Messages posted by: sangteamtham

Bạn download cái này về:

https://github.com/willysr/SlackHacks/tree/master/vmware/vmware-3.4

nkp wrote:

sangteamtham wrote:

Nó kết luận 1 cái rất hay là nếu bạn dùng windows 7 bản 64bit thì bạn an toàn

Ở chỗ nào có kết luận này vậy?. Hay là bạn tự sướng nhỉ.

http://www.securelist.com/en/blog/208193540/The_Roof_Is_on_Fire_Tackling_Flames_C_C_Servers

"The vast majority of Flame infections are machines running Windows 7 32 bit. Windows XP is following next. It’s important to say that Flame does not run on Windows 7 64 bit, which we previously recommended as a good solution against infections with other malware."

"Summary and conclusions:
The Flame command-and-control infrastructure, which had been operating for years, went offline immediately after our disclosure of the malware’s existence last week.
We identified about 80 total domains which appear to belong to the Flame C&C infrastructure.
The Flame C&C domains were registered with an impressive list of fake identities and with a variety of registrars, going back as far as 2008.
The attackers seem to have a high interest in PDF documents, Office and AutoCad drawings.
The data uploaded to the C&C is encrypted using relatively simple algorithms. Stolen documents are compressed using open source Zlib and modified PPDM compression.
Flame is using SSH connections (in addition to SSL) to exfiltrate data. The SSH connection is established by a fully integrated Putty-based library.
Windows 7 64 bit, which we previously recommended as a good solution against infections with other malware, seems to be effective against Flame"

Nó kết luận 1 cái rất hay là nếu bạn dùng windows 7 bản 64bit thì bạn an toàn smilie

Bạn phải phân biệt rõ ràng gcc là gì và gcc-c++ là gì?

Ngày xưa bro Nam cho một quyển, đi làm lúc nào cũng mang trong cặp. Một hôm đi làm về, gửi đứa e cùng phòng mang về nhà cất hộ, nó để ngay ở bàn sát cửa sổ. Mấy thằng ăn trộm nó cạy cửa sổ vớ luôn cái cặp. Thế là mất luôn. Tiếc từ đó đến giờ smilie

Bài viết sâu sắc. Nhưng không thấy hình ảnh gì cả. Làm ơn check lại giùm. Thanks

Khách bên mình cũng sử dụng ASP.NET, Cty chủ yếu sử dụng ASP.NET để phát triển website cho khách hàng. Hy Vọng sẽ có thông tin fix sớm.

Code:

SecRule ARGS "\'.*(insert[[:space:]]+into.+values|select.*from.+[a-z|A-Z|0-9]|select.+from|bulk[[:space:]]+insert|union.+select|convert.+\(.*from)|and.*char\(.*\)" \ t:none,deny,status:403

Bạn thử xem.

chẳng hạn như trong rules.conf

Code:

SecFilterSelective COOKIE_VALUES "((select|grant|delete|insert|drop|alter|replace|truncate|update|create|rename|describe)[[:space:]]+[A-Z|a-z|0-9|\*| |\,]+[[:space:]]+(from|into|table|database|index|view)[[:space:]]+[A-Z|a-z|0-9|\*| |\,]|UNION SELECT.*\'.*\'.*,[0-9].*INTO.*FROM)" "id:300011,rev:1,severity:2,msg:'Generic SQL injection in cookie'"

Đoạn rule trên nhằm chống SQL injection trong cookies.

Code:

SecFilterSelective HTTP_USER_AGENT "((select|grant|delete|insert|drop|alter|replace|truncate|update|create|rename|describe)[[:space:]]+[A-Z|a-z|0-9|\*| |\,]+[[:space:]]+(from|into|table|database|index|view)[[:space:]]+[A-Z|a-z|0-9|\*| |\,]|UNION SELECT.*\'.*\'.*,[0-9].*INTO.*FROM)" "id:300012,rev:1,severity:2,msg:'Generic SQL injection in User Agent header'"

Chống SQL injection trong User Agent header.

Tiếp theo:

Code:

SecFilterSelective REQUEST_URI "!((/wp-admin/post|privmsg|/ticket/admin|/misc|tiki-editpage|/post|/horde3?/imp/compose|/posting)\.php|/modules\.php\?op=modload&name=(Downloads|Submit_News)|/admin\.php\?module=NS\-AddStory\&op=|/index\.php\?name=PNphpBB2&file=posting&mode=reply.*|/phpMyAdmin/|/PNphpBB2-posting\.html|/otrs/index\.pl|tiki-index\.php\?page=|/index\.php\?title=.*&action=edit|/_mmServerScripts/|/node/[0-9]+/edit|/_vti_bin/.*\.exe/)" "chain,id:300013,rev:1,severity:2,msg:'Generic SQL injection protection'"
SecFilter "((select|grant|delete|insert|drop|alter|replace|truncate|update|create|rename|describe)[[:space:]]+[A-Z|a-z|0-9|\*| |\,]+[[:space:]]+(from|into|table|database|index|view)[[:space:]]+[A-Z|a-z|0-9|\*| |\,]|UNION SELECT.*\'.*\'.*,[0-9].*INTO.*FROM)"
#Generic SQL sigs
SecFilterSelective ARGS "(or.+1[[:space:]]*=[[:space:]]1|(or 1=1|'.+)--')" "id:300014,rev:1,severity:2,msg:'Generic SQL injection protection'"
#Generic SQL sigs
SecFilterSelective ARGS "((alter|create|drop)[[:space:]]+(column|database|procedure|table)|delete[[:space:]]+from|update.+set.+=)" "id:300015,rev:1,severity:2,msg:'Generic SQL injection protection'"
#Generic SQL sigs
SecFilterSelective REQUEST_URI "!(/node/[0-9]+/edit|/forum/posting\.php|/admins/wnedit\.php|/alt_doc\.php\?returnUrl=.*edit|/admin/categories\.php\?cPath=.*|modules\.php\?name=Forums&file=posting&mode=.*)" "chain,id:300016,rev:2,severity:2,msg:'Generic SQL injection protection'"
SecFilterSelective ARGS "(insert[[:space:]]+into.+values|select.*from.+[a-z|A-Z|0-9]|select.+from|bulk[[:space:]]+insert|union.+select|convert.+\(.*from)"
#Meta character SQL injection
SecFilterSelective REQUEST_URI "\'.*(insert[[:space:]]+into.+values|select.*from.+[a-z|A-Z|0-9]|select.+from|bulk[[:space:]]+insert|union.+select|convert.+\(.*from)|and.*char\(.*\)" "id:380015,rev:1,severity:2,msg:'Generic SQL metacharacter URI injection protection'"

PXMMRF wrote:

myquartz wrote:

Domain có cách create host, đến renew, update... khác biệt. Chỉ có cách đó là dùng ... giấy tờ thôi :-D.
Tỉ dụ, domain hvaonline.net.vn
Thách cũng không hacker nào đổi chủ được.

Hì hì đúng rồi. Quản lý đại thủ công (nhưng lại cửa quyền) như Việt nam ta thì có thánh mà hack được domain. Chuyện này tôi cũng đã viết trên HVA từ lâu, hồi mới gặp bác Nguyen ba Thanh lần đầu, có lẽ vào năm 2003 hay 2004 thì phải.

Nhưng đây là chuyện khác, chuyện thật về một thứ domai khác đấy.Hì hì.

Thế thì, xin hỏi sâu hơn: Theo các bác hai domain này: mybich.com và vnhacker.org (hay hvaonline.net) có những điểm gì khác nhau về create host, renewing , update host... nói chung về tất cả các mặt?

Nothing is impossible!

conmale wrote:

Domain Admin details bị thay đổi thành:

Code:
Admin Name: Gang Liu
Admin Organization: Liu Gang
Admin Street 1: 312 Hodgkinson Crescent
Admin Street 2:
Admin Street 3:
Admin City: Panania
Admin State/Province: NSW
Admin Postal Code: 2213
Admin Country:
Admin Phone: +61.97852546
Admin FAX:
Admin Email: <a href="mailto:youthnihao@gmail.com">youthnihao@gmail.com</a>
và bởi thế, Gang Liu đã gởi thỉnh cầu chuyển tên miền sang nơi khác.

Registra không chịu giải thích chuyện gì xảy ra. Họ chỉ chặn "transfer" và đổi pasword đăng nhập vào "control panel". Ở phía tôi, tôi khám phá ra máy mình bị trojan .

Tên miền HVA đã phục hồi ở thời điểm này.

Có lẽ máy tính bác có em bé rồi smilie

. thấy title cứ tưởng là DNS Zone transfers

sangte@hcegroup.net:~# host -t ns www.hvaonline.net
www.hvaonline.net is an alias for hvaonline.net.
hvaonline.net name server ns2.byethost6.org.
hvaonline.net name server ns1.byethost6.org.

tuenhan wrote:

Để đào sâu thêm về ngành CNTT tại VN nhé:

1. Khi viết định hướng phát triển Internet và CNTT cùng với Tổng Cục Bưu Điện (nay là Bộ TT-TT), anh Mai Liêm Trực đồng ý với tôi là lấy nhu cầu phát triển CNTT (đặc biệt là eGov, eCom, eBanking & eLearning) làm bàn đạp để ngành CNTT trong nước học (từ chuyên gia nước ngoài) những cấp bậc chuyên môn khác nhau trong khi họ triển khai giúp VN. Tuy nhiên, sau khi được chấp nhận bởi lãnh đạo VN thì VNPT được giao phó để !

Thật sự mà nói, khi nào còn tác phong "ăn thật, làm láo" thì chẳng biết đến bao giờ mới trở thành hiện thực. Mọi thứ được triển khai trên miệng, tiền được tung ra cho mỗi dự án là tiền thật, tiền của dân, còn kết quả thì chỉ toàn là thành tích ...

Mình đã có cơ hội làm việc với họ nhiều, mình hiểu cái sự trì trệ, bảo thủ, nhưng lại luôn thể hiện cái oai của mình. Trong mỗi dự án, việc họ muốn biết đầu tiên là trong vụ này học được bao nhiêu?

Hướng đi bây giờ cho Việt Nam, theo mình nghĩ là gia công phần mềm, sự chênh lệch ngoại tệ đem lại nguồn thu nhập rất nhiều cho các coder, nhưng tương lai của một nền công nghiệp phần mềm không phải là đi gia công thuê.

Lâu ngày không vào do công việc nên quên pass. Forgot qua email, click link confirm xong xuôi, nó báo confirm thành công cùng với dòng chữ "click vào đây ..", thì click vào xem đi đến đâu, ai dè nó ra cá link null smilie

.

Trả lời theo kiểu "Thầy bói xem voi" smilie

"Bấm vào đây để quay lại phần đăng nhập", bấm xong quay ra thành

/hvaonline/null

smilie

Bạn nên backup certificate và lưu trữ ở một nơi an toan. Bạn ko thể sử dụng cặp key mới để decrypt được.

Bạn này đặt tiêu đề tệ vậy? HCE làm gì hack site của bạn làm gì. sao bạn có thể vơ cả nắm vậy? Tôi có thể đảm bảo với bạn hce khôg hack site nào nhằm mục đích phá hoại, có chăng là các thành viên quá khích, bạn có thể cung cấp nick của các mem đó, chúng tôi sẽ ban vĩnh viên. cảm ơn bạn.

sao không thấy ai sài VNC vậy. Hay là mình chưa thấy. Khuyến cáo sài VNC ko bị phát hiện. VNC là gì? Google nó biết đó.
CHúc may mắn.

Ko cho cái website xem thế nào. Bảo mật tốt mới đáng để học. Check 10 cái site đào tạo công nghệ mất 9,5 cái bị chiếm quyền rồi còn đào tạo gì nữa.

Đây là con VHS. Hê hê. Nó nằm chết dí trên server có cấu hình như thế này:

Safe-Mode: OFF (not secure)
126 Disabled PHP Functions:
passthru, system, shell_exec, exec, proc_open, proc_close, popen, shell, getphpcfg, deltree, escapeshellarg, escapeshellcmd, curl_exec, symlink, load_file, chroot, chown, chgrp, disk_free_space, disk_total_space

Khi server disable chmod thì bố nó cũng bó tay. Ko có cách nào khác là liên hệ trao đổi với admin server về vấn đề này.

Cái này ko phải do lỗi chủ yếu do bạn

Bạn muốn biết bị tấn công như thế nào chỉ còn cách là liên hệ với admin server để xem log.
Việc up shell lên diễn đàn có nhiều cách lắm. Có thể là bạn đặt pass dễ đoán. hoặc là attacker đã local từ một site nào đó tới site của bạn. Nới đến vấn đề này thì phải phụ thuộc vào cách admin server config server như thế nào. Bạn nên kiểm tra cẩn thận các khu vực trọng yếu, các file language, template.. xem có hiện tượng include shell ko..
Chúc bạn may mắn.

Tắt cũng vô ích nếu hacker cài backdor, trojan và virus. nếu ai từng hack sẽ biết đên VNC. DÙng cái này khỏi phải remote desktop của Windows. Hoặc putty chẳng hạn..

Hỏi Nguyên tử Quảng xem unpack thế nào? Ko nên hỏi vấn đề tế nhị này ở đây.

UPX là phần mềm dễ unpack nhất mà mình từng unpack bằng tay. Chỉ vài thao tác là ta đã có thể biết phần mềm dc viết bằng mã nguồn j. Còn dung tool ko ăn thua. Ngày trước lúc mới bắt đầu vào nghề, mình thường dùng tool nhưng chẳng ăn thua. Sau này nghiên cứu sâu thì toàn dùng bằng tay.

Các bạn còn co thể dung plugin của PEID để unpack UPX cũng tạm dc.

canh_nguyen wrote:

Dự đoán : Xgroup thường chơi local nên việc tránh thì dựa hoàn toàn vào phía cung cấp hosting.
VBB có chức năng cấm IP trong admincp cậu tìm lại trong forum có rồi.

Elite ơi. Ko chỉ local thôi đâu. Up thẳng lên lun ấy. Mọi người thích chơi lọ chai, em thì ko thích

AntiBlackSite wrote:

Sài Joomla thì thường xuyên fix bug đi.
or là bị local thôi!
thủ thuật đơn giản đừng dùng main domain chính của mình add domain vào đường dẫn khó nhận ra tí như sau ví dụ domain antiblacksite.com add vào a/g/d/g/b/fg/f/g/b/v thì mấy hacker gà cũng nản ) đó là thủ thuật đơn giản nhất mà tui biết

Chú làm site như vậy rồi gưi cho anh, anh hack cho. ANh là hacker gà đây nè. Ko biết người biết ta gì cả.

vào google gõ PHP Function CRLF Injection ròi mà đọc