ถนนเส้นนี้ กลับบ้าน

ช่วงหยุดหลายวันนี้ไม่ค่อยมีอะไรทำเลยไปไล่ log file ของ Endian Firewall เล่นดูจึงเห็นว่า มีโปรแกรมบางตัว outdated ไปแล้ว นั่นก็คือ clamav ซึ่งเป็นโปรแกรม สแกนไวรัสที่เป็นส่วนหนึ่งของ Endian Firewall นั่นเองแล้วผมก็เลยลองไปค้นหาตามเว็บไซต์ที่เกี่ยวข้องดู ก็ไปได้ข้อมูลมาตามลิ้งค์ที่โยงไปหาทางด้านล่างล่ะครับ คราวนี้เรามาดูวีธีการ upgrade กัน

freshclam[1200]: WARNING: Local version: 0.88.7 Recommended version: 0.90.2
freshclam[1200]: DON'T PANIC! Read http://www.clamav.net/faq.html
freshclam[1200]: main.cvd is up to date (version: 43, sigs: 104500, f-level: 14, builder: sven)
freshclam[1200]: WARNING: Your ClamAV installation is OUTDATED!
freshclam[1200]: WARNING: Current functionality level = 10, recommended = 14
freshclam[1200]: DON'T PANIC! Read http://www.clamav.net/faq.html
freshclam[1200]: daily.cvd is up to date (version: 3211, sigs: 9865, f-level: 15, builder: ccordes)

log เดิมของ ClamAV OUTDATED ไปแล้ว
ผมเองหลังๆมาเนี่ยคุ้นชินแต่กับการ apt-get จนจะลืม rpm ไปแล้ว เนื่องจาก Endian Firewall สายพันธุ์มาจากทาง SUSE Linux (อ่านเจอนานแล้วผิดพลาดต้องขออภัย) พอได้มา rpm อีกครั้งมันเขิลๆยังไงไม่รู้ เข้าเรื่องเลยล่ะกัน
คำเตือน อันนี้เป็นประสบการณ์ส่วนตัว เอามาเล่าเพื่อเป็นแนวทางปฎิบัติ ไม่ครอบคุมถึงความเสียหายที่จะเกิดขึ้นนะครับ แต่ถ้ามีปัญหาก็พอคุยกันได้ ห้ามด่าพ่อล้อแม่นะครับ - -”
วิธีการอัพเกรด clamav
สามารถสั่งอัพเกรดง่ายๆตามสำคั่งด้านล่างนี้ครับ

rpm -Uvh http://www.stellarcore.net/downloads/efw2-updates/clamav-0.90.2-0.endian5.i386.rpm http://www.stellarcore.net/downloads/efw2-updates/clamav-db-0.90.2-0.endian5.i386.rpm http://www.stellarcore.net/downloads/efw2-updates/havp-0.86-1.endian8.i386.rpm http://www.stellarcore.net/downloads/efw2-updates/perl-Mail-Clamav-0.20-0.endian0.i386.rpm

ถ้าไม่มีปัญหาอะไรก็ถือว่าขั้นตอนการอัพเกรดผ่านไปได้ด้วยดี (ใช่สิ) แต่ถ้าเกิดปัญหาเช่น Error อาจเกิดจากเรื่องของ network อาจจะมีการใช้งานหนาแน่นไป (พอดีตอนผมทำก็มี Error ต้องสั่งซ้ำๆหลายครั้งพอลองไปตรวจสอบจาก mrtg ถึงรู้ว่ามีคนโหลด อะจึ๋ยๆ อยู่)
ขึ้นตอนการคอนฟิก clamav
ยัง ยังไม่เสร็จครับ เนื่องจาก file config ของ clamav เก่ากับใหม่จะต่างกันหน่อย file config จะอยู่ที่พาร์ท /etc/clamav ประกอบไปด้วยไฟล์

root@firewall:/etc/clamav # ls
clamd.conf  clamd.conf.rpmnew  clamd.conf.tmpl  freshclam.conf  freshclam.conf.rpmnew  freshclam.conf.tmpl  update.d
 
ไฟล์ clamd.conf, freshclam.conf จะต้องถูกนำไปใช้งาน ส่วนที่นามสกุล .rpmnew เป็นไฟล์ที่ได้จากการ upgrade นั่นเอง และที่นามสกุล .tmpl เป็นไฟล์ template ให้แก้ .tmpl ใหม่ให้เป็นไปตามนี้
<strong>file clamd.conf.tmpl</strong>
<code lang="ini">
#LogFile /var/log/clamav/clamd.log
#LogFileMaxSize 1M
LogTime yes
## will change this in the future
LogSyslog yes
LogFacility LOG_LOCAL4
LogFileMaxSize 2M
TemporaryDirectory /tmp
LocalSocket /tmp/clamd
FixStaleSocket yes
TCPAddr 127.0.0.1
MaxThreads 10
SelfCheck 600
User clamav
ScanPE yes
DetectBrokenExecutables yes
ScanOLE2 yes
ScanMail yes
ScanHTML yes
ScanArchive yes
ArchiveMaxFileSize ${ARCHIVE_MAXFILESIZE}M
ArchiveMaxRecursion ${ARCHIVE_MAXRECURSION}
ArchiveMaxFiles ${ARCHIVE_MAXFILES}
ArchiveMaxCompressionRatio ${ARCHIVE_MAXCOMPRESSIONRATIO}
PidFile /var/run/clamav/clamd.pid
#if $ARCHIVE_BLOCK_MAX == 'on'
ArchiveBlockMax yes
#end if
#if $ARCHIVE_BLOCK_ENCRYPTED == 'on'
ArchiveBlockEncrypted yes
#end if
</code>

(more…)

วันนี้ผมว่าจะทำเว็บไซท์ของบริษัทผมซักหน่อยก็เลยไปหาเว็บสำเร็จรูปมาใช้สักหน่อย ผมเลือกเอา mambo มาใช้ ลงเสร็จก็เลยหา template สวยๆเหมาะๆมาลง เลยได้เข้าไปที่เว็บ http://www.mambohub.com/th/ ที่ตั้งอยู่ในไทย เพื่อหาข้อมูลและดาวน์โหลดโปรแกรม มีตอนนึงผมจะลิ้งค์ไปอีกเว็บเพื่อหา template คือเว็บ แมมโบ้ลายไทย (http://www.mambolaithai.com) ปรากฎว่า ผมเจอหน้าแรกที่ไม่น่าจะเป็นหน้าแรกของเว็บ http://www.mambolaithai.com
แล้ว(แม้จะมาครั้งแรก) แถวมีบทเพลงที่ฟังดูน่าขนลุกยิ่ง (เหมือนบทสวดมนต์อะไรซักอย่าง)

หน้าเว็บของ http://www.mambolaithai.com ถูกแก้ไข

คลิกฟังเพลงเอาบรรยากาศ(การถูกhack)

หลังจากนั้นมันก็จะ redirect ไปที่เว็บ(อย่างเป็นทางการ)ของhacker เองตามรูปด้านล่าง

เว็บ(อย่างเป็นทางการ)ของhacker

เว็บ(อย่างเป็นทางการ)ของhacker

น่าตกใจอยู่อย่างคือ เว็บ แมมโบ้ลายไทยดอทคอม นี้แน่นอนว่าคงใช้ mambo ด้วยเหมือนกัน ซึ่งก็เหมือนกับผมที่ตัดสินใจติดตั้งลง server ไปแล้ว (จะรอดมั้ยเนี่ยตู) ยังไม่ทันได้ใช้งานก็เจอประสบการณ์(จริง)สยองขวัญเสียแล้ว

ขอกล่าวไว้ที่นี่เลยนะครับ ผมไม่ได้ตั้งใจจะประจาน หรือดูถูกใครหรือเว็บใหน และไม่ได้คิดยกย่องผู้กระทำผิด หรือบางทีอาจเรียกว่า QC, QA, Tester (นอกระบบ ไม่รับเงินเดือน) ก็ตามแต่ ผมแค่อยากจะให้ทุกท่าน(แม้แต่ตัวเอง) ที่มีหน้าที่ต้องดูแลระบบใส่ใจสักนิดการการคอยอัพเดท security patch ต่างๆที่ทางผู้พัฒนาเขาแก้ปัญหา เพราะอย่างหนึ่งล่ะ เว็บเหล่านี้ คือ Mambo Joomla หรืออะไรก็แล้วแต่ที่มีคนนิยม(ไม่น่าจะรวม Simple PHP Blog)มันตกเป็นเป้า(โจมตี) ของพวก hacker อยู่เสมอ หนทางสว่างจริงๆคือต้องคอยติดตามข่าวจากเว็บต้นสังกัด เพราะเมื่อมีการ hack ได้หนึ่งเว็บแล้วนั่นหมายถึงอีกกี่หมื่นกีพันเว็บ ที่คงเปิดอ้ารอการมาเยือนของเขาเหล่า hacker เป็นแน่ ขอแค่เขาหาเว็บคุณเจอล่ะกัน

ผมไม่ได้ตั้งใจว่าใครจริงๆ