด ๆ เดิน ๆ ssh ได้บ้างไม่ได้บ้าง รวมถึง ftp ด้วย ยื้ออยู่หลายเดือน เหมือนถูกกัดไม่ปล่อย แล้วผมก็ไม่มีปัญญาพอที่จะป้องกันแก้ไขด้วย อาศัยหาความรู้จาก web เรื่อยมา จนต้อง format ทำใหม่ OpenBSD 4.1 อาศัย อาจารย์วิริยะ กลิ่นเสาวคนธ์ งมอยู่พัก web ทำงานได้ แต่ MySQL รวนสะบัดช่อ hang อยู่เป็นประจำ ทอดถอนใจ นายก็ทวงงาน ร่ำ ๆว่าจะบอกให้คนอื่นทำเหอะก็เกรงว่าจะเสียมารยาท ทำใหม่อีก Ubuntu เห็นตาม forum เขาบอกว่าดี แต่มันคงไม่ถูกกับผม เชื่อไหมปีเศษแล้ว web ผมยังเปิดทำการไม่ได้ ตอนนี้ Debian 4.0r1 แล้วลง Drupal ไว้ดูอาการ พอดีไปเห็นที่แถว ๆ debianclub นี่มี ClustrMaps เพื่อรู้ต้นทางของผู้ที่ access เข้ามา ปรากฏว่า มีจุดแดง ๆระบุที่มาแถว ๆซ้ายสุดของบริเวณที่เคยเป็นรัสเชียเดิม ผมก็ไม่รู้ว่าเป็นประเทศอะไร web ก็ยังไม่ได้เปิดทำการ และเชื่อว่ายังไม่มีใครรู้จัก web ด้วย เลยคิดเอาเองว่า hack อีกแล้วมั้ง แล้ว hack เอาอะไร อยากเปิด web ให้ทันเปิดเทอมนี้จะได้ให้เด็ก ๆได้ใช้กันด้วย neutron มีอะไรชี้แนะไหม มีคนเคยแนะนำว่า free php scripts ที่ให้ download ตาม web มีทำให้ Server เสีย Security แล้วผมจะใช้อะไรล่ะ web โรงเรียนมันก็อาศัย free scripts เหล่านี้แหละครับ จะเอาตังค์ที่ไหนมาจ้างเขียนขึ้นมาเฉพาะ แล้วไอ้ที่จ้างเขียนนี่ใครรับรองได้ว่ามัน Secure จริง ๆ ท่านอื่นที่ผ่านมาพบเห็น ถ้าจะกรุณาชี้แนะก็จะเป็นพระคุณ อีกทั้งเป็นกุศลกรรมด้วยนะครับ

โดนโจมตีขนาดนี้ผมก็ยังไม่เคยเจอเหมือนกันครับ
แต่ว่าไปแล้ว เรื่อง Security นี่เราสร้างให้กับระบบได้นะครับ

  1. ตรวจสอบความต้องการ ของระบบที่เราจะสร้าง อะไรไม่จำเป็นก็ไม่ต้องเปิดใช้ อะไรเสี่ยงต่อการโจมตี ก็เปิดใช้อย่างระมัดระวัง
  2. FTP หากเปลี่ยนมาใช้ SFTP ได้จะเป็นการดีอย่างมาก เพราะ FTP มีการส่งผ่านรหัสแบบ Plain Text หากเลี่ยงไม่ได้ ให้กำหนดสิทธิ์อย่างจำกันให้กับ FTP User เพื่อป้องกันการถูกโจมตี (FTP User ไม่ควรได้รับสิทธิ์ในการ Login Shell Terminal)
  3. พึงระลึกเสมอว่า Web server, FTP server เป็น Open port เพราะฉะนั้น Firewall ไม่มีประโยชน์ใด ๆ ทั้งสิ้นครับ Port เหล่านี้ เพราะ Firewall จะไม่ปิดกั้นอะไรทั้งสิ้นสำหรับ Port เหล่านี้ และหากพบปัญหาในการถูกโจมตีในลักษณะ กระหน่ำแหลก (DoS - Denial of Service) หรือการทำให้ Service ไม่สามารถให้บริการได้ ควรกำหนดอัตราในการส่งผ่านข้อมูล ไม่ให้มีการส่งข้อมูลเกินจำนวนที่กำหนดในหนึ่งหน่วยเวลา (วินาที, นาที) กรณีนี้ Firewall ช่วยได้ มีโปรแกรมที่ช่วยสร้าง Firewall ให้แข็งแกร่งมากขึ้นได้ อย่างเช่น Shorewall (ผมรู้จักตัวเดียว :P ) http://www.shorewall.net ตัวนี้มี package ใน Debian ลงได้สะดวกสบาย ส่วนตัวอย่าง ในเว็ปมีข้อมูลอย่างละเอียดครับ
  4. อย่าลืม upgrade package ที่อาจเป็นเป้าโจมตีให้ปลอดภัยอยู่เสมอ โดยพึงระลึกว่า ไม่มี Software ใด ๆ ในโลกที่ปลอดภัย 100% และที่สำคัญการโจมตีโดยส่วนใหญ่ มักเกิดปัญหาขึ้นจากคนใจ เช่น Username, Password หากจำกัดให้มีผู้เข้าถึง Server ได้ในวงจำกัด เป็นการเพิ่มความปลอดภัยของระบบครับ

___
Neutron: Linux Addict!

**ขอบคุณ neutron อีกครั้งที่ยังให้ความสนใจ ผมเพียงสงสัยว่าเพราะเหตุใดจึงถูกจำเพาะเจาะจง ผมไม่มีอะไรเลย และไม่น่าเป็นไปได้ที่จะสร้างความท้าทายให้กับใคร ๆ แต่จากข้อมูลจากเจ้าหน้าที่ศูนย์สารสนเทศกระทรวงบอกว่า ผมถูกเกาะมานาน และถามผมว่าผมใช้งานอะไรเขาจะได้เปิดให้เฉพาะ port ที่เหลือจะปิดให้หมด ผมบอกเขาไปว่า ไม่เอาผมจะดูแลเองพยามจะปิดเอง
หากมีปัญหาก็ให้ Block ไปเหมือนเดิม แต่อย่าลืมบอกให้ผมรู้ก่อน ทางเจ้าหน้าที่เขาเท่าที่ดูส่วนใหญ่จะเป็น Ms

ตอนนี้นะครับที่ผมเตรียมการ และลงมือไปบ้างแล้ว คือ
1)Primary DNS เป็น FreeBSD ก็ตอนนั้นเล่น FreeBSD มีกี่ตัวก็ลงหมดแล้วมันใช้ได้ ตอนนี้ใน hosts.deny มี IP
อยู่ประมาณ 200 ปล่อยไว้
2)Mial เป็น LinuxSIS 5.0 แล้วก็ Secondary DNS ตัวนี้ไปสัมมนามาแล้วเอาแผ่นมาทดลองลงดู มันใช้การได้
เลยเอาเลย แต่ Spam เพียบ ขนาดมี user รับบริการอยู่ไม่เกิน 20 คน คือยังไม่บริการน่ะ แต่ก็คงต้องเปิดบริการในไม่ช้า
3)Ftp เป็น OpenBSD 4.0 ก็ลองดูอีกล่ะใช้ได้ก็เลยเอาไว้ก่อน ดูใน log ไม่มีใครมาแตะเลย
4)Web Server โรงเรียน ก็ Debian 4.0r1 แล้วว่าจะมี CMS (ลง Drupal ไว้) LMS กับ Online test ด้วย
hosts.deny มี IP อยู่ประมาณ 20 แล้ว ลงแค่ 3 วันเอง 14 ต.ค. แล้วมี access จากต่างประเทศที่ว่า
5)Web Server นักเรียน ก็ Debian 4.0r1 ลง RunCMS ไว้ ตัวนี้ก็คงหลากหลายตามประสงค์ของนักเรียน ยังไม่มีใครแตะ
6)Internet Server เป็น PFsense ต่อกับ ADSL Router 2 ตัว กับ พยามยามจะเอา Leasesline ของกระทรวงนี่
เข้าไปด้วย แต่ยังทำไม่เป็น

ทั้งหมดเป็น PC ธรรมดาทั่วไปค่อนข้างต่ำ ตั้งแต่ P-III 733 Ram 512 Mb. จนถึง Celeron D 2.66 Ram 1 Gb. AMD ก็มีนะครับ ลำดับที่ 1 - 5 ต่อทาง Leasesline พอมองเห็นภาพไม๊ครับ พอไหวไหม ผมเองไม่ได้เก่งอะไรนะ อาศัย
อ่านหาความรู้และทำตามเวปนั่นแหละ ไปสอบ NLC ทีไรได้คะแนนน้อยกว่า neutron เยอะเลย จึงดีใจเป็นอย่างยิ่งที่ได้รับความสนใจในคำถามจาก neutron หากไม่รังเกียจจะกรุณาเป็นที่ปรึกษาให้ข้อชี้แนะและแนวปฏิบัติตามหลัก Admin ที่ดี ก็จะเป็น
กุศลกรรม ไม่น้อยเลย...

เริ่มต้น ผมคิดว่าต้องวิเคราะห์ปัญหาก่อนครับ เท่าที่อ่านมา Web Server มีการ access จากต่างประเทศ เป็นการโจมตี หรือเป็นการเรียกใช้งานปกติ มีเครื่องมือช่วยวิเคราะห์ Network Traffic อย่างเช่น iptraf, tshark (console wireshark), tcpdump และลองจับ packet มาวิเคราะห์ หรือถ้ามีเวลา ลองนั่งดูเลยก็ได้ครับ ส่วนใหญ่พวกนี้ ถ้าเป็นการโจมตี ก็น่าจะมีร่องรอยบ้าง และที่สำคัญ การโจมตี Linux จากระยะไกล ไม่ใช่เรื่องง่าย ๆ ที่ใคร ๆ ก็ทำได้ครับ

ปล. upgrade package จาก security.debian.org ด้วยนะครับ
___
Neutron: Linux Addict!

Admin มือใหม่แน่นอนทีเดียว แถมไม่เคยอ่านหนังสือของ Debian ด้วยแนะนำให้ไปอ่านซะนะครับ
เหตุการณ์ปกติครับ มันเปิดจากพวก service ของ daemon ต่างๆ อาทิ samba หรือใดๆ ก็ตามที่มันต้องใช้
nobody ทำงานครับ

นี่ละน้าเด็กไทย มันไม่ค่อยอ่านหนังสือกันเลย กระทรวงศึกษาต้องพิจารณาตัวเองแล้ว
http://www.debian.org/doc/manuals/securing-debian-howto/ch12.en.html

Admin มือใหม่แน่นอนทีเดียว แถมไม่เคยอ่านหนังสือของ Debian ด้วยแนะนำให้ไปอ่านซะนะครับ
เหตุการณ์ปกติครับ มันเปิดจากพวก service ของ daemon ต่างๆ อาทิ samba หรือใดๆ ก็ตามที่มันต้องใช้
nobody ทำงานครับ

นี่ละน้าเด็กไทย มันไม่ค่อยอ่านหนังสือกันเลย กระทรวงศึกษาต้องพิจารณาตัวเองแล้ว
http://www.debian.org/doc/manuals/securing-debian-howto/ch12.en.html

Creative Commons License ลิขสิทธิ์ของบทความเป็นของเจ้าของบทความแต่ละชิ้น
ผลงานนี้ ใช้สัญญาอนุญาตของครีเอทีฟคอมมอนส์แบบ แสดงที่มา-อนุญาตแบบเดียวกัน 3.0 ที่ยังไม่ได้ปรับแก้