โปรแกรมนี้ปกติจะรันที่พอร์ต TCP 10000 ครับ
หากท่านติดตั้ง Webmin บน CentOS หรือ Linux ตัวอื่น ให้หมั่นอัพเดทครับ เพราะมันอาจเป็นช่องทางที่ผู้ไม่หวังดีเข้ามาข้างในเครื่องของท่านได้
ให้อัพเดท เปลี่ยนพอร์ต ใช้ iptables ป้องกัน หรือวิธีอื่นๆตามความเหมาะสม แต่ผมแนะนำว่าควรลบทิ้งไปเลยจะดีกว่าครับ
มาดูไฟล์ log ของ Webmin ครับ ไฟล์ /var/webmin/log/miniserv.log เพิ่งก๊อบมาจากเครื่องลูกค้าสดๆร้อนๆเลยครับ มีอีกเยอะแต่ก๊อบมาให้ดูเป็นตัวอย่างแค่นี้ครับ
** ถ้าหาไม่เจอก็อาจอยู่ในไฟล์นี้ครับ /var/webmin/miniserv.log **
- โค้ด: เลือกทั้งหมด
%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/etc/shells HTTP/1.1" 404 32
xx.60.48.25 - - [19/Jul/2013:22:45:36 +0700] "CONNECT xxtcpconn2.xxtencent.com:443 HTTP/1.1" 401 2385
xx.151.149.222 - - [19/Jul/2013:22:45:36 +0700] "GET http://www.baidu.com/ HTTP/1.1" 401 2378
xx.60.48.25 - - [26/Jul/2013:08:48:50 +0700] "CONNECT xxtcpconn2.xxtencent.com:443 HTTP/1.1" 401 2385
xx.60.48.25 - - [01/Aug/2013:05:32:27 +0700] "CONNECT xxtcpconn2.xxtencent.com:443 HTTP/1.1" 401 2385
xx.60.48.25 - - [31/Aug/2013:11:31:56 +0700] "CONNECT xxtcpconn2.xxtencent.com:443 HTTP/1.1" 401 2385
xx.60.48.25 - - [04/Sep/2013:10:31:26 +0700] "CONNECT xxtcpconn2.xxtencent.com:443 HTTP/1.1" 401 2385
xx.199.213.13 - - [21/Sep/2013:11:20:36 +0700] "GET //unauthenticated/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/etc/shadow HTTP/1.1" 404 32
xx.60.48.25 - - [30/Sep/2013:01:47:01 +0700] "CONNECT xxtcpconn2.xxtencent.com:443 HTTP/1.1" 401 2385
xx.60.48.25 - - [12/Oct/2013:23:10:44 +0700] "CONNECT xxtcpconn2.xxtencent.com:443 HTTP/1.1" 401 2385
xx.60.48.25 - - [25/Oct/2013:23:15:29 +0700] "CONNECT xxtcpconn2.xxtencent.com:443 HTTP/1.1" 401 2385
xx.166.146.125 - - [27/Oct/2013:20:39:43 +0700] "GET http://xxzc.qq.com/chs/index.html HTTP/1.1" 401 2374
xx.60.48.25 - - [07/Nov/2013:23:46:58 +0700] "CONNECT xxtcpconn2.xxtencent.com:443 HTTP/1.1" 401 2385
xx.69.125.217 - - [02/Dec/2013:00:57:14 +0700] "POST /unauthenticated//..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/etc/shells HTTP/1.1" 404 32
93.174.93.51 - - [20/Feb/2014:03:00:04 +0700] "GET http://xxipv4scan.com/hello/xxcheck.txt HTTP/1.1" 401 2377
204.93.154.212 - - [06/Mar/2014:17:19:38 +0700] "GET / HTTP/1.0" 401 2365
ซ้ายมือสุดเป็นไอพีแอดเดรสที่ Webmin บันทึกไว้ว่าพยายามเข้าหรือเข้ามาที่ตัวมันเรียบร้อยแล้ว (เข้ามาได้ยังไง) จากนั้นก็สั่งรันคำสั่งไปดึงไฟล์นู่นนี่นั่นมาเต็มไปหมด
เห็นลิ้งค์ยาวๆมั๊ยครับ พวก ...%01 นั่น ผมว่ามันเป็น URL ยาวๆที่ทำให้เข้า Webmin ได้โดยไม่ต้องรู้ Root Password เลย
โชคดีหน่อยโปรแกรมเราก็พัง เครื่องรันไม่ได้ ถ้าโชคร้ายพวกนี้มันจะใช้เครื่องเราเป็นฐานในการแฮ็คเครื่องอื่นๆอีก
อันตรายจริงๆครับ
บน CentOS นะครับ
ลบทิ้ง
rpm -e webmin
ไม่ให้รัน
chkconfig wemin off
service webmin stop
เทคนิคการติดตั้ง Asterisk 16.x + DAHDI 2.11.1 บน CentOS 7
เทคนิคการติดตั้ง Asterisk 15.x + DAHDI 2.11.1 บน CentOS 7