=> Thường xuyên theo dõi tình trạng hệ thống và kiểm tra logs định kì + đầy đủ cũng rất quan trọng.  

Forensics chỉ có thể mang lại kết quả nếu như hệ thống đã được sắp xếp và ấn định sẵn. Nếu chỉ dựa vào cơ chế "logging" tiêu chuẩn của hệ điều hành và của từng application thì xem như là thất bại (ngoài trừ trường hợp hacker quá thiếu kinh nghiệm nên không thực hiện "cover-track" đúng bài bản).  

Với một website đang beta như webscan, người ta chủ yếu theo dõi các chỉ số truy cập, seo, phản hồi người dùng...chứ không phải lúc nào cũng lùng sục lên code đâu bạn ạ.
 

a. Một máy chủ có nhiều dịch vụ.
b. Máy chủ ấy được ISP bảo vệ.
c. Phiên bản của của hệ điều hành và các dịch vụ.
 

phanledaivuong wrote:

Win7 không ghi đè kiểu thông thường được anh ạ. còn cách sethc.exe thì 1 số cu cậu còn làm backdoor trên cả server của người ta . thằng admin server cứ há mồm tìm backdoor (dùng diệt virus quét thật lực) nhưng mấy hôm sau lại thấy user administrator khác được tạo thêm. cuối cùng sau 3 ngày liền ngồi rình thì tóm được 1 cái ComputerName remote vào -> google ra tên thằng Hack . 

Đúng là trong Windows thì những file hệ thống thường có "Windows File Protection" bảo vệ nên không thể chép đè lên chúng TRONG WINDOWS dù có quyền admin đi chăng nữa. Có lẽ phải patch một số file khác để làm việc đó (như thế nào tớ cũng không rõ).

Cho nên cách tớ và các anh em trên đang thảo luận chỉ làm việc khi boot vào 1 HDH khác, khi đó file system của Window không có gì bảo vệ.

nói nhỏ: đã test thành công với thằng máy Windows 7 ở chỗ mình làm việc .

Anh em nào giỏi "cracking" có khi còn có thể patch một vài file khi khởi động của Windows để cho đăng nhập với bất kì password nào chẳng hạn.

 

1337day.com
exploit-db.com
...
 

Buồn một chút là không nhắc gì tới HVA cả, nếu không có HVA thì mấy ai biết được ITunesHelper và GoogleCrashHandler.
Tuy nhiên, vẫn có CMC trong list các đơn vị hổ trợ. Và chia buồn với mấy sứ giả cãi thiện chiến của BKAV, BKIS là không có tên của mấy anh trong đó ! Hoan hô Bolzano của CMC !
Công sức của anh em HVA ta, tuy không và chưa được ai công nhận, nhưng đã đến lúc thu được kết quả rồi. Giống như những nhà từ thiện chân chính, cần gì báo đài tung hô, chỉ cần mình làm đúng, hết lòng vì việc mình làm, phải không các bạn ?

Còn phần em thì vẫn tiếp tục chờ và tìm mẫu giấu mặt khác đang DDOS VNN, vẫn tiếp tục RCE, phân tích và công bố các mẫu khác của stl. Không ai cấm em được việc em đang làm ! Mong mọi người tiếp tục ủng hộ, tham gia, mạnh dạn vạch trần, đánh sập tụi stl xấu xa, giấu mặt, dơ bẩn, hèn hạ này !

Tự dưng em tự hỏi, nếu lần này, chúng ta, HVA, cộng đồng IT VN ta, phải thua tụi nó giữa chừng, thì mai mốt, vô hình, không có nước nào trên thế giới giống VN ta, có một thế lực hắc ám, "tử thần thực tử" cho kẻ mà "ai cũng biết là ai đó" lơ lững trên đầu mình, sẵn sàng dập mình, đập chết mình, bóp nghẹt, đàn áp, khống chế, đe doạ mình ! Các bạn chịu được không ????????????????? Tự hỏi chính lương tâm các bạn đi ! Xã hội bây giờ là xã hội dân chủ, tự do thông tin, tự do chính kiến rồi, các bạn à !
1. Việc chúng ta đang làm, đấu tranh với stl có phạm pháp không các bạn ? Hoàn toàn không !
2. Chúng ta có chống phá chế độ, nhà nước không các bạn ? Hoàn toàn không !
3. Chúng ta có xúc phạm, đả kích một công dân chân chính VN nào không các bạn ? Hoàn toàn không !
4. Chúng ta làm việc này, có thu lợi, mang lại đồng tiền, lợi ích cho cá nhân không các bạn ? Hoàn toàn không !
5. Chúng ta đang đấu tranh với tội phạm mạng, tội phạm xã hội phải không các bạn ? Hoàn toàn đúng !
6. Chúng ta tham gia đấu tranh với stl để bảo vệ chính mình, bảo vệ mọi người, bạn bè, thân thuộc..., đúng không các bạn ? Hoàn toàn đúng !
....
Còn nhiều cái khác nữa, mong các bạn hãy dũng cảm đứng lên, cùng tham gia góp sức để đập tan tụi stl này ! Tà không bao giờ thắng chính được, các bạn à !

 

listen 80;
server_name nixcraft.in www.nixcraft.in;
#charset koi8-r;
#access_log logs/host.access.log main;
location / {
root html;
index index.html index.htm;
}
location ~ ^/index.php
{
fastcgi_pass 127.0.0.1:9000;
#CHANGE THIS TO THE PATH TO YOUR WEB ROOT DIRECTORY
fastcgi_param SCRIPT_FILENAME /var/www/marketdark$fastcgi_script_name;
fastcgi_param PATH_INFO $fastcgi_script_name;
include fastcgi_params;
}
#error_page 404 /404.html;
# wwwect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
# proxy the PHP scripts to Apache listening on 127.0.0.1:80
#
#location ~ \.php$ {
# proxy_pass http://127.0.0.1;
#}
# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
} 

mkdir /home/wwwroot
chown -R nginx:nginx/home/wwwroot

listen 80;
server_name nixcraft.in www.nixcraft.in;
#charset koi8-r;
#access_log logs/host.access.log main;
location / {
root /home/wwwroot;
index index.php index.html index.htm;
}
#error_page 404 /404.html;
# wwwect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /home/wwwroot;
}
# proxy the PHP scripts to Apache listening on 127.0.0.1:80
#
#location ~ \.php$ {
# proxy_pass  http://127.0.0.1;
#}
# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
location ~ \.php$ {
#root /home/wwwroot;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /home/wwwroot$fastcgi_script_name;
include fastcgi_params;
}

Bà con tạo một thư mục Tracker chẵng hạn, chép đoạn bat file này vào file tracker.bat. Lâu lâu mấy bác buồn buồn không biết làm gì thì Enter nó giùm em một cái.
Code:

@echo off
echo ===============================================================================
echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet
echo ===============================================================================
echo.
wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt
wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt
wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt
wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt
wget -t3 "http://option.drfound.net/k113.css"
pause

Đoạn bat này sẽ download các file trên về. Sau đó các bạn tạo thêm 1 thư mục chứa ngày tháng mà các bạn down các file trên về, vd: 26_08_2011, chép các file đã download được vào đó. Định kỳ compare một lần, nếu có thấy thay đổi nội dung một trong các file thì báo lên cho bà con biết giùm, còn giống hết thì xoá đi.

Cảm ơn bà con tham gia giúp theo dõi. Một mình em cứ chạy tracker 1 đống luôn, compare nữa thì mệt quá, code tool tự động thì lười, thôi thì chịu khó bat file vậy.
 

Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT "
Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không
Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán
Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood
Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào

-------------------------------------------------------------------------
Mr.Quy CBG.No1

ADMIN - ATH  

Elite members trước kia (trước 2010) được set dựa trên mức độ sinh hoạt thường xuyên và tích cực. Tuy vậy, đánh giá về mức tích cực khá chủ quan và thiếu chính xác. Việc set Elite là việc ghi nhận khả năng kỹ thuật lẫn mức độ sinh hoạt. Bởi vậy, sau 2010, set Elite sẽ được dựa trên một loạt câu hỏi trắc nghiệm.

Có lẽ HVA sẽ hình thành đợt set Elite vào cuối năm 2011 với 10 câu hỏi trắc nghiệm có tổng số điểm là 100. Những ai đạt trên 75% sẽ được set vào nhóm Elite. 

checklove2008 wrote:

nguyên tắt đa hoạt động của các hầu hết các loại auto là:
-Client tải thông tin từ server xuống ----> hook cập nhật thông tin ---->hook đưa vô auto ---->auto sử lý ----> đưa vào hook ---> hook đưa vào lại game.
-Hook ở đây là bước trung gian tránh rất quang trọng (hầu hết auto đều phải có)
-Ngoại trừ 1 số auto viết trên nên kịch bản (script) thì ko có hook ví dụ: như ngôn ngữ autoit nên nhận lệnh trược tiệp bằng cách lấy thông tin từ cửa sổ game ===> sẻ bị tranh chấp + xung đột
 

Còn thiếu 1 chỗ: kill phần mềm chống Auto Game trước khi dùng Auto... 

cái union có thể bị illegal collation nếu data type không đồng bộ unhex(hex()) là một trick hay để bypass !
 

@TQN: Liệu trong những virus của STL có sử dụng những kĩ thuật nâng quyền, ring0 Access, ... không anh ? Hay nói cách khác là virus của STL can thiệp đến mức độ nào vào hệ thống rùi ạ ?