Archive for March, 2009

การติดตั้ง RPM

1. การค้นหา Package ตัวอย่างเป็น webmin ครับ

rpm – q webwin

2. การลบ Package ตัวอย่างชื่อสมมุติ

rpm -e webmin1.4×86

3. การ ติดตั้ง Package

rpm -ivh /home/nop/software/webminxxx.rpm

เมื่อต้นปี Microsoft ได้เริ่มเปิดบริการ POP3 ของ Hotmail ให้กับผู้ใช้ในบางประเทศ แต่ขณะนี้ไมโครซอฟท์ได้ประกาศว่าผู้ใช้ Hotmail ทุกคนสามารถใช้งาน POP3 ได้แล้วครับ อย่างนี้เราก็สามารถใช้ Hotmail ใน Outlook ของเราได้แล้ว การ Config ให้ Outlook ใช้ Hotmail ได้ต้อง set ดังี้ครับ

• POP server: pop3.live.com (Port 995)
• POP SSL required? Yes
• User name: Your Windows Live ID, for example yourname@hotmail.com
• Password: The password you usually use to sign in to Hotmail or Windows Live
• SMTP server: smtp.live.com (Port 25 or 587)
• Authentication required? Yes (this matches your POP username and password)
• TLS/SSL required? Yes

ตอนนี้ก็รอแต่ Yahoo อย่างเดียวล่ะครับ

วันนี้เปิดเว็บที่เขียนบน Localhost แล้วมีการเรียกเว็บแปลกๆ มันวิ่งตรงไปที่ jL.chura.pl เลย ผมสังเกตุเห็นบน status bar เห็นว่าแปลกๆ ก็เลยไปลองไล่ code ดู ปรากฏว่า มี code iframe วิ่งตรงไปที่นี่เลย http://jL.chura.pl/rc ซึ่งผม ลอง Search ดู เว็บ chura.pl เป็นที่แพร่ไว้รัส Bloodhound.Exploit.196 เลยเข้าใจแล้วว่า เราโดนไวรัสเข้าไปแล้ว

พอเปิดไฟล์ Hosts คุณก็จะเจอ

127.0.0.1 jL.chura.pl
#

นั่นก็ยืนยันความรู้สึกของตัวเอง ยิ่งดูอาการอ้างอิงตามเอกสารของ ThreatExpert แล้วยิ่งมั่นใจ ในเอกสารบอกว่าไวรัสตัวนี้ชื่อ W32.Virut.CF

ไวรัสตัวนี้จัดได้ว่าร้ายจริงๆ เพราะเข้าไปแก้ไขไฟล์ของเรา เข้าไปครอบงำ exe และ dll อาจจะก่อให้เกิดความเสียหายของข้อมูล (ก็ Inject พวก html , htm , asp ,php file ของเรา) ด้วยอีกต่างหาก (โดนตัวนี้จะทำให้ Shutdown ไม่ค่อยลงด้วย shell open command ก็เสีย)

เมื่อรู้ตัวแล้วว่าติดไวรัส ก็ต้องพยายามแก้ไขกัน โดยเอาตัวแก้ virus ที่ Norton ที่ใช้แก้  Win32.Virut  FixVirut  มา แต่เมื่อไป Scan ใน Safe Mode แล้ว กลับไม่เจออะไร !!! เลยไป Search ใหม่ เลยทำให้รู้ว่า ตัวนี้เป็นอีกตัวนึง ออกมาไม่ถึงเดือน คนเขียนคนเดียวกันกะ Virut แต่ ตัวนี้ชื่อ Vitro แรงพอกัน ถ้าโดนตัวนี้เข้าไป โดยส่วนใหญ่ จะให้ลงใหม่ โดย ห้าม backup พวก exe , com , scr ซึ่ง มันจะเล่นงาน exe ไฟล์ driver file (เลยเข้าใจเลยว่าตอนแรกลง windows ใหม่ก็ไม่หาย เพราะว่ามันติดอยู่กะตัว Driver นั่นเอง)

ซึ่งที่ผมอ่านมามันอยู่ที่นี่ http://forums.g4tv.com/showthread.php?p=2044567 ขอโพสคำเค้าไว้หน่อยดีกว่า

Vitro is a very new virus, just out about a month, It infects drivers, screensavers and exe files
It was not coded by an amateur, but by the same person who wrote the virut series . It is polymorphic, (meaning it can change its name and location when you reboot) and really a nasty one to deal with since it infects and alters core windows files at the kernel level through ntdll.dll .
The problem is that the majoriy of infected files are Windows executables and after the AV has executed and deleted infected files the computer will not run; meaning you may need to do a repair install

Pete C

สำหรับตัวแก้ ที่ใช้งานได้จริงๆ ก็จะเป็น rmvirut.exe ของ AVG (เริ่มรัก AVG เข้าให้แล้ว เพราะหามาสองสามวันแล้ว) ตัวนี้ ก็สั่ง run (มี parameter การค้นหาด้วย แต่ถ้าไม่ใส่ก็ scan หาทั้ง Computer เลย) ตัวโปรแกรมจะไม่ scan เลย ต้อง reboot แล้ว โปรแกรมจะ scan ให้ก่อนเข้า windows Fix Program ที่ติดไวรัสกันเห็นๆ สบายใจได้ครับ

หลังจากนั้น ผมก็ต้องทำการ ลบ บรรทัด 127.0.0.1 jL.chura.pl ใน File Hosts ออก

เนื่องจาก ไฟล์ผมเป็น Web Application ผมเลยต้องมา Search and Replace เอา iframe อันนั้นออกเสียก่อน

การตรวจสอบว่าหายแล้ว

สำหรับการตรวจสอบว่าไวรัสได้จากไปหรือยังของผมก็เขียน html ไฟล์ขึ้นมาอันนึงมี tag body เปิด ปิด ถ้า ปิดไฟล์ไปแล้วเปิดมาไม่โดนเติม iFrame ก็โอเคแล้วครับ

แต่หลังจาก Fix ด้วย rmvirut.exe ไปแล้ว โปรแกรมบางตัวก็ยังคงเสียหายอยู่ ผมก็เลยคิดว่าคงต้องลงใหม่ แต่ก็ทำให้มั่นใจว่า เครื่องไม่มีไวรัสตัวนี้อยู่แล้ว พอเบาใจแล้วค่อยลง windows ใหม่ ก็ไม่เสียหลายครับ

ขอให้โชคดีครับ มีปัญหาแบบเดียวกัน ลองสอบถามมาได้ครับ

วันก่อนกลับจากพัทยา ว่าจะกลับไปที่ สายใต้ใหม่ แต่ว่ารถหมดเสียก่อน เลยถ่ายรูปเก็บไว้ ว่า ตารางการเดินรถมันเป็นยังไง ตารางการเดินรถ พัทยา – สายใต้ สายใต้ – พัทยา

ปล. รถจากพัทยา เที่ยวสุดท้าย 5 ทุ่ม ไปลง เอกมัยครับ

Grand Palace Wall

วันก่อนมีเครื่องให้ติดตั้ง Web Application ไปตัวนึง แต่บังเอิญเข้าไปแก้ Config ของ Server ได้บางส่วน เลยอยากย้าย Document Root ไปไว้ที่อื่น เวลา Backup จะได้ Backup ง่ายๆ (เอา DB ไปด้วย) แต่คราวนี้พอแก้ในไฟล์ httpd.conf แล้ว ปรากฏว่า Start Apache ไม่ได้เลย มันจะขึ้น

Starting httpd: Syntax error on line xxx of /etc/httpd/conf/httpd.conf:
DocumentRoot must be a directory

ทั้งๆ ที่ Path ที่เราย้ายไปก็ถูก แล้วมันก็เป็น Directory ด้วย แต่มันก็ยังจะขึ้นอยู่ ก็เลย Googling ดูก็พบว่า มันเป็นเพราะ SELinux ผมยังหาทาง Config ให้ใช้ SELinux กับ การเปลี่ยน Path ของ Apache ไม่ได้ ตอนนี้เลย ปิด SELinux ไปก่อนเลย

ก็ไปปิดที่
แก้ไข ไฟล์ /etc/sysconfig/selinux
เปลี่ยนจาก

SELINUX=enforcing
เป็น
SELINUX=disabled

ก็จะสามารถ เปลี่ยน Root Directory ของ Apache ได้ตามความต้องการครับ

มีความจำเป็นอย่างแรงที่ต้องทำการแก้ไข ไฟล์ Hosts ใน windows กับ Computer และ Notebook ตั้งเกือบ 40 เครื่อง แต่ว่า สาเหตุหลักๆ คงเป็นเพราะว่า เครื่อง Notebook คงไปลงให้เค้าอยากเพราะว่ามันเคลื่อนที่ไปไหนต่อไหนได้ เลยคิดว่าทำ Bat file เขียน เพิ่ม ลงไปใน hosts ดีกว่า จะง่ายกว่า แล้วก็พบว่า เอ่อ แหะ มันก็ง่ายจริงๆ

การเขียน ก็เพียงแค่
เปิด Notepad ขึ้น มา
จากนั้น ก็ save as เป็น a.bat (ชื่ออะไรก็ได้ แต่ขอให้ .bat นะจ๊ะ)
แล้ว ก็เริ่มต้นเขียนเลย

echo.
echo 192.168.0.1 nop2.in.th >>C:\WINDOWS\system32\drivers\etc\hosts
echo 192.168.0.2 nop3.in.th >>C:\WINDOWS\system32\drivers\etc\hosts

แค่นี้เอง ตรง echo. <– อันนี้ไว้ทำ Line ว่างๆ ไว้ Line นึง เผื่อกลัวว่ามันจะติดกัน

หลังจากนั้น ผมก็เอา winrar ไปทำเป็น exe ซะ ลองเอาไปลองเล่นดูได้ครับ
bat file ของผม