Step 1: Securing /tmp
Step 1.1: Backup your fstab file
cp /etc/fstab /etc/fstab.bak
Step 1.2: Creating tmpmnt partition file (Around 1Gb in size)
cd /var dd if=/dev/zero of=tmpMnt bs=1024 count=1048576
Step 1.3: Format the new partition
mkfs.ext3 -j /var/tmpMnt
Press Y when asked
Step 1.4: Making backup of old /tmp
cp -Rp /tmp /tmp_backup
Step 1.5: Mount the tmp filesystem
mount -o loop,noexec,nosuid,rw /var/tmpMnt /tmp
Step 1.6: Set the right permissions
chmod 0777 /tmp
Step 1.7: Copy the files back to new tmp folder
cp -Rp /tmp_backup/* /tmp/
Step 1.8: Adding new /tmp filesystem to fstab
echo "/var/tmpMnt /tmp ext3 loop,rw,noexec,nosuid,nodev 0 0" >> /etc/fstab
Step 2: No need for 2 tmp filesystems, so we symlink /var/tmp to /tmp
rm -rf /var/tmp/ ln -s /tmp/ /var/tmp
ปล.ลองทำแล้ว แต่ติดอยู่ที่ step 1.5 มีแจ้งว่า "mount: no permission to look at /dev/loop#" พอทำต่อ เหมือนกับไม่สำเร็จ
นั่งคิดอยู่หลายวันแล้ว ว่าจะเอา notebook ให้ลูกใช้ (อายุ 5 ขวบ) ซึ่ง notebook เครื่องนี้ติดตั้ง Ubuntu เขาใช้งานได้แล้ว สามารถป้อน username และ password เพื่อเข้าใช้งานใน user ของตัวเองได้ เปิดเกมส์ได้ เปิด GIMP มาวาดรูปได้ แต่มีความรู้สึกว่า Ubuntu รุ่นปกตินั้นไม่เหมาะสำหรับเด็กหรอก มันใช้งานยากเกินไป จึงลองหาอะไรที่เหมาะสำหรับเด็กจริง ๆ
ลองค้นหาในเน็ตดู สิ่งที่ควรมีคือ
- OS ที่ปลอดภัย และใช้งานง่าย ไม่ซับซ้อน
- Games software ที่มีประโยชน์สำหรับเด็ก ยังไงเด็กก็ยังคงเล่นเกมส์
- Paint software เด็กชอบวาดรูป และเป็นการสร้างความคิดและจินตนาการได้ดี
OS
- Edubuntu เป็นตัวเลือกอันดับแรก ๆ มีการพูดถึง gCompris จะขอลองดูว่ามันคืออะไรกันแน่
- Sugar ซึ่งเป็น OS ของ OLPC เคยโหลดมาลองนานมาแล้ว ตอนนี้สมบูรณ์พอกับการใช้งานแล้ว
gCompris
gCompris เป็นชุดโปรแกรมสำหรับเด็กอายุ 2-10 ขวบ ประกอบด้วยโปรแกรมเพื่อการศึกษา เกมส์ วาดภาพ และเครือมือเพื่อการเรียนรู้ของเด็กอีกมากมาย ประมาณ 100 รายการ สามารถทำงานได้ทั้งบน Linux และ Windows มีรุ่นที่เป็น LiveCD สำหรับเปิดใช้งานจากแผ่น CD โดยไม่ต้องติดตั้งในเครื่องคอมพิวเตอร์อีกด้วย
Games software
Paint software
มีคำแนะนำ TuxPaint อีกตัวคือ junior-art ซึ่งน่าจะพัฒนาต่อยอดจาก TuxPaint
ตอนนี้เริ่มมองหา Notebook ใหม่สักเครื่อง เริ่มรวบรวมข้อมูลเอามาไว้สำหรับเปรียบเทียบ
Lenovo U Series : Lenovo IdeaPad U110 - 23043BU (Black) - $1,499.00
- Up to Intel® Core™2 Duo Processor (1.6GHz)
- Genuine Windows Vista® Home Premium
- Starting at 2.4 lbs. and less than 1-inch thin
- Intel® Core™ 2 Duo L7500 processor ( 1.60GHz 800MHz 4MB )
- Genuine Windows Vista Home Premium
- Intel Graphics Media Accelerator X3100
- 3 GB PC2-5300 DDR2 SDRAM 667MHz
- 11.1 " WXGA TFT with integrated camera LCD Glossy 1366x768
- 120GB 4200
- USB Super Multi-Burner 24X Max
- +7 Cell Hybrid
- Up to 8 hours unplugged battery life
- Intel Wireless WiFi Link 4965AG
- Bluetooth Version 2.0 + EDR
ข้อสังเกตุ
- บาง เบามาก ๆ แค่ 1.1 kg
- ใช้งานนานถึง 8 ชม.
- จอเล็ก ความละเอียดสูง
ที่มา shop.lenovo.com
Lenovo U Series: Lenovo IdeaPad U350 laptop SU2700 ULV 13.3in 2GB 250GB DVD+-RW BT $629 shipped
Lenovo has Lenovo IdeaPad U350 laptop - 296325U w/ Core 2 Duo SU2700 ULV 1.3GHz, 13.3in HD WXGA LED 1366x768, 2GB, 250GB, DVD+-RW, 802.11b/g wireless, Bluetooth, measures 328 x 228 x 17-24.9 mm, weighs 1.6kg, comes with 5-hour 4-cell / 10-hour 8-cell battery
- 13.3 inch LED display with 1366 X 768 pixel resolution
- Different Intel Processor options like Intel Core 2 Solo SU3500 (1.4G, 800 MHz, 3 MB), Intel Pentium SU2700 (1.3G, 800 MHz, 2 MB), and Intel Celeron 723 (1.2G, 800 MHz, 1MB) processors
- Mobile Intel GS40 and GS45 Express Chipset
- Graphics: Mobile Intel GMA 4500M and Mobile Intel GMA 4500MHD Memory
- Up to 8 GB DDR3 800/1066 MHz D RAM
- Up to 500 GB harddisk(5400 rpm)
- Up to 10 hours run time with 8-cell battery and 5 hours with 4-cell battery
- Bluetooth 2.0
- 1.3 megapixel camera
- Connectivity: Ethernet 10/100/1000m/Intel WiFi Link 5150 1 X 2 AGN, Intel WiFi Link 5100 1 X 2 AGN, non-Intel wireless b/g/
- Ambient light sensor technology
- Multi-touch touchpad
- VGA ports, 4-in-1 multicard reader
- Dolby Sound Room/two 1.5 watt speakers
- HDMI output
- Vista Home Basic/Home Premium
ข้อสังเกตุ
- บาง เบา แค่ 1.6kg
- ความละเอียดจอน้อยไปนิด
- ไม่รู้ใช้ได้นานกี่ ชม.
ที่มา www.xpbargains.com , shop.lenovo.com
Lenovo IdeaPad U330 - 27,900.-
- Intel® Core™ 2 Duo Processor P7550 (2.26GHz / 1066 MHz / 3MB L2 Cache),
- 2048MB (1×2048) DDR3,
- 320GB,
- DVD SuperMulti,
- ATi 3450 256MB
- 13 WXGA LED , 13 inch WXGA+ (1440x900)
- LAN,
- Intel 5100 agn,
- BT,
- 1.3MP Camera,
- 2.0 Dolby,
- Veriface (Face Recognition Technology),
- One Key Rescue System,
- 6-in-1 card reader,
- PC-DOS,
- Battery 6 cell
- Weight 1.84 Kg.
- DOS Operating System Processor: 2GHz Intel Core 2 Duo P7350 Memory: 2GB RAM Storage: 250GB Optical Drive: DVD±RW Screen: 13.3 inches Graphics: ATI Radeon HD 3450 (256MB) Weight: 4.4 pounds Dimensions (HWD): 1.1x12.5x9.3 Operating System: Windows Vista Home Premium over five hours of life on the standard six-cell battery
ข้อสังเกตุ
- น้ำหนักไม่มากนัก (1.84 kg) (อยากได้เบากว่านี้อีก)
- ความละเอียดจอดีมาก
- DOS ไม่ต้องเสียค่า Windows เพราะยังไงก็ไม่ใช้อยู่แล้ว
- ไม่บอกเวลาใช้งาน - review บอกว่า ประมาณ 3 ชั่วโมง
- ไม่ Touch screen
- หมุนเป็น Tablet ไม่ได้
- ไม่ ULV?
ที่มา www.notebookspec.com
แถม LCD Monitor ไว้สักหน่อย
เสียงโทรศัพท์ปลุกข้าพเจ้าตั้งแต่เช้า แม้จะไม่เช้ามากนัก แต่ข้าพเจ้ายังคงหลับสบายอยู่บนที่นอน เสียงจากปลายสายดังพอจับความได้ว่า
"ไม่รู้เว็บผมเป็นอะไร มันเข้าไม่ได้เลย" เสียงของเจียฟังเครียด ๆ
ผมรับปากว่าอีกสักพักจะลองตรวจสอบให้ หลังจากทำกิจธุระต่าง ๆ เรียบร้อย ข้าพเจ้าลองเปิดเว็บของเจียที่แจ้งมาว่ามีปัญหา ก็เจอกับข้อมูลบางอย่างที่แปลกไปและมีคำสั่งบางคำสั่งไม่น่าจะอยู่ในตำแหน่งนั้น
"มีคำสั่งแปลก ๆ แทรกอยู่ในเว็บของคุณ" ข้าพเจ้าโทรไปหาเจีย "คุณใส่คำสั่งนั้นเข้าไปในเว็บหรือเปล่า มันไปดึงเอาโปรแกรมจากเว็บอื่นมาแสดงในเว็บของคุณ"
"เปล่านะ ผมไม่ได้เป็นคนสั่ง และตอนนี้ผมเปิดเข้าไปดูเว็บผมไม่ได้แล้ว เครื่องคอมผมรวนไปหมดเลย" เจียคงกำลังนั่งกุมหัวอยู่หน้าจอคอมพิวเตอร์แน่ ๆ เลย
"คุณใช้ IE เปิดดูเว็บใช่ไหม เป็นไปได้ว่าเว็บคุณโดนเจาะ แล้วเอาคำสั่งอันตรายเข้ามาแทรกไว้แน่เลย" ข้าพเจ้าว่า
"ผมใช้ IE6 เปิด" เจียบอก
"ผมไม่ได้เปิดด้วย IE ผมใช้ ไฟร์ฟอกซ์ (Firefox) บนอูบุนตูลินุกส์ (Ubuntu Linux) เปิดดูได้ เลยเห็นอะไรแปลก ๆ คุณลองเปิดด้วยไฟร์ฟอกซ์ดูสิ และอีกอย่าง ตอนนี้เครื่องคอมคุณน่าจะโดนไวรัสเข้าแล้วหละ"
"งั้นผมล้างเครื่อง ลงใหม่ก่อนแล้วกัน"
หลังจากคุยกันพักใหญ่จนพอจับที่มาที่ไปของปัญหาได้ ผมก็ได้ข้อสรุปว่า "เว็บของเจียโดนเจาะแล้วมีการแทรกคำสั่งที่ใช้สำหรับไปดึงเอาไวรัสหรือโทรจันจากคนที่เจาะเข้ามา เพื่อให้ไวรัสหรือโทรจันดังกล่าวใช้ช่องโหว่ของ IE ส่งตัวมันเองมาใว้ในเครื่องคอมพิวเตอร์ที่เปิดเข้าไปดูเว็บดังกล่าว"
หลังจากที่ข้าพเจ้าเอาคำสั่งอันตรายนั้นออกไปจนหมดแล้ว ก็สบายใจว่าคงไม่เป็นอะไรแล้ว
เวลาผ่านไปอีกหลายชั่วโมง เจียโทรมาหาข้าพเจ้าอีก
"มันมาอีกแล้ว" เจียพูดด้วยเสียงเหนื่อย ๆ
"ถ้ามันไม่อยู่ในเว็บ ก็แสดงว่ามันได้รหัสผ่านของคุณไปแน่เลย คุณรีบเปลี่ยนรหัสผ่านก่อนเลยนะ" ข้าพเจ้าบอก
ทุกอย่างจบลงด้วยการเปลี่ยนรหัสผ่าน
ข้าพเจ้าได้ข้อสรุปง่าย ๆ ที่ปลอดภัยว่า (แม้จะไม่ใช่ปลอดภัยอย่างที่สุด)
- อย่าบันทึกรหัสผ่านไว้ในเครื่องคอมพิวเตอร์เด็ดขาด เพราะอาจจะถูกขโมยได้ง่าย ๆ
- อย่าใช้ IE เปิดเว็บของคนอื่นเด็ดขาด ให้ใช้ไฟร์ฟอกซ์เปิดจะปลอดภัยกว่า
- จะให้ปลอดภัยจากไวรัสของ Windows หันมาใช้ ลินุกซ์ (Linux) กันเถอะ
และที่สำคัญ "ถึงไม่เข้าเว็บโป๊ ก็มีสิทธิ์ติดไวรัสได้ง่าย ๆ เหมือนกัน"
วันนี้ได้ทำการย้ายข้อมูลของเว็บไซท์ http://procrane-th.com มาใว้กับ myhardware เรียบร้อย
ทดสอบแล้วมีปัญหาเรื่อง encoding เล็กน้อย
DNS 202.129.27.134,202.129.27.135 ใช้งานไม่ได้ ผลกระทบคือไม่สามารถส่งเมล์ออกจาก server ได้จากทุก vps
ผมเปลี่ยน DNS ไปใช้ของ OpenDNS ก่อนเป็นการชั่วคราว และได้แจ้งไปทาง CAT-HY แล้ว
Update 2009-07-24 18.30 : เปลี่ยนไปใช้ DNS 61.19.245.245,61.19.254.134,202.47.249.4 แทน
จากการที่ VPS ของเจียถูก hack เมื่อวันก่อน ซึ่งใช้เวลาหลายวันเหมือนกัน กว่าจะแก้ไขได้ วันนี้ไปอ่านเจอวิธีการแก้ไข-ค้นหา cgi ทำงาน จาก THT ขอบันทึกไว้ก่อน
หา cgi ทำงานหรือfind /home/*/domains/*/public_html/cgi-bin/ -iname \*.cgi -ls find /home/*/domains/*/public_html/cgi-bin/ -iname \*.pl -ls find /home/*/domains/*/private_html/cgi-bin/ -iname \*.cgi -ls find /home/*/domains/*/public_html/cgi-bin/ -iname \*.pl -lsเสร็จแล้วps aux|grep cgiโดยใช้ process ID ที่เราได้มาจากคำสั่ง ps aux ครับ เราจะได้รู้ว่า script ที่ถูกฝังนั้น มาจาก virtual host ไหน จากนั้นก็เข้าไปทำการปิด cgi ซะlsof -p process_id
VPS ที่เจียเช่าจากคุณเสกถูก hack เมื่อเดือนที่แล้ว (มิ.ย.) ซึ่งคาดว่าจะถูกขโมยรหัสผ่านของ ftp แล้วมีการแก้ไขไฟล์ index.html , index.php ซึ่งจากการตามหารายละเอียด ขั้นตอนน่าจะเป็น
มีโทรจันมาฝังอยู่ในเครื่องที่ใช้สำหรับ upload file ด้วย ftp
โทรจันส่งรหัสผ่านของ ftp ไปให้คนเขียน
เมื่อได้รหัสผ่านของ ftp ไป ก็จะใช้ script ในการเข้าไปค้นหาไฟล์ที่ชื่อขึ้นต้นด้วย index.* จากทุก ๆ folder ใน server
ทำการ download ไฟล์ index.* มาแล้วทำการแก้ไขโดยแทรกคำสั่ง tag iframe ไว้หลัง tag body ให้ไปดึง script มาจาก server ของตนเองให้มา run ในเครืองที่เปิดเข้าไปดูเว็บนั้น โดยกำหนด style ให้ visibility:hidden ซึ่งจะทำให้มองไม่เห็นใน browser
ทำการ upload ไฟล์ที่ได้แก้ไขกลับขึ้นไปที่ server เหมือนเดิม
วิธีสังเกตุว่าเว็บเราติดเข้าไปแล้ว
ตอนเปิดเว็บสังเกตุที่ status bar จะมีการ request ไปยังเว็บไซท์อื่นที่เราไม่เคยใส่ code ไว้
ลอง view source ดู จะเจอคำสั่ง iframe ที่ src เป็นเว็บที่ต้องสงสัย ซึ่งที่เจอจะระบุหมายเลข port เป็น 8080
หาก ssh เข้าไปที่ server แล้วสั่ง
find /home/*/domains/*/public_html/ -maxdepth 100 -name *index* -exec grep -H "iframe" {} ";" > iframe.txt
ลองดูผลลัพท์ในไฟล์ iframe.txt
ถ้าจะให้ดีก็ตั้งคำสั่งนี้ให้เป็น cron job ให้ค้นหาทุกวัน หากต้องการค้นหาเฉพาะไฟล์ที่มีการเปลี่ยนแปลงภายใน 24 ช.ม. ให้เพิ่ม option -mtime -1 ไปด้วย
ผลกระทบอีกอย่างที่ผมก็คาดว่ามันน่าจะเกิดขึ้น คือถ้ามีการ hack เข้ามา server ได้ ก็น่าจะมีการส่งโปรแกรมอะไรมาไว้ที่ server ด้วย เพื่อวัตถุประสงค์อื่น ๆ ที่อาจจะเป็นไปได้ เช่นการส่ง spam mail , การขโมยรหัสหรือข้อมูลอื่น ๆ ซึ่งช่วงก่อนผมหาไม่เจอ
3-4 วันที่ผ่านมา ก็สังเกตุเป็นว่ามี process ของ apache run perl และใช้ cpu เยอะมาก ลอง kill precess แล้ว ไม่นานก็มี process กลับมาใหม่
วันนี้ลองค้นหาดูใน cgi-bin ปรากฎว่ามี perl script อยู่จริง ๆ ด้วย อยู่ใน /home/ * /domains/ * /public_html/cgi-bin/ จึงลบมันทิ้งไป และ stop service apache กับ proftpd ไว้ก่อน
วิธี kill perl ทุก process ใช้คำสั่ง
for pl in `ps -A | grep perl | cut -c 1-6`; do kill -9 $pl;done
หลังจาก kill httpd ทั้งหมดแล้ว สักพัก process httpd ก็มาอีก คาดว่าน่าจะมาจาก crontab เลยลองเช็ค crontab ของทุก user ดูด้วยคำสั่ง
for u in `cat /etc/passwd | cut -d":" -f1`;do crontab -l -u $u;done
ก็ไม่เจออะไรผิดปกติ คงมีตัวไหนสักตัวที่สั่ง run httpd ขึ้นมา แต่ยังหาไม่เจอ
ตอนนี้ก็หลายนาทีแล้ว เจ้า perl script ยังไม่มา ไม่รู้ว่าจะหายไปตลอดกาลหรือเปล่า พรุ่งนี้เข้าค่อยมาดูอีกที
บาย... ไปนอนก่อนครับ.
Update 2009-07-18 08.28 PM process ของ perl มาอีกแล้ว มาเพียบด้วย สรุปว่ายังแก้ไม่ผ่าน
Update 2009-07-19 10.20 PM วันก่อนลืมเปลี่ยนรหัสผ่าน เข้ามาดูอีกทีปรากฎว่ามีการส่งไฟล์ .pl เข้ามาอีก แถม run script สัก 400 process ได้ กว่าจะ ssh เข้าไปได้ นานมาก ๆ เลยเปลี่ยนรหัสผ่านของทุก user (เท่าที่หาเจอ) เสียเลย
Update 2009-07-20 06.43 PM เข้าไปค้นหาใน log ยังคงมีการ upload ไฟล์เข้ามาในชื่อ sator4u (ไม่แน่ใจว่าได้เปลี่ยนรหัสผ่านหรือยัง) จึงเปลี่ยนรหัสผ่านใหม่ ดูเหมือนกับว่าจะมีไฟล์ .pl อยู่ในโฟลเตอร์ของ sator4u ด้วย จึงทำการเปลี่ยนชื่อ home folder เป็นชื่ออื่น ไปก่อน ป้องกันไม่ให้เรียก script มาทำงาน (ยังไม่ได้ลบทิ้ง)
Update 2009-07-21 06.36 AM หลังจากตามดูอยู่ 2 วัน ตอนนี้เหตุการณ์ทุกอย่างเป็นปกติแล้ว
ฐานข้อมูลของ wintesla2003 บางตารางหายไปเฉย ๆ ไม่มีข้อมูลเหลืออยู่เลย เป็นฐานข้อมูลของหัวข้อพร้อมรายละเอียด
ความเสียหาย :
- หัวข้อทุกหัวข้อสูญหาย
- รายชื่อไฟล์อัพโหลดสูญหาย แต่ไฟล์ที่อัพโหลดไว้ยังคงอยู่
ปรับปรุง
- กำลังทำการสำรองข้อมูลมาเก็บไว้ก่อน
- ฐานข้อมูลดาวน์โหลดมาได้ไม่หมด
Update 2009-07-16
ได้ลองค้นหาบันทึกจาก log file พบว่าน่าจะพอนำข้อมูลมาจับคู่กันได้พอสมควร สิ่งที่ขาดหายไปคือการเชื่อมโยงระหว่าง fkey กับชื่อไฟล์ ได้ลองเขียนโปรแกรมเพื่อเชื่องโยงกัน ปรากฎว่าได้กลับมาประมาณ 230 records จากทั้งหมดประมาณ 600 กว่ารายการ และไม่แน่ใจด้วยว่าจะถูกต้องหรือเปล่า
คิดว่าอาจจะต้องใช้วิธีจับคู่ด้วยมือ โดยดูจากรายชื่อไฟล์+วันที่ของแต่ละ user แล้วนำไปจับคู่กับบันทึกของ logfile+watchdog ซึ่งแต่ละ user ก็มีไฟล์ไม่มากนัก น่าจะได้ผลดีกว่า
Update 2009-08-06
ใช้วิธีให้โปรแกรมช่วยจับคู่ให้ได้มา 200 กว่ารายการ ส่วนที่เหลือจับด้วยมือ จนเสร็จเรียบร้อย โดยส่วนที่จับด้วยมือจะได้ file key เป็นเลขใหม่
เหตุเริ่มเกิดมาได้สัก 2-3 วันแล้ว แรก ๆ ก็เกิดกับบางเว็บ เช่น www.psu.ac.th แล้วก็เริ่มหลายเว็บมากขึ้น จนมาวันนี้ ping ไปทุกเว็บก็เป็นเหมือนกันหมด แม้กระทั่ง google.com
อาการ : เวลา ssh ไปที่ Server@CAT-HY แล้ว ping ไปที่ google.com จะเกิด error ดังนี้
ping: unknown host google.com
ก็พยายามหาทางดู ลอง reboot server แล้วก็ไม่หาย (เสียดายอุตส่าห์เปิดมาตั้ง 30 วันแล้ว) ลอง ssh เข้าไปทุก vps แล้ว ping ดู ก็เป็นเหมือนกัน เลยคิดว่าน่าจะมีปัญหาที่ proxmox-ve เลย ssh ไปที่ proxmox-ve แล้ว ping ดู ก็มีอาการเหมือนกัน
เลยตั้งเป้าว่า น่าจะเกิดจาก DNS ของ CAT (202.129.27.134 , 202.129.27.135) มีปัญหา คิดว่าพรุ่งนี้จะโทรไปหา CAT ให้เขาเช็คดูเสียหน่อยว่ามีปัญหาอะไรบ้างไหม?
ระหว่างนั้นก็คิดว่า หากเราเปลี่ยน DNS ไปใช้ของที่อื่น จะเกิดอะไรขึ้นบ้าง ก็เลยลองเสี่ยงดู โดยเพิ่ม nameserver 208.67.222.222 ซี่งเป็นของ OpenDNS เข้าไปใน /etc/resolv.conf โดยการแก้ไขไฟล์ /etc/resolv.conf เป็น/เพิ่ม
nameserver 208.67.222.222 nameserver 208.67.220.220
It's work!!!!!!
ขอบคุณ OpenDNS แล้วพรุ่งนี้ค่อยโทรไปสอบถาม CAT-HY อีกที.
ปล. Thank for idea from configuring DNS