Messages posted by: PXMMRF

nguyenthanhtrang wrote:

các bác pro ơi giúp tôi với.
cty mình vừa mua một con server HP Proliant ML350 G6.
mình đã cài win server 2008 R2 64bit ngoan lành, nhưng bay giờ mình ghost win không được, vì đĩa boot không có driver raid nên mình không ghost được.
có ai biết cách add driver card raid vào cd LHT boot hoặc USB boot không thì giúp mình với

Có phải bạn có ý định clone lại toàn bộ RAID array, tức là file-by-file and sector-by-sector RAID disk cloning?
Nếu đúng như vậy bạn không có thể hay chính xác là không nên dùng các cloning program thông thường (cài trong các Hiren boot CD hay Boot USB) dù cố tìm cách đưa một RAID driver vào thêm.
Các phần mềm này chỉ dùng để cloning các HDD không RAID và việc cố đưa một RAID driver vào thêm là không có tác dụng gì.

Bạn nên dùng các phần mềm hỗ trợ cloning RAID array (hay RAID container), thí dụ phần mềm:
EaseUS Todo Backup Server 4.5
hay tốt hơn là:
EaseUS Todo Backup Advanced Server 4.5

tamvunb wrote:

Cái này làm mình hơi vất vả và tốn time.Sau khi tìm hiểu thì mình dự đoán khả năng lớn xảy ra tình trạng này là do firmware của main chứa raid onboad hỗ trợ kém với bản ubuntu 12.04 LTS .Mình đã thử với card raid và sử dụng software raid thì Ok.Thế nên bạn nào gặp trường hợp này chú ý nha.Nếu có time thì tìm hiểu cặn kẽ xem vấn đề chính xác là gì.

Bạn nhận định đúng, nhưng chưa chính xác.

Khi cài một OS (HĐH) vào một máy có RAID Adapter (gọi là RAID Adapter, không nên gọi là RAID driver, như không ít người đã gọi như vậy trên các diễn đàn quốc tế và VN), RAID onboard hay RAID card (cắm vào một PCI slots của máy), thường có trục trặc.
Lý do trục trăc là do trong nôi dung hệ điều hành thường không có một file (driver) hỗ trợ RAID (on board hay Raid card).

Cần chú ý là Hệ điều hành chỉ "nhìn" tất cả các ổ đĩa trong máy, hay chính xác hơn là trong một RAID container như là một ổ đĩa Logic, chỉ một mà thôi. Dù rằng trong RAID container ấy có 2 HDD (trường hợp RAID 1) hay >= 3 HDD (trường hợp RAID 5). Lẽ dĩ nhiên bạn có thể chia ổ Logic nói trên thành nhiều Partition (nhưng không nên quá 4 partition, trường hợp chúng đều là Primary partition).

Nếu không cài thêm môt driver hỗ trợ RAID đã nói ở trên (cài ngay trong quá trình cài đặt OS) thì sẽ gặp trục trặc trong quá trình cài đặt, hoặc cài xong thì không nhìn thấy ổ đĩa (partition) nào cả.
(Cần nhớ rằng trình BIOS-post khi khởi động máy- có thể nhìn thấy các ổ logic trong RAID container, nhưng OS thì không).

Microsoft hoặc các hãng cung cấp RAID adapter thường cung cấp đủ các RAID driver cho các hệ điều hành Windows XP, 2003, 2008... (nhưng chúng không nằm trong đĩa cài đặt các MicroSoft OS nói trên, phải tìm trên mạng).

Nhưng với Linux thì việc tìm các RAID driver này khá khó, có khi không tìm ra,do một phần Linux nói chung là miễn phí nên các công ty soạn thảo driver không chú ý, phần khác là có khá nhiều LINUX distribution, nên không đủ sức làm (miễn phí) cho hết. Ngoài ra các người soạn thảo các Linux softwares lai không có kiến thức sâu về hardware drivers, nên không dễ dàng viết ra các driver phù hợp. Trong Linux nếu cài một driver không phù hợp hay không được soạn thảo kỹ có thể làm kernel của Linux OS bị crashed.

avril_thaiduong wrote:

Gần đây em sử dụng lệnh yum nó cứ xuất hiện lỗi này
Mọi người có thể giúp em fix lỗi này được không .

[root@server~]# yum update
Setting up Update Process
Setting up repositories
not using ftp, http[s], or file for repos, skipping - Null is not a valid release or hasnt been released yet
Cannot find a valid baseurl for repo: update
Error: Cannot find a valid baseurl for repo: update

Nội dung các File liên quan như sau :

File /etc/yum.conf

[main]
cachedir=/var/cache/yum
debuglevel=2
logfile=/var/log/yum.log
pkgpolicy=newest
installonlypkgs=kernel kernel-smp kernel-devel kernel-smp-devel kernel-largesmp kernel-largesmp-devel kernel-hugemem kernel-hugemem-devel
distroverpkg=centos-release
tolerant=1
exactarch=1
retries=20
obsoletes=1
gpgcheck=1
plugins=1

File /etc/yum.repos.d/CentOS-Base.repo

[base]
name=CentOS-$releasever - Base
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os
#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
gpgcheck=1
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-centos4
priority=1
protect=1
................................................

Distro em đang dùng là CentOS 4.8

Rất mong được sự giúp đỡ của các Anh !

Không có lỗi gì ở đây cả.
Khi bạn sử dung lệnh "yum update" (luôn phải dưới quyền root) để update các repositories, packages thì CentOS sẽ kết nối với một số website để download các update về máy và tiến hành cài đặt (install) hay cập nhật các update này. Thường thì các CentOS đời mới (CentoS6) sẽ tìm các update mirrors(webserver) ở gần ta nhất và kết nối nhanh nhất (thí dụ nó có thể tìm các update ở FPT webserver hay FIBO webserver, vì chúng ở ngay Việt nam và có tốc độ kết nối nhanh).

Còn trong CentOS đời cũ của bạn (CentOS 4.8) thì nó chỉ chịu hay "chỉ được phép' tìm các update trên các webserver của chính CentOS (CentOs.org), mà các webserver này phần thì ở xa VN, phần vì có nhiều người truy cập đến nên kết nối khá chậm. Thành ra quá trình update của bạn qua yum luôn không thưc hiện đươc (Timeout). Và khi không thực hiện đươc thì nó (CentOS) lại trả lời là: "Không tìm thấy URL nào có dữ liệu yêu cầu để download, nên quá trình update không thực hiện được"

CentOS 6 dĩ nhiên là có nhiều cải tiến hơn CentOs 5.

Cải tiến gì thì vào CentOS homepage (centos.org) mà xem. Hì hì
Điều thấy khá rõ là config. Network Connections dễ hơn, khi dùng wired và đặc biệt là khi dùng Wireless.
(Network Drivers trong CentOS 6 được bổ sung đáng kể)

Tôi đang post bài từ CentOS 6.2 (Kernel 2.6.32.220.el6.i686), chạy wireless đây nè!

Thêm vài chi tiết về website daily.us.to nè:

- Chạy với WordPress 3.3

- Cài một JavaScript (loại JQuery JavaScript) - code sẽ đươc tôi post lên sau

- Trên website có một Form (user phải điền email address để Subscribe), nhưng dữ liệu điền vào form lai được chuyển đến một webserver khác là: http://sudarmuthu.com

- sudarmuthu.com webserver này sử dụng một IP khác là 178.79.134.13, trong khi daily.us.to thì IP là
IP 184.170.246.91, như nói ở trên. (Các bác STL nhiều webserver, IP quá)

- Webserver sudarmuthu.com không đặt ở Atlanta USA (như daily.us.to ) mà đặt ở Anh quốc cơ.

- Trên webserver có IP là 178.79.134.13 này, ngoài website http://sudarmuthu.com thì chỉ còn một website nữa là li190-13.members.linode.com, nhưng đây là reverse của sudarmuthu.com.

Thấy các bác STL giầu và mạnh chưa nào?. Không tin các bạn check kỹ lại xem. Hì hì

Nói thêm về IP 184.170.246.91
IP này tại At-lan-ta USA

Ngoài daily.us.to trỏ về (sử dụng) IP 184.170.246.91, còn có hai website (domain) khác cũng đang trỏ về IP trên. Đó là:

http://cafeevn.com
http://muaha.youdontcare.com

Điều đặc biệt là trên hai website này chỉ có một file duy nhất (file index), với dòng chữ ngắn "index.html". Trình quản lý web cài đặt trong server (web server) cũng là NGINX:

HTTP headers:
HTTP/1.1 200 OK
Server: nginx/1.0.9
Date: Thu, 29 Mar 2012 08:39:57 GMT
Content-Type: text/html
Connection: close
Content-Length: 11
Last-Modified: Mon, 14 Nov 2011 04:03:09 GMT
Accept-Ranges: bytes

Cả 3 website này đều của 1 hacker (chắc là STL)

xuanphongdocco wrote:

Cho mình hỏi một tí, làm sao mà mấy bác lấy được file http://daily.us.to/js/jquery.php vậy. Mặc dù mình edit source trang và thêm từ đó 1 liên kết http://daily.us.to/js/jquery.php nhưng vẫn không được.

Để đọc được file jquery.php trên webserver http://daily.us.to, bạn nên dùng "Malzilla" (thưc ra daily.us.to là một wordpress blog)
Trên giao diện Malzilla, URL thì điền vào http://daily.us.to/js/jquery.php, còn Referrer thì điền vào:
http://kbchn.net/. Rồi nhấn button "GET". Nôi dung File jquery.php hiện ra phía trên, dạng .txt, đươc encrypted.
------------------------

http://daily.us.to
IP 184.170.246.91
HTTP/1.1 200 OK
Server: nginx/1.0.9
Date: Thu, 29 Mar 2012 07:40:43 GMT
Content-Type: text/html
Connection: close
X-Powered-By: PHP/5.3.8
Set-Cookie: seafood=1

Master trên giống như là các master server điều khiển bot mà STL thường dùng.

miyumi2 wrote:

Tiếp tục chạy file rss.xml (đổi tên thành rss.exe) sẽ thấy rất giống chiêu "Kim Thiền thoát xác" của trojan nhúng trong Unikey:
- Tạo file 5.tmp vào thư mục TEMP và thực thi file này, 5.tmp sẽ terminate process rss.exe, đổi tên rss.exe thành rss.tmp
- Giải mã từ resource tạo file FBAgent.exe trong SYSTEM32, đây là file chính của trojan, khi chạy sẽ nâng quyền lên SYSTEM (chạy giống 1 service).
- Giải mã từ resource tạo lại file rss.exe (kích thước nhỏ hơn rất nhiều), xóa file rss.tmp.

File FBAgent.exe có code phát hiện máy ảo và debugger nên tạm thời chưa theo dõi tiếp được.

http://www.mediafire.com/download.php?42c4ca67blcfksi
Pass: 123

FBAgent.exe chính là một Trojạn, tên là: TR/Obess.A
Trojạn này cũng xuất hiện trong một số file nằm trong gói tin 1 st.rar mà Mrs. Anonymous đăng tải lên mạng và cho là đã lấy ra trong các webserver của BKIS.

Trong gói tin 1 st. rar nói trên có khá nhiều file có virus -trojan (khoảng xấp xỉ 50 files). Có một file được nhúng vào một Trojan y hệt như Trojan nhúng vào file Unikey (fake) download từ một URL trên website sourcefroce, giả URL của tác giả Unikey Pham kim Long.
Có thời gian tôi sẽ viết thêm về vấn đề này.

( Chú ý: Cần làm rõ điều này: Hacker [có thể là STL] giả mạo một URL trong website sourcefroce.net, nơi mà user sẽ phải truy cập đến để download Unikey, chứ không phải là hacker dẫn người truy cập đến một website giả mạo bên ngoài, khác với sourceforce.net)

bolzano_1989 wrote:

http://kbchn.net là một trang web lề trái (1), phát hiện của miyumi2 rất thú vị, khả năng rất cao là có bàn tay của stl (2).
Qua một tấn công của stl trước đây, mình confirm chuyện bọn hacker stl có kinh nghiệm trong việc exploit JRE (Java Runtime Environment).

(1)
Nó không phải là "lề trái" đâu em! Hì hì. Xem thử một vài bài, thí dụ bài này:
http://kbchn.net/news/Hien-tuong-Viet-Tan/Viet-Tan-Va-Am-Muu-Dung-Lao-Dong-Viet-O-Dai-Loan-De-Chong-Pha-To-Quoc-2817/

(2) OK! Đúng như vậy
Mình đang đi sâu vào một vài khía cạnh

miyumi2 wrote:

conmale wrote:

Cái page source của /hvaonline/forums/list.html chình ình ra đó. Ai muốn soi, muốn xoáy cỡ nào lại không được

Vấn đề là ở chỗ này: "Trend Micro đã xác nhận..."
==> Trend Micro đã xác nhận thì theo em có nghĩa là đã soi, mà soi với sự tham gia của con người. Vậy thì những con người tại Trend Micro soi trong source HTML này thấy cái gì gọi là "độc"? Với bao nhiêu năm hoạt động của HVA, theo em link này không thể chứa cái gì gọi là "độc" cả ==> nếu không có thì tại sao Trend Micro lại cảnh báo như vậy?

==> Giả thuyết:
- Do có người dùng phàn nàn lên Trend Micro;
- Hệ thống chương trình bot tự phân tích tự nhận dạng của Trend Micro;
- Đối tác của Trend Micro tại VN (Cty TNHH MTV Đỉnh Thái Phong, 215 Trần Bình Trọng, TP HCM) report qua Trend Micro Đài Loan (lưu ý: đây chỉ là giả thuyết nhận định cá nhân, không có ý quy chụp hay gì khác).

Theo các bạn giả thuyết nào nặng ký nhất và trình độ của các chuyên gia Trend Micro tới đâu khi "soi" và kết luận link HVA có mã độc và đưa vào blacklist?

HVA thì đã và sẽ không bao giờ cài mã độc vào các trang của mình (của chính HVA). Các bạn nên tin điều này.
Tuy nhiên khi Trend Micro quét không chỉ trang chủ (trang mở đầu) của HVA, mà quét cả các trang khác (URL khác) của HVA hiện đang được public, gặp một vài trang nào đó, thì có thể Trend Micro có nhận định như trên. Đó là các trang có hiện tương sau:

- Thành viên HVA post lên bài viết của mình toàn bộ code một malicious script của một virus, trojan...để minh hoa một điều gì đó.

- Trang đươc đưa lên một vài hình ảnh (images) để minh hoạ. Nhưng những hình ảnh này đã và đang được upload lên các image-uploading website bên ngoài, mà các website này lại cài các mã độc hại lên trang upload ảnh của nó hay cố ý cài mã độc hại vào ngay trong file ảnh.. Các thành viên thường không chú ý bảo mật cho mình và cho người khác khi chọn lưa image-uploading server bên ngoài, chỉ thấy dễ và tiện là làm. Thế thôi. Hì hì

(Đây là lý do mà tôi phải upload các ảnh minh hoa [của mình trên HVA forum] lên chính webserver do chính mình quản lý, vì có chuyện gì sợ mang tiếng. Điều này tôi có dịp sẽ trình bày chi tiết hơn về sự thiếu bảo mật khi cho member minh hoạ hình ảnh trên forum bằng các ảnh đươc upload lên các image- uploading webserver bên ngoài. HVA biết điều này, nhưng tạm thời cho phép như vậy, để chiếu cố yêu cầu của member)

- Trang có "malicious signature" của một hai thành viên nào đó.(Thành viên dùng một malicious script làm signature, trong khi input filter của HVA có thể chưa phát hiện ra ngay).

Tất nhiên có cả trường hơp mà Trend Micro bị nhầm lẫn

Ghi chú: Trend Micro là một công ty bảo mật khá nổi tiếng có người sáng lập là người Đài loan. Trước đây head office của nó ở Đài bắc, nhưng sau đó đã chuyển sang Mỹ. Trend Micro có những phần mềm AntiVirus khá nổi tiếng. Phần mêm Hijack-This hiện là của Trend Micro.
Có một điều chắc rất ít bạn biết là công ty InnoGreen VN (thuê và khai thác một diện tích rừng lớn ở VN) thì ông chủ tịch công ty này chính là người đã từng sáng lập ra Trend Micro, nay chuyển nghề sang đầu tư khai thác rừng. Hì hì

m3onh0x84 wrote:

E đồng ý nên unlock plg, Flickr vì các bạn này phân tích có chừng mực cứ để các bạn ấy trình bày, phấn tích, thảo luận. Nếu phạm quy rành rành hẵng xử cũng chưa muộn.
Còn tước quyền moderator của a xnohat e nghĩ là k0 nên. Nếu như hva dân chủ, tự do thì kệ cho họ tự đến tự đi thui, chỉ cần ẩn bài phạm luật là đủ rồi
Tham gia các vụ NÓNG rất cần 1 cái lạnh, THẬT LẠNH

Xin xem trả lời:

PXMMRF on 14/03/2012 15:20:05 at post No. #1939, page 65 /hvaonline/posts/list/1920/41193.html about unlocking for Flicker675 wrote:

Hì hì. Lần sau bạn phải cho biết account cũ có nickname là gì?
Tôi mất nhiều công và thời gian để tìm ra account cũ, nickname cũ của bạn (bị locked).
Tôi đã đọc tất cả các bài viết của bạn trong forum và trong box "Những thảo luận khác".
Ngoài ra tôi cũng đã trao đổi cặn kẽ với người đã lock account của bạn và chúng tôi đã nhất trí sẽ unlock.
Bài viết của bạn tai trang 67 topic này cũng đã được hiện (unhiden)

Việc unlock đã thực hiên cách đây vài phút.

Còn vấn đề plg thì chính bạn plg đã thông báo ở một post trên đây

rongchaua wrote:

Ngoài lề tí, không liên quan gì đến STL và cái đám Virus cả nhưng thấy cần phải nói vài điều. Tuần trước submit cái app về thời tiết lên Market Place của Windows Phone, hôm kia nhận được thông báo Test Failed. Đọc Test report té ngữa luôn không hiểu vì sao lại bị set vào "Political Content" vì app về thời tiết thì liên quan gì đến chính trị???

Check lại thì do mình set Local Default là "Vietnam, Sai Gon - HCM". Tuy chưa hỏi lại Microsoft nhưng có thể thấy 1 điều là Trung Quốc đã xâm nhập rất sâu và ảnh hưởng rất sâu rộng. Bằng chứng rõ ràng là App bị declined vì một lý do cực kỳ vô lý như vậy.

Trong khi đó thì người Việt tự đấu đá lẫn nhau. BKAV bị hacked thì C50 vào cuộc ầm ĩ, Vietnamnet bị DDOS thì im ru bà rù. Cài cắm đủ loại backdoor, virus lên máy lên máy người dùng để theo dõi.

Nhìn Ấn Độ, Trung Quốc tràn qua các khu công nghệ cao ở Âu Châu, Mỹ rồi nhìn thanh niên Việt Nam suốt ngày "chém gió", "lót hóng", "ngưỡng mộ" và GATO trên diễn đàn, rồi lại đọc mấy topic như virus thế này thì biết quốc gia mạt vận rồi.

Điều này khá lạ lùng.
Không hiểu việc submit một Weather App. lên Windows MarketPlace (Windows Phone used) của RCA bị failed có phải vì một trục trặc kỹ thuật nào không? chứ ai đó quy kết do nguyên nhân vì "containing sensitive political content" thì không thể hiểu nổi. Ngoài ra "nó" còn nói rõ là cái Weather App của RCA (rongchaua) là nói xấu, làm xấu nước thuộc Nhom1 (groupe 1)- mà Groupe 1 chính là TQ.
Trong phần cảnh báo về "offensive" có một đoạn "chết người" là "but are not limited to the following":... nên quyền hạn của các bác quản trị ba Tầu nằm trong MarketPlace-WindowsPhone này là rất lớn, muốn "trảm ai thì trảm".

Nhưng không biết cái Weather App. mà em submit có hình ảnh nào về biển Đông kèm mấy quần đảo HS, TS của VN hay không?

xnohat wrote:

Anh conmale, đồng chí weareanon đã cung cấp file thông tin về máy chủ của BKAV, theo em thì mình dùng nó bổ sung vô cái case study luôn đi, em đọc thấy trong đó có nhiều file đồng chí weareanon chưa hề phân tích ví dụ như cái file apache config đọc cũng khá lý thú, có bồ bên topic về vụ hack BKAV bên kia đã tìm ra là BKAV không hề dùng mod security chẳng hạn.

À mà như bác Mai đã nhận ra, khi đọc mấy cái file do bồ weareanon cung cấp, em thấy mấy cái giả định của anh trúng tới 95%

Chào xnohat

Mình không quen biết bạn weareanon và cho đến nay cũng chưa trao đổi với bạn ấy lần nào qua email, chat.... Tôi cho rằng bạn weareanon là một bạn có trình độ IT rất khá và trên mạng có cách trao đổi đúng mực, vừa phải, khôn khéo. Tuy nhiên tôi không có bình luận gì về mục đích hack vào BKAV forum của bạn ấy, hay bạn ấy có thưc sự là một thành viên của Anonymous và LulzSec Vietnam hay không? Cũng như thực sự đang có một tổ chức như vậy ở VN hay không.

Bài viết của tôi (phía trên, trong topic này) viết trước bài viết "Thông báo số 2" (gọi thế cho tiện) của bạn weareanon. Bài viết của tôi ngày 23/02/2012 15:30:43 (+0700) | #40 | 254947, còn bài "Thông báo số 2" của weareanon đăng trên HVA forum ngày 24/02/2012 12:03:15 (+0700) | #469 | 255001 (dường như weareanon cũng đăng tải nôi dung "Thông báo số 2" trên mạng vào cùng thời gian này)

Khi website webscan.bkav.com.vn bị defaced, tôi có trao đổi với gamma95, người tôi cho là rất thông minh, hiểu biết trong việc phân tích những sự kiện như thế này. Tôi ghi nhận, nhưng không hoàn toàn đồng ý với ý kiến của bạn ấy. Ý kiến riêng của tôi, thì đã trình bầy một phần ở post trên.

Dù khá bận công việc (liên quan đến việc nhân GT Nhà nước về KH&CN 2010), tôi vẫn bỏ một phần thời gian "nghiên cứu-tìm hiểu" về các website-hệ thống của BKAV vừa bị hack. Dĩ nhiên là tìm hiểu theo cách của người làm bảo mật, không phải là thâm nhập-hacking vào bên trong hệ thống. Tôi cũng chỉ tìm hiểu về werbserver-hệ thống webscan.bkav.com.vn, chứ không về forum.bkav.com.vn. Tuy nhiên các hệ thống khác nhau của BKAV lai có cấu hình khá giống nhau, trên nền tảng: Win2K3-Apache(Win32)-PHP 5.3.x-MySQL... vân vân (xin không viết hết cả ra).

Từ cách deface website BKAV của hacker vào trang webscan.bkav.com.vn và chi tiết cấu hình của webserver, băng kinh nghiệm bản thân, tôi đoán cách thức cụ thể hacker deface website của BKAV cũng như cách thức hacker tấn công từ chối dịch vụ (DoS- chứ dường như không phải DDoS) rất hiệu quả vào webserver này, vài ngày sau đó.

Về nôi dung bản "Thông báo số 2" của bạn weareanon tôi còn có những thắc mắc và nghĩ ngợi. Tất nhiên BKAV không chỉ mắc những lỗi mà weareanon đã nêu, mà còn những lỗi khác, thí dụ các lỗi liên quan đến việc config. Apache trên file httpd.conf. Nhưng cũng chính nôi dung config. Apache của BKAV (mà weareanon dẫn ra) lại có những điểm lạ, ít nhất được coi là khó hiểu hay có chút mâu thuẫn. Có thời gian ta sẽ bàn thêm việc này.

Tôi muốn lưu ý về cách thức tấn công từ chối dịch vụ của các hacker vào hệ thống của BKAV vừa qua. Theo tôi đây là một cách tấn công mới, rất hiệu quả, chỉ cần rất ít người tham gia, không cần một mạng botnet to lớn, mà việc tạo lập nó vốn rất mất công và việc kiểm soát bot net rất dễ tuột khỏi tay hacker. (như trường hợp vừa qua khá nhiều mạng botnet của STL đã bị huỷ diệt hay mất đi sự được kiểm soát, sau khi anh TQN và một số thành viên HVA khác RCE các malicious codes của botnets và các International Antivirus Co. kịp thời cập nhật chương trình diệt virus của họ).

Có thể các cuộc tấn công DoS của hacker vào BKAV forum đã đánh đúng vào "gót chân Achilles" của hệ thống, gây ra bởi chính một số application cài đặt trong nó. Theo tôi, đây là vấn đề quan trọng, liên quan đến mạng truyền thông quốc gia, cộng đồng, mà HVA chúng ta cần lưu ý, có những cảnh báo, hướng dẫn giúp công đống cách thức phòng thủ hay khắc phục, trong thời gian tới

conmale wrote:

Nhân tiện trang diễn đàn BKAV vừa bị tấn công (defaced và mất DB), tôi xin đưa ra một "case study" thực tế như sau:

Một trang web của công ty vừa bị thâm nhập. Để bảo đảm bảo mật và uy tín của công ty, theo bạn, công ty ấy cần khai triển những gì và lý do tại sao?

Cho rằng (các phiên bản đưa ra ở đây hoàn toàn là ngẫu nhiên): trang web ấy chạy trên hệ điều hành Windows 2003, sử dụng IIS làm reverse proxy, Apache phiên bản 2.2.15, PHP phiên bản 5.3, sử dụng software thương mại là vBulletin có phiên bản 4.1.5 và cơ sở dữ liệu là mysql phiên bản 5.1. Tất cả các dịch vụ đều chạy trên cùng một máy chủ (dedicated server) và được firewall của ISP bảo vệ.

Vui lòng khai triển ở góc độ "forensics" để từ đó mới có thể đưa đến biện pháp.

Mời các bạn tham gia.

Hì hì, bác conmale đưa ra các phiên bản của HĐH và applications của một hệ thống một cách ngẫu nhiên mà dường như thấy "sát sàn sạt", nó đang gần giống như một hệ thống nào đó mới bị defaced và bị tấn công DDoS (hay chỉ là DoS thôi) và "sập tiệm".

Win 2K3 thì như đúng rồi, IIS hay nginx làm reverse proxy nhỉ, chắc là IIS?, PHP 5.3.x -có nên thêm con số x nào đấy vào cho thật cụ thể không? , Apache (Win32) thì có lẽ là 2.2.17 cho nó mới hơn, dù thế hiện cũng đã cũ. Thế hệ thống có cài ActivePerl không nhỉ? Các thứ khác thì xin OK!

Hì hì! chỉ giỡn đôi chút để làm các bạn vui thêm sau khi căng thẳng suy nghĩ về câu hỏi của anh conmale mà thôi!
----------------------
Nay xin quay về câu hỏi của anh conmale.

Trên đây có nhiều bạn đã trả lời với nhiều ý kiến. Có những ý kiến khá hay, đáng học hỏi. Nhưng có vẻ có những ý kiến hơi khái quát, hơi bao quát quá. Các giải pháp đưa ra có thể hay chỉ áp dụng như một nguyên tắc, nguyên lý, qui định chung về bảo mật hay khắc phục sự cố mà thôi.

Tôi xin bổ sung thêm một vài ý kiến nhỏ.

Ta giả dụ hệ thống bị defaced theo cách mà trang web webscan.bkav.com.vn bị defaced, nghĩa là hacker đặt đươc một file "hacked.html" vào thư mục gốc hay Documentroot của Apache, tức là của webserver và sau đó một vài ngày nó bị tấn công từ chôi dịch vụ và bị ngưng trệ trong nhiều ngay, dù có vẻ không có sự tham gia của một hệ thống botnet (DDoS zombies) trên mạng.

Điều quan trọng đâu tiên chúng ta phải xác định rõ cấu hình cụ thể của webserver vừa bị hack.
Trước tiên, loại HĐH mà webserver cài đặt là một yếu tố rất quan trọng cần phải xem xét. Win2k3 hay Windows OS nói chung có những điểm yếu rất khó khắc phục, tạo cơ hôi cho hacker thâm nhập. Vấn đề phải tìm xem hành đông hay hiện tượng thâm nhập vừa qua có liên quan đến điểm yếu nào của Win2K3 hay không?
Chú ý là việc update tự động các lỗ hổng bảo mật cho Windows thì MS làm khá tốt và dễ dàng. Vì vậy chỉ nên tập trung vào các lỗi mà admin của hệ thống bị hack chưa kip update, vì một lý do nào đó, hay lỗi mà MS chưa kịp ban hành bản vá lỗi trên mạng. Có rất ít hacker tim ra lỗi 0-day để hack.

Điểm thứ hai chúng ta phải xem xét đến phiên bản web server (trình quản lý web) được cài trong hệ thống. Ở đây là Apache(Win32)2.2.15. Apache không ban hành các bản vá lỗi tự động như MS cho Windows. Họ chỉ ban hành các phiên bản mới thay cho các phiên bản cũ có lỗi, có khả năng bị hack. Hiện nay đã là Apache 2.2.22 (released 2012-01-31). Chỉ cần tham khảo tài liệu của Apache là biết các lỗi của phiên bản cũ. Vấn đề chỉ còn là phải xác định hiện tượng và hành đông xâm nhập cụ thể của hacker vừa qua có liên quan đến các lỗi này không và đó là lỗi nào? (Tuy nhiên xác định được điều này không hề dễ dàng tí nào).

Điểm thứ 3, nhưng có khi lại là quan trọng nhất là các application được cài đặt trong hệ thống. Các application ở đây là PHP 5.3, MySQL 5.1, vBulletin 4.1.5.... Chú ý là các application mới là các nguyên nhân tạo ra nhiều lỗ hổng để cho hacker đột nhập hay defaced hệ thống. Một Application đươc cải tiến để tiện dụng hơn, có nhiều tính năng hơn thì lai càng có nhiều lỗ hổng hơn, đó là hậu quả, là "side effect", điển hình là PHP chẳng hạn.

Vì vậy nếu hiện tượng haker defaced website và để lai một file "hacked.html" ở root thì điều trước tiên ta phải nghĩ đến lỗi RFI (không phải "Đài phát thanh Pháp quốc" đâu nhé! Hì hì- mà là Remote file Inclusion vulnerability) hay LFI (Local File Inclusion). Lỗi này cho phép hacker đưa (upload) một file bẩn vào hệ thống từ xa và đặt nó ở directory hacker mong muốn. Vấn đề là admin của hệ thống đã không config. PHP (cụ thể là file php.ini) kỹ càng....(Các bạn ở BKAV cũng nên kiểm tra lai điều này). Chú ý là chỉ PHP đời mới sau này, như PHP 5.3.x, mới có lỗi này. Hì hì.

Tất nhiên một hệ thống Windows cài DotNet (.Net framework ) như hệ thống mà anh conmale đưa, cũng có lỗi RFI, nhưng khả năng hacker tận dụng lỗi này có vẻ ít hơn.
Chúng ta nhớ lai, trong đợt các hacker TQ defaced hàng loạt website của VN vừa qua, chúng cũng tận dụng lỗi nói trên (RFI). Ngược lai các hacker trẻ VN cũng làm giống như thế.

Cũng cần xác định rằng việc hacker defaced website như trường hợp webscan.bkav.com.vn thì không có nghĩa là hacker đã chiếm được quyền admin (lấy được password) của hệ thống đâu nhé. Khoảng cách đến đó nhiều trường hơp khá xa đấy.

Còn việc hệ thống bị tấn công từ chối dịch vụ và bị ngưng trệ trong thời gian dài mà không có sự tham gia cuả một hệ thống botnet trên mạng, thì thực tế có thể có đấy. Vấn đề là phải có hai yếu tố:
- Hacker phải dùng một DoS tool loại nào?
- Hệ thống phải cài các application nào để DoS tool này mới có thể phát huy tác dung? (Chỉ cần một hay hai hacker DoS trong một vài phút là hệ thống có thể ngưng trê nhiều giờ).Hệ thống mà anh conmale nói có cài các application ấy đấy. Tuy nhiên vấn đề này tôi xin nói sau, vì bài viết đã dài.

Chỉ khi xác định đươc cách thức tấn công cụ thể của hacker thì ta mới chặn được nó và có biện pháp hữu hiệu để phòng thủ.

"The Only Way To Stop A Hacker Is To Think Like One"