Chamnan Longlum
16 / 06 / 15
ในยุคที่internetเป็นใหญ่ในปัจจุบัน ระบบต่างๆก็อยู่บนinternet ความเสี่ยงของระบบที่จะถูกโจมตีจากบุคคลที่ไม่พึงประสงค์ก็มีมากขึ้น แล้วเราจะรู้ได้อย่างไรเมื่อเราโดนโจมตี? สำหรับผู้ดูแลหลายคนเลือกที่จะทำการ ป้องกันไว้ก่อน ซึ่งนั่นก็เป็นเรื่องที่ดี จากประสบกาณ์ของผู้เขียน บริษัทหลายๆแห่งเลือกที่จะลดCostการดูแลระบบโดยให้คนที่มีความรู้งูๆปลาๆเป็นคนดูแลระบบ บางที่ก็เป็น Graphic Design บางที่หาไม่ได้ก็ให้ตำแหน่งadmin(ที่ทำงานเอกสาร)มาดูแลกันซะอย่างนั้น กว่าจะรู้ตัวว่าเว็บโดนแฮคก็เข้าไม่ได้ไปซะแล้ว สำหรับบริษัทขนาดใหญ่ มีData Center ของตัวเอง ก็คงจะมีจะมีระบบสำหรับตรวจจับของตัวเองอยู่แล้ว ไม่ว่าจะเป็น Firewall หรือ Iron port สำหรับตรวจจับจากในระบบเมล์ แต่สำหรับบริษัทที่เบี้ยน้อยหอยน้อยคงคงไม่จำเป็นขนาดนั้น จากปัญหาข้างต้นเราจะมาดูกันว่ามีที่ใหนบ้างที่จะป้องกันเมื่อมีคนมาลองดีกับเว็บของเราได้บ้าง
– ใช้ fail2ban monitor log
สำหรับ fail2ban จะเป็นsoftware ที่ดูlogแล้วเอา log มาทำการ Analyze ว่าผิดปกติหรือไม่ ไม่ว่าจะเป็น webserver อย่าง apache , nginx , ระบบ mail server หรือแม้กระทั่งsecure shell โดยสามารถจะตั้งว่าให้log in ผิดได้กี่ครั้งก่อนทำการ ban ip นั้นๆ ตามที่เราต้องการ
ตัวอย่าง การเซตfail2banสำหรับSSH
ข้อมูลเพิ่มเติ่ม fail2ban Wiki
– ติดตั้ง Google Webmaster Tools
webmaster tools ของgoogle นั้น หากเว็บไซต์ถูกแฮค จะมีการส่งเมล์ไปบอกกับemail ที่ทำการลงทะเบียนไว้ พร้อมทั้งยังบอกสถิติของเว็บด้วย ใช้งานไม่ยาก
ลงทะเบียนใช้งาน Webmaster Tools
– ติดตั้ง apache-scalp สำหรับผู้ที่ใช้ Apache เป็น Webserver
scalp นั้นจะเป็นระบบ Automatic Analysis จาก Logของ apache เมื่อมีพฤติกรรมที่ผิดปกติ หากมีlogที่ถูกโจมตี Scalp จะบอกว่ามีอะไรบ้าง รูปแบบใดบ้างที่เข้าข่ายถูกโจมตี และกี่ครั้ง (run ใน command line)
จากบาทความด้านบนเป็นการที่จะทำให้ผู้ดูแลรู้ตัวว่าถูกแฮคแล้ว แต่ไม่มีอะไรดีกว่าการป้องกันตั้งแต่ต้นหลายๆที่เลือกที่จะใช้พาสเวิร์ดง่าย หรือไม่เปิดFirewall ให้เครื่องServer ด้วยซ้ำ หากเจอเหตุการณ์แบบนี้ก็คงต้องยอมรับความเสี่ยงกันไปนะครับ