| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 19:11:16 (+0700) | #391 | 244866 |
![[Avatar]](/hvaonline/images/avatar/ecd5b6ed957095d3f3e26a952f61414a.png "[Avatar]")
|
crc32
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 03/10/2008 21:56:29
Messages: 31
Offline
|
|
cino wrote:
....
Đấy là chưa kể các Hệ điều hành 10k/disk bán ngoài chợ, lâu lâu lại phòi ra 1 chú "quản trị cấp hệ thống" hù chơi. Thảm hoạ chẳng kém gì "Da nâu" của dòng nhạc Việt 
- Em cũng đang sài Hệ Điều Hành 6k đó anh, anh có thể chỉ em làm cách nào để phát hiện chú "quản trị cấp hệ thống" để em góp phần tiêu diệt đám stl?
|
|
|
 |
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 20:15:41 (+0700) | #392 | 244867 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Ngày hôm nay, backgrounds.jpg tại http://net.iadze.com/backgrounds.jpg lại thay đổi, cường độ tấn công vào danlambaovn.blogspot.com tăng mạnh hơn:
Code:
1. GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
http://danlambaovn.blogspot.com
2. GET / HTTP/1.1\r\nHost: www.dangvannham.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
http://www.dangvannham.com
3. GET / HTTP/1.1\r\nHost: bienxua.over-blog.fr\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
http://bienxua.over-blog.fr
4. GET /f/index.php HTTP/1.1\r\nHost: www.hanoihot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
http://www.hanoihot.com
/f/index.php
5. GET / HTTP/1.1\r\nHost: www.aihuuphuyen.org\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
http://www.aihuuphuyen.org
6. GET / HTTP/1.1\r\nHost: nguoiduatinkami.wordpress.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive\r\nReferer: http://nguoiduatinkami.wordpress.com/
http://nguoiduatinkami.wordpress.com
7. GET / HTTP/1.1\r\nHost: vrvradio.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
http://vrvradio.com
8. GET /dan_lam_bao_07082011/latest.rss HTTP/1.1\r\nHost: danlambaovn.disqus.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
http://danlambaovn.disqus.com
/dan_lam_bao_07082011/latest.rss
9. GET /dan_lam_bao_thong_bao_khan_cap_ca_tiep_tuc_bat_bo_nguoi_cong_giao_tai_vinh/latest.rss HTTP/1.1\r\nHost: danlambaovn.disqus.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
http://danlambaovn.disqus.com
/dan_lam_bao_thong_bao_khan_cap_ca_tiep_tuc_bat_bo_nguoi_cong_giao_tai_vinh/latest.rss
10. GET /dan_lam_bao_toi_phai_noi_toi_phai_gao/latest.rss HTTP/1.1\r\nHost: danlambaovn.disqus.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
http://danlambaovn.disqus.com
/dan_lam_bao_toi_phai_noi_toi_phai_gao/latest.rss
Host second.dinest.net lại được stl đánh thức dậy để hoạt động.
xc.jpg tại: http://second.dinest.net/xc.jpg (User-Agent: An0nym0453) đã thay đổi cách mã hoá, nên tool decode lúc trước sẽ không decode hết được. Đang chờ đợi acoustics89 RE và cập nhật tool decode. |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 21:31:19 (+0700) | #393 | 244874 |
micros3ll
Member
|
|
0 |
|
|
Joined: 12/07/2011 19:32:16
Messages: 2
Offline
|
|
Decode xc.jpg
Code:
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" rootURI="/" uri="/hvaonline/forums/list.html" keepCookies="1" crawling="1" referer="/tof/"/>
Ngưng DDoS hva !?
Vẫn mã hoá vậy thôi, việc thay đổi mã hoá cần mẫu mới thì mới có thể thực hiện (thay hẳn file, hoặc dùng mẫu khác Inject lại Code khác...). Code vậy anh TQN chế hoài ah... (~,~). Track của mình cũng cập nhật thay đổi của các site này. Nhưng rõ ràng là còn các mẫu khác chưa được phát hiện... Cuộc chiến còn dài, há há.
s3ll mong anh Conmale up lên một vài đoạn *.log web và firewall để tham khảo nha. s3ll cũng muốn phân tích thêm các *.log này. Nếu không tiện anh Conmale gửi riêng cho s3ll qua tin nhắn hoặc mail... Thanks ! |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 21:40:37 (+0700) | #394 | 244875 |
acoustics89
Member
|
|
0 |
|
|
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
|
|
TQN wrote:
Host second.dinest.net lại được stl đánh thức dậy để hoạt động.
xc.jpg tại: http://second.dinest.net/xc.jpg (User-Agent: An0nym0453) đã thay đổi cách mã hoá, nên tool decode lúc trước sẽ không decode hết được. Đang chờ đợi acoustics89 RE và cập nhật tool decode.
em tưởng anh TQN bảo code giải mã file TOP, em post rồi đấy, còn cái kia thì vẫn decode bình thường mà, có lỗi gì đâu |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 22:49:09 (+0700) | #395 | 244879 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Ừ, lạ ha ! Sao giờ decode lại được, lúc chiều wget về thì decode không được ?
Cảm ơn acoustics89 nhé !
À anh quên mất, hồi đó em có PM cho anh, anh xoá mất rồi. Mẫu nào download thằng top.jpg từ http://penop.net/top.jpg ?
Sẵn tiện acoustics89 xem lại hàm decode top.jpg của em luôn nhé, anh build hay dựa trên nó viết script đều decode không ra. |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 23:59:23 (+0700) | #396 | 244883 |
acoustics89
Member
|
|
0 |
|
|
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
|
|
TQN wrote:
Ừ, lạ ha ! Sao giờ decode lại được, lúc chiều wget về thì decode không được ?
Cảm ơn acoustics89 nhé !
À anh quên mất, hồi đó em có PM cho anh, anh xoá mất rồi. Mẫu nào download thằng top.jpg từ http://penop.net/top.jpg ?
Sẵn tiện acoustics89 xem lại hàm decode top.jpg của em luôn nhé, anh build hay dựa trên nó viết script đều decode không ra.
thuật toán decode thì đoạn này là quan trọng nhất, em decode ra 1 xâu unicode nhưng mà làm vội nên cứ để nguyên thế mà ném vào file txt, anh mở ra thì thấy nó có khoảng cách, dùng tạm cũng được.
mẫu tải top là googlecrashhandler, từ đâu chắc anh vẫn nhớ 
Code:
fseek(f, 0, SEEK_END);
lSize = ftell(f);
fseek(f, 0, SEEK_SET);
pBuffer =(char*) malloc(lSize+1024);
if(pBuffer)
{
p = (char *)pBuffer+ 4;
memset(pBuffer, 0, lSize+1024);
fread((char*)pBuffer, lSize, 1, f);
for ( i = 8; i < lSize; ++i )
{
v24 = p[v7 % 4];
v23 = pBuffer[i];
v23 = (v24 ^ v23) % 256;
pBuffer[i] = v23;
v7++;
//v8 += v23 * v7++ % 7;
}
}
fclose(f);
|
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
11/08/2011 10:08:24 (+0700) | #397 | 244892 |
![[Avatar]](/hvaonline/images/avatar/089f41810321eefc3f4eef5d4a388e42.png "[Avatar]")
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Nhiều anh em muốn "biết mặt" mớ logs DDoS HVA quá nên tớ post lên vài chuỗi cho anh em coi chơi.
1. Dạng referer "/" với hàng loạt User-Agent thay đổi:
Code:
113.160.40.198 - - [19/Jul/2011:22:47:19 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15"
113.160.40.198 - - [19/Jul/2011:22:48:54 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
113.160.40.198 - - [19/Jul/2011:22:59:57 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8"
113.160.40.198 - - [19/Jul/2011:23:01:37 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.160.40.198 - - [19/Jul/2011:23:04:44 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; Windows NT 5.2; zh-TW; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8"
113.160.40.198 - - [19/Jul/2011:23:06:19 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15"
113.160.40.198 - - [19/Jul/2011:23:07:54 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; Windows NT 5.2; zh-TW; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8"
113.160.40.198 - - [19/Jul/2011:23:09:25 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100809 Fedora/3.6.7-1.fc14 Firefox/3.6.7"
113.160.40.198 - - [19/Jul/2011:23:12:36 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.2.7) Gecko/20100713 Firefox/3.6.7 (.NET CLR 3.5.30729)"
113.160.40.198 - - [19/Jul/2011:23:14:11 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)"
113.160.40.198 - - [19/Jul/2011:23:17:21 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00"
113.160.40.198 - - [19/Jul/2011:23:20:32 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0"
113.160.40.198 - - [19/Jul/2011:23:22:07 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.0; Trident/4.0; InfoPath.1; SV1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 3.0.04506.30)"
2. Dạng referer "/hvaonline/forums/list.html" cũng với hàng loạt User-Agent thay đổi:
Code:
113.160.40.34 - - [19/Jul/2011:04:03:46 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (Windows; U; Windows NT 6.0; nl; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6"
113.160.40.34 - - [19/Jul/2011:04:05:21 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.2; SLCC1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 2.0.50727)"
113.160.40.34 - - [19/Jul/2011:04:06:56 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.160.40.34 - - [19/Jul/2011:04:08:31 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.160.40.34 - - [19/Jul/2011:04:10:06 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (Windows; U; MSIE 9.0; WIndows NT 9.0; en-US))"
113.160.40.34 - - [19/Jul/2011:04:11:41 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; Media Center PC 4.0; SLCC1; .NET CLR 3.0.04320)"
113.160.40.34 - - [19/Jul/2011:04:13:11 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.160.40.34 - - [19/Jul/2011:04:14:46 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15, "
113.160.40.34 - - [19/Jul/2011:04:16:21 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)"
113.160.40.34 - - [19/Jul/2011:04:18:01 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00"
113.160.40.34 - - [19/Jul/2011:04:19:31 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 CentOS/3.6-3.el5.centos Firefox/3.6.7"
113.160.40.34 - - [19/Jul/2011:04:21:09 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)"
113.160.40.34 - - [19/Jul/2011:04:22:42 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00"
113.160.40.34 - - [19/Jul/2011:04:24:17 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; Media Center PC 4.0; SLCC1; .NET CLR 3.0.04320)"
113.160.40.34 - - [19/Jul/2011:04:25:52 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; Media Center PC 6.0; InfoPath.2; MS-RTC LM 8)"
113.160.40.34 - - [19/Jul/2011:04:27:27 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15, "
113.160.40.34 - - [19/Jul/2011:04:29:02 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00"
113.160.40.34 - - [19/Jul/2011:04:30:37 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; Media Center PC 6.0; InfoPath.3; MS-RTC LM 8; Zune 4.7)"
113.160.40.34 - - [19/Jul/2011:04:32:07 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
113.160.40.34 - - [19/Jul/2011:04:33:42 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; Media Center PC 4.0; SLCC1; .NET CLR 3.0.04320)"
3. Dạng "đánh" trực tiếp với JSSESSIONID kèm theo và không có referer:
Code:
113.172.82.238 - - [04/Aug/2011:12:41:30 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:41:33 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:41:40 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:41:42 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.162.86.251 - - [04/Aug/2011:12:41:44 +0200] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 CentOS/3.6-3.el5.centos Firefox/3.6.7"
113.172.82.238 - - [04/Aug/2011:12:41:47 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:42:05 +0200] "GET /hvaonline/forums/show/31.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
157.55.112.210 - - [04/Aug/2011:12:43:00 +0200] "GET /hvaonline/user/profile/207459.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; WOW64; Trident/5.0)"
209.131.36.219 - - [04/Aug/2011:12:43:01 +0200] "GET /hvaonline/posts/list/27555.html;jsessionid=377F92127EBC7057241C547F8A3D5E5B HTTP/1.1" 403 2108 "-" "-"
113.172.82.238 - - [04/Aug/2011:12:43:17 +0200] "GET /hvaonline/posts/list/39694.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:43:20 +0200] "GET /hvaonline/posts/list/39694.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
4. Đạng đánh vô trang chủ (/) không cần có referer:
Code:
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:41 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:41 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
5. Dạng giả mạo "crawler" thứ thiệt:
Code:
190.14.250.118 - - [03/Aug/2011:21:08:07 +0200] "GET /hvaonline/forums/show/31.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
175.111.89.16 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/23.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
203.189.89.153 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/31.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
203.189.89.153 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/31.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
203.189.89.153 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/19.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
175.111.89.16 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/23.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
201.49.209.206 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
203.189.89.153 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/show/19.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/show/50.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:10 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:10 +0200] "GET /hvaonline/forums/show/50.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:10 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:10 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/show/19.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
118.98.232.132 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
175.100.114.170 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/show/19.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
202.91.88.200 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/show/31.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
95.170.208.138 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/show/50.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
118.97.237.109 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
95.170.208.138 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/forums/show/50.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/posts/list/14876.html#88643 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
175.100.114.170 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
118.97.237.109 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/posts/list/39654.html#244533 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)
"
6. Dạng sử dụng referer "/tof/" để access trang chủ và forum:
Code:
117.2.133.220 - - [10/Aug/2011:05:55:49 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00"
117.2.133.220 - - [10/Aug/2011:05:55:49 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefo
x/3.6.6"
117.2.133.220 - - [10/Aug/2011:05:55:49 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefo
x/3.6.6 (.NET CLR 3.5.30729)"
118.71.104.37 - - [10/Aug/2011:06:02:53 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100809 Fe
dora/3.6.7-1.fc14 Firefox/3.6.7"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ub
untu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ub
untu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 Cent
OS/3.6-3.el5.centos Firefox/3.6.7"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ub
untu/10.04 (lucid) Firefox/3.6.6 (.NET CLR 3.5.30729)"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ub
untu/10.04 (lucid) Firefox/3.6.6"
222.254.71.201 - - [10/Aug/2011:06:42:14 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firef
ox/3.6.6 (.NET CLR 3.5.30729)"
222.254.71.201 - - [10/Aug/2011:06:42:14 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firef
ox/3.6.6 GTB7.1"
222.254.71.201 - - [10/Aug/2011:06:42:14 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00"
58.187.43.64 - - [10/Aug/2011:08:44:25 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fed
ora/3.6.7-1.fc13 Firefox/3.6.7"
222.252.147.137 - - [10/Aug/2011:09:24:06 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.
62 Version/11.00"
222.252.147.137 - - [10/Aug/2011:09:24:06 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628
Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.22.144.231 - - [10/Aug/2011:10:40:50 -0500] "GET /toforum HTTP/1.1" 403 861 "/" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.107 Safari
/535.1"
113.169.217.196 - - [10/Aug/2011:11:08:52 -0500] "GET /tof/ HTTP/1.1" 403 861 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; BTRS35926; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.3072
9; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3)"
113.169.217.196 - - [10/Aug/2011:11:08:52 -0500] "GET /tof/ HTTP/1.1" 403 861 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; BTRS35926; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.3072
9; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3)"
Nói chung là chỉ bấy nhiêu thứ. Cứ lòng vòng hết referer này đến User-Agent kia. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
11/08/2011 15:41:22 (+0700) | #398 | 244912 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Vừa phát hiện một botnet khác sử dụng User-Agent "Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com)". Sau đây là danh sách 300 IP dữ dằn nhất (chủ yếu là từ VN). Nếu anh chị em nào thấy có IP của mình nằm trong danh sách này, xin vui lòng liên hệ trực tiếp với tôi qua PM. Cám ơn.
113.160.101.152
113.160.110.89
113.160.111.68
113.160.112.43
113.160.148.100
113.160.24.98
113.160.3.158
113.160.62.142
113.161.144.221
113.161.144.222
113.161.161.249
113.162.118.128
113.162.120.225
113.162.120.35
113.162.136.65
113.162.137.26
113.162.201.143
113.162.203.171
113.162.218.73
113.162.221.140
113.162.237.57
113.162.248.116
113.162.248.176
113.162.248.209
113.162.64.100
113.162.64.97
113.162.88.154
113.162.92.184
113.162.92.60
113.162.96.16
113.162.96.202
113.162.96.22
113.162.96.26
113.162.96.44
113.165.11.90
113.165.183.227
113.165.185.149
113.165.210.208
113.165.213.239
113.165.222.43
113.165.223.100
113.165.243.169
113.165.244.36
113.165.244.57
113.165.253.240
113.166.13.192
113.166.134.90
113.166.174.89
113.166.19.140
113.166.212.203
113.166.62.66
113.166.77.219
113.167.102.164
113.167.102.49
113.167.106.144
113.167.109.203
113.167.111.21
113.167.112.209
113.167.117.124
113.167.1.20
113.167.123.181
113.167.123.73
113.167.126.44
113.167.144.170
113.167.153.122
113.167.153.205
113.167.168.19
113.167.168.5
113.167.178.245
113.167.202.192
113.167.207.47
113.167.208.253
113.167.209.21
113.167.209.94
113.167.2.65
113.167.3.191
113.167.39.145
113.167.94.141
113.168.106.93
113.168.110.22
113.168.111.184
113.168.11.154
113.168.113.127
113.168.125.98
113.168.156.238
113.168.183.7
113.168.187.180
113.168.188.65
113.168.189.45
113.168.213.248
113.168.223.169
113.168.223.193
113.168.236.10
113.168.30.104
113.168.5.124
113.168.69.212
113.168.78.218
113.168.81.193
113.168.90.12
113.168.93.111
113.171.100.89
113.171.105.139
113.171.107.41
113.171.108.66
113.171.133.9
113.171.144.115
113.171.152.147
113.171.169.241
113.171.170.46
113.171.194.29
113.171.48.221
113.171.51.30
113.171.55.96
113.171.61.79
113.171.63.254
113.172.153.174
113.172.164.11
113.172.48.198
113.178.15.8
113.178.27.56
113.179.226.57
113.179.70.3
113.179.7.178
113.179.88.201
113.185.2.158
113.185.2.164
113.185.2.172
113.190.0.204
113.190.133.37
113.190.160.27
113.190.161.137
113.190.16.114
113.190.162.127
113.190.169.15
113.190.181.3
113.190.19.33
113.190.196.218
113.190.238.11
113.190.32.86
113.190.35.165
113.190.4.25
113.190.53.176
113.190.63.215
113.190.72.251
113.190.81.18
113.190.81.42
113.190.82.143
113.190.83.169
113.190.83.196
113.190.84.4
113.190.87.58
113.190.88.183
113.190.92.37
113.190.95.27
113.22.118.5
113.22.2.133
113.22.24.212
113.22.50.216
113.22.61.106
113.22.80.244
115.72.230.84
115.73.230.165
115.73.36.67
115.74.125.27
115.78.12.116
115.78.232.189
116.118.63.28
117.0.173.228
117.0.20.186
117.2.60.13
117.2.60.15
117.4.156.191
117.4.156.227
117.4.157.229
117.4.46.198
117.4.59.90
117.4.94.87
117.6.135.123
117.6.2.245
118.46.118.141
118.68.199.51
118.68.221.147
118.68.43.5
118.68.44.69
118.69.224.56
118.69.35.89
118.69.74.4
118.70.127.31
118.70.131.212
118.71.109.141
118.71.147.27
118.71.190.145
118.71.23.52
118.71.29.134
118.71.51.231
118.71.58.34
119.194.59.186
121.132.61.222
123.16.104.109
123.16.107.131
123.16.118.44
123.16.119.204
123.16.119.222
123.16.12.227
123.16.161.157
123.16.163.186
123.16.167.160
123.16.173.104
123.16.202.192
123.16.204.12
123.16.208.16
123.16.220.39
123.16.221.66
123.16.222.150
123.16.223.194
123.16.25.196
123.16.72.11
123.16.74.131
123.16.76.131
123.16.96.125
123.17.139.76
123.17.145.91
123.17.152.29
123.17.153.62
123.17.157.44
123.17.158.58
123.17.159.33
123.17.188.180
123.17.192.203
123.17.229.208
123.17.255.238
123.18.112.145
123.18.123.152
123.18.134.33
123.18.146.128
123.18.146.77
123.18.150.246
123.18.178.213
123.18.188.154
123.18.221.129
123.18.244.132
123.18.77.19
123.18.79.158
123.18.82.16
123.19.173.118
123.19.21.117
123.19.251.146
123.19.255.141
123.19.27.218
123.19.46.44
123.20.164.93
123.20.197.131
123.20.228.191
123.20.232.191
123.20.39.120
123.20.54.148
123.21.139.77
123.21.253.65
123.22.166.41
123.23.32.237
123.24.108.235
123.24.110.140
123.24.112.193
123.24.131.81
123.24.140.129
123.24.19.212
123.24.194.103
123.24.202.22
123.24.208.85
123.24.216.224
123.24.219.41
123.24.233.147
123.24.233.167
123.24.235.62
123.24.240.27
123.24.31.84
123.24.33.207
123.24.35.215
123.24.50.183
123.24.5.233
123.24.63.147
123.24.63.228
123.24.8.162
123.24.9.69
123.25.238.45
123.26.140.28
123.26.147.184
123.26.193.95
123.26.253.11
123.26.30.194
123.26.45.234
123.26.53.224
123.26.54.142
123.26.70.130
123.26.70.169
123.26.71.234
123.26.94.131
123.27.112.92
123.27.12.87
123.27.144.40
123.27.153.165
123.27.158.162
123.27.182.142
123.27.190.31
123.27.211.24
123.27.221.92
123.27.226.190
123.27.28.138
123.27.32.33
123.27.75.235
123.27.77.254
123.27.80.5
123.30.9.250
14.160.52.134
1.53.61.68
1.55.132.7
1.55.18.55
1.55.221.175
1.55.223.131
1.55.9.53
175.215.110.55
180.10.34.227
183.182.127.28
183.81.56.218
183.81.75.61
183.91.12.221
183.91.2.142
183.91.4.249
183.91.4.72
183.91.7.64
202.151.164.52
203.162.168.103
203.210.152.170
203.210.155.214
203.210.204.52
221.185.92.211
222.252.101.156
222.252.103.132
222.252.106.152
222.252.107.118
222.252.108.39
222.252.113.177
222.252.113.40
222.252.115.72
222.252.118.246
222.252.137.50
222.252.147.184
222.252.171.124
222.252.196.215
222.252.198.194
222.252.198.32
222.252.213.195
222.252.215.205
222.252.215.62
222.252.217.88
222.252.223.2
222.252.24.121
222.253.77.101
222.254.103.6
222.254.104.232
222.254.11.179
222.254.12.105
222.254.126.34
222.254.140.91
222.254.141.186
222.254.18.243
222.254.25.224
222.254.4.63
222.254.4.69
222.254.58.23
222.254.61.193
222.254.64.179
222.254.72.102
222.254.73.232
222.254.76.76
222.254.82.226
222.254.8.38
222.255.6.83
27.2.102.103
27.74.131.21
27.74.66.222
42.118.232.59
42.119.231.218
58.186.16.128
58.187.111.253
58.187.56.20
58.187.96.164
66.110.121.148
71.21.15.74 |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
11/08/2011 18:02:14 (+0700) | #399 | 244923 |
ivanst
Member
|
|
0 |
|
|
Joined: 18/06/2007 11:36:11
Messages: 20
Offline
|
|
| Làm * mà biết đc IP đó là của mình khi đang xài IP động hả anh COM . Lúc sáng + trưa nay site bị ddos hả anh em bấm vào forum chờ dài cổ ko vào đc . |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
11/08/2011 18:33:14 (+0700) | #400 | 244925 |
mv1098
Member
|
|
0 |
|
|
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
|
|
@ivanst : nếu modem của bạn không bị reset thì ip vẫn giữ nguyên tính đến thời điểm anh conmale post danh sách ip trên.
bạn có thể vào trang web http://whatismyipaddress.com/ để biết ip của mình
|
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
13/08/2011 21:46:30 (+0700) | #401 | 245012 |
![[Avatar]](/hvaonline/images/avatar/4dd20f1e87dfb889bc97230e2c87c6a5.png "[Avatar]")
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
softforpc wrote:
Anh PXMMRF, cho em hỏi cái phần mềm anh dùng ở hình 6a để theo dõi connections có tên là gì vậy?
ở hình 6a thì đó không phải là Wireshark. Tôi không rõ chính xác ứng dụng mà bác PXMMRF dùng, nhưng có thứ tương đương là TCPView của sysinternals ( đã bị Microsoft mua lại ), kết hợp thêm Process explorer cũng của sysinternals thì bồ sẽ có 1 bộ toolbox khá tốt để nhanh chóng nhận định sự tồn tại của một process lạ đang cố tạo các kết nối mạng đáng ngờ |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
13/08/2011 23:10:58 (+0700) | #402 | 245014 |
![[Avatar]](/hvaonline/images/avatar/bb4761f6930cc9ff78bf5649916955d0.jpeg "[Avatar]")
|
stylish_man
Member
|
|
0 |
|
|
Joined: 26/10/2007 11:05:48
Messages: 17
Offline
|
|
Chà lơ ngơ thế nào máy mình lại nhiễm mớ sandboxies, đang SYN request mấy trang blog rầm rầm thế này
Huhu bắt đền anh TQN |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
14/08/2011 07:18:02 (+0700) | #403 | 245016 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
stylish_man wrote:
Chà lơ ngơ thế nào máy mình lại nhiễm mớ sandboxies, đang SYN request mấy trang blog rầm rầm thế này
Huhu bắt đền anh TQN
Mèn, sao lại đòi TQN đền là sao? Chính bồ "lơ ngơ" mà lại đòi bắt đền người khác. Thôi thì cứ theo những hướng dẫn trong chủ đề này mà diệt mớ malware đó. Cách dễ nhất là download Avira và dùng nó để remove mớ malware này. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
14/08/2011 08:53:36 (+0700) | #404 | 245017 |
cino
Member
|
|
0 |
|
|
Joined: 29/11/2010 00:50:44
Messages: 37
Offline
|
|
crc32 wrote:
- Em cũng đang sài Hệ Điều Hành 6k đó anh, anh có thể chỉ em làm cách nào để phát hiện chú "quản trị cấp hệ thống"
{spam}
Hì. Vừa đây mình có cài để test bản Windows server 2008 32bit lên virtualbox, đĩa hàng chợ của một ông bạn làm cùng. Nó tự xuất hiện trong "User Panel" luôn nên không cần "cheat" gì phức tạp. Username là
"fengge" nâng quyền từ Standard lên Administrator. Mình thử cài KAV 6.0 (bản server) quyét thì có ra 1 mớ trojan và đã diệt được, nhưng 1 thời gian sau "fengge" lại xuất hiện (sau khi bị mình xoá). Không biết có phải trên môi trường virtualization thì KAV chạy không tốt hay không. Cuối cùng, theo bản năng, mình đập luôn cái VM đó để sau này khỏi lăn tăn...
crc32 wrote:
....để em góp phần tiêu diệt đám stl?
À, ý là mình là do tiện thể nói đến những nguồn malware khả dĩ ở VN thôi, chứ chắc đám "STL" gì gì đó không liên quan tới nguồn này. Hihi
{/spam} |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
14/08/2011 09:08:58 (+0700) | #405 | 245019 |
whitesnow19
Member
|
|
0 |
|
|
Joined: 08/10/2010 03:42:19
Messages: 54
Offline
|
|
Các anh xem thử domain sau có gì không nhé. Thằng AvastSvc.exe của em máy ngày nay toàn kết nối với nó thôi. Mỗi lần có gần chục kết nối.
causig1.cau.edu
Chương trình antiVirus mà kết nối tới .edu???? |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
15/08/2011 09:16:29 (+0700) | #406 | 245038 |
![[Avatar]](/hvaonline/images/avatar/bafeb4a5e55b0402ccc220395122249d.jpg "[Avatar]")
|
insanity
Member
|
|
0 |
|
|
Joined: 20/02/2011 00:20:38
Messages: 17
Offline
|
|
| không biết tại sao sáng nay lúc gần 10h sáng em không thể truy cập vào vietnamnet và hva , chú conmale hiện nay hva còn bị DDOS không chú |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
15/08/2011 10:04:12 (+0700) | #407 | 245041 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Sau mấy ngày đi miền Tây về, sáng nay kiểm tra các file ra lệnh DDOS của stl, thấy có một số điều cần post sau:
1. File backgrounds.jpg http://net.iadze.com/backgrounds.jpg:
Code:
http://danlambaovn.blogspot.com
http://www.aihuuphuyen.org
http://nguoiduatinkami.wordpress.com
http://vrvradio.com
http://danlambaovn.disqus.com
http://aotrangoi.com
http://viettan.org
http://dangviettan.wordpress.com
http://radiochantroimoi.com
http://radiochantroimoi.wordpress.com
http://bandoclambao.wordpress.com
Backgrounds.jpg đã bổ sung thêm một số website "lề trái" khác để DDOS.
2. Server: second.dinest.net không respond = "WTF" nữa, lần này lại tiếp tục trả về hai file xv.jpg và xc.jpg:
xv.jpg: 2011-08-15 04:47:58
xc.jpg
Code:
<targets>
<item enabled="1" threads="5" delay="2" method="GET" protocol="http" host="www.hvaonline.net" port="80" rootURI="/" uri="/hvaonline/forums/list.html" keepCookies="1" crawling="0" referer="/tof/">
<runners>
<item uri="/" referer=""/>
<item uri="/toforum" referer="/"/>
<item uri="/hvaonline/forums/list.html" referer="/tof/"/>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.x-cafevn.org" port="80" uri="/" keepCookies="1" crawling="0" referer=""/>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.tienve.org" port="80" uri="/" keepCookies="1" crawling="0" referer=""/>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.viettan.org" port="80" uri="/" keepCookies="1" crawling="0" referer=""/>
</runners>
</item>
</targets>
HVA ta vẫn tiếp tục bị DDOS. Thòng thêm x-cafevn.org, tienve.org, viettan.org. Theo ý của tôi thì lần này ngoài mục đích chính là HVA, con AcrobatUpdater.exe mới còn đánh thêm một loạt các website # đặt chung trên cùng server của HVA. Ý đồ là muốn cho cả server này sụp ????
Phải nói là em quá ngán ngẫm với mấy anh stl này rồi, lạy mấy anh đấy, mấy anh quá lỳ lợm, chai mặt, không biết xấu hổ vừa vừa chứ ! Mấy anh cứ tìm mọi cách che dấu, bưng bít thông tin đối với người dân Viet Nam ta à. Chắc mấy anh muốn chiến tranh nổ ra mà mọi người dân không biết để không kịp đề phòng, để mất nước à ?
PS: Xuống miền Tây đi đám, tình cờ ngồi chung bàn với một ông công an tỉnh của một tỉnh miền Tây, ổng nói một câu: Sáng giờ phải chạy lo tiếp cái đám công an Trùng Khánh TQ qua giao lưu kết nghĩa. Em không nói gì, chỉ thán một câu: hết biết ????????????????????????????? |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
15/08/2011 11:04:38 (+0700) | #408 | 245042 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Hồi sáng đột nhiên "lũ quỷ" lại xuất hiện. Tuy nhiên không có tác hại gì mấy. Ai đó không vô được diễn đàn có lẽ do firewall thuộc nhánh bên Đức bị sự cố. Đã fixed xong sự cố đó. Phải công nhận các bạn STL tiền của, thời gian rất phong phú  . Ước gì thời gian và tiền bạc đó dùng để giúp cho người nghèo khó, già yếu, bệnh tật thì hay biết mấy. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
15/08/2011 11:37:58 (+0700) | #409 | 245043 |
mv1098
Member
|
|
0 |
|
|
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
|
|
Tim em mới hóng được
VietNamNet bị DDoS thê thảm, Tuần Việt Nam thì toàn giun với dế
Bro TQN thử check xem bọn STL có làm không nhé |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
15/08/2011 12:00:44 (+0700) | #410 | 245046 |
hivikoro
Member
|
|
0 |
|
|
Joined: 29/10/2007 13:56:54
Messages: 2
Offline
|
|
| tình hình là em thấy Vietnamnet.vn bị Ddos gần như tê liệt lun , 12h58' |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
15/08/2011 12:57:00 (+0700) | #411 | 245048 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Chắc chắn stl vẫn còn ít nhất là 1 botnet khác chưa bị phát hiện. Chắc chắn các zombies vẫn còn nhiễm một thứ tương tự như "AcrabatUpdater.exe". Từ cuối 2009 đến nay, các bạn stl đã spam quá nhiều .exe giả .doc và hàng chục (nếu như không phải hàng trăm ngàn) em bị dính chấu.
PS: các bạn bên vietnamnet nếu cần góp ý kỹ thuật, xin liên hệ trực tiếp với tôi qua PM. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
15/08/2011 13:19:12 (+0700) | #412 | 245050 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Hiện tại chúng ta vẫn chưa biết được mạng bot net nào khác của stl đang được lệnh DDOS Vietnamnet. Và User-Agent Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com) của HTTP GET request của con bot nằm vùng trên máy nạn nhân cũng chưa xác định được.
Năm ngoái, mẫu: GoogleCrashHandler.exe chính là bot nằm vùng của stl để DDOS VietnamNet.
Trên máy bạn nào có GoogleCrashHandler.exe vui lòng upload lên giùm để các anh em khác phân tích, kiểm tra. Hoặc bạn cũng có thể dùng Wireshark hay SmartSniff để monitor xem nó connect về đâu lấy thông tin DDOS, đang DDOS bằng HTTP protocol vào website nào ?
Dưới đây là đoạn 010Editor script nhỏ để decode file top.jpg và flash.swf mà GoogleCrashHandler tải về để tiếp tục download con bot AcrobatUpdater.exe
Code:
//----------------------------------------------------------------------------
//--- 010 Editor v3.2 Script File
//
// File: DecodeTopJpg.1sc
// Author: ThangCuAnh (TQN)
// Revision: 1.0
// Purpose: Decode file top.jpg downloaded from http://penop.net/top.jpg
// This file can decode fake flash file downloaded from http://poxxf.com/flash.swf too.
//--------------------------------------------------------------------------------------------------
int i, j, size = FileSize();
if (size <= 0)
{
MessageBox(idOk, "DecodeTopJpg", "No file loaded or file empty.");
return -1;
}
// Modify from 8th byte
for (i = 8, j = 0; i < size; i++, j++)
{
// Modify the current byte
WriteUByte(i, ReadUByte(i) ^ ReadUByte(4 + j % 4));
}
Cảm ơn các bạn ! |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
15/08/2011 13:59:03 (+0700) | #413 | 245051 |
aminhan
Member
|
|
0 |
|
|
Joined: 27/10/2004 20:13:48
Messages: 12
Offline
|
|
| Mình dùng Everything kiếm được 1 file & có file khác có tên giống giống vậy |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
15/08/2011 14:21:27 (+0700) | #414 | 245054 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Cảm ơn aminhan ! File của bạn là file sạch, của Google.
Các file sạch ta có thể kiểm tra bằng cách: right click - Properties. Nếu có Tab "Digital Signatures" và trong Signature list là các công ty signer hợp lệ thì file đó 99% là sạch.
Các file mạo danh của stl sẽ không có Digital Signature (chữ ký số). |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
15/08/2011 14:32:05 (+0700) | #415 | 245056 |
aminhan
Member
|
|
0 |
|
|
Joined: 27/10/2004 20:13:48
Messages: 12
Offline
|
|
TQN wrote:
Cảm ơn aminhan ! File của bạn là file sạch, của Google.
Các file sạch ta có thể kiểm tra bằng cách: right click - Properties. Nếu có Tab "Digital Signatures" và trong Signature list là các công ty signer hợp lệ thì file đó 99% là sạch.
Các file mạo danh của stl sẽ không có Digital Signature (chữ ký số).
Thanks TQN. Vì mấy hôm trước thấy máy tính có nhiễm AcrobatUpdater.exe nhưng theo hướng dẫn nên delete nó hết rồi, chỉ sợ hôm nay lại bị. |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
15/08/2011 15:49:51 (+0700) | #416 | 245060 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
He he, mấy bạn stl chơi trò chém gió "bullshit" khi liệt kê hvaonline.net và tienve.org chung với viettan.org và x-cafevn.org. Cái botnet của mấy bạn gãi chưa ngứa nổi HVA thì bày đặt chêm thêm mấy cái site kia vô làm chi? Phân tán DDoS kiểu như vậy thì chết ai? Các bạn nhứ nhứ cái tên x-cafevn.org và viettan.org là để bu lu ba loa rằng hvaonline.net cũng một giuộc với mấy site kia?  . Cái này đúng là "bullshit" vì mới hồi nãy tớ lấy đăng nhập của server x-cafe để coi thử cái log thì thấy mấy bạn "đấm" x-cafe toàn bằng cái mớ "Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com)" ngút ngàn kia. Cái này chứng tỏ mấy bạn còn ít nhất 1 cái botnet ở đâu đó. Từ từ khoai sẽ nhừ thôi. Thiên hạ bây giờ quá rành cái trò chôm pass của mấy bạn cho nên gặt hái cũng ế ẩm, mấy cái mailbox thu hoạch cũng bị lộ tẩy cho nên càng thê thảm. Bởi vậy các bạn quay qua chơi trò ném đá (đốt) phải không nào?
Nói thiệt, đôi khi tớ thầm mong các bạn chỉ là một vài thằng nhãi thừa thời gian, lắm tiền của và thích bảo vệ niềm tin chớ chẳng phải là tà lọt của lực lượng nào. Có vậy thì đỡ ê chề bởi vì nếu một lực lượng nào mà dung dưỡng để các bạn làm toàn là những trò bỉ ổi và ti tiện thì không có cách nào tổ chức đó tốt đẹp được. Những người như mấy bạn có lẽ chẳng biết quái gì là lý lẽ, sự thật và đạo đức. Chính vì vậy, cho dù có tàn phá thiên hạ, các bạn không bao giờ lên tới đỉnh điểm của sự phá hoại cùng cực bởi vì tri thức và trí thức của các bạn chỉ tới mức đó là hết. Cứ loay hoay mãi với mấy cái trò compression, socks, encrypt, xor... và cũng chỉ có bấy nhiêu thứ trong file xml. Các bạn không biết rằng tận cùng của bất cứ encryption nào đi chăng nữa cũng sẽ là cleartext ở điểm nào đó. Tận cùng của client / server (để đốt) thì cũng có những client sẽ lộ và client mà lộ thì server cũng đi tong.
Các bạn quá bế tắc và quá trễ rồi. Đi từ chỗ một lực lượng "bí ẩn" với cái "lệnh bài" bí hiểm thì nay trước dư luận, các bạn chỉ là một đám đầu trộm đuôi cướp, lừa đảo, lường gạt và phá hoại trên mạng ảo. Từ lúc các bạn tấn công HVA đến nay, các bạn đã bị tổn thất những gì? Hãy tự mà kiểm lại. Tự nhìn lại mình và những hành động đã làm nếu các bạn còn một chút lương tri và đạo đức.
PS: tớ phải nói thật là tớ rất buồn khi khám phá ra một số chi tiết dính líu đến một số thành viên HVA (hoặc đã từng là thành viên của HVA) cũng thuộc đám phá hoại này nhưng không sao, một cái cây còn có cành cao, cành thấp, lá xanh, lá sâu mà huống hồ chi mạng ảo tạp nham? |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
15/08/2011 20:38:18 (+0700) | #417 | 245074 |
Nowhereman
Elite Member
|
|
0 |
|
|
Joined: 19/11/2003 06:25:42
Messages: 108
Offline
|
|
a) thực ra những người đang âm thầm tiến hành DDOS HVA và một số site mà họ tưởng là " lề trái","phản động"; là những người rất đáng thương hại vì những lý do sau - > họ không đủ kiến thức và hiểu biết tối thiểu để nhận thức được giá trị tự do của mỗi cá nhân con người trong đó cụ thể là họ. điều này cũng dễ hiểu vì cả đời từ khi sinh ra cho đên lúc lớn lên; từ đời ông tổ của họ đều chỉ biết đến miếng cơm manh áo, dạ vâng, tuân lệnh " cấp trên"; ngoài xã hội thì họ ngó trước ngó sau, tranh dành bon chen vì cuộc sống họ sẵn sàng phỉ nhỏ xỉ vả, đánh đập người khác để có được cái khố vá víu mảnh đời nô lệ tăm tối của họ=> họ làm sao hiểu được dân chủ tự do? khi mà tư tưởng đáng thương hại của họ chỉ biết tuân lệnh và kiếm vài triệu đồng một tháng nuôi thân !
-> họ khô đủ kiến thức để nghĩ ra một trò gì mới mẻ hơn là đi bắt trước lại những đòn cũ mèm ( viết vài dòng malware dụ, lừa , giả danh nhà nước bắt bớ con dân cài cắm đủ các loại malware tạp nham , rồi vung vài đồng tài chợ bố thí mua severs nước ngoài cài cắm ba cái mớ trẻ con cũng làm được để ra lệnh này nọ ddos người này cắt shit người khác ...) . cứ tưởng thế là hay? là cao ??? thử hỏi bất kể đứa trẻ danh nào nghịc IT cũng làm được ? vậy mà tự ảo tưởng ta đây là HAY ? òy . ?? thử xem ngoài những người ngoại đạo bị lừa và bị ép buộc cài cắm 3 cái malware rác bẩn ra ? xem có ai biết IT bị dính kô? !!! đáng thương quá ! có khi lúc lộ diện ra lại toàn bằng cấp này nọ đào tạo Chính Quy nhà nước mới nhục he he he <<<  ) tôi chắc một điều tôi chẳng được đào tạo ở đâu nhưng chắc chắn cũng hơn hết thẩy mấy thằng DDOs bẩn này về mặt Code và sự sáng tạo. thậm chí về mặt học thuật và học vấn.
xin lỗi những bạn đọc khác vì tôi fai' no ra những sự thật trên. kô nói ra đám rác rưởi lại cứ tưởng hay lại đi bậy bạ doạ những người ngoại IT khác.
=> chúng ta nên thưong hại bọn này .
|
|
lang thang vẫn mãi không nhà
đôi chân lê bước thê lương tháng ngày
càng đi càng thấy đắm say
tình thương con Chúa lòng này chẳng phai
thời gian cứ mãi miệt mài
lang thang đi tiếp ....rồi bay lên z ời
cúi đầu con lạy Ông Trời
xin thươn |
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
15/08/2011 21:30:33 (+0700) | #418 | 245076 |
mv1098
Member
|
|
0 |
|
|
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
|
|
Theo mình nghĩ không nên mang chuyện triết lý và đạo đức để phê phán nhóm STL , vì dẫu sao họ cũng làm việc theo lý tưởng, theo mục đích sống của họ dẫu có thể đó là mù quáng. ở 1 góc độ nào đó thì cũng phải cảm ơn họ vì họ mà những người nhiệt huyết và có tâm như TQN cũng như BQT HVA đã mở mang kiến thức cho mọi người từ trình độ it basic đến advance hiểu thêm về virus và các biện pháp bảo vệ, vốn dĩ những kỹ thuật RC chỉ lưu hành nội bộ.
Chỉ thực sự khi nào họ ngã ngựa trên con đường họ đang đi và bởi chính đức tin họ đang theo đuổi làm họ ngã thì có thể họ cảm nhận được và hiểu ra vấn đề.
PS mình rất thích anh TQN châm chọc STL bằng kỹ thuật và những phân tích. |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
15/08/2011 21:47:54 (+0700) | #419 | 245077 |
myquartz
Member
|
|
0 |
|
|
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
|
|
Không ngờ nhiều hacker non trẻ ngoài tay nghề IT ra mà ngón nghề chửi cũng không thua gì các bậc tiền bối ngoài chợ.
A-di-đà-Phật, thiện tai, thiện tai. Thôi thì quảng gánh lo đi mà vui sống các bác ạ, dẫu phận đời đen bạc, thật giả lẫn lộn... |
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận virus, trojan, spyware, worm...
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[Email]](/hvaonline/templates/viet/images/icon_email.gif "[E-mai]"){kind=icon}
![[MSN]](/hvaonline/templates/viet/images/icon_msnm.gif "[MSN]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")