 |
เอางี้นะครับ สิ่งที่จะทำต่อไปนี้
ไม่ใช่ การลบ ไวรัส หรือ โทรจัน
... แต่เป็นการตามหา คนทำ นะ
(ส่วน การแก้ไวรัส .. ผมว่า การ format ลงใหม่เป็นการแก้ปัญหาได้ดีและง่ายที่สุด .. แต่ไม่ใช่ถูกต้องที่สุด)
---------
ก่อนอื่น ใครไม่เข้าใจเรื่อง การ รับ-ส่ง ข้อมูลใน internet
ผมอยากขอให้ ลองดู VDO "รูปแบบ packet ที่รับส่งระหว่าง client กับ server"
มาก่อน --> http://www.youtube.com/watch?v=yrhJPVs_HRc
(แต่ผม จำไม่ได้แล้วว่าใน VDO ผมสรุปไว้ป่าวนะ)
---------
เอาล่ะ และทั้งหมดนี้ คือการ "เดา"
จาก ข้อมูล ที่ได้อ่าน ในกระทู้นี้
- จขกท. บอกว่า ใช้ lan ในบ้าน 2 เครื่อง
ดังนั้น การที่จะโดนดักข้อมูล กลางทาง
(MITM, arp sproof, packet sniffer ฯลฯ)
ไม่น่าจะเป็นไปได้ ..
แต่ถ้า จขกท. ได้ปล่อยสัญญาณ wifi ออกจากบ้าน
ก็จะมีโอกาสโดน วิธีพวกนี้ได้
(แถม hacker เข้าเวปไปด้วย ip เดียวกับคุณอีกตั่งหาก)
ซึ่งจุดนี้น่าจะต้องดูจาก accress log ของ ธนาคารอีกที
แต่จะยิ่งตีกรอบคนทำได้ง่ายขึ้น
เพราะคนทำน่าจะอยุ่ในระยะไม่ไกลจาก สัญญาณ wifi ของบ้าน
ซึ่งสามารถเช็ค mac address+computer name
จาก เร้าเตอร์ ได้ (เร้าเตอร์ ส่วนมาก มันเก็บไว้)
แต่ การตาม เคสนี้ โดยดูจาก traffic ณ ตอนนี้ คงไม่เจอ
(สรุป ถ้าแค่ ต่อ lan, ไม่มี wifi ตัดกรณีนี้ทิ้งไปเลย)
- มีการค้างเปิดเวปไม่ได้ตอนเข้าเวป scb
หลังจาก กรอก OTP ซึ่ง กดเข้าจาก favorite
ดังนั้น การจะโดน ทำ xss
(หากแฮกแบบ xss ตัวเวปของ scb เองจะต้องรั่ว)
ซึ่งดูได้จาก history ของคุณ
และ ถ้า scb รั่ว xss จริงๆ ก็จะตาม hacker ได้ง่ายมากขึ้น
ดังนั้น การโดนแฮกแบบ xss, url reverse shell, หรือ หน้าเวปปลอม
จากการอ่านว่าใช้ LAN+Favorite ผมตัดทิ้ง
- แต่ที่ผมเดาว่าน่าจะเป็นโปรแกรมแนวๆ โทรจัน
เพราะ วิธีนี้ แฮกกันง่ายสุด ไม่ต้องใช้ความรู้มากมาย
เพราะมันเป็นโปรแกรม สำเร็จรูป
ดังนั้น โปรแกรมแนวๆ นี้
จะมีการ sync ข้อมูลระหว่างคุณกับเครื่องคนแฮก
#แบบแรก คือ คนแฮกเปิด port ของเค้าไว้
รอให้คุณ(แอบ) connect ไปหา
(ซึ่งถ้าพวกโปรแกรมสำเร็จรูปจะ sync เรื่อยๆ (reverse tcp))
#อีกแบบ คือ เค้าเปิด port บาง port ในเครื่องคุณไว้
รอการ connect จากคนแฮก
ซึ่งผมคิดว่า ต้อง sync แบบวิธีแรกไปนั่นแหละ
เพราะ ถ้าแฮกแบบ ตั้งให้ คุณเปิด port รอ (วิธีที่สอง)
เค้าต้องเข้าเร้าเตอร์ คุณมา forward port หรือ DMZ
และ เซ็ต dns ให้เร้าเตอร์อีก
( ค่อนข้าง ยุ่งยาก .. ถ้าไม่ได้รู้สึกรักและคิดถึงเจ้าของเครื่อง
แบบอยากเข้ามาหาบ่อยๆ กันจริงๆ ก็ไม่น่าจะเสียเวลาทำ )
---------
เอาล่ะ หลังจาก เกริ่น ให้เห็นภาพ เท่าที่จะทำได้แล้ว
การ จะดูว่า คุณ เปิด port อะไร
รอรับการ connect จากใครอยู่หรือไม่
ให้ทำดังนี้
- ออก msn, irc, เวป, ฯลฯ ... ทุกอย่างที่มีการเชื่อต่อ internet
ซัก 1-2 นาที (เพื่อ connect ที่แสดง จะได้ดูง่ายๆ ได้ไม่เยอะ จนตาลาย)
- ให้เข้า start->run พิมพ์ cmd
( เพื่อ เปิด console command หรือ command line แล้วแต่ จะเรียก )
พิมพ์ "netstat -an" คุณก็จะเห็น traffic เข้า-ออก
(แต่จริงๆ อยากให้ลง wireshark
แล้ว เปิด รันดัก ข้อมูลในเครื่องตัวเองเลย
จะเห็น ทุกอย่าง ที่วิ่ง เข้า-ออก)
ซึ่ง ถ้าคุณโดนโปรแกรมพวก "โทรจัน"
จะมีการ sync ข้อมูลระหว่างคุณ กับเครื่องคนแฮก เรื่อยๆ
หรือ เปิด port บาง port รอการ connect อยู่ตรงส่วนนี้
จากนั้น ลองเอา log มาโพส ครับ
*แล้วก็ แนะนำให้ โหลดพวก hijackthis มา scan
หา process ที่น่าจะเป็น trojan แล้ว เอา log มาดูเพิ่มครับ
(ยิ่ง มีข้อมูลเยอะ .. ยิ่ง วิเคราะห์ ง่ายขึ้นครับผม)
| จากคุณ |
:
windows98SE 
|
| เขียนเมื่อ |
:
7 มิ.ย. 55 14:05:08
|
|
|
|
|
SCB EasyNet ผมโดน Hack โอนเงินออก {สอบถาม pjuk}
