@Mr.Note เย็นนี้เจอกันนะฮะ มีของให้ค้าบบ 🫣🧡
#siamstr 
chontit
chontit@siamstr.com
npub1r27y...hxu8
Road to freedom :)
We’re here. 🧡
โคตรโชคดีเลย,, ได้ที่จอดรถของโรงแรม!!!
#siamstr
GM #siamstr
ขอลองเทสบอทบ้างงงง 🫠
พัฒนาอย่างก้าวกระโดด #siamstr View quoted note →
ใครที่เป็นเพื่อนผมใน Facebook อาจจะพอได้เห็นเรื่องราวเกี่ยวกับ Server ที่ทำงานฯ โดน Ransomware เล่นงานนะครับ ,, เพื่อที่จะได้เป็น Lesson Learned ให้กับเพื่อน ๆ ที่สนใจ .. ผมก็ขอนำมาโพสต์ในนี้ด้วยอีกที่นึงครับ #siamstr 🧡
.
เหตุการณ์มันเริ่มต้นจากมีเพื่อนที่ทำงานของผมทัก DM มาในเช้าวันอาทิตย์ และถามว่า "ทำไมเค้าเข้า Shared Folder ไม่ได้ ,, โดยฟ้องว่ารหัสผ่านผิดและบอกให้กรอกรหัสผ่านใหม่" ซึ่งตอนนั้นผมอยู่ กทม. และยังไม่สามารถตรวจสอบอะไรได้มาก (ลองเข้า Server ผ่าน Microsoft Remote Desktop ก็ฟ้องว่ารหัสผ่าน Administrator User ผิด งง ๆ เหมือนกันแหะ) 😂
พอผมเดินทางกลับมาโคราชและเข้าไปที่ทำงานช่วงประมาณ 4 ทุ่มก็พบว่า ,, ไม่สามารถ Log in ด้วย Administrator ได้ ,, ผมก็เลยลอง Log in ด้วย User อื่น ๆ ที่มี และสามารถเข้าได้ปกติ แต่พอไปไล่ตรวจสอบไฟล์ พบว่า...
ไฟล์แทบทุกไฟล์จะถูกเปลี่ยนชื่อ และลงท้ายด้วยนามสกุล .-Encrypted ทั้งหมด ,, โอ้โห!!! งานหยาบละ ,, ตอนนั้นซ็อกอยู่ ทำไรไม่ถูกเลย เพราะไม่คิดว่าจะโดนแบบนี้มาก่อน 55555 😮
และยังมี text file แนบไว้ทุก ๆ โฟลเดอร์ที่โดนเข้ารหัสไว้ให้อ่านเล่น ๆ ด้วยนะ 😚
ใจนึงก็คิดได้ว่า .. "เอ้ออ แต่เรามีไฟล์ที่ Clone ไว้ใน External Drive ด้วยโปรแกรม Always Sync นี่หว่า .. เลยรีบเข้าไปดู แต่พบว่า ... "ไฟล์ทั้ง External drive นั้นมัน .-Encrypted หมดเลยเหมือนกัน!!!" โคตรซ็อก 🥲
หมดหวังไปหนึ่ง .. แต่ยังไม่พอนะ เราก็คิดต่อว่า ,, "เราทำระบบ Windows Server Backup ไว้ด้วย ซึ่งมันจะทำงานตอนเที่ยงคืนของทุกวัน และจะได้ไฟล์ Virtual Disk (.vhdx) นี่หว่าา ไหนลองดูซิ..." 🧐
พอเข้าไปดูใน External drive อีกอันที่เข้ารหัสไว้ด้วย Bitlocker ,, พบว่า..
ไฟล์ .vhdx เกือบทั้งหมดมีนามสกุล .-Encrypted เช่นกัน !!! (ซึ่งผม Backup Drive C, D, E ไว้) ,, แต่คงเหลือไว้ 1 ไฟล์ ที่เป็นข้อมูลไดวฟ์ D ทั้งหมด (ขนาดประมาณ 1.75 TB) ซึ่งเป็นข้อมูลสำคัญมากกกก และยังไม่โดน Encrypted !!!!! 👍
เลยลองรีบ Attach .vhdx ไฟล์เข้า Disk manager ของคอมพิวเตอร์เครื่องอื่น แต่ปรากฎว่ามันขึ้นเป็น RAW disk (งานเข้า.. ข้อมูลเปิดไม่ได้ ,, แต่ถ้ายัง Attach ได้แสดงว่าไฟล์ไม่ได้เสีย ,, เดี๋ยวค่อยลองใช้พวก Recovery โปรแกรมมาอ่านดู) เลยทิ้งไว้แบบนั้นก่อน แล้วรีบไป Format ล้างเครื่อง Server ใหม่ 😓
นี่แหละนะ.. จุดอ่อนของระบบ Centralized,, มันมี Single point of Failure 😄
.
ตั้งแต่เวลา 23:00 (คืนวันอาทิตย์) ถึง 05:00 (เช้าจันทร์) ,, รวมแล้ว 6 ชั่วโมงพอดีในการ Recovery ระบบ Server ของที่ทำงาน 😓
.
และตอนนี้ระบบกลับมา Online ได้ตามปกติแล้ว โดยได้ดำเนินการหลัก ๆ เพื่อเป็นการปิดช่องโหว่ก็คือ
✅ เปลี่ยน Password ของ Administrator ใหม่
✅ สร้าง User ขึ้นมาเฉพาะ และจำกัดสิทธิ์เพื่อเข้าถึงเฉพาะโฟลเดอร์ที่แชร์
✅ ปิด Remote Desktop service (port 3389) ไปก่อน (ใช้การบริหารจัดการที่ตัว server เท่านั้น)
✅ ไม่ติดตั้งโปรแกรมอะไรในเครื่อง Server เลย นอกจากที่จำเป็นต้องใช้เท่านั้น!!
✅ ในส่วนของตัว Firewall ก่อนเข้า Server นี่ .. แทบจะลบ NAT Rule ออกทั้งหมด เหลือแต่ที่จำเป็นต้องใช้ (ก่อนหน้านี้ทำโปรเจคอะไรเล่นก็จะไปสร้างกฎไว้เต็มไปหมด 55555)
.
พอเราควบคุมสถานการณ์ได้แล้วเลยลองมาวิเคราะห์ทีละขั้นทีละตอนกัน 😇
จุดที่นำไปสู่ความเสียหายได้ก็คงเป็นเพราะปัจจัยเหล่านี้แหละ
➡️ วางระบบ Files Sharing เพื่อใช้งานในวงแลน แต่ใช้ User Administrator กับคอมในวงแลนทุกเครื่อง (มันง่ายดี 5555) 😘
➡️ สามารถ Remote เข้าไปควบคุมเครื่องผ่าน Port 3389 ได้ (แต่ก็ทำทางเลี้ยวผ่าน port อื่นให้มันงง ๆ ไว้อยู่นะ) 🥺
➡️ เปิด Port 80 ทำเป็น Web Server ไว้ ,, ซึ่งเข้ามาจะเจอ index.html หน้าเดียวที่เป็นโลโก้ของที่ทำงาน (ซึ่งนำไปสู่ปัญหาข้อต่อไป) 😔
❌ Administrator Password มีคำที่อยู่ในโลโก้ที่ทำงาน 😂😂😂 ,, อันนี้ถือว่าชะล่าใจไปเยอะเลย เพราะไม่คิดว่าจะโดน Hack ได้ง่าย ,, ถ้า Bruteforce ดี ๆ ก็อาจจะเจอรหัสผ่านได้เลย 🤦♂️
➡️ อีกหนึ่งประเด็นที่ทิ้งไปไม่ได้ก็คือ… ระบบ Fixed IP จาก ISP ,, ซึ่งมันทำให้ผู้ที่จะโจมตีรู้ IP Address และวิ่งตรงเข้าสู่ระบบได้เลย เฮ้อออ 😓
.
และวันนี้ก็ลองนำไฟล์ .vhdx มา Attach เข้าไปยัง Disk manager ใหม่ และใช้โปรแกรม Active@ File Recovery ลองผ่านดู ,, ปรากฎว่าสามารถเข้าถึงไฟล์ Backup ของ Drive D ได้ทั้งหมดครบ 100% เย้ ๆ ๆ
.
สุดท้ายนี้ต้องขอบคุณตัวเองที่ Panic ,, วางระบบ Backup แบบงู ๆ ปลา ๆ ไว้หลายจุดหน่อย ,, ทำให้ไฟล์สำคัญ ๆ ๆ ได้กลับคืนมาครบทั้ง 100% แล้ว 🎉🎉🎉
ส่วนนึงในนั้นก็คือการใช้ Always Sync เพื่อทำการ Duplicate File ไปยังคอมพิวเตอร์เครื่องอื่น ๆ ในวงแลนไว้อีก 1-2 ที่
.
ป.ล.ถ้าใช้เป็น Linux ทำ File Server มันจะดีกว่ามั้ยนะ 55555 🤓
ป.ล.2 ลองกลับมาเล่นงานอีกครั้งสิ หึหึ ,, คราวนี้พร้อมตั้งรับเต็มที่ ต่อให้โจมตีได้ก็ไม่ต้องกลัวเรื่องข้อมูลสูญหายแล้วววว 😎
ปล.3 ผมไม่เคยเรียนอะไรเกี่ยวกับคอมพิวเตอร์มาก่อนนะ และก็ไม่ใช่คนที่ดูแลระบบ Server โดยตรงด้วย ,, ความรู้ในการสร้างระบบ Server ที่เล่าไปนั้น ... ได้มาจากประสบการณ์ส่วนตัวล้วน ๆ เลยครับ (เข้ามาทำส่วนนี้เพราะว่าความชอบล้วน ๆ และที่ทำงานก็ไม่ได้มีคนดูแล Server โดยเฉพาะ) ,, เพราะฉะนั้นการวางระบบต่าง ๆ อาจจะไม่ค่อย make sense ซึ่งก็มาจากประสบการณ์อันน้อยนิด และไม่ทันได้ระวังตัวอย่างรอบครอบครับ 😉
ปล.4 โลก Internet โคตรน่ากลัวเลยนะครับ ,, อย่าคิดว่าเราจะไม่มีโอกาสโดนแบบนี้ (ผมก็ไม่เคยคิดว่าจะโดน) สำคัญที่สุดของการป้องกัน Ransomware ไม่มี!! ครับ ,, แต่ต้อง Backup ข้อมูลไว้บ่อย ๆ และควรแยก Haddisk ที่ Backup ออกมาจากตัวระบบหลักนะครับ .. ไม่อย่างนั้นตัว Backup ก็จะโดนไปด้วยแบบผม 555555 🥲
ป.ล.5 เวลามีค่า..ศึกษาบิตคอยน์ (เกี่ยวกันมะ) 🧡😇
#SiamstrOG #Ransomware #Windowsserver
ไฟล์แทบทุกไฟล์จะถูกเปลี่ยนชื่อ และลงท้ายด้วยนามสกุล .-Encrypted ทั้งหมด ,, โอ้โห!!! งานหยาบละ ,, ตอนนั้นซ็อกอยู่ ทำไรไม่ถูกเลย เพราะไม่คิดว่าจะโดนแบบนี้มาก่อน 55555 😮
และยังมี text file แนบไว้ทุก ๆ โฟลเดอร์ที่โดนเข้ารหัสไว้ให้อ่านเล่น ๆ ด้วยนะ 😚
ใจนึงก็คิดได้ว่า .. "เอ้ออ แต่เรามีไฟล์ที่ Clone ไว้ใน External Drive ด้วยโปรแกรม Always Sync นี่หว่า .. เลยรีบเข้าไปดู แต่พบว่า ... "ไฟล์ทั้ง External drive นั้นมัน .-Encrypted หมดเลยเหมือนกัน!!!" โคตรซ็อก 🥲
หมดหวังไปหนึ่ง .. แต่ยังไม่พอนะ เราก็คิดต่อว่า ,, "เราทำระบบ Windows Server Backup ไว้ด้วย ซึ่งมันจะทำงานตอนเที่ยงคืนของทุกวัน และจะได้ไฟล์ Virtual Disk (.vhdx) นี่หว่าา ไหนลองดูซิ..." 🧐
พอเข้าไปดูใน External drive อีกอันที่เข้ารหัสไว้ด้วย Bitlocker ,, พบว่า..
ไฟล์ .vhdx เกือบทั้งหมดมีนามสกุล .-Encrypted เช่นกัน !!! (ซึ่งผม Backup Drive C, D, E ไว้) ,, แต่คงเหลือไว้ 1 ไฟล์ ที่เป็นข้อมูลไดวฟ์ D ทั้งหมด (ขนาดประมาณ 1.75 TB) ซึ่งเป็นข้อมูลสำคัญมากกกก และยังไม่โดน Encrypted !!!!! 👍
เลยลองรีบ Attach .vhdx ไฟล์เข้า Disk manager ของคอมพิวเตอร์เครื่องอื่น แต่ปรากฎว่ามันขึ้นเป็น RAW disk (งานเข้า.. ข้อมูลเปิดไม่ได้ ,, แต่ถ้ายัง Attach ได้แสดงว่าไฟล์ไม่ได้เสีย ,, เดี๋ยวค่อยลองใช้พวก Recovery โปรแกรมมาอ่านดู) เลยทิ้งไว้แบบนั้นก่อน แล้วรีบไป Format ล้างเครื่อง Server ใหม่ 😓
นี่แหละนะ.. จุดอ่อนของระบบ Centralized,, มันมี Single point of Failure 😄
.
ตั้งแต่เวลา 23:00 (คืนวันอาทิตย์) ถึง 05:00 (เช้าจันทร์) ,, รวมแล้ว 6 ชั่วโมงพอดีในการ Recovery ระบบ Server ของที่ทำงาน 😓
.
และตอนนี้ระบบกลับมา Online ได้ตามปกติแล้ว โดยได้ดำเนินการหลัก ๆ เพื่อเป็นการปิดช่องโหว่ก็คือ
✅ เปลี่ยน Password ของ Administrator ใหม่
✅ สร้าง User ขึ้นมาเฉพาะ และจำกัดสิทธิ์เพื่อเข้าถึงเฉพาะโฟลเดอร์ที่แชร์
✅ ปิด Remote Desktop service (port 3389) ไปก่อน (ใช้การบริหารจัดการที่ตัว server เท่านั้น)
✅ ไม่ติดตั้งโปรแกรมอะไรในเครื่อง Server เลย นอกจากที่จำเป็นต้องใช้เท่านั้น!!
✅ ในส่วนของตัว Firewall ก่อนเข้า Server นี่ .. แทบจะลบ NAT Rule ออกทั้งหมด เหลือแต่ที่จำเป็นต้องใช้ (ก่อนหน้านี้ทำโปรเจคอะไรเล่นก็จะไปสร้างกฎไว้เต็มไปหมด 55555)
.
พอเราควบคุมสถานการณ์ได้แล้วเลยลองมาวิเคราะห์ทีละขั้นทีละตอนกัน 😇
จุดที่นำไปสู่ความเสียหายได้ก็คงเป็นเพราะปัจจัยเหล่านี้แหละ
➡️ วางระบบ Files Sharing เพื่อใช้งานในวงแลน แต่ใช้ User Administrator กับคอมในวงแลนทุกเครื่อง (มันง่ายดี 5555) 😘
➡️ สามารถ Remote เข้าไปควบคุมเครื่องผ่าน Port 3389 ได้ (แต่ก็ทำทางเลี้ยวผ่าน port อื่นให้มันงง ๆ ไว้อยู่นะ) 🥺
➡️ เปิด Port 80 ทำเป็น Web Server ไว้ ,, ซึ่งเข้ามาจะเจอ index.html หน้าเดียวที่เป็นโลโก้ของที่ทำงาน (ซึ่งนำไปสู่ปัญหาข้อต่อไป) 😔
❌ Administrator Password มีคำที่อยู่ในโลโก้ที่ทำงาน 😂😂😂 ,, อันนี้ถือว่าชะล่าใจไปเยอะเลย เพราะไม่คิดว่าจะโดน Hack ได้ง่าย ,, ถ้า Bruteforce ดี ๆ ก็อาจจะเจอรหัสผ่านได้เลย 🤦♂️
➡️ อีกหนึ่งประเด็นที่ทิ้งไปไม่ได้ก็คือ… ระบบ Fixed IP จาก ISP ,, ซึ่งมันทำให้ผู้ที่จะโจมตีรู้ IP Address และวิ่งตรงเข้าสู่ระบบได้เลย เฮ้อออ 😓
.
และวันนี้ก็ลองนำไฟล์ .vhdx มา Attach เข้าไปยัง Disk manager ใหม่ และใช้โปรแกรม Active@ File Recovery ลองผ่านดู ,, ปรากฎว่าสามารถเข้าถึงไฟล์ Backup ของ Drive D ได้ทั้งหมดครบ 100% เย้ ๆ ๆ
.
สุดท้ายนี้ต้องขอบคุณตัวเองที่ Panic ,, วางระบบ Backup แบบงู ๆ ปลา ๆ ไว้หลายจุดหน่อย ,, ทำให้ไฟล์สำคัญ ๆ ๆ ได้กลับคืนมาครบทั้ง 100% แล้ว 🎉🎉🎉
ส่วนนึงในนั้นก็คือการใช้ Always Sync เพื่อทำการ Duplicate File ไปยังคอมพิวเตอร์เครื่องอื่น ๆ ในวงแลนไว้อีก 1-2 ที่
.
ป.ล.ถ้าใช้เป็น Linux ทำ File Server มันจะดีกว่ามั้ยนะ 55555 🤓
ป.ล.2 ลองกลับมาเล่นงานอีกครั้งสิ หึหึ ,, คราวนี้พร้อมตั้งรับเต็มที่ ต่อให้โจมตีได้ก็ไม่ต้องกลัวเรื่องข้อมูลสูญหายแล้วววว 😎
ปล.3 ผมไม่เคยเรียนอะไรเกี่ยวกับคอมพิวเตอร์มาก่อนนะ และก็ไม่ใช่คนที่ดูแลระบบ Server โดยตรงด้วย ,, ความรู้ในการสร้างระบบ Server ที่เล่าไปนั้น ... ได้มาจากประสบการณ์ส่วนตัวล้วน ๆ เลยครับ (เข้ามาทำส่วนนี้เพราะว่าความชอบล้วน ๆ และที่ทำงานก็ไม่ได้มีคนดูแล Server โดยเฉพาะ) ,, เพราะฉะนั้นการวางระบบต่าง ๆ อาจจะไม่ค่อย make sense ซึ่งก็มาจากประสบการณ์อันน้อยนิด และไม่ทันได้ระวังตัวอย่างรอบครอบครับ 😉
ปล.4 โลก Internet โคตรน่ากลัวเลยนะครับ ,, อย่าคิดว่าเราจะไม่มีโอกาสโดนแบบนี้ (ผมก็ไม่เคยคิดว่าจะโดน) สำคัญที่สุดของการป้องกัน Ransomware ไม่มี!! ครับ ,, แต่ต้อง Backup ข้อมูลไว้บ่อย ๆ และควรแยก Haddisk ที่ Backup ออกมาจากตัวระบบหลักนะครับ .. ไม่อย่างนั้นตัว Backup ก็จะโดนไปด้วยแบบผม 555555 🥲
ป.ล.5 เวลามีค่า..ศึกษาบิตคอยน์ (เกี่ยวกันมะ) 🧡😇
#SiamstrOG #Ransomware #Windowsserver
สุดยอดด ,, ดีมากกก ,, ยอดเยี่ยมมากก 👍👍👍👍
…ไม่รู้จะหาคำไหนมาอธิบายเลยฮะ 😂
.
Alby Hub -> เปิด Lightning Channel แบบ Non-Custodial แบบง่ายสุด ๆ ๆ ไม่ต้องศึกษาการทำ Clearnet หรือการทำ VPN (เหมาะสำหรับคนที่รันโหนดเองไว้อยู่แล้ว)
.
ยอมรับว่าหนึ่งในความเสี่ยงที่ผมไม่กล้าเปิด Lightning Channel สักที เพราะว่า…
เราต้องโอน Bitcoin ไปเตรียมไว้ใน LND จำนวนตามขนาด Channel ที่เราอยากจะเปิด
และก็ไม่รู้ว่าพอเราส่งคำสั่งเปิด Channel ออกไป .. ฝั่งตรงข้ามเค้าจะยอมเปิดกับเราหรือป่าว 55555
สุดท้ายต้องมาลุ้นโดน Lock UTXO ไว้อีกกกกก
.
พอมี Alby Hub เท่านั้นแหละ จบทุกปัญหาเลย
✅ ถ้ามี Full Node อยู่แล้ว (Umbrel, Start9 หรือจะ Bare-metal) ก็ติดตั้ง Alby Hub เพิ่ม ,, แล้วระบบจะหาทางผูกเข้ากับตัว LND ของเราเอง
✅ ไม่ต้องตั้งค่าให้เป็น Fix IP, VPN, DDNS หรืออะไรก็ตามแต่ .. เดี๋ยวเจ้า Alby Hub หาทางเชื่อมต่อให้เอง
✅ เดี๋ยว Alby Hub หาคู่ขาในการเปิด Channel ให้เอง ไม่ต้องกลัวว่าเปิดไปแล้วอีกฝั่งจะไม่รับ แล้วทำให้ UTXO เราติดแหงก 😂
✅ Backup โดย Seedphrase 24 คำของ LND นั้นแหละ (Transaction ทั้งหมดจะมาโผล่บน LND)
✅✅ ท้ายสุด สำคัญที่สุด ,, เราไม่จำเป็นต้องโอน Bitcoin onchain ไปเป็น Reserve ก่อนเปิด Channel ,, เราใช้วิธีการจ่าย SAT ซื้อ Inbound Liquidity!!!!
ตามตัวอย่างที่ผมทำ ,, ผมจ่ายแค่ 9,035 sat เพื่อได้ช่องขนาด 2,000,000 Satoshi โดยไม่มีความเสี่ยง!!! (คือถ้ามี Error ใด ๆ เดี๋ยว SAT มันจะกลับมาคืนในเป๋าเราเอง)
.
โคตรสุดเลยครับ อยากขอบคุณสักล้านครั้งเลยท่านโรแลนด์ @Roland
#siamstr 
In today's interconnected global community, it's as if we can communicate from anywhere—even from the South Pole!
#siamstr
#siamstrOG
#wherostr
View quoted note →