Home My Blog บันทึกตามรอยคนแฮก จาก ม.จุฬา สุ่ ….

บันทึกตามรอยคนแฮก จาก ม.จุฬา สุ่ ….

SHARE

บันทึก ตามรอยคนแฮก จาก ม.จุฬา สุ่ ….

เนื่องจากเมื่อไม่กี่วันมานี้ มีข่าวว่า wordpress version 4.2.2 มีช่องโหว่ และให้ update เป็น version 4.2.3 ซึ่ง จริงๆ ก็แค่ บัค xss อ่ะนะ ไม่ถือว่า risk ซักเท่าไหร่ แต่ก็อัพหน่อยละกัน

ซึ่งพอเข้าไปดู ในส่วนของ admin ตรง dashboard ก็พบว่า log ของตัว server มีการส่ง request ที่พยายามจะแฮกเข้ามาเพียบเลย เช่น brute force login, scan file หา phpshell, backup file, และบัค ต่างๆ ซึ่งผมก็มองผ่านๆ หลักๆ ก็เช็ค useragent (ดูว่า tools อะไร) และ referer (ดูว่ามาจากไหน)
ดันไปเจอ referer เป็น ip 161.200.85.94:2001 ซึ่งเห็นว่าเป็น referer ที่แปลกดี (ปกติ ปลอมได้น่ะ แต่ดันใส่มาเป็น ip ซะงั้น) ผมก็เลยทำการ whois 161.200.85.94 ซะหน่อย … พบว่า ip class นี้ เป็นของ ม.จุฬา
1*(คลิกที่รูป เพื่อดูภาพใหญ่เอานะ)
ซึ่ง .. ปกติ ผมรู้อยุ่แล้ว(เอ๊ะ .. รู้ได้ไง O_o” ) ว่า
– CHULANET เนี้ย เป็น login แบบให้ใส่ user-pass แล้วจะใช้เน็ตได้
– CHULANET เนี้ย ได้ public ip (ไม่ติด NAT) แปลว่า IP นี่ สามารถเข้าถึงจากที่ไหนก็ได้
ดังนั้นสามารถแฮกเข้าถึงเครื่องคนที่ใช้เน็ตของมหาลัยได้เลย (ถ้ามีช่องโหว่อ่ะนะ)
2
จากนั้น ผมก็ไม่ได้สนใจอะไร และ ไม่คิดจะตามต่อ เพราะ คิดว่าคงมีเด็ก จุฬา มาซน หรือไม่ก็โดนแฮก
หรือติดไวรัส ตามปกติ (ที่ไม่สนใจเพราะ ดูจาก log แล้ว มันน่าจะเป็นพวก tools สำเร็จรูป ที่ไม่ได้มี exploit แปลกๆ ให้สนใจน่ะนะ) แต่ซักพักเจ้าโอ๊ต (น้องที่เรียน ป.โท ในนั้น) ทักมาว่า ‘พี่ผมว่า ip คุ้นๆ ว่ะ .. มันเหมือน ip raspberry pi ใน lap ผมเลย’ …. ผลก็คือ พอไปดูใน /tmp ของ rpi ก็เจอไฟล์บอท irc (ดูจาก source แล้วน่าจะเป็นของ pitbull แล้วเอามาโมต่ออีกที)
6ซึ่ง มีการ เชื่อมต่อไปที่ ip 95.141.27.30 ( Ukraine อ่ะ)
3** ก่อนอื่นต้องขอเล่าให้เข้าใจก่อนนะว่าบางประเทศ สามารถเช่าแบบ offshore host ได้ (ไม่เปิดเผยข้อมูลลูกค้า ฯลฯ) เพื่อเอาไว้ทำพวก เว็บโป้, เว็บพนัน, botnet, VPN, proxy, ฯลฯ (อะไรที่ ผิดกฏหมาย หรือ ไว้ทำเรื่องผิดๆ อ่ะแหละ)

ผมก็เลย ต่อ tor แล้วตามไปใน IRC .. แต่ ในนั้นดันเปิด mode ซ่อน user ไว้ (ถ้าดูจากในรูปจะเห็นว่าใน irc นั้นมีเครื่องโดนแฮกน่าจะราวๆ 160+ เครื่อง)
4
สรุป ก็ไม่ได้ ข้อมูลอะไร เพิ่มเติมจากใน iRC แต่ก็ได้ ip ที่ แฮกเข้า ssh มา (แต่เดาว่า เป็น vpn/tor/proxy อยุ่ดีแหละมั้ง)
5

ปล. จากนั้น ก็มีการ ตรวจสอบ log นิดหน่อย และสั่งให้มันถอดสาย lan, clone micro-sd ของตัว RPI
แล้วก็เตือนไปเบาๆ ว่า … “อย่าใช้ default พาส !!!”