โลกบางเวลาก็โหดร้ายกับเราบ้าง อาจจะหลายๆครั้งติดต่อกัน แต่มันก็คงไม่ตลอดไปหรอกน่า บ่นเรื่องinternet ของ TOT มาก็มากแล้ว (ไม่รู้บ่นไปทำไมบ่นไปก็ไม่ดีขึ้น จริงไหม สพรั่ง?) คราวนี้เจอคูณสอง หลายวันก่อนเดินผ่าน firewall เห็นไฟของ harddisk มันติดรัวๆ แปลกใจนิดๆว่ามันเกิดอะไรหว่า ก็ไม่ได้สนใจมากมาย จนสองสามวันนี้มันหนักเอาการ เดี๋ยวช้า เดี๋ยวเร็ว ผิดวิสัย เลย ssh เข้าไปที่ firewall และทดสอบ harddisk ด้วยคำสั่ง hdparm ดู ได้ผลดังนี้

root@firewall:~ # hdparm -tT /dev/hda

/dev/hda:
Timing cached reads: 368 MB in 2.01 seconds = 183.29 MB/sec
Timing buffered disk reads: 78 MB in 3.02 seconds = 25.86 MB/sec

พระเจ้า ท่าทางจะเสียตังค์อีกแล้ว ผลการทดสอบ harddisk ด้วยคำสั่ง hdparm ต่อเนื่องกันเลย มันได้ผลออกมาบ้าบอมาก สักพักว่าจะไปเปลี่ยน harddisk หน่อย เฮ้อ ได้ผลยังไงจะเอามาเขียนต่อ..

ช่วงหยุดหลายวันนี้ไม่ค่อยมีอะไรทำเลยไปไล่ log file ของ Endian Firewall เล่นดูจึงเห็นว่า มีโปรแกรมบางตัว outdated ไปแล้ว นั่นก็คือ clamav ซึ่งเป็นโปรแกรม สแกนไวรัสที่เป็นส่วนหนึ่งของ Endian Firewall นั่นเองแล้วผมก็เลยลองไปค้นหาตามเว็บไซต์ที่เกี่ยวข้องดู ก็ไปได้ข้อมูลมาตามลิ้งค์ที่โยงไปหาทางด้านล่างล่ะครับ คราวนี้เรามาดูวีธีการ upgrade กัน

freshclam[1200]: WARNING: Local version: 0.88.7 Recommended version: 0.90.2
freshclam[1200]: DON'T PANIC! Read http://www.clamav.net/faq.html
freshclam[1200]: main.cvd is up to date (version: 43, sigs: 104500, f-level: 14, builder: sven)
freshclam[1200]: WARNING: Your ClamAV installation is OUTDATED!
freshclam[1200]: WARNING: Current functionality level = 10, recommended = 14
freshclam[1200]: DON'T PANIC! Read http://www.clamav.net/faq.html
freshclam[1200]: daily.cvd is up to date (version: 3211, sigs: 9865, f-level: 15, builder: ccordes)

log เดิมของ ClamAV OUTDATED ไปแล้ว
ผมเองหลังๆมาเนี่ยคุ้นชินแต่กับการ apt-get จนจะลืม rpm ไปแล้ว เนื่องจาก Endian Firewall สายพันธุ์มาจากทาง SUSE Linux (อ่านเจอนานแล้วผิดพลาดต้องขออภัย) พอได้มา rpm อีกครั้งมันเขิลๆยังไงไม่รู้ เข้าเรื่องเลยล่ะกัน
คำเตือน อันนี้เป็นประสบการณ์ส่วนตัว เอามาเล่าเพื่อเป็นแนวทางปฎิบัติ ไม่ครอบคุมถึงความเสียหายที่จะเกิดขึ้นนะครับ แต่ถ้ามีปัญหาก็พอคุยกันได้ ห้ามด่าพ่อล้อแม่นะครับ - -”
วิธีการอัพเกรด clamav
สามารถสั่งอัพเกรดง่ายๆตามสำคั่งด้านล่างนี้ครับ

rpm -Uvh http://www.stellarcore.net/downloads/efw2-updates/clamav-0.90.2-0.endian5.i386.rpm http://www.stellarcore.net/downloads/efw2-updates/clamav-db-0.90.2-0.endian5.i386.rpm http://www.stellarcore.net/downloads/efw2-updates/havp-0.86-1.endian8.i386.rpm http://www.stellarcore.net/downloads/efw2-updates/perl-Mail-Clamav-0.20-0.endian0.i386.rpm

ถ้าไม่มีปัญหาอะไรก็ถือว่าขั้นตอนการอัพเกรดผ่านไปได้ด้วยดี (ใช่สิ) แต่ถ้าเกิดปัญหาเช่น Error อาจเกิดจากเรื่องของ network อาจจะมีการใช้งานหนาแน่นไป (พอดีตอนผมทำก็มี Error ต้องสั่งซ้ำๆหลายครั้งพอลองไปตรวจสอบจาก mrtg ถึงรู้ว่ามีคนโหลด อะจึ๋ยๆ อยู่)
ขึ้นตอนการคอนฟิก clamav
ยัง ยังไม่เสร็จครับ เนื่องจาก file config ของ clamav เก่ากับใหม่จะต่างกันหน่อย file config จะอยู่ที่พาร์ท /etc/clamav ประกอบไปด้วยไฟล์

root@firewall:/etc/clamav # ls
clamd.conf  clamd.conf.rpmnew  clamd.conf.tmpl  freshclam.conf  freshclam.conf.rpmnew  freshclam.conf.tmpl  update.d
 
ไฟล์ clamd.conf, freshclam.conf จะต้องถูกนำไปใช้งาน ส่วนที่นามสกุล .rpmnew เป็นไฟล์ที่ได้จากการ upgrade นั่นเอง และที่นามสกุล .tmpl เป็นไฟล์ template ให้แก้ .tmpl ใหม่ให้เป็นไปตามนี้
<strong>file clamd.conf.tmpl</strong>
<code lang="ini">
#LogFile /var/log/clamav/clamd.log
#LogFileMaxSize 1M
LogTime yes
## will change this in the future
LogSyslog yes
LogFacility LOG_LOCAL4
LogFileMaxSize 2M
TemporaryDirectory /tmp
LocalSocket /tmp/clamd
FixStaleSocket yes
TCPAddr 127.0.0.1
MaxThreads 10
SelfCheck 600
User clamav
ScanPE yes
DetectBrokenExecutables yes
ScanOLE2 yes
ScanMail yes
ScanHTML yes
ScanArchive yes
ArchiveMaxFileSize ${ARCHIVE_MAXFILESIZE}|>M
ArchiveMaxRecursion ${ARCHIVE_MAXRECURSION}|>
ArchiveMaxFiles ${ARCHIVE_MAXFILES}|>
ArchiveMaxCompressionRatio ${ARCHIVE_MAXCOMPRESSIONRATIO}|>
PidFile /var/run/clamav/clamd.pid
#if $ARCHIVE_BLOCK_MAX == 'on'
ArchiveBlockMax yes
#end if
#if $ARCHIVE_BLOCK_ENCRYPTED == 'on'
ArchiveBlockEncrypted yes
#end if
</code>

(more…)

วันนี้ผมว่าจะทำเว็บไซท์ของบริษัทผมซักหน่อยก็เลยไปหาเว็บสำเร็จรูปมาใช้สักหน่อย ผมเลือกเอา mambo มาใช้ ลงเสร็จก็เลยหา template สวยๆเหมาะๆมาลง เลยได้เข้าไปที่เว็บ http://www.mambohub.com/th/ ที่ตั้งอยู่ในไทย เพื่อหาข้อมูลและดาวน์โหลดโปรแกรม มีตอนนึงผมจะลิ้งค์ไปอีกเว็บเพื่อหา template คือเว็บ แมมโบ้ลายไทย (http://www.mambolaithai.com) ปรากฎว่า ผมเจอหน้าแรกที่ไม่น่าจะเป็นหน้าแรกของเว็บ http://www.mambolaithai.com
แล้ว(แม้จะมาครั้งแรก) แถวมีบทเพลงที่ฟังดูน่าขนลุกยิ่ง (เหมือนบทสวดมนต์อะไรซักอย่าง)

หน้าเว็บของ http://www.mambolaithai.com ถูกแก้ไข

คลิกฟังเพลงเอาบรรยากาศ(การถูกhack)

หลังจากนั้นมันก็จะ redirect ไปที่เว็บ(อย่างเป็นทางการ)ของhacker เองตามรูปด้านล่าง

เว็บ(อย่างเป็นทางการ)ของhacker

เว็บ(อย่างเป็นทางการ)ของhacker

น่าตกใจอยู่อย่างคือ เว็บ แมมโบ้ลายไทยดอทคอม นี้แน่นอนว่าคงใช้ mambo ด้วยเหมือนกัน ซึ่งก็เหมือนกับผมที่ตัดสินใจติดตั้งลง server ไปแล้ว (จะรอดมั้ยเนี่ยตู) ยังไม่ทันได้ใช้งานก็เจอประสบการณ์(จริง)สยองขวัญเสียแล้ว

ขอกล่าวไว้ที่นี่เลยนะครับ ผมไม่ได้ตั้งใจจะประจาน หรือดูถูกใครหรือเว็บใหน และไม่ได้คิดยกย่องผู้กระทำผิด หรือบางทีอาจเรียกว่า QC, QA, Tester (นอกระบบ ไม่รับเงินเดือน) ก็ตามแต่ ผมแค่อยากจะให้ทุกท่าน(แม้แต่ตัวเอง) ที่มีหน้าที่ต้องดูแลระบบใส่ใจสักนิดการการคอยอัพเดท security patch ต่างๆที่ทางผู้พัฒนาเขาแก้ปัญหา เพราะอย่างหนึ่งล่ะ เว็บเหล่านี้ คือ Mambo Joomla หรืออะไรก็แล้วแต่ที่มีคนนิยม(ไม่น่าจะรวม Simple PHP Blog)มันตกเป็นเป้า(โจมตี) ของพวก hacker อยู่เสมอ หนทางสว่างจริงๆคือต้องคอยติดตามข่าวจากเว็บต้นสังกัด เพราะเมื่อมีการ hack ได้หนึ่งเว็บแล้วนั่นหมายถึงอีกกี่หมื่นกีพันเว็บ ที่คงเปิดอ้ารอการมาเยือนของเขาเหล่า hacker เป็นแน่ ขอแค่เขาหาเว็บคุณเจอล่ะกัน

ผมไม่ได้ตั้งใจว่าใครจริงๆ