Messages posted by: mr.tee

Chiều hôm qua, em có ngồi thử cài Kloxo lên con Centos theo hướng dẫn ở đây (http://wiki.lxcenter.org/Kloxo+Installation+Guide)

Sau khi cài xong thì lỗi luôn apache, khi start bằng lệnh :

service httpd restart

=> starting httpd : httpd : bad user name apache

Service mysql cũng bị lỗi khi start

=> Mysql Daemon Failed to start

kèm theo là mất luôn service vsftpd.

Ai đã gặp tình trạng này rồi thì hướng dẫn em cách khắc phục với ạ.

quanta wrote:

Bạn thảy lên một vài câu slow queries xem. Đã thử dùng EXPLAIN chưa? `my.cnf` đang cấu hình thế nào?

Hiện tại thì phần trang chủ tự code bên mình đã tối ưu bằng cách sử dụng memcached, không còn bị tình trạng này, nhưng giải quyết xong thì lại lòi ra phần forum đang chạy SMF. Lần này thì không hiểu nguyên nhân gì mà SQL 2-3 ngày lại tự động treo một lần, cũng không thể ssh vào server luôn. Sau khi reboot server để vào ssh, truncate table smf_log_errors và optimizer một số table như smf_session ( overhead ~6-10mb ) thì lại chạy bình thường, nhưng chỉ duy trì được 1-2 ngày rồi lại tiếp tục bị như thế.

đây là cấu hình mysql
Code:

[mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
user=mysql
# skip-networking
skip-name-resolve
skip-external-locking
# Disabling symbolic-links is recommended to prevent assorted security risks
# symbolic-links=0
max_connections=1000
max_user_connections =0
log_slow_queries = /var/log/mysql/mysql-slow.log
long_query_time = 2
query_cache_size = 16M
join_buffer_size = 8M
tmp_table_size = 512M
max_heap_table_size = 256M
query-cache-type = 1
key_buffer = 128M
key_buffer_size = 128M
max_allowed_packet = 32M
sort_buffer_size = 2M
read_buffer_size = 2M
read_rnd_buffer_size = 8M
myisam_sort_buffer_size = 128M
thread_cache = 16
query_cache_type = 1
query_cache_limit=32M
thread_cache_size=143
table_cache = 4096
table_definition_cache=1024
thread_concurrency = 6
wait_timeout=30
[mysqld_safe]
log-error=/var/log/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid
nice = -5

tmt1 wrote:

Download code scan shell về xem

Mấy cái scripts ấy mình không tin tưởng lắm, shell encoded là khóc tiếng smilie

Down về máy có KIS quét là ngon đó bác, rồi up lên kiểm tra permission nữa.

Cảm ơn bạn, M=mình quét nguyên 5gb trong thư mục Home rồi, KIS và NIS đều k báo gì =,=

@Tee : Lão cần phân biệt 2 điều
1 là Phòng. phòng để server không có shell, sạch sẽ từ các hosting shared cho đến bản thân Server
2 là Chống . chống để giả sử, lỡ có lỗ hổng trong việc phòng thì Shell cũng không thể tương tác được vào server, hoặc chuyện tương tác đó là quá nhỏ.
1 số nguồn tham khảo
http://25yearsofprogramming.com/blog/2010/20100315.htm
/hvaonline/posts/list/23670.html
oswap - mod security - chroot apache - hardening webserver linux

Cứ từ từ nó mới nhừ. smilie

Regards

Ơn lão, để ngâm cứu

Hôn lão smilie

Trên server sếp giao cho em quản lý hiện nay có khoảng 3-4 site của người quen, trong đó không rõ site nào dính shell. Hậu quả là một site khác cùng sever thường xuyên bị sửa nội dung file index ( Không phải sửa theo dạng deface thông thường, mà là thay đổi nội dung, chèn thêm 1 đống dài phía sau toàn tiếng tây tiếng tàu, làm lỗi nội dung file index)

Em cầm quản trị server nhưng mới làm quen với linux, chưa rõ những phương pháp để tìm kiếm + xử lý trường hợp này. Xin mọi người góp ý smilie

conmale wrote:

Làm sao mà không xử lý hết được? Một ứng dụng có bao nhiêu SQL statement, câu SQL statement nào phi lý, không hiệu suất thì liệt kê ra mà fix chớ làm sao mà "không xử lý hết" là sao?

Tạm thời coi lại cấu hình my.cnf, điều chỉnh lại phần cache size, buffer size và nhét: nice = -5 vô trong [mysqld_safe]. Phải tính cho thật kỹ máy chủ có được bao nhiêu ram rồi mới tính ra số lượng memory sử dụng cho mysql một cách khoa học và hợp lý chớ đừng có nhét bậy, nhét bạ các giá tri trong đó. Tình trạng treo luôn, không ssh vô được là vì mysql nuốt hết memory và nhảy sang dùng swap mà ra.

Có làm gì đi chăng nữa thì cũng tạm bợ đối phó mà thôi. Muốn fix tận cùng thì cứ lôi cái ông coder ra mà bắt ông ấy fix cái đống mysql gây sự cố.

Cũng khó anh ạ, toàn bộ nhân sự bên em chỉ có 1 coder, còn lại thì trình độ không tốt... Đã nhiều lần đè ông kia ra bắt fix, dùng đủ thể loại memcacher, tối ưu query, kết quả vẫn vậy, thi thoảng lại overhead, phải restart + repair mới chạy tiếp được.

Em đang đọc một số hướng dẫn về hạn chế memory của mysql để khi treo vẫn ssh được vào, tạm thời thì vẫn phải sống chung với lũ.

.lht. wrote:

Giải pháp tạm thời là viết 1 đoạn script tự động restart mysql theo định kì (sử dụng cron job).

Sau đó bảo ông Coder kia xem và sửa lại source cho tốt.

@Bạn có thể đưa thêm thông tin về cấu hình máy chủ và lượng truy cập vào website của bạn được không ? Có thể do máy chủ cấu hình hạn chế hoặc không đủ đáp ứng chăng ?

Code:

Server model name : Intel (R) Xeon (R) CPU X3210 @2.13Ghz
CPU cores : 4
Memory :
Total : 4149456
Used : 1806328
Free : 2343128

Traffic vào website 1 ngày khoảng 28-30k visit, có 1 site phụ khoảng 2-3k visit.

Anh ơi, những slow query đấy chính ông coder bên em cũng không xử lý hết được. Khi hỏi đến thì chỉ bảo là định kỳ repair table, nhưng nó thường chết bất đắc kỳ tử, tối qua vừa repair xong sáng nay lại lăn ra treo.
Ý em muốn hỏi là có giải pháp nào để cấu hình server, sao cho khi mysql chết thì ssh vẫn hoạt động, dạng như giới hạn resource của mysql, không để ảnh hưởng đến các service khác.

Em ( mình ) mới được sếp giao nhiệm vụ quản lý một con server linux, chạy apache + php + mysql, có cài thêm memcached.
Do source code của website là tự code, nên có thể có nhiều slow query mà không xử lý hết được, dẫn đến có một vài table của database thường xuyên bị overhead, dẫn đến treo luôn cả sql server.
Mỗi khi sql server bị treo thì ssh đến server cũng bị treo luôn ở step "Starting first key Exchange" nên không thể ssh đến để repair table hay stop service. Giải pháp duy nhất mỗi lần bị thế này là gọi sang Data Center bảo họ restart server, rồi lại vào start lại các service và repair Database.

Xin mọi người hướng dẫn cho em ( mình ) cách khắc phục hoặc hướng giải quyết khác ( nếu có ).

nếu bạn đủ khả năng mua bản quyền thì dùng vBulletin
Còn không thì mình thấy phpBB cũng là một sự lựa chọn tốt smilie

@ Jenie_K19 : em phải nói rõ là user và password em có ở đây là cái gì .
Nếu là user ftp, mọi việc không có gì phải bàn .
Nếu là user của sql thì có một số cách để upload.
Nếu là user của forum hay source nào đó, thì nếu user đó có được cấp quyền như Admin của 1 forum vbb, em có thể upload shell qua style, plugin, product. Tất nhiên là user đó phải được cấp quyền. Như trường hợp hôm trước, với user Domanh_90 mà e tình cờ dò được pass, vì user này là admin, nhưng đã bị cắt mọi quyền tác động đến những nơi nhạy cảm, nên em cũng không thể ngó ngoáy gì smilie

mấy table kia đều là những table của vbb, mình thấy có duy nhất table plugin là đáng nghi ngờ .
Bạn thử backup lại data, sau đó uninstall toàn bộ plugin và product, style, delete hết FAQ , đi, sau đó cài mới lại đi.

nếu phpBB của bạn là bản mới nhất ,chưa xuất hiện bug thì hình thức tấn công có thể là local attack , còn về cái shoutbox, mọi người đều hackmod đó, thì không có lý do gì mà riêng site bạn bị deface cả .

chí ít thì cũng nên có một số thông tin như mã nguồn sử dụng, data đã được backup chưa, như vậy thì mọi người mới biết mà giúp chứ bạn smilie

em giữ chức vụ gì trong Vietdjclub, sao em lại post bài này ?
Admin không rành bảo mật thì cũng phải biết những nguyên tắc cơ bản sau khi bị hack là restore database, tự khôi phục site ( dù không biết tăng cường bảo mật ), hoặc chí ít cũng tự mình đi hỏi.
Em chỉ nói đơn giản : "forum em bị hack, giúp em" khác gì nhà em mất trộm , em gọi điện cho cảnh sát báo cáo , mà không nói địa chỉ, không thông báo rõ các chi tiết smilie

conmale wrote:

billylo22 wrote:

ngồi quán khác mún làm máy đường truyền tiệm nét của bạn bị dis thì có 2 trường hợp:
Trường hợp 1:
Tấn công router của bạn ,phòng chống tốt nhất là đặt pass cho router đừng xài pass mặc định và khoá chế độ remote WAN to LAN của router or telnet
Trường hợp 2:
nó cài virus ở các máy trong mạng LAN của bạn ,mấy con virus nó gửi ping tùm lum cũng có thể làm cho mạng bị chập chờn or virus dùng arp spoofing để phá các kết nối đến router

Đoạn màu đỏ là sao?

Em nghĩ là Virus ấy có cơ chế như netcut, send các gói tin ARP, làm cho các máy trong quán net nhận nhầm Mac Address của Modem .

mình đã gửi mẫu virus cho Bolzano ở HVA , các bạn thử chờ vài ngày xem sao smilie

em thì suy nghĩ đơn giản hơn, vì hầu hết các forum vừa và nhỏ hiện nay chỉ sử dụng shared hosting, không có quyền can thiệp vào cấu hình server. Như anh nói, thì user A không thể up shell vào folder của user B, nhưng local attack theo em hiểu, thì chỉ cần shell đặt trên folder của user A, với vài command là có thể đọc được file trong thư mục của user B. Trong trường hợp này, thì user B bó tay , không có khả năng can thiệp ạ ?

Các loại forum phổ biến hiện nay như phpBB , vBB hay IPB thì không upload shell qua attach file được đâu anh smilie

nhưng vấn đề là bạn ấy chỉ là 1 user trên server, và có thể là shell không được up thông qua user của bạn ấy, nhưng được up lên từ 1 account khác. Trường hợp này thì sao hả anh ?

Sáng nay mình có làm theo hướng dẫn của ducthe88, nhưng khôn thành công. Registry của máy không bị disable, mình chỉ tìm được 2 giá trị registry đầu tiên và xoá đi, những cái phía sau không có. Đặc biệt là các file bạn liệt kê thì không tìm được file nào =,=
Mình cũng đã thử dùng CMC scan máy nhưng không ăn thua, CMC không cảnh báo bất kì điều gì khác thường, nên không gửi mẫu cho bolzano_1989 được smilie

Bạn đang sống ở đâu ? Nếu ở Hà Nội thì mang máy ra FPT shop Thái Hà, lần trước máy mình nghịch lung tung với hiren's bolamfmasy báo can't find bootable device, cắm usb boot không nhận, ổ CD hỏng, mang ra đó 1 lát họ khôi phục xong, mà chi phí rẻ lắm . Chắc không đến 200k.

Còn nếu bạn ở nơi khác, nếu mình không nhầm thì bạn đang sử dụng laptop HP, bạn thử tạo 1 usb hiren's boot, khi vừa khởi động máy chọn F9 ( F8 hay F10, F11 ) gì đó chọn boot from usb ,sau đó ghost win xem sao.

thật ra thì mình không hiểu file ghost liên quan gì đến usb ghost fat32 hay là NTFS smilie

Khi mình tạo file ghost, ổ win của mình vẫn định dạng NTFS, và mình vẫn lưu nó trong usb boot fat32 mà smilie

?

khi sử dụng GMER thì máy mình hoat động chậm hẳn, để cho GMER hoạt động thêm 1 lát thì gần treo luôn máy.
Tạm thời mình sử dụng CMC thì thấy không bị bật IE truy cập vào đường link kia nữa, nhưng thi thoảng lại thấy CMC cảnh báo về 1 file , có địa chỉ

C:\Windows\System32\com\smss.exe - Generic.Win32.SdBot!CMCRadar

Trước khi sử dụng CMC thì thi thoảng thấy windows báo file này bị not responding.

Ngoài ra còn 1 số file có tên pagefile.pif , được nhận diện là Heur.Win32.MalformedExt,nằm trong 3 ổ còn lại. Nếu vài hôm nữa tình trạng kia tiếp tục xảy ra thì mình sẽ nhờ các bạn giúp tiếp.

Hiện nay máy mình không rõ lý do mà thường xuyên tự mở trình duyệt IE, truy cập vào link

http ://js.k0102.com/ad.asp

Mình bỏ cách link trên, đề phòng những bạn không có sẵn anti virus truy cập.

Sau vài hôm tìm kiếm trên google thì thấy có người cho là spyware, nên mình đã thử một chố soft anti như KAS, BIT, Avira, nhưng không có kết quả. Sáng nay mình cài lại windows, sau đó cài lại các chương trình của mình theo tiến trình bình thường, nhưng vẫn không ăn thua.
ai biết cách trị con này thì giúp mình với. Cảm ơn mọi người đã quan tâm.

Đây là kết quả Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:00:54 AM, on 3/9/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\com\smss.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\com\lsass.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_url = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_url = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O13 - Gopher Prefix:

--
End of file - 3011 bytes

cái lỗi bypasslogin ấy thực ra không nghiêm trọng smilie

Nó yêu cầu bạn phải upload được file bypass.php lên host victim, mà đã upload lên được thì tớ có khối việc khác để làm rồi smilie

dùng forum share + database có sẵn à smilie

Bạn vào trong product manager tìm cái prevent double post rồi uninstall đi.

Em đang sử dụng forum mã nguồn vbulletin, trước đây sử dụng share hosting, từng bị local attack.Attacker chèn vào database thêm 2table để alert. Lúc này em đã remove toàn bộ plugin, product & style Sau này có chuyển sang 1 VPS mới, mã nguồn chuẩn, không có shell. VPS chỉ có 1 mình em sử dụng. Ngày hôm qua, khi kiểm tra định kì lại mã nguồn, em phát hiện ra 2 con shell.Em đã delete và thay source. Mong mọi người đưa ra ý kiến về phương pháp của attacker và cách khắc phục triệt để , vì em có đọc trên mạng và xem 1 video clip, trong đó chỉ ra shell có thể chèn trực tiếp qua database, không chỉ qua 2 con đường là plugin và style. Loại mã nguồn em sử dụng là vbb và tuyệt đối an toàn smilie

VPS này mình chưa config gì, vì mục đích sử dụng vps của mình chỉ là chống local. Giờ mới gặp sự cố này. smilie

Log file mình đang nghiên cứu, sau mình sẽ post lên sau. Tại file log nặng đến 1gb, mệt phết smilie

Em hiện đang sử dụng 1 VPS linux để đặt site, nắm có quyền root. Nhưng từ 2 ngày nay, site liên tục bị tấn công ddos từ nhiền nguồn ip khác nhau, khiến cho VPS luôn ở tình trạng 16 CPU.
Theo em nghĩ thì attacker chỉ dùng tools, load các proxy rồi flood thằng vào site index.php
Hiện nay, để bảo đảm an toàn cho VPS, em đã tạm thời suspend user của em.
Giờ em muỗn xin ý kiến các bro về vấn đề config vps hạn chế đc . Nếu mọi người cần bất kì thông tin gì , em sẽ cung cấp đầy đủ.
Em xin cảm ơn.