Site Restoration ( Security tips )

အေတာ္မ်ားမ်ား ဘေလာ့ေတြ/ဆိုက္ဒ္ေတြေထာင္လာၾကတယ္ ၿပီးေတာ့အနည္းနဲ ့အမ်ား အဟက္ခံရတယ္ဆိုပါေတာ့ဗ်ာ... အဲ့တာဆို malicious file/code ေတြကို ရွာမည့္ tips အနည္းငယ္ကို ေဖာ္ၿပမွာၿဖစ္ပါတယ္. အလံုးစံုေတာ့မဟုတ္ေပမယ့့္္ ဒါေလးေတြလည္း သိသင့္တယ္ထင္လို ့တင္ေပးလိုက္ပါတယ္. ဒါကိုသိမွ သူတို ့ဒီလိုလုပ္တတ္တယ္ဆိုပီး ကိုယ္က ထပ္လူလည္က် ဖို ့ စဥ္းစားေပါ့... .

1) မိမိ ဆိုက္ဒ္ အဟက္ခံရတယ္ဆိုပါေတာ့ deface တင္ခံရပီဆိုရင္ေတာ့ shell ပါတင္ခံလိုက္ရဒယ္ ေပါ့ ဒါဆို မ်ားေသာအားၿဖင့္ hacker ေတြ shell တင္တတ္တဲ့ေနရာေလးေတြ ကိုယ့္ဘာသာ manual လိုက္ရွာၾကည့္ၾကေပါ့ ဥပမာ.
/image /admin/ /themes/ /cgi/ etc... ဒီလိုေနရာေလးေတြေပါ့..

2) မိမိဆိုက္ဒ္ အဟက္ခံလိုက္ရတယ္ဆိုရင္ေတာ့ မိမိ blog / site ရဲ ့ application (cms level vul: ) ကို ရွာရေတာ့ပါမယ္. ခုဟက္ကင္း နယ္ပယ္ထဲကလူေတြ ေထာင္ထားတယ္ဆိုေတာ့ ဟက္ကာေတြရဲ ့နည္းလမ္းေတြကိုပိုၿပီး သိရွိၾကမယ္ထင္ပါတယ္. ဥပမာ. i.e XSS, RFI , LFI , SQLi --> most common
အဲ့လုိနည္းေတြ ၿဖစ္နိုင္လား စ႕ဥ္းစားရပါမယ္.

Still NOTHING?

ဒါဆိုရင္ေတာ့ ဆာဗာကို သံသယၿဖစ္ရပါေတာ့မယ္ မိမိဆိုက္ဒ္ကို support ေပးထားတဲ့ ဟို ့စ္ကိုက security weak မယ္ဆိုရင္ေတာ့ အတတ္နိုင္ဆံုး သိသမွ်မွတ္သမွ်ေတြရွာေဖြပီး မိမိအတြက္အေကာင္းဆံုးကာကြယ္မွဴေလးေတြလုပ္ရပါမယ္ .
တစ္ခုသိထားရမွာက
Don't forget that if the attacker found a way to get in YOU CAN TOO !!

3) တကယ္လို ့ ဟို ့စ္က terminal (ssh) support ေပးထားတယ္ဆိုရင္ေတာ့ terminal(ssh) ကေန ဒီလိုေလးရိုက္ပီး စစ္ၾကည့္ရပါမယ္.

Code:

grep -RPl --include=*.{php,txt,asp} "(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|fopen|fclose|readfile) *\(" /var/www/ 

cmd code အလုပ္လုပ္ပံုေတြက

• php,txt,asp extension ရွိတဲ့ဖိုင္ေတြကိုစစ္မယ္. (ထပ္ထည့္လို ့ရပါေသးတယ္)
• pattern string ဆင္တူၿဖစ္တဲ့ "passthru", shell_exec etc အစရွိတာေတြကို ရွာပါမယ္
• ေနာက္ဆံုးနားေလးက code ကေတာ့ /var/www/ directory ေအာက္က ဖိုင္ေတြကိုစစ္မယ္ဆိုတဲ့သေဘာပါ (မိမိဆိုက္ဒ္တစ္ခုလံုးပါပဲ)

4) တကယ္လို ့မိမိကသာ ဟို ့စ္ဆာဗာ တစ္ခုလံုးပိုင္တယ္ ၿပီးေတာ့ ဟက္ကာက လည္း root လုပ္သြားတယ္ဆိုရင္ေတာ့ မိမိ ဆာဗာရဲ ့ kernal version ကိုၿမွင့္ေပးရပါမယ္. root user/pass ခက္ခက္ေတြၿပန္ထားမယ္ ၿပီးေတာ့ account အသစ္ေတြသြင္းထားပါက အသစ္ေတြကိုဖ်က္မယ္ေပါ့ ... ၿပီးေတာ့ backdoor အေနနဲ ့ port အသစ္နဲ ့ ssh backdoor လုပ္ထားသလားဆိုပီး မိမိဆာဗာ port ေတြကိုၿပန္စစ္ရပါမယ္.

Trolling the hacker:

က်ေနာ္တို ့ ဆိုက္ဒ္ေတြရဲ ့ default homepage ေတြဟာ မ်ားေသာအားၿဖင့္ ဒီလိုေတြပါ.

IIS: default.asp/.aspx
Apache:Index.php/.html

> Apache မွာဆိုရင္ေတာ့ .htaccess ကိုကြန့္ပီး ဟက္ကာ index.php လုပ္ေတာင္ home page က သပ္သပ္တတ္မွာဖစ္ပါတယ္. (that's trolling ) နဲနဲေတာ့ လည္သြားမယ္ေပါ့ ဟက္ကာ
http://www.javascriptkit.com/howto/htaccess6.shtml

> နမူနာအေနနဲ ့ ဥပမာ မိမိဆိုက္ဒ္ရဲ ့ index page ကို 12d9au.html ထားလို္က္မယ္. ဒါဆို တကယ္လို ့ဟက္ကာက index.php/index.html ဆိုပီး homepage ကိုဒီေဖ့မယ္လုပ္လည္း homepage က 12d9au.html အၿဖစ္နဲ ့ .htaccess ထဲမွာေရးထားတဲ့အတြက္. deface home page အၿဖစ္ရွိမွာမဟုတ္ပါဖူး ... လာေဖာက္တဲ့ ဟက္ကာ အူေၾကာင္က်ား ဖစ္သြားပါလိမ့္မယ္. 99% of hackers ဆိုပဲ

credit: Suriya Team Indishell
 

 MYANMAR VERSION > BiG bOss(MHU-TEaM)