Messages posted by: vnfhacker

xwm wrote:

Mình có đọc qua 2 file bạn gửi, có tí góp ý như sau:
- Với file .htaccess bạn có thể cấu hình deny all, chỉ allow ip VN.
- Về logs file, đại đa số IP từ logs xuất phát từ TQ, các IP này mình search 1 số thì nhận thấy có thể "đối thủ" của bạn sử dụng proxy để flood (Từ 1 server nào đó, sử dụng đống proxy để flood). Để biết IP thật từ đâu, bạn thử bật X-Forwarded-For trong logs lên để detect (nếu bạn dùng server riêng).

Có khó khăn gì thì pm nick yahoo mình: wm@yahoo.com">xwm@yahoo.com.

Em có gửi qua hòm thư mail và liên hệ qua yahoo messenger là: xwm. Anh trả lời giúp em nhé!

Rất cảm ơn Anh.

Hôm nay thì website của mình lại bị DDOS tiếp. Mình kiểm tra thì thấy toàn IP nước ngoài truy cập vào website. Trên server refesh 1 giây thì server ghi lại tầm ~ 1000 log. Nên mình đăng topic để hỏi làm cách nào chặn tất cả IP nước ngoài? Hiện tại trong website mình bị DDOS nhiều nhất là IP từ: Trung Quốc, Indonesia, Thái Lan, Aghentina, Ấn Độ, Brazin, Philipin...

Mình đã tìm hiểu cách search dãy IP và ghi vào file .htaccess nhưng vô dụng. Tại vì khi mình lấy Log đang DDOS search trong dãy IP mình chặn thì không thấy IP này có trong dãy IP đó. Có trang nào hay cách nào chặn tốt và 100% là IP của 1 quốc gia nào đó không thể truy cập vào website mình không?

Mình search IP quốc gia từ trang này: http://software77.net/geo-ip/

Mình check IP từ trang này: http://www.ipaddress-finder.com/?ip=183.57.82.71

Và mong mấy Anh xem qua file Log(DDOS) và file .htaccess của mình ghi vậy đúng chưa.

Link: http://www.mediafire.com/download/21aa9jx1s2cxg6m/log.zip

hoathan70 wrote:

Đây là SEO trá hình là cái chắc ngoài ra còn dụng ý bỏ spam nữa chứ ,,,, nếu không đã thuê các công ty công nghệ chống lại rồi , mà cái web của bồ có nhiều cạnh tranh lắm đâu .

Cảm ơn bồ,

Thật sự web mình không có gì cả nhưng bị tấn công muốn điên lên điên xuống nè. Còn 1 vài web kinh doanh cũng như mình cũng bị tấn công. Mình sẽ không nêu tên ra vì sợ bồ lại nói spam hay SEO trá hình chỉ biết rằng những trang đó cũng ở trang 1 google như trang mình(hiện tại trang mình bị bay rồi vì DDOS robot không vào được nên tụt mất đất rùi).

Mong rằng bồ sẽ có những nhận xét lạc quan hơn khi có những người đăng topic này với mong muốn tốt đẹp chứ không phải ý xấu.

myquartz wrote:

Trừ khi đây là bài lập ra SEO trá hình. Đề nghị Admin xóa URL đến site kia là hết tác dụng SEO.

Còn bạn kinh doanh, không phải dân công nghệ, bạn đơn giản là thuê các đơn vị công nghệ chống tấn công hoặc làm dịch vụ cho bạn.

Cảm ơn bạn góp ý. Mình có vài điều trả lời như sau:

1) Theo như mình biết HVA không bao giờ cho hiển thị dạng URL tất cả sẽ hiển thị dạng là text. Vậy nếu xét khía cạnh SEO thì nếu tăng thì chỉ tăng cho HVA mà thôi.
2) Mình là 1 dân lập trình và mình đang làm kinh doanh nữa. Theo như mình tìm hiểu và biết thì hình thức tấn công DDOS khó mà chặn được. Nhất là mình mua hosting sài chứ không phải có có 1 cái server riêng. Chỉ trong vòng 1/2 tuần mình đã bay mất cái hosting bên Mắt Bão và mình phải thuê 1 cái hosting mới của 1 công ty mới nhưng mà cũng mất 1/2 số băng thông trước khi cái bạn DDOS kia chấm dứt hợp đồng. Thật sự mình search google không thấy công khai đơn vị nào mà chống tấn công kiểu này cả? Và mình cũng nhờ mấy anh kỹ thuật server hosting check log và block IP nhưng mà họ cũng ko chống lại được. Mình viết lên trên này vì biết đây là diễn đàn lớn quy tụ rất nhiều anh chuyên bảo mật cũng như tấn công. Mong sao họ đọc được sẽ hiểu và giúp mình nếu bên kia thuê DDOS bạn à.

Chẳng là trong thời gian qua website Tramhuongviet.Com của em bị ai đó thuê các chuyên gia tấn công vào website bằng hình thức DDOS.
Hiện tại website mình đã không còn bị DDOS nữa vì hợp đồng giữa bạn DDOS và bên thuê DDOS đã hết. Và bên này có ý định sẽ tiếp tục muốn thuê người tấn công DDOS và website mình nữa. Những điều này mình biết được là nhờ chính bạn đã được bên kia thuê DDOS website mình nhắn lại. Mình rất cảm ơn bạn đó vì có lẽ bạn ấy có chút đồng cảm vì sự "cạnh tranh không lành mạnh" trong kinh doanh kiểu này.
Dẫu biết rằng thương trường như chiến trường. Nhưng mà cái cách cạnh tranh kiểu này sao em thấy bên kia họ "dơ bẩn" đến vậy? Em chỉ 24t, còn rất trẻ, đam mê và mới tập tành kinh doanh.
Mong rằng các pro DDOS nào đọc qua topic này nên suy nghĩ lại và thương tình tha cho em được sống với.
Chứ các pro DDOS tấn công vào website em như thế thì làm sao em chống được!
P/s: Em cũng chả xích mích với ai cả. Cái em nghĩ bên kia họ tấn công website em là vì SEO của website em.

Cảm ơn các bạn HVA đã đọc smilie

- Tình hình là forum của em dạo này bị những người khác phá hoại, như cách đây 1 tuần thì bị cài shell vào skin và gần đây nhất là vào lúc 2h sáng ngày 25/06 có 1 người đăng kí user mới và sau đó ngay lập tức user này được set lên làm admin.
- Đây là địa chỉ IP của nó 118.68.184.80 em band nhưng không band được(Không biết tại sao).
- Trình độ của em còn khá kém cõi, em đã tìm hiểu cách search c99, c57, shell trong database khi mình bị hack nhưng có 1 điều là khi em search thì trong database của em hiện ra rất nhiều (Brows | Delete).
- Bên dưới là hình khi em search với từ khoá c99 :

- Câu hỏi 1 : Vậy em muốn hỏi khi em search các từ khoá trên và hệ thống trả về những table có (Brows | Delete) đều là những bảng bị cài hack hết à ? Xoá hết thì có bị gì không ? Hay là bấm Brows đối với những để xem code bên trong coi có phải là "code độc" hay không mới xoá ?

- Bên dưới là cách em bấm Brows và kiểm tra code khi em search từ khoá c99 :

- Câu hỏi 2 : Có phải bấm Brows và xem code để kiểm tra c99, c57, shell như hình bên trên có đúng ko ? Bên trên code đã mã hoá thì em nghĩ chắc ko phải là "code độc" có đúng ko ? Còn rất nhiều bảng như change password của member, post bài của BQT, của mod ... vân vân. Nhưng khi em bấm vào và xem code thì đó chỉ là những đoạn Text bình thường mà bọn em đã post trên forum thôi à !

- Khi em search với từ khoá là Shell thì nó hiện ra.
- Code bên dưới em xem ở 1 match(es) inside table plugin
$vsasop_excluded_groups = str_ireplace('6','1',$vbulletin->options['vsasop_excluded_groups']);
if ($vbulletin->options['vsasop_enable'] AND !is_member_of($vbulletin->userinfo, explode(',', $vsasop_excluded_groups)))
{
function VSsop_getload($windows = 0) {
$os = strtolower(PHP_OS);
if (strpos($os, "win" smilie

=== false)
{
if (file_exists("/proc/loadavg" smilie

)
{
$load = file_get_contents("/proc/loadavg" smilie

;
$load = explode(' ', $load);
return $load[0];
}
elseif (function_exists("shell_exec" smilie

)
{
$load = explode(' ', `uptime`);
return $load[count($load)-1];
}
else
{
return "";
}
}
elseif ($windows)
{
if (class_exists("COM" smilie

)
{
$wmi = new COM("WinMgmts:\\\\." smilie

;
$cpus = $wmi->InstancesOf("Win32_Processor" smilie

;
$cpuload = 0;
$i = 0;
while ($cpu = $cpus->Next())
{
$cpuload += $cpu->LoadPercentage;
$i++;
}
$cpuload = round($cpuload / $i, 2);
return "$cpuload%";
}
else
{
return "";
}
}
}
$vsasop_load = VSsop_getload($load);
if ($vsasop_load > $vbulletin->options['vsasop_maxallowed'])
{
$vbulletin->options['bbactive'] = 0;
$vbulletin->options['bbclosedreason'] = $vbulletin->options['vsasop_closedreason'];
$vbulletin->templatecache['board_inactive_warning'] = '<div class=\"forum_disabled\">'.$vbulletin->options['vsasop_closedreason_admin'].' ('.$vsasop_load.')</div>';
}
}

- Câu hỏi 3 : Em mong những người đọc topic này và có kinh nghiệm trong nghề chỉ em cách tìm kiếm và phát hiện ra database vbb của mình đã bị cài shell, c99, c57. Và chỉ cho em vài cuốn ebook cần đọc về vấn đề kiểm tra shell, c99, c57 vbb để em có thể bảo vệ forum của mình khỏi những kẻ phá rối kia.

- Mong nhận được sự chỉ bảo tận tình và chi tiết smilie