แนวทางการป้องกันโดน Hacked ฝังไฟล์ / วิธีทำงานของ Hacked ( Unlimited Hack Team )

สำหรับ Unlimited Hack Team ชื่อนี้เค้าทำงานกันเป็นทีม

การป้องกันเซิฟเวอร์ของท่าน

1. ปิดการทำงานในส่วนของ http://ip/~user/
2. เช็ค User ทุกคนที่อยู่ในเซิฟว่ามีสคิป ATM 2.0 อยู่หรือไม่ หากเจอเราควรจะช่วนปิดช่องโหว่ให้เค้าด้วย
3. เรื่องระบบอัพโหลดไฟล์ของลูกค้าสิ่งนี้สำคัญที่สุด
4. สร้างไฟล์ .htaccess ขึ้นมาป้องกันการรันไฟล์ php ตาม Folder ที่ให้อัฟโหลดไฟล์

การทำงานของ Hacked
Hacked จะทำการเจาะเว็บแรกๆ คือพวก ATM ทั้งหลาย หากไม่สามารถหา ATM ได้ก็จะเปลี่ยนเป็น SQLI หาจาก Rank ip โดยใช้โปรแกรมที่ชื่อ AutoFinder ( ซึ่งเขียนโดยคนในทีม ) – เอาไว้หา Dork จากเว็บ Bing
เมื่อเจอเว็บเป้าหมาย เค้าก็จะหาช่องโหว่แล้วทำการยัดไฟล์ shell php ลงไป หลังจากนั้น ก็จะลอง Bypass เว็บก่อน โดนการเข้าผ่านทาง ip/~user หากเข้าได้ ก็จะทำการฝังไฟล์ ( ATD – AJ | เป็นตัวย่อ ) หรืออาจจะยัดไฟล์
( ATD – AJ ) ลงไปเลยก็ได้ เพราะว่า สคิปนี้ มีลิงค์ฺ Bypass ให้ในตัว

“( ATD – AJ )” ทำงานยังไง สคิปนี้ทำงานตามนี้
สคิปนี้จะทำงานแบบที่ Bypass แล้วเท่านั้น จากนั้นจะทำการสแกน User และ Folder ที่เจอ แล้วเช็คว่าสามารถเขียนไฟล์ได้ไหม หากสามารถเขียนไฟล์ได้ ก็จะฝังไฟล์ลงไป โดย
1.หากสามารถเขียนหน้าแรกได้ ก็จะฝังไฟล์ index.html ลงไป แต่หากไฟล์ index.html ไม่สามารถเขียนไฟล์ได้ ก็จะเปลี่ยนชื่อไฟล์เป็น index1.html
พร้อมกับ ฝัง shell ลงใน Folder นั้นๆด้วย
2.หากไม่สามารถเขียนหน้าีแรกได้ สคิปนี้จะทำการสแกน Folder ย่อยลงไปอีก หากเจอ Folder ที่สามารถเขียนไฟล์ได้ ก็จะเขียนไฟล์ที่ชื่อ unlimited.html พร้อมกับ ฝัง shell ลงใน Folder นั้นๆด้วย

จากที่กล่าวมา Team นี้ใช้ Shell ที่มีตามเน็ต และ Shell ที่ถูกเขียนขึ้นจากคนในทีม เพื่อทำการ deface หน้าเว็บต่างๆ

ที่มา:  Thaihosttalk