Messages posted by: tmd

Chủ đề đó còn mang tính quảng bá sản phẩm nữa. Nên đóng cho đẹp.

Nghiên cứu bài này, ngoài thông tin có trong topic ở các reply trên, còn một thông tin để thử từng máy.
http://prowiki.isc.upenn.edu/wiki/The_RDP_Vulnerability

Cứ xuy diễn ngược lại tình huống 1 cái ổ cứng không load được HDH đi bạn.

dung lượng 2 ổ như thế nào ?

->

Có một đặc điểm nữa là: A có 4 partition (3Primary và 1Logic) sau khi ghost disk to disk sang thì B lại chỉ có 3 partition (3Primary, dung lượng từ ổ Logic bên A hình như dồn hết sang 3partition bên B). Em cũng chưa hiểu rõ vấn đề này lắm.

Cái mạng công ty có mô hình gì. Switch , Router có chức năng gì(hiệu). Hệ thống windows ở phiên bản nào, có update,...?
Windows ở client bật remote desktop -> hỗ trợ kiểu gì khó ăn vậy. Remote vào lúc user đang giải lao ? hay user phải ngồi chơi ?.

Góp ý vài phát để bạn nên xem lại hệ thống ở Client và ở thiết bị mạng cần trang bị hoặc thay đổi vài thứ để đở khổ, để thời gian làm chuyện khác.

PS: http://technet.microsoft.com/en-us/security/bulletin/ms05-041(từ 2005 tới giờ)
Một ví dụ về khai thác cái dịch vụ remote desktop ở phá, trường hợp windows không update là có thể bị.

Hàng cty đem ra làm vật thí nghiệm làm gì vậy. Bạn chịu khó mà cài lại từ đầu toàn bộ đi. Xài đồ chùa, không update, không antivirus, không tắt autorun các loại -> thảm hoạ.

Ở đây, máy con 5.5.5.6 thuộc network với hệ thống đích 5.5.5.5 nhưng máy con không tấn công trực tiếp vì nó sẽ để quá nhiều dấu tích. Bởi vậy, máy con sẽ tạo tunnel ra 2.2.2.2 rồi từ 2.2.2.2 nó nhảy sang 3.3.3.3 để từ đó, nó mới tấn công vào 5.5.5.5.

Ở góc độ xoá vết, firewall bảo vệ network 5.5.5.0 cùng lắm chỉ có thể thấy 5.5.5.6 tạo một connection đến IP 2.2.2.2 nào đó và dấu vết mất hút ngay điểm đó. Vậy, điểm yếu và điểm mạnh của dạng tấn công và cover track ở trên nằm chỗ nào?

Ở khu vực firewall kiểm tra luồng traffic vào ra, firewall nhận thấy luồng traffic từ 5.5.5.6 đi ra và luồng nào đó từ 2.2.2.2 đi vào có sự tương quang rõ rệt. Tuy người quan sát không nhận biết tại sao có 1 nhóm đi ra từ 5.5.5.6 đi ra rồi không có traffic trả về tương ứng cho dịch vụ. Nhưng người quan sát lại thấy 1 luồng đi vào từ 2.2.2.2 có cùng vùng dịch vụ(port chẳng hạn) và trường sequence chẳng hạn... khá là lạ. Từ đó mới thấy nghi ngờ.
Chuyện này phải ngồi nhìn thời gian dài mới thấy ra được, và có chủ ý quan sát.

Cái đề thi lên mod quản lý diễn đàn đề cao tinh thần quản lý tập trung ở môi trường diễn đàn lớn. Quản lý cần có chính kiến bên cạnh vai trò quản lý, đưa mặt ra cho dân chúng phàn nàn.

Ở cái topic buồn cười đó, nhiều tay rõ ràng là đang lợi dụng sự cho phép của các quản lý lớn tuổi. Nếu tui là quản lý diễn đàn của khoản 5 6 năm trước, tui cũng đã cho vài tay lên đường ngay từ reply đầu tiên rồi. Bây giờ vẫn để cho họ "sống" , họ reply đủ chuyện như hài tạp kỹ. Tuy nhiên tôi sẽ dẫn dắt vấn đề tới chuyện họ phải tập trung vào kỹ thuật. Bằng mọi phương pháp bất kể nó có ảnh hưởng tới cái nhìn về mình ở người khác.

Quản lý diễn đàn online mà, phải đảm bảo nhiều chuyện. Nhiều người đảm bảo hiệu quả và hình tượng đi đôi với nhau. Nhân nhượng và tự do phát biểu cũng phải đi đôi với nhau.

Có lẽ vì các quản lý cấp cao hơn không đưa tiêu chí bài viết trong các topic ở "box trao đổi khác" và thái độ không hợp tác của người post không được tốt, mod xnohat cũng chưa nhận ra cách quản lý hài hoà của 2 bác già, vẫn còn chưa quen với việc phải chấp nhận mọi kiểu phản ánh trong topic.

Với chừng đó kỹ năng đã thực hiện tế và có ứng dụng thử được. Bạn sẽ chẳng được cty thường tuyển, trừ các cty tư vấn dịch vụ, hoặc các cty lớn.
Nhưng mà bạn phải lọt qua được quan điểm thử việc và làm cho mấy chổ đó tin là bạn có thể làm được theo yêu cầu thực tế.
PS: Các cty chỉ cần 1 trong các kỹ năng của bạn sẽ tuyển bạn vào cho chừng đó ít ỏi nhu cầu và có thể để bạn đi sau khi đã sử dụng xong bạn, mình tính đường xa nên nói vậy.

Trường hợp bạn đang hoàn thiện các quy trình làm việc theo từng kỹ năng, nhiều cty cũng sẽ tuyển bạn để hỗ trợ đội ngũ hoặc đợi bạn hoàn thiện quy trình và làm cho họ. Họ có giữ bạn lại không thì tuỳ lãnh đạo.

Trường hợp bạn thực sự là 1 tay chuyên nghiệp luôn nghĩ về dịch vụ cung cấp cho người khác, xin chúc mừng.

Nền tảng cho các suy đoán trên là bạn đã từng làm được các quy trình trên cho 1 nhu cầu nào đó rồi.

Chống thất thoát dữ liệu-> Quy trình quản lý dữ liệu-> Quy trình thao tác trên dữ liệu -> Quy trình giám sát việc thao tác trên vùng lưu trữ dữ liệu->Chính sách thiết lập hệ thống lưu trữ,bảo vệ và giám sát.

Dùng firewall, tức là hệ thống đó có việc trao đổi dữ liệu qua hệ thống mạng nội bộ, có thể có gửi được dữ liệu ra khỏi mạng nội bộ. Và bạn muốn giám sát quy trình tới mức nào, truy cập, xem, sửa nội dung, copy ra chổ khác,send dữ liệu qua lại, send ra ngoài, thay đổi luồng dữ liệu.... Liệt kê hết để xây dựng quy trình thao tác. Sau đó bạn sẽ biết mình làm tiếp việc giám sát quy trình đó thế nào.

Bạn nên , Thiết lập chính sách trước khi đưa ra yêu cầu cụ thể hệ thống.

Ikut3 wrote:

- Xác nhận thời điểm tấn công gần đúng qua file log
smilie Riêng chuyện file log có thể bị làm giả, mất tính toàn vẹn thì em cũng chưa biết sẽ xử lý thế nào ?

- Quản lí log tập trung, log dữ liệu không trực tiếp lưu trên máy chạy dịch vụ đó mà mỗi record trong quá trình ghi nhân sẽ được đẩy qua Log Centralize.

- Tuy nhiên nếu Attacker hoàn toàn có thể làm sai log (đầu độc, gây nhiễu, v.v...) trước khi quá trình đẩy log từ máy chủ dịch vụ đến máy chủ lưu trữ log. Đối với vấn đề này, thì mình vẫn chưa có giải pháp nào, mời mọi người cho ý kiến

Mánh này sẽ bị phát hiện nếu người quản trị chơi trò "nhét que tăm khe cửa".

a. Một máy chủ có nhiều dịch vụ.
b. Máy chủ ấy được ISP bảo vệ.
c. Phiên bản của của hệ điều hành và các dịch vụ.

Một máy chủ duy nhất, thông thường một vài đơn vị nhiều chí phí không thích sài dịch vụ shared hay dịch vụ server nằm trong 1 cụm server. Chuyện Server này như chuyện vác 1 cái server tới ISP, thuê chổ đặt, thê IP, thuê firewall(email,web,...), proxy server, thuê hoặc không thuê quản trị ở ISP. Và gần như là phó mặt luôn cho quản trị của ISP.

Chuyện trên dẫn tiếp chuyện , HDH và tùm lum dịch vụ ở trên cái server đó có được update hay không, phải xem người đi gửi server có kí hợp đồng với ISP về công việc này không. Có yêu cầu thông báo tình trạng log gửi qua mail cho người gửi server hay không. Chuyện này lại càng phụ thuộc vào người gửi.

Hai chuyện trên dẫn tiếp chuyện, người gửi server(khách hàng) có quan tâm tới LOG hoạt động của các dịch vụ, thường xuyên theo dõi bug có thể gây ra vấn đề dịch vụ gặp lỗi ngẫu nhiên, lỗi mất quyền truy cập dịch vụ vào tay kẻ xấu khai thác lỗi,.... bug-track

Những chuyện trên sẽ là cơ sở để xem xét hiện trạng của server và các dịch vụ. Tình trạng nguyên thuỷ của các dịch vụ, HDH hay gọi là nguyên trạng có những gì. Sau đó , quản trị ở ISP đã thêm những configuration trực tiếp gì lên server, có ghi lại cấu hình sau đó không. Có cấu hình log liết gì không ? Có PLAN backup và có PLAN theo dõi LOG và thông báo sự cố không ?

Lại tiếp tục tính tiếp việc theo dõi hiện trạng , sau khi có sự cố. Ghi nhận lại thời điểm mà sự cố xảy ra để làm một cái mốc thời gian, tuy có thể nó không thực sự đúng với thời điểm mà kẻ xấu đã khai thác 1 lỗi. Từ đó kiểm tra ngược lại, dịch vụ nào có lỗi gì được khai thác, thời điểm dịch vụ được thêm cấu hình, dịch vụ tạo được thêm, thay đổi, chèn 1 data,configuration vào để phục vụ cho việc khai thác lỗi.

Đứng lại suy nghĩ tại sao để phán đoán tình hình, khách hàng thuê FIrewall tập trung của ISP nên không hề suy xét tới thiết lập các biện pháp hỗ trợ phán đoán sự cố ngay trên server, cập nhật server. Việc này khẳng định nghi ngờ chính các dịch vụ trên server bị thao túng. Và một vấn đề khác cũng phải xem lại, firewall của ISP là loại phục vụ cho vô vàn dịch vụ dùng chung. Có thể nó cũng đã cho qua một số truy vấn server, được phép và hợp lệ, tất nhiên là đối với nó.

Công tác cụ thể tiếp theo là moi móc các dịch vụ và HDH. Chuyện này như chị gamma95 đề xuất, gọi C50 là một cách.
Biện pháp cụ thể ra sao, mời các bác chuyên kiêm tra ra tay.

Có thể học ở trường người ta dạy kiểu hình thức là chính. Bạn chẳng biết bạn học cái gì. Học để làm liền chỉ có
1. Quản trị hệ thống : học kiến thức trên ngọn để quản lý sản phẩm cuối của chuỗi công nghệ.

2. Lập trình mọi thứ: học kiến thức phần cành của công nghệ để cho ra hoa lá cành con. Ví dụ như lập trình phần mềm.

3. Học xuống dưới computer science để làm chuyên gia phục vụ cho 2 thằng trên. Phần gốc công nghệ. Đi nước ngoài học cho nó nhiều, làm được nhiều chuyện.

Còn cái chuyện đi học hack để đi làm , chắc bạn đang tự sát. Bạn chẳng biết mình đang muốn làm cái nghề gì. smilie

)))))))))

Mình đang tìm kiếm cuốn sách này , có thể do cũ quá không có chổ nào lưu. Bà con nào có cho mình 1 bản. Cảm ơn rât nhiều.

Tình hình là an ninh mạng đang theo dõi các cán bộ công ích trụ cột, cho nên bà con phải tạm quy ẩn đợi hết đợt này.
Nói đùa thôi, diễn đàn nào cũng bị cảnh trẻ em chạy rong mà bạn. Khi có chuyện người ta sẽ trao đổi, trao đổi ở đâu thì tuỳ.

Windows trên máy Client có tài khoản administrator có mật khẫu, hoặc vô hiệu hóa tài khoản administrator là tốt trong trường hợp này. Bất kỳ tài khoản nào cũng có password mới có hiệu quả trong trường hợp ngăn chặn default share như trong topic này.

Nhiều thứ phụ cũng góp phần vào chữ nhanh lắm nha, bộ nhớ đệm của con cpu, bộ nhớ đệm của ổ cứng, loại ram của card màn hình, bao nhiêu nhân trên con cpu. Cái gì "nhanh" phải biết rõ. Biết rồi thì sẽ không đi hỏi nữa.

Trước có nhiều tay mơ nghĩ rằng con người có thể thay thế được phần mềm diệt virus nữa kìa bạn. Tới thời kỳ điện toán đám mây này có nhiều thứ phải lo hơn chuyện antivirus software. Vấn đề con người ghê gớm hơn nhiều.

Kiếm đủ một vài trăm triệu để làm vốn học. Kiếm ra xong chừng đó tiền có thể tự quyết được ngành học.

Nhóm phần mềm này quản lý dữ liệu có cấu trúc theo kiểu dự án, kiểu bản vẽ kiến trúc, xây dựng hạ tầng cơ bản, quy trình sản xuất tốt.

Mấy software làm trung gian foward traffic như ultrasurf có tính năng đổi port(mặc định) để lắng nghe yêu cầu của trình duyệt. Cái draytek 2950 kia lại có tính năng theo dõi traffic, siêng năng ngồi xem report của nó để chặn port.

Cái loại này là thông báo khi dùng webmail của mail exchange,

Sao lại là "Thái Nguyên", vị trí địa lý này nằm ở khu vực thông tin nào vậy mr conmale. Thông này có lẽ nằm ở Thông tin zombie,thông tin server, thông tin whois,thông tin người bị lộ diện ...?

Chính sách đã đặt ra thì không được nhân nhượng( be compromised). Chấm hết.
PS: Chính sách "ngoại lệ" được chấp nhận vì nó là chính sách.
PS lần 2 sau khi đọc hết phát biểu: Ở VN đa số các cty đều bị "nhân nhượng" chính sách, hay có chính sách "ngoại lệ" cho vị trí nhạy cảm. Cho nên nhiều người cảm thấy mình thật sự bị xem nhẹ,coi thường, không tôn trọng, ở chiếu dưới.v.v . Tâm lý nảy sinh ở trong topic này, hay mấy topic trong trash là dễ hiểu thôi. Không cần phải đi khiếu nại.
Thử bước vào 1 công ty kiểm toán tài chính đi, xem thử có chính sách nào bị compromise, hay bị nhân nhượng bao nhiêu %, nhân nhượng tới cở nào, xâu rộng cở nào.
Mấy cái chính sách cấm đoán này chỉ là bề nổi. Chính sách đặt ra để người ta "vô tình" hay cố ý tuần theo cái chính sách đó. Còn chuyện thiếu kỹ năng quản lý , để rồi đặt ra chính sách "cấm đoán" chỉ là hạ sách , cũng không nên coi thường người ra chính sách "cấm". Góp ý cho chị UP bên trên hiểu chuyện này. Đừng xem thường mấy anh đi cấm, có khi bị cấm hết các thú vui là khóc hận vì một phút nóng lòng đi gây hấn với IT manager,System administrator.GIờ mới chấm hết.

Hành động ghi chép liên tục tại một vị trí ổ cứng "có thể" làm giảm độ bền ổ cứng.

STL lợi dụng những hệ thống bị "compromised" về an ninh để có được 1 mớ zombie rất lớn. Những hệ thống như vậy là hằng hà sa số ở trong nước. Rất dễ có hệ thống zombie với IDM crack, vietkey,..key không rõ nguồn, software crack, office crack, windows crack...
Các bạn STL chế hàng, nhét vào software kèm crack, nhét lên các trang chia sẽ software không bản quyền. Chỉ vậy thôi là đủ. Mấy thằng IT ở các cty bị compromised đó đâu cần biết chuyện DDOS là gì, chỉ cần có software không bị kiểm tra bản quyền, có IDM xịn là đủ. Mấy nội ISP đâu cần quan tâm tới tụi reseller làm gì với khách hàng, cứ để 1 server hàng chục domain. Dính hàng đâu đó, lây 1 phát qua đám bên cạnh, là cái server hay đám server đó thành tay sai trung gian cho các đầu nậu DDOS,(stl chăng hạn). ...

Cuộc chiến này là loại một chiều David chống lại Goliath không có phần thắng như trong truyện.

Lỗi không thể giải thích được do người hỏi chẳng nói gì về chi tiết. Reset xong tới lúc nào mới hết gửi được nữa ?

Elite được đưa lên kính hiển vi để soi.

Chống Spam mail ở mức độ mail server còn phải đi kèm nhiều thứ ở 3 giai đoạn đi đường của mail. Phòng chống ngay từ hạ tầng mạng của mail server(nằm trong range đàng hoàng và static IP, cấu hình 1 cái bộ lọc), từ chính cái software làm mail server(Mdeamon,...), từ chổ người dùng cuối(spam quảng cáo, dính virus....)

TQN wrote:

Có: Chép vào %Program Files% hay %WinDir%, ghi vào HKLM.
Không: Chép vào %AppData% của user, ghi vào HKCU.

Nhiêu đây công đoạn lây lan là Đủ để bất kỳ thứ gì chạy được trên windows.

myquartz wrote:

Công ty nhỏ (<= 50 người), tự host mail là phí sức và tiền của mà lại không đạt chất lượng cao.

Lý do:
1. Đường cáp quang giá bèo thì thì IP tuy là tĩnh nhưng sẽ nằm trong dải broadband-user dễ không được gửi mail trực tiếp từ IP đó hoặc hay bị các hệ thống mail nổi tiếng khác coi là spam. Việc làm reverse DNS và các động tác kiểu như thế rất tốn công sức. Trừ khi có thêm 1 subnet khoảng 8 IP thì may ra đỡ mệt hơn.
2. Mất công sức + tiền của để duy trì mail server và tính sẵn sàng của nó. Như việc backup chẳng hạn. Với quy mô 30 người 1 năm có thể lên đến 30GB mail => backup nó hàng ngày cũng không phải ko tốn tiền.
3. Chống chọi với virus và spam mail, rồi lại vô số các nguy cơ bảo mật tấn công vào hệ thống mail của mình => tốn 1 ng chuyên trách lo lắng.

Cách hay nhất: Google Apps. Có tất cả các thứ trên mà lại rất tốt. Trừ trường hợp đặc biệt có lý do. Ví dụ Google Apps nó không cho phép thông qua nó để gửi mail quảng cáo hàng loạt (limit 500 địa chỉ/1 ngày).

Với một công ty dùng mail làm phương tiện giao tiếp bên ngoài chính, hoặc email để sử dụng trong giao tiếp bên cạnh các phương pháp truyền thống và hiện đại khác cũng nên đem ra ngoài. Số lượng trên dưới 50 như trường hợp này là nên làm vậy. Lý do như trong quote trên.
Cái lợi là có hỗ trợ tập trung, giải quyết vấn đề từ ISP, cái không lợi là mình sẽ nảy sinh "nghi ngờ" ở một số cá nhân trong tổ chức, nảy sinh vấn đề "tại sao không đem về cty" cũng ở một số cá nhân trong tổ chức,..... "Nghi ngờ" gì , tuỳ hoàn cảnh sẽ có nhiều kiểu.

Cái hại của chuyện đem về cty tự quản cũng được trình bày trong quote trên luôn. Không chỉ cần người quản lý, mà còn đem về 1 mối hoạ ngầm. Hoạ này mọi người có thể suy diễn từ nội dung trong quote. Một ví dụ đơn giản là "người chuyên trách" có vấn đề thì mối hoạ ngầm thành mối hoạ thật.

Google Apps nên dùng khi so sánh dịch vụ ở ISP và dịch vụ của google, cái nào rẻ hơn. Mục đích sử dụng như nhau, không quan tâm tới chuyện đi quảng cáo, có khả năng giao tiếp tốt bằng ngoại ngữ hoặc năng động tự chủ trong quan hệ thì nên sài google apps.