Messages posted by: LeVuHoang

Khá lý thú. Không biết log của iptables và snort trong tình huống này như thế nào. Nếu được, bác conmale post lên 1 mớ log tcpdump lúc đang thử nghiệm thì quá tuyệt.

@antidos: Theo như title thì đây là lỗi của TCP/TP, nhưng sao bạn lại viết "điểm yếu trong các ứng dụng trên internet" ? TCP/IP là thuộc về giao thức, Apache là thuộc về ứng dụng. Nếu bạn muốn nói là điểm yếu của TCP/IP thì có liên quan đến three ways handshake? Sự gởi và nhận SYN/ACK?

Thể theo ý nguyện chủ topic. Giải tán, giải tán, police đến đây smilie

Mưu sự tại nhân, thành sự tại thiên. Bác conmale dùng Pidgin, không phải Yahoo đâu. Hết lấy nha smilie

Tui nói ngay từ đầu rồi mà giờ lão Thắng mới ngộ ra hả smilie

). Gần như không truy ra được vết đâu.
Còn khía cạnh bảo vệ mail server, thì đúng là dựng 1 con mail gateway trước Exchange rồi sử dụng bộ lọc spam là tốt nhất. Nó cũng làm được nhiều thứ như scan virus... này nọ. Một công đôi chuyện.

Lưu ý mục tiêu của topic này là trace được cái anh attacker

ah, hoá ra ý lão là vậy. Tưởng cách phòng chống smilie

. Đúng là lão nên post mail header lên. Còn nếu tụi attacker dùng free mail của Yahoo hay Google thì cũng đành chịu thôi.

Ý tui là lão post log lên đây để xem thử phương thức thế nào, và phòng chống ra sao.

Lão cho tui mớ log được không smilie

?

ah, cái vụ time là trước kia tui không biết giải pháp nào để thiết lập log central thôi. Chứ sau khi apply rồi thì không cần quan tâm đến time, size này nọ nữa vì syslog agent tự động về hết.
Trong trường hợp của tui thì syslog central khá quan trọng vì nó có thể lưu nhiều bằng chứng (có thể là giả) sau này. Nên nếu được, có thể thiết lập firewall để chặn tất cả truy tập từ trong ra, từ ngoài vào (trừ 1 số IP nhất định), chỉ cho từ ngoài đổ log vào thông qua port 514.

Đâu có đâu lão, sử dụng syslog-ng làm central log đầy trên net mà.
Vài link tham khảo:
http://sial.org/howto/logging/syslog-ng/
http://www.campin.net/newlogcheck.html
http://www.serverwatch.com/tutorials/article.php/3600641

Hôm nay quấn tã lôi cái chủ đề này lên smilie

. Tui đã thử apply 1 cái central log và thấy cũng ok.
Mô hình như sau:
Sử dụng server log là syslog-ng
Các agent Windows sử dụng Snare Agent for Windows, còn Linux thì dùng chính syslogd

Code:

Syslogd |
-----> Syslog-ng open source
Snare for Windows |

Agent và server liên lạc với nhau thông qua UDP và thời gian log cũng có thể coi như chế độ thực. Tui thử từ server này, gõ "sudo ls -l", bên central ngay lập tức có log của agent đó.

Tình cờ bờ nốc của BKIS có lỗi nên tui đọc cái new bug này thoai nha smilie

General Information

On December 22, 2008, SVRT-BKIS found a vulnerability in Yahoo! Wap Service. This is the second vulnerability discovered by BKIS in cell phone Web platform, the first one was found in Google Wap Proxy.

Taking advantage of this flaw, hackers can perform wwwection attack, which means they are able to send users to their malicious websites. We have notified Yahoo! of this vulnerability.

Details

SVRT Advisory

SVRT-01-09

CVE reference

Initial vendor notification

12-23-2008

Release Date

01-06-2009

Update Date

01-06-2009

Discovered by

Dau Huy Ngoc - SVRT-Bkis

Attack Type

Redirection

Security Rating

High

Impact

Phishing

Affected Software

Ads image at http://m.yahoo.com

Technical Description

The flaw lies in the advertising section of Yahoo! Wap Service, which allows displaying advertisements when users visit Yahoo! Wap address http://m.yahoo.com.

Yahoo! Wap main page with ads image

More specifically, this advertising section includes a link with the following format and it is this link that contains the flaw.

http://us.ard.yahoo.com/SIG=17a4cd16v…=12etp7f3d/*[http://ads_image]

If users clink directly on this link, their browsers will automatically wwwect them to the address [http://anh_quang_cao] and everything on that site can be accessed, which makes it a Redirection vulnerability.

In order to exploit, hackers only need to change the address [http://ads_image] in the previous link to their website address and send the link to users. As this link uses Yahoo! domain name, users easily think it is safe and if the destination website contains malicious code or cheating content, hacker can steal users’ sensitive information or even take control of their computers remotely.

Solution

Rating this vulnerability high severity, Bkis recommends that users:

- Be cautious with strange links, even links starting with domain names of well-known companies like Google, Yahoo!, and Microsoft…

- Do not access links starting with http://us.ard.yahoo.com.

Credits

Thanks to Dau Huy Ngoc for working together with us in the detection and alert process of this vulnerability.

SVRT-Bkis

Nguồn: http://security.bkis.vn/?p=324

Tiếc quá, cũng muốn tham gia, nhưng lại học vào 2 ngày thường (thứ 2 - thứ 3) và... không còn là SV (bị đuổi). ặc ặc

PhanPhungTien wrote:

Tớ nè, dùng Ubuntu thì mạng vẫn bình thường mà, có khi còn tốt hơn windows. Tuy nhiên, điểm chưa mạnh (theo mình nghĩ) của các phần mềm download của ubuntu chưa thực sự thuyết phục, giá có cái nào như IDM thì tốt quá.

Bạn thử dùng FlashGot kết hợp với gwget xem.