Messages posted by: nhuhoang

Nhiều khi dùng google có thể mò ra được link vào back-end, nhưng cũng cần sự may mắn.

MrMe wrote:

Mở terminal lên gõ init 0 có được không nhỉ. Mình chưa dùng FC8 bao giờ nhưng Centos các thứ thì toàn thế.

Distro nào cũng được cả, mình thì hay gõ halt

Đăng kí một tài khoản Google và sử dụng dịch vụ Google Analytics
http://www.google.com/analytics/

betapdu wrote:

Đại khái là em muốn như thế này: em muốn chặn 1 máy trong mạng Lan k truy cập vào 1 trang web chẳng hạn,như vậy phải chặn port 8080 phải k? em làm theo hướng dẫn sau của bọn Planet mà k đc vì k bit điền cái Subnet Mask
http://www.planet.com.vn/hotro/hdcd/IR/Setting%20Filter%20on%20ADE-3410

Bạn nên cầm khoảng chục triệu đi sắm 1 con router của Cisco rồi dùng URL Filtering mà chặn trang web. Khổ! không phân biệt được tầng transport và application

tranduyninh wrote:

bạn coi kĩ lại , không có http:login.yahoo.com mà chỉ là login.yahoo.com

Bạn đã chọn show bảng password của HTTP(5803) thì trong đó toàn pass của scheme http chứ còn gì nữa. Tôi đã thử vào http://login.yahoo.com thì đều bị wwwect đến https và khi login thì tất nhiên user & pass không thể bị sniff. khi show bản giống của bạn thì tôi cũng không thấy url nào là login.yahoo.com cả. Bạn có thể mô tả lại quá trình login của bạn được không? vào url nào?

Có thể là script của rapidleech, dùng để tránh giới hạn thực thi 30s của PHP. Mình chỉ đoán vậy thôi vì sau khi tắt cửa sổ rapidleech, nó vẫn chạy ngầm trên server và download nốt phần còn lại của file.

Sao khi đăng nhập yahoo lại cho dùng http nhỉ? user và pass bạn sniff có dùng để login được không?

muốn chặn cho mạng thì dùng
192.168.1.0
255.255.255.0

Còn host thì phải là
192.168.1.102
255.255.255.255

Muốn áp dụng cho tất cả các IP:
0.0.0.0
0.0.0.0

2 Website tin tức tổng hợp về linux:

http://www.linuxworld.com/
http://www.linux-mag.com/

Quyển sách tiếng anh đầu tiên mình đọc là giáo trình CCNA, áp lực học một chương (50-60 trang) trong vòng một buổi đã luyện mình khả năng đọc khá tốt. Đến giờ thì 80% tài liệu chuyên ngành mà mình đọc là tiếng anh, sau này làm đồ án chắc cũng dễ kiếm tài liệu hơn smilie

Nhiều khi cả câu chỉ cần nắm một vài từ là hiểu hết nghĩa, nhưng cũng có câu đọc như thế thì hiểu sai ngay trừ khi bạn đã nắm rất chắc ngữ pháp và từ vựng. Công cụ trợ giúp mà mình đề xuất là cài bộ từ điển English study 4.1. Nó hơn Lạc Việt và Prodict ở chỗ có thể tra từ trong PDF, mà phần lớn tài liệu IT là định dạng này.

Không quan trọng bạn tạo key ở đâu, mà là việc bạn đặt public key và private key ở chỗ nào.

=> private key ở phía client
=> public key ở server

Trong PHP manual có một đoạn

Why shouldn't I use Apache2 with a threaded MPM in a production environment?
PHP is glue. It is the glue used to build cool web applications by sticking dozens of 3rd-party libraries together and making it all appear as one coherent entity through an intuitive and easy to learn language interface. The flexibility and power of PHP relies on the stability and robustness of the underlying platform. It needs a working OS, a working web server and working 3rd-party libraries to glue together. When any of these stop working PHP needs ways to identify the problems and fix them quickly. When you make the underlying framework more complex by not having completely separate execution threads, completely separate memory segments and a strong sandbox for each request to play in, feet of clay are introduced into PHP's system.

If you feel you have to use a threaded MPM, look at a FastCGI configuration where PHP is running in its own memory space.

And finally, this warning against using a threaded MPM is not as strong for Windows systems because most libraries on that platform tend to be threadsafe.

Nghĩa là php yêu cầu một không gian bộ nhớ biệt lập khi phục vụ request, do đó nó chạy ổn định trên webserver dạng process hơn là trên dạng thread

Như vậy thì có nên sử dụng php với worker không? Theo mình biết thì worker là một dạng lai giữa process và thead nên nó có một số ưu điểm về mặt hiệu suất so với prefork và tất nhiên là mình muốn sử dụng worker. Nhưng trên thực tế thì đa số các gói binary đóng gói sẵn cho linux đều sử dụng prefork.

Mong các bạn có ý kiến về việc này

Theo như mình biết thì chỉ có vhost dựa trên IP-based mới sử dụng được SSL, tức là mỗi IP một SSL. Còn nhiều SSL trên 1 IP thì chưa thấy.

Mr.Khoai wrote:

hm, khoai không có điều kiện để thử tool này nên không thể trả lời chính xác cho bạn được. Tuy nhiên, đọc qua vài cái blog thì có vài điều mình cần phải làm rõ.

1. Hamster không phải là tool để sniff cookies. Đó là một tool để tấn công và mạo danh theo dạng man-in-the-middle.

2. Theo quote của chính Robert Graham thì hamster không gì khác hơn là một web proxy, cho phép attacker hoàn toàn tóm được các thông tin của user. Vậy là hamster không có chức năng ARP poisoning, hoặc những chức năng phụ trợ cho việc tấn công.

Trở lại vấn đề của bạn, bạn không "thấy" được thông tin gì ngoại trừ thông tin của máy mà bạn sử dụng. Khoai đoán là bạn chưa hoàn toàn là "man in the middle". Không cần dùng hamster, nếu bạn thật sự có thể đứng giữa client và server thì wireshark cũng có thể capture lại URL và cookies.

Xim mời xem thêm về man in the middle, ARP poisoning, hoặc tìm thêm tài liệu về cách tự làm một wireless AP nếu bạn thật sự chỉ chú tâm vào wireless.

khoai

em có "nhận xét" lại một số nhận xét của anh như sau smilie

1. Ferret mới có tác dụng sniff cookie, nhưng nếu mình Ferret thì không thể tấn công man-in-the-middle được vì Ferret chỉ sniff các gói tin thên adapter theo chế độ promiscuous, tức là nó cần phài kết hợp với Cain để có thể sniff cookie của victim trong LAN (đã thử)

2. Wireless có chế độ làm việc theo kiểu HUB, nên ta có thể bắt được mọi gói tin của victim mà không cần lừa lọc gì. Do đó chỉ cần 2 tool của Robert Graham là đủ. Và đây cũng không phải là man-in-the-middle theo đúng nghĩa của từ này

3. Chức năng của Hamster là một proxy server và cho phép clone cookie đã sniff được từ Ferret vào trình duyệt. Nó giảm thiểu các thao tác chỉnh sửa cookie đến chỉ còn một cú click chuột.

P/S: Một phương pháp bảo vệ mạng Wireless khỏi session hijacking:
http://blogs.zdnet.com/Ou/?p=587

conmale wrote:

đây là lỗ hổng kinh khủng nhất của firewall (phần màu đỏ). Nhiều FW cản rất chặt chẽ nhưng nếu một gói tin (dù là giả) có nguồn là chính IP của nó, nó cho vào

Thưa anh conmale, em đã "nghiền" bài post của anh mấy hôm nay

Em có một chút thắc mắc về tác hại của những gói tin dạng này đối với hệ thống. Bình thường ta hiếm khi đưa tham số -s vào các rule trong chain INPUT, nên dĩ nhiên source của gói tin này là gì thì cũng có thể vượt qua được firewall, trừ khi nó bị drop vì các thành phần khác của gói tin. Vậy thì anh có thể nêu một ví dụ nào đó được không?

Đối với attacker thì Spoof source IP có mang lại hiệu quả gì không? bởi vì gói tin hồi đáp không đến được với attacker, attacker không thể thu nhận được thêm thông tin gì từ hệ thống thì spoof làm gì

Tất nhiên là có thể sniff được trong LAN, bạn phải lừa Victim sao cho victim tưởng mình là gateway, còn gateway lại tưởng mình là victim thì mọi traffic giữa victim và gateway đều bị ta sniff. Kiểu tấn công này gọi là man-in-the-middle.

Trên windows bạn có thể dùng Cain, còn trên Linux dùng dsniff và ethercap

Mình thấy phần mềm này hoạt động không được ổn định lắm. Bình thường F5 mãi không thấy hiện ra target nào, nhưng thoát ra thì thấy tất cả cookie đã được lưu trong hamster.txt rồi. Mình nghĩ lỗi này là do chức năng cache của ổ cứng, khi ferret ghi nội dung cookie vào hamster.txt thì HĐH không ghi ngay, mà lưu lại trong bộ nhớ nên khi hamster đọc dữ liệu từ hamster.txt thì không thấy gì trong đó cả. Có lẽ phải report tác giả về lỗi này.

Thêm nữa, mình mới thử đăng nhập thành công vào gmail bằng cách sửa cookie bằng tay (chỉ cần GX), còn chức năng clone cookie của hamster thì mình không thấy hoạt động

newbe12 wrote:

Các cookie liệt kê trên hình đều là của địa chỉ IP: 192.168.0.4 của máy em. Không có một cookie nào của victim cả.

Bạn đã cài winpcap chưa?

Bạn paste link download 2 phần mềm lên đây cho mình xem thử. Mình nghĩ nó cũng giống Cain thôi

Xảy ra tình trạng này là do bạn request trong mạng LAN, băng thông của LAN rất cao mà database lại là ứng dụng tốn khá nhiều CPU nên việc server không đáp ứng được là điều dễ hiểu. Để khắc phục, bạn dùng iptables giới hạn số connection trong một đơn vị thời gian. quá giới hạn đó thì request đến sẽ bị drop.

quanta wrote:

Ngoài ra, theo tớ biết state này còn được sử dụng để thông báo các ICMP error.

Bạn có thể nói rõ hơn được không. Khi nào thì có các gói ICMP này? Kể cả khi DROP các packet ICMP thì nó vẫn có thể sinh ra được nữa không?

thangdiablo wrote:

Hello bạn,

Bạn có 3 quyển BSCI, BCMSN, ISCW tương tự như ONT này không cho mình xin nhé.

Thanks bạn

http://www.box.net/shared/ovh8rcyw4s

Trong định nghĩa thì RELATED là "một connection dùng để khởi tạo một connection khác"

The RELATED state refers to a connection that is used to facilitate another connection. A common example is an FTP session where control data is passed to one connection and actual file data flows through another one.

Như vậy thì để giao thức FTP hoạt động bình thường thì đối với server ta chỉ cần mở cổng 21 là được hay phải ACCEPT thêm cổng 20 cho ftp-data?
Code:

iptables -A INPUT -p tcp -d x.x.x.x --dport 21 -m state --state NEW,ESTABLISH,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -s x.x.x.x --sport 21 -m state --state ESTABLISH,RELATED -j ACCEPT

Và có giao thức nào cần phải có state RELATED này nữa không?

secmask wrote:

http://erwan.l.free.fr/sniffer.zip , trong tools này có phần spoof ip, nhưng không hiểu sao mình mới chỉ test được phần ICMP Information Request là được, còn echo, ... thì bị báo error code xxx, bạn thử download về dùng thử xem sao.

Một phần mềm cực hay, cám ơn secmask. Bạn không spoof được gói echo là do bạn để mode raw IP, mình đã thử chỉnh sang mode winpcap thì chạy được tất cả các tính năng mà nó cung cấp. Phải nói là spoof được mọi loại packets smilie

gazzzzzit wrote:

Các pro cho mình hỏi nhé. (Mình ko hiểu ji về virus)
Cách thức hoạt động của loại Virus "chơi" file exe. Mình có nhiều phần mềm khó kiếm nhưng bị loại này xơi mất , mình ko muốn del chúng . Có cách nào giữ đc file ko? Loai ni chỉ khi nào quét ,click vô mới thấy , vậy có thể biết trước tránh click vào ko vậy?

Nó chèn một đoạn code virus vào đầu file exe nên đoạn code này sẽ được run trước khi file exe của bạn được chạy.

Cách tốt nhất là cài một trương trình anti-virus rồi quét toàn hệ thống, chọn mặc định là disinfect với những file bị nhiễm, rồi mới delete khi disinfect fail

binbui wrote:

bạn lên mạng tìm môt số phần mềm fake ip .
hôm rồi mình có nghịch một lần nhưng ko hiểu sao sau khi nghịch xong thì mai cái máy hết vào mạng được luôn

fake bằng proxy như soft "Hide IP" thì không nói làm gì. Mình muốn nói đến cách fake trực tiếp đến một IP xác định. VD mình muốn gửi một đi gói tin có source và destination đều là 118.71.134.121 chẳng hạn.

Trong các tài liệu về firewall hay nói về một số phương pháp tấn công bằng cách spoof source IP, mình cũng đã thử tìm hiểu nhưng toàn thấy tài liệu về phòng chống chứ ko thấy cách tấn công. Các bạn cho mình hỏi có phần mềm hoặc đoạn code nào cho phép sửa source IP của gỏi tin ko?

Mục đính để kiểm tra firewall

Đầu tiên học một khóa CCNA để biết căn bản về mạng. Ngoài kiến thức ra, bạn còn được đụng vào thiết bị thật và quan trọng là bạn sẽ quên dần với việc nghiên cứu tài liệu tiếng Anh. Mình khuyên bạn nên đi học các khóa Academy với thời lượng 6-9 tháng thì mới "nuốt trôi" hết 4 cuốn giáo trình bằng tiếng Anh dày cộp của nó. Sau đó thì tùy khả năng tài chính và sở thích thì học thêm về bảo mật: SCNP, Sec+, CEH là một những lựa chọn khá tốt

gamma95 wrote:

Nó đang thương lượng về lời đề nghị khiếm nhã của M$ mua lại Yahoo! với giá khá bèo, nên có thể tạm thời suspend hết mọi việc chăng

Vì cái mask đấy bác, giờ 360 thành "miền tây hoang dã" để chúng ta lộng hành smilie