Messages posted by: whisper

conmale wrote:

. Không thể xác định nguyên nhân khác, Tuấn đợi Tú (quản lý hệ thống) vào để hỏi thêm lý do.

Khi Tú vào, Tuấn hỏi những câu sau:

1. Cậu có táy máy gì trên máy tớ trong ngày cuối tuần không đấy?

2. Máy tớ và các máy khác cũ mới, linh kiện, hãng cung cấp... có gì khác nhau không?

3. Cậu xem giúp có bộ phận nào trong máy tớ bị hỏng hóc không nhá?"[/i]

Vậy trong đoạn trên, ngoài việc dùng kinh nghiệm (experience) và kiến thức (knowledge) chuyên môn (mà Tuấn không có đủ so với Tú), Tuấn đã thử dùng thêm những gì để định hướng sự cố?

Mời anh chị em tiếp tục thảo luận ).

Ngoài change management như bạn gì ở trên đã nói thì.

2. Trong trường hợp không có sự tác động theo kế hoạch ( change management ) thì xác định xem có khả năng phục hồi khẩn cấp được bằng cách thay các thiết bị tương đương hay không.
3. Tuấn phải dùng hoàn toàn kinh nghiệm và kiến thức của Tú.

Lâu quá tham gia lại HVA, comment với bác conmale cho vui.

Mình đang có file pdf chỉ mở được trên một máy, đem quá máy khác nó báo error vì đã bị encrypt.

Vậy bạn thấy có thể bypass được các chương trình arobat reader không?

conmale wrote:

Hèm.... code của bacbaphi mà sao lại sang HVA mà hỏi nhỉ?

Đúng rồi, phải xin của đại ka conmale đi kìa ! smilie

Mình không biết cách sau có hiệu quả không?

Ép tất cả thông tin trên web phải đi qua https, tất cả request không hợp lệ ( link sai, http, ... ) đều đẩy về trang chủ https.

Đang tính làm như vậy với cái site của mình. Mấy bạn cho mình biết với hén.

Thanks nhiều.

No.13 wrote:

xxx:1056 -----> yyy:80
xxx:1096 -----> yyy:443
Có gì mà không phân biệt được nhỉ ? Bạn muốn phân biệt theo kiểu nào nữa ?

No.13 không hiểu câu hỏi của mình rồi.
+ Trường hợp đầu tiên là cùng là http nhưng trên hai port 80 và 81, thì đương nhiên xxx connect tới yyy từ 2 port khác nhau và bị stateful Firewall block 1 port 81.
+ Trường hợp sau là apache chạy web service nhưng là http và https trên 2 port 80 và 443. Firewall không block là dựa vào cơ chế nào để làm vậy khi cả 2 port này cùng là webservice??

Thanks

conmale wrote:

Bị chặn. Bởi vì xxx đến yyy ở cổng 80 là giá trị đã ấn định trong state table. Nếu bất chợt xxx đến yyy ở cổng 81 thì nó phải thỏa mãn các bước bắt tay hợp lệ và hình thành 1 giá trị khác trong state table, nếu không, nó bị drop.

PS: state table chớ không phải stale table.

( viết sai chính tả, xấu hổ quá !!! )

Anh cho em hỏi tiếp, vậy stateful firewall phân biệt http và https ra sao khi một thằng yyy chạy apache có http trên port 80 và https trên port 443 thì xxx vẫn có thể connect đến yyy trên cả 2 port 80 và 443 ?

Thanks.

conmale wrote:

Stateful firewall có nhiều dạng và nhiều ứng dụng. Nếu nó ứng dụng để kiểm soát cả tầng 7 (của model OSI) thì nó không chỉ dừng lại ở tầng network và transport.

Việc đổi port có liên quan trực tiếp và quan trọng đến tính năng "stateful" của một stateful firewall. Lý do:

- 1 request từ bên ngoài vào có IP là xxx.xxx.xxx.xxx đi đến IP yyy.yyy.yyy.yyy ở cổng 80 (xuyên qua stateful firewall trên kiểm soát) . Nếu firewall này cho phép, nó sẽ cho phép IP xxx.xxx.xxx.xxx thực hiện 3 bước bắt tay một cách bình thường. Sau giai đoạn này, firewall ấy sẽ thiết lập một "state table" để theo dõi "state" của xuất truy cập này.

- nếu IP xxx.xxx.xxx.xxx này bất thình lình liên hệ IP yyy.yyy.yyy.yyy ở cổng 80 nhưng lại không hề có quy trình 3 bước bắt tay --> hoàn toàn không nằm trong một "state" nào cả --> bị hủy.

- nếu IP xxx.xxx.xxx.xxx này đã thiết lập 3 bước bắt tay bình thường và đã được hình thành "state table" nhưng bất chợt lại có destination port là 81 --> hoàn toàn không nằm trong một "state" nào cả --> bị hủy.

- khi packet đi đến tầng application, nó vẫn có thông tin source port, source ip, destination port, destination ip và nhiều thông tin khác. Cái "state machine" của một stateful firewall dựa trên những thông tin có thể thu thập được để xác định "state" của một packet và một xuất truy cập.

Thân mến.

Hi anh conmale,

Cho em hỏi xíu, nếu 1 web server chạy 2 service apache trên 2 port khác nhau, 1 cái là 80, 1 cái là 81. Firewall mở quyền access cho xxx đi tới yyy. Sau khi xxx bắt tay và tạo ra 1 stale table rồi trên port 80. Từ xxx tạo một connection mới tới yyy trên port 81 thì nó có khả năng bị chặn không?

Thanks.

Umh, vừa post bài hồi chiều, check lại thì đã có chú khác mon men đến thăm rồi. Xin gởi các bác để tham khảo ý kiến

Access log
Code:

58.186.91.225 - - [02/Mar/2007:19:06:08 +0700] "OPTIONS / HTTP/1.1" 200 56112 "-" "Microsoft Office Protocol Discovery"
58.186.91.225 - - [02/Mar/2007:19:06:09 +0700] "OPTIONS / HTTP/1.1" 200 56112 "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery"
58.186.91.225 - - [02/Mar/2007:19:06:09 +0700] "OPTIONS /showthread.php?t=481 HTTP/1.1" 200 89547 "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery"
58.186.91.225 - - [02/Mar/2007:19:06:10 +0700] "GET /_vti_inf.html HTTP/1.1" 404 296 "-" "Mozilla/4.0 (compatible; MS FrontPage 12.0)"
58.186.91.225 - - [02/Mar/2007:19:06:10 +0700] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 310 "-" "MSFrontPage/12.0"
58.186.91.225 - - [02/Mar/2007:19:06:10 +0700] "OPTIONS / HTTP/1.1" 200 56112 "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery"
58.186.91.225 - - [02/Mar/2007:19:06:10 +0700] "OPTIONS /showthread.php?t=481 HTTP/1.1" 200 89547 "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery"
58.186.91.225 - - [02/Mar/2007:19:06:13 +0700] "HEAD /showthread.php?t=481 HTTP/1.1" 200 - "-" "Microsoft Office Existence Discovery"
222.253.255.228 - - [02/Mar/2007:19:31:50 +0700] "GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=2614&STRMVER=4&CAPREQ=0 HTTP/1.1" 404 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
222.253.255.228 - - [02/Mar/2007:19:31:50 +0700] "GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=2614&STRMVER=4&CAPREQ=0 HTTP/1.1" 404 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"

Và error log
Code:

[Fri Mar 02 19:06:10 2007] [error] [client 58.186.91.225] File does not exist: /home/www/web/_vti_inf.html
[Fri Mar 02 19:06:10 2007] [error] [client 58.186.91.225] File does not exist: /home/www/web/_vti_bin
[Fri Mar 02 19:31:50 2007] [error] [client 222.253.255.228] File does not exist: /home/www/web/_vti_bin
[Fri Mar 02 19:31:50 2007] [error] [client 222.253.255.228] File does not exist: /home/www/web/MSOffice

Với http không hiểu tại sao mà dùng option cũng được 1 đống thông tin, dùng option để DDoS web của tôi chắc chết quá.

Với tình hình này chắc phải cài nhanh cái mod_security quá, nhưng mà chưa thử lần nào, sợ cài vào web site cứng ngắc thì phiền ghê.

Thanks for reading.

Hihi, ăn tết đã đời giờ ghé lại vào HVA.

@hackernohat : mình xài apche 2.x , vậy không sao hết rồi.
@conmale : yeah, đã set limit lại bằng 4096 ( số đẹp ) đang chờ nhưng chưa thấy tấn công tiếp nữa. Cái mod_security đang đọc document nên chưa add vô được. Nhân tiện bác có link nào nói về \x90 shell code cho tôi xin để có thêm tí kiến thức !
@Autum : bác đã xài thử cái safemode đó chưa, OK lắm hả?

Thanks tất cả mọi người.

Hi mấy bro,

Website của tôi đang bị tấn công theo dạng sau :

access log:
Code:

221.132.37.217 - - [15/Feb/2007:15:04:07 +0700] "GET / HTTP/1.0" 200 1062 "-" "-"
221.132.37.217 - - [15/Feb/2007:15:04:12 +0700] "SEARCH /\x90\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\...\x90\x90\x90\x90\x90\x90\x90" 414 328 "-" "-"
221.132.37.217 - - [15/Feb/2007:15:04:42 +0700] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 305 "-" "-"

Dấu ... thay thế cho một đoạn rất dài giống nhau.

error log:
Code:

[Thu Feb 15 15:04:12 2007] [error] [client 221.132.37.217] request failed: URI too long (longer than 8190)
[Thu Feb 15 15:04:42 2007] [error] [client 221.132.37.217] File does not exist: /xxx/yyy/zzz/_vti_bin

Tôi search trên web thì đây là dạng tấn công buffer overflow, không ảnh hưởng đến apache nhưng cững chưa yên tâm lắm nên nhờ mấy bro cho ý kiến dùm.

Thanks for reading.