เมื่อลีนุกซ์เซิร์ฟเวอร์ถูกแฮก

ถึงแม้ว่าผมจะหันเหตัวเองมาเป็นเกษตรกร แต่เรื่องคอมพิวเตอร์ หรือลีนุกซ์ก็ยังไม่ทิ้งครับ ใครเชิญไปสอนลีนุกซ์ก็ไป ใครจ้างทำเวบด้วย Drupal ก็ทำ ใครขอช่วยแก้ปัญหาลีนุกซ์ก็ไป วันนี้ก็เช่นกันครับก็มีคนโทรมาขอช่วย จากสถานศึกษาของกระทรวงสาธารณสุขแห่งหนึ่ง จากการสอบถามเบื้องต้น เป็นลีนุกซ์ FC4 ใช้งานเป็นเวบเซิร์ฟเวอร์ และเก็บฐานข้อมูลนักศึกษาใน MySQL สองสามวันที่แล้ว เวบเข้าไม่ได้ MySQL ก็เข้าใช้งานไม่ได้ และท้ายสุดคือ คือเครื่องบูทไม่ผ่าน หน่วยงานนี้เช่า Lease Line จาก CAT ความเร็ว 3Mb เครื่องคอมพิวเตอร์เครื่องนี้ ต่อจาก Cisco ผ่าน Switch อีกตัวโดยไม่มี Firewall ใดๆ นั่นหมายความว่าเครื่องนี้อยู่บนโลกอินเทอร์เน็ต แบบน่ากลัวมากๆ อาการของเครื่องถ้าเกิดจากการถูกแฮกก็น่าจะ 100% ถ้าไม่ใช่ปัญหาฮาร์ดแวร์

ครับเมื่อตรวจสอบแล้วก็ไม่ใช่ปัญหาฮาร์ดแวร์อย่างที่คิดเอาไว้ ก็ใช้แผ่น Rescue ของ FC4 บูทเพื่อช่วยแก้ปัญหานี้น้องที่ดูแลได้โหลดเตรียมไว้ให้ตั้งแต่เมื่อวานแล้ว เมื่อบูทเข้าไปแล้วจะ chroot /mnt/sysimage ก็ไม่ได้ เอ.. เกิดจากอะไรหว่า ลองบูทใหม่อีกทีดู error ให้ชัดๆ อีกที
เจอแล้ว error คือ หา / ในไฟล์ /etc/fstab ไม่เจอ แน่นอนชัวร์ป๊าบ ถูกแฮก ถูกลบข้อมูลในไฟล์ /etc/fstab แน่นอนหลังจากที่บูทด้วยแผ่น Rescue เข้ามาก็ fdisk -l เพื่อดูพาร์ติชัน / อยูใน /dev/sda1 ไม่รอช้า

cd /mnt
mkdir  sda1
mount /dev/sda1 /mnt/sda1
cd /mnt/sda1/etc

เปิดไฟล์  fstab ออกมาดู โบ๋เบ๋ เลยครับ device ถูกลบหมด เหลือแต่ Floppy กับ CD-Rom แล้วมันจะบูทผ่านได้อย่างไร
ผมก็เลยต้องแก้ไฟล์ fstab ใหม่ ได้ผลครับบูทเข้าได้ปกติ  แต่... ยังไม่จบแค่นั้นเข้าใช้งาน MySQL ไม่ได้ลอง df -h ดูไม่มีอะไรครับแค่ / เต็ม เลยต้องลบ และย้ายไฟล์ออกไปไว้ใน /home ให้มีพื้นที่เหลือมากพอสมควร ก็เข้าใช้งาน MySQL ได้ปกติ

มาถึงเรื่องพาร์ติชัน น้องที่ดูแลอยู่ไม่ได้เป็นคนทำเอง มีคนทำไว้ให้ก่อนแล้วน้องเขามาดูแลต่อ มาดูการพาร์ติชันของเขานะครับสุดยอดอลังการงานสร้างฮาร์ดดิสก์ขนาด 70 GB เขาแบ่งไว้แบบนี้ครับ

/  =  9 GB
/home = 53 GB
swap =??  น่าจะ 2 GB ลืมดู

แล้วฮาร์ดดิสก์จะไม่เต็มได้อย่างไร ในเมื่อทุกอย่างมันไปอยู่ใน / ไม่ได้อยู่ใน /home 

เมื่อบูทได้แล้ว เวบเข้าได้แล้ว MySQL ใช้งานได้แล้วก็ถือว่าเรียบร้อย แต่ด้วยที่ไม่มีฮาร์ดแวร์ไฟร์วออล หรือ Firewall อื่นใด ผมก็ต้องหาอะไรกันเครื่องไว้บ้าง ผมไม่เขียนหรอกครับ IPTABLES หาอะไรทีมันง่ายๆ Arno's Script ครับ ของหากินของผม Arno's Script จะไปทำงานครอบ IPTABLES อีกที แก้คอนฟิกเล็กน้อยก็ใช้ได้แล้ว  เปิดแค่ Port 80 และย้าย Port SSH คิดว่าคงปลอดภัยในระดับหนึ่ง ถ้าเขาไม่วางไข่เอาไว้

สุดท้ายก็มีนั่งไล่ดู Log หาผู้บุกรุก ก็เจอการพยายามที่จะเข้ามาเยอะมากแต่คงไม่ใช่ตัวการ มันเข้ามาเป็น root ได้ลบข้อมูลใน fstab ได้ มันไม่ทิ้งร่องรอยไว้ให้โง่ ร๊อก

เสร็จภารกิจผมก็สบายใจที่ช่วยเขาสำเร็จ น้องที่ดูแลระบบอยู่ก็หายเครียด
แล้วก็ลาจากกัน