Server Status

Server Status

I got hacked. - โดนเข้าแล้ว

โดย Little Bear on 26 เม.ย. 56 13:44

Host ถูก hacked

อาการที่เจอ เริ่มจากได้รับแจ้งมาว่าเมล์ส่งออกไม่ได้ ลองเช็คดูปรากฏว่าถูก block เนื่องจากเป็น spam หลังจากนั้นก็ได้รับรายงานจาก DA ว่ามีการส่งอีเมล์เกิน 2000 ในแต่ละวัน ก็เริ่มเอะใจว่า สงสัยจะโดนเข้าแล้ว

เลยเข้าไปเช็คดู มีเว็บหนึ่งใช้า Jumla ก็เลยลองเปลี่ยน folder เป็นอย่างอื่นไปก่อน แล้วคอยดูผล

วันนี้ยังมีรายงานส่งเมล์เกินอีก เลยเข้าไปเปลี่ยนรหัสผ่าน ftp ก่อน แล้วตามเช็คไฟล์ มีไฟล์แปลก ๆ เข้ามา เลยตามลบทิ้งทั้งหมด

แล้วไปเช็คดูใน user อื่น ๆ ดู ก็ยังไม่พบเจอไฟล์แปลก ๆ

แล้วก็คอยดูผลต่อไป

Update 14/5/2013 - ยังไม่มีอะไรผิดปกติ

ประกาศแจ้งเตือนคนใช้ DA ก่อนถูก HACK

โดย Little Bear on 27 ธ.ค. 55 11:00

มีประกาศแจ้งในเว็บ www.thaihosttalk.com ว่า

"ใครที่ใช้ DA อยู่ให้เข้าไปตรวจสอบในส่วน php safemode configuration ดูนะครับ ว่ามีโดเมนที่ถูกแก้ไข open basedir เป็น off หรือเปล่า

ให้แก้ไขกลับเป็น ON ให้หมดทุกโดเมน เพราะมันจะทำให้สามารถเขียนไฟล์ข้าม home user ได้ ทำให้โดนแก้ไฟล์ทีเดียวได้ทั้งเครื่อง

เครื่องใครที่โดนแก้ รบกวนมาแจ้งให้ทราบด้วยครับ ว่าใช้ whmcs อยู่ด้วยหรือเปล่า เพราะยังไม่แน่ใจว่าที่โดนมันมาจากทางใหน อาจจะโดนแก้ผ่าน whmcs ตอนที่มันเคยรั่ว

ใครโดนแก้แนะนำให้เปลี่ยน passwd DA กับ whmcs ใหม่ด้วย

กับอีกจุดหนึ่งคือ url ชั่วคราวที่เข้าทาง ip/~user ให้ปิดซะ เพราะเป็นช่องโหว่ให้เขียนไฟล์ข้าม user ได้เช่นกัน"

เช็คดูแล้ว ตอนนี้ทุก domain ยังคงเป็น ON อยู่

ที่มา www.thaihosttalk.com

Host down on 2012-09-02 00:20 น.

โดย Little Bear on 2 ก.ย. 55 10:29

Host down ตั้งแต่เมื่อคืน 2012-09-02 00:20 น่าจะเกิดจากการ update php+mysql ทำให้ suphp ไม่ทำงาน

แก้ไขโดยการ build ใหม่ วิธีการจาก Invalid command 'suPHP_Engine'

root@god:# cd /usr/local/directadmin/custombuild
root@god:# ./build update
root@god:# ./build clean
root@god:# ./build php-cgi y
root@god:# ./build suphp y
root@god:# ./build rewrite_confs

Updated : 2012-09-02 10:22 OK.

เอาไม่อยู่ น้ำยังไม่ท่วมเลย ดับเสียแล้ว

โดย Little Bear on 23 พ.ย. 54 18:03

เจอกับฝนตกหนัก คนหาดใหญ่กลัวน้ำท่วม เข้ามาเว็บเต็มที่ ล่มเลย

ตายที่ 1000 คน ด้วย RAM 2GB เป็นจริงไหม หากเพิ่มแรมเป็น 10GB จะรับได้เป็น 5000 คน

หรือ config mysql ?

แก้ปัญหาเฉพาะหน้า

  1. เปลี่ยน DNS hatyaicityclimate.org และ www.hatyaicityclimate.org ไปยัง Cloud sited.hatyaicityclimate.org ล่มภายใน 5 นาที (เช่า RAM ไว้น้อยเกิน 1GB)

  2. เปลี่ยน DNS hatyaicityclimate.org และ www.hatyaicityclimate.org ไปยัง sitea.hatyaicityclimate.org (อยู่กรุงเทพ) รับไหว คนดู 900 คน (RAM 16GB)

  3. site หลักยังล่มอยู่ พยายาม ssh ไม่เข้า directadmin เข้าช้ามาก จะเข้าไปเปิด apache service แต่เข้าไม่ได้เลย

  4. โทรไปแจ้ง CAT ให้ช่วย hard reboot ให้หน่อย (แต่ไม่แน่ใจว่าเขา reboot ให้หรือเปล่า ดูจากเวลาที่เครื่องเปิดอยู่ เหมือนกับยังไม่ได้ reboot)

  5. พยายามเข้า directadmin จนเข้าไปได้ รีบปิด apache service ก่อนเลย โหลดหาย

  6. RAM 2GB ใช้หมด แถม swap อีก 2GB ตายกับตรงนี้ I/O เอาไม่ทัน

  7. dump database มาเก็บไว้วิเคราะห์ ดู slow query log

  8. คาดว่าปัญหาน่าจะอยู่ที่คอขวดของ mysql กับ I/O

  9. ลองย้าย hatyaicityclimate.org มาก่อน (คนทั่วไปมักจะเข้าเว็บ www ซึ่งก็เป็นอย่างนั้นจริง ๆ) เริ่มมีคนกลับมาทีละน้อย ยังรับไหว

  10. เช็คยอดคนดูในแต่ละ site เรื่อย ๆ จนคาดว่าน่าจะรับไหว เลยย้าย www.hatyaicityclimate.org กลับมา server หลัก

  11. 21.24 น. ยังมีชีวิตอยู่

MySql down 5 ชั่วโมง

โดย Little Bear on 29 ก.ย. 54 20:58

เป็นเรื่องที่เริ่มเมื่อ บ่ายสามโมงของวันนี้ จู่ ๆ MySql ก็ down เริ่มจากหน่วง แล้วก็ load แล้วก็ดับ แล้วก็ reboot เอง

กลับมาอีกที service mysqld ก็ไม่ยอมทำงาน สั่ง start เสร็จก็หยุดทันที

ทางแก้ที่ทำไปก็ไม่รู้ว่าถูกต้องหรือเปล่า

  1. พยายาม start mysql จนยอมแพ้
  2. สั่ง cd /usr/local/directadmin/custombuild/; ./update all แล้วก็ยังไม่มีอะไรดีขึ้น
  3. ลอง ./update mysql มันฟ้องว่าไม่มีการกำหนดไว้ใน options.conf จึงเปิดไฟล์ /usr/local/directadmin/custombuild/options.conf มาดู แล้วแก้ mysql _ inst=no เป็น mysql _ inst=yes (แต่ mysql=5.0) แล้วลอง ./build mysql
  4. ผลคือมันไปโหลด mysql5.0 มาติดตั้ง ในขณะที่ของเดิมคือ mysql5.5 ปําดเลยว่าข้อมูลตูจะเจ๊งหรือเปล่าวะ
  5. ก่อนที่จะ service httpd start (ก่อนทำได้ service httpd stop ไว้ก่อน) เลยทำการ backup ข้อมูลด้วย mkdir /backup/xxx; cd /home/; rsync -Cavz . /backup/xxx ก่อน
  6. คอยจน backup เสร็จ จึงลอง service httpd start
  7. เข้าเว็บได้ แต่บางเว็บข้อมูลบาง table อ่านไม่ได้
  8. ไม่ไหวแล้ว กลับบ้านก่อนดีกว่า (นั่งทำอยู่ที่ สปสช. ยังไม่กลับบ้านเผื่อว่าต้องเข้าไปที่ IDC ลง OS ใหม่ แต่เห็นว่าคงไม่ต้องลงแล้ว น่าจะหาทางแก้ไขได้)
  9. ถึงบ้าน ก็ service httpd stop; service mysqld stop
  10. แก้ /usr/local/directadmin/custombuild/options.conf เปลี่ยน mysql=5.1 สั่ง ./update mysql ใหม่
  11. แล้วจึง ./build php5-cgi
  12. สั่ง service httpd start ติดปัญหา suphp ใน httpd.conf จึงไม่สามารถ start ได้
  13. หาใน google เจอว่า cd /usr/local/directadmin/custombuild; ./build update; ./build clean;./build suphp d ยังไม่ได้
  14. เปลี่ยนเป็น cd /usr/local/directadmin/custombuild; ./build update; ./build clean; ./build php y; ./build suphp y; ./build rewrite_confs
  15. ที่ work น่าจะเป็น ./build rewrite_confs
  16. service httpd start เรียบร้อย
  17. เช็คเว็บ OK เข้าได้ ฐานข้อมูลครบ

สรุปว่า ยังไม่รู้ว่าเกิดอะไรขึ้น แต่ที่เห็นผิดสังเกตุคือ ใน /xxx/xxx/mysql/mysql/ นั้นไม่มีไฟล์ host.* หมายถึงตาราง host ไม่มี ตอนแรกว่าจะ copy จากเครื่องอื่นเข้าไป แต่หลังจาก build mysql 5.1 มันน่าจะถูกสร้างขึ้นมาใหม่ (หรือไม่?)

เรื่องนี้สอนให้รู้ว่า ข้าพเจ้ายังมั่วอยู่อีกมาก ดู log แล้วก็ยังไม่รู้สาเหตุ แต่ก็ถูไถไปตามเรื่อง

VPS1 - Update Apache and other

โดย Little Bear on 29 ต.ค. 52 12:13

ได้ทำการอัพเดทรุ่นของโปรแกรมบน VPS1 ดังนี้

  • DirectAdmin 1.34.0 to 1.34.1
  • Apache 2.2.13 to 2.2.14
  • cURL 7.19.5 to 7.19.6
  • Dovecot 1.2.4 to 1.2.6
  • PHP5 (CLI) 5.2.10 to 5.2.11
  • PCRE 7.9 to 8.00
  • FreeType 2.3.9 to 2.3.11

หลัง update PHP5 เว็บไซท์หยุดทำงาน ต้อง restart Apache ใหม่ จึงกลับมาใช้งานได้เป็นปกติ

VPS2 - Update Apache and other

โดย Little Bear on 12 ต.ค. 52 10:43

ได้ทำการอัพเดทรุ่นของโปรแกรมบน VPS2 ดังนี้

  • Apache 2.2.13 to 2.2.14
  • cURL 7.19.5 to 7.19.6
  • Dovecot 1.2.4 to 1.2.6
  • PHP5 (CLI) 5.2.10 to 5.2.11

ทุกอย่างเรียบร้อยเป็นปกติ

CAT-HY problen on 2009-10-09

โดย Little Bear on 12 ต.ค. 52 10:40

ระบบ network ของ CAT-HY มีปัญหาเมื่อวันที่ 9 ตค. 2552 เวลา 14.30 - 16.30 น. ทำให้ไม่สามารถเข้าใช้งานเว็บไซท์ทั้งหมดของเครือข่ายได้

Update 2009-10-09 4:30pm - สามารถใช้งานได้เป็นปกติ

Owner ของไฟล์ที่ upload ด้วย script เป็นของ Apache

โดย Little Bear on 23 ส.ค. 52 23:31

หาวิธีแก้ปัญหาเรื่อง owner/group ของไฟล์ที่ upload ด้วย php script ให้เป็นของ ftp user ยังไม่ได้ จากที่ค้นหาดูเจอว่าจะต้องเปลี่ยนไปใช้ php-cgi ซึ่งทำแล้วซับซ้อนพอสมควร และอาจจะมีผลกระทบบางอย่างได้ เลยยังไม่กล้าทำ

วิธีแก้ปัญหาอีกวิธีคือ ให้กำหนดค่า safemode ของ php ให้เป็น off ซึ่งผลกระทบคือทำให้สามารถ include ไฟล์ที่มาจากการ uplaod ได้ ทำให้ความปลอดภัยลดลง แต่ว่าใน PHP6 นั้นจะทำการยกเลิก safemode ซึ่งหมายความว่าอย่างไร มันยังคงปลอดภัยอยู่เหมือนเดิมใช่ไหม? และเท่าที่ดูจากหลาย ๆ host เขาก็กำหนด safemode=off ทำให้ไม่ค่อยมั่นใจว่าควรกำหนดค่า safemode เป็น on หรือ off ถึงจะดี...

ตอนนี้เลยแก้ไขเฉพาะหน้าไปก่อนด้วยการเปลี่ยน owner/group ด้วยคำสัง

#cd /home/(user)/domains
#find . -user apache -exec chown (user) {} \;
#find . -group apache -exec chgrp (user) {} \;

ซึ่งเมื่อมีปัญหา ก็ต้อง ssh เข้าไป run script ไม่สะดวกเลย

จนกว่าจะหาทางแก้ไขที่ถาวรได้

Update Apache 2.2.11 to 2.2.13 and Dovecot 1.1.16 to 1.2.3

โดย Little Bear on 15 ส.ค. 52 09:28

Apache 2.2.11 to 2.2.13 update is available. Dovecot 1.1.16 to 1.2.3 update is available.

หลายวันแล้ว วันนี้เลยดำเนินการอัพเดทเสียเลย