Messages posted by: JFS

bolzano_1989 wrote:

Công cụ diệt STL malware trong Unikey

Gửi đến các bạn thành viên diễn đàn HVAOnline và bạn đọc công cụ CMC.CleanFakeUnikey:
Code:
http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip
Kết quả scan với VirusTotal:
Code:
https://www.virustotal.com/file/5b351a784338bc27c01e23a2378aca9d4e5bf7ea2a37e00e4be9ba84f806743b/analysis/1330664621/
Với mọi góp ý về công cụ này (detection, removal, false positive,...), các bạn có thể gửi tại chủ đề này hoặc ở diễn đàn CMC InfoSec.
Ngoài ra, xin các bạn vui lòng không upload công cụ này đến các trang chia sẻ file để chia sẻ cho mọi người do có thể bị kẻ xấu lợi dụng, chèn mã độc hại vào công cụ này.

xnohat: thêm cái tiêu đề cho người dùng dễ kiếm

Chưa đc blozano ơi làm ơn kiểm tra lại , tool của B và Xnohat check không báo chứ virustotal báo đó !

Link đây : _https://www.virustotal.com/file/9b3610f28dafac29461bf4bd916f434887e6941e2d52c006829affb1f84f9b0e/analysis/

Mr_chuon wrote:

tui nhớ không lầm thì trên Asterisk có chế độ Record phải không ? nếu có thì thử record cái thằng ext đó thử coi.

có chế độ này nhưng nó vốn không d][cj cài đặt. hiện giờ e đã chặn được sự xâm nhập này rồi, em muốn hỏi có cách nào lần ngược lại được không

Bạn có thể nói rõ đc không , bạn chặn bằng cách nào , log trên có vấn đề gì đâu , cấu hình 2 chi nhánh bạn dùng VPN à hay mô hình bạn như thế nào ! Mình không thể hình dung cái đó gọi là bị tấn công vào tổng đài !

SIP account của bạn qua IP public ? Bạn có tài khoản nào VPN vào ko ? nhiều thứ quá bạn hỏi 1 câu và show cái log vậy thì sao mà biết ?

mình cũng đang quan tâm vấn đề này !
Thanks !

1. Bạn gắn static arp cho router hay client? Router của bạn của hãng nào, thuộc dòng nào? bạn cấu hình nó ra sao?
=> Nếu dùng static ARP cho cả client và router thì không thể poison ARP nữa, nhưng gói tin vẫn có nguy cơ bị sniff

2. Để phòng tránh thì tốt nhất là dùng tính năng port security trên Switch (và chỉ có một máy tính nối trực tiếp đến port được bật tính năng port security) đồng thời dùng arp tĩnh cho client và switch thì không có host nào có thể sniff cũng như poison được.

- Ky0 -

1. Tất nhiên mình làm cho cả router và client , router mình có Port Security . Mình cấu hình nó theo yêu cầu của mình .
2. Mình cũng nghĩ phương pháp ngăn chặn trên là hữu hiệu nhất , nếu gói tin vẫn bị sniff nhưng giao thức là SSL thì mình nghĩ tấn công trong LAN khi đã có các cơ chế bảo mật như thế thì ok và để lấy đc Session là rất khó như đã nói ở trên .

Nếu client change MAC và dùng 1 Static IP khác trong lớp thì sao nhỉ vẫn không có khả năng poision .

Thanks Ky0

Trên mạng wifi thì traffic giữa client và server đều có thể bị capture quan trọng là trạng thái của Card Wifi (bạn xem lại Promiscuous mode). Đối với mạng LAN thì khó hơn vì nếu set port security trên Switch thì không có tình trạng gói tin broadcast được (nhưng các switch có tính năng này cũng tương đối mắc tiền ).

Để hiểu rõ hơn bạn có thể đọc thêm về ARP Poison

@Ky0

Có lẽ ở đây mình không chú ý đến cái wifi và trạng thái card mạng mà mình gắn nó vào LAN.

Nếu dùng Static arp and gán MAC router cho client , trong LAN có 1 host bật trạng thái card mạng Promiscuous mode thì có bị poison ko ?

@xnohat :

Cho mình hỏi nếu bind IP cho MAC (hoặc static IP MAC tại client ) liệu cách tấn công này còn hữu hiệu không vậy xnohat ?

Cain&Abel liện có poinsoning được router hay gateway không ?

Thanks !

Bàn về face mail hiện tại hệ thống bên tui cũng đang bị nhưng chỉ là một số ít :

Đơn cử 1 cái Email :

Header
Code:

Microsoft Mail Internet Headers Version 2.0
Received: from domain ([118.69.34.3] RDNS failed) by domain with Microsoft SMTPSVC(6.0.3790.4675);
Tue, 10 May 2011 10:34:02 +0700
From: "Mail Administrator" <MAILER-DAEMON@domain>
To: user2@domain
Subject: Returned mail: Data format error
Date: Tue, 10 May 2011 10:27:45 +0700
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0008_9396C5B9.E65A9911"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Return-Path: MAILER-DAEMON@domain
Message-ID: <SRV2T6sQHmuX7b0TydU0000001c@domain>
X-OriginalArrivalTime: 10 May 2011 03:34:02.0639 (UTC) FILETIME=[1B4DB1F0:01CC0EC3]
------=_NextPart_000_0008_9396C5B9.E65A9911
Content-Type: text/plain;
charset=us-ascii
Content-Transfer-Encoding: 7bit
------=_NextPart_000_0008_9396C5B9.E65A9911
Content-Type: application/octet-stream;
name="user2@domain.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="user2@domain.zip"
------=_NextPart_000_0008_9396C5B9.E65A9911--

Thêm một cái mail dụ nữa :
Code:

Dear user user1@domain,
We have detected that your email account was used to send a huge amount of junk email during this week.
Most likely your computer had been infected by a recent virus and now contains a trojaned proxy server.
Please follow instructions in order to keep your computer safe.
Best regards,
The domain support team.

Mail này có zip 1 file chứa luôn con Mydoom .

Theo header mail thì em này có IP từ FPT : 118.69.34.3 RDNS failed
Checked em nó thì thấy em nó có location là HCM và 1 domain la machmach.com

Xin mọi người cho ý kiến về cách chống spam dạng mail này .

Công ty không cho phép openrelay và chỉ có 2 user bị . Kiểm tra virus tại 2 máy của user chưa phát hiện đc gì !

Mong các bác phân tích để em mở mang thêm ạ !

PS: em đã thay tên domain thật bằng domain , 2 user bằng user1 , user2

Thanks !

Hệ thống
OS : Centos 5.5
Snort : 2.9.0.1
Barnyard2 : 1.9 beta1
Base : 1.4.5

Kiểm tra
-Chạy snort với lệnh debug ok
snort -c /etc/snort/snort.conf -i eth0

Code:

--== Initialization Complete ==--
,,_ -*> Snort! <*-
o" )~ Version 2.9.0.1 GRE (Build 82)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2010 Sourcefire, Inc., et al.
Using libpcap version 1.1.1
Using PCRE version: 6.6 06-Feb-2006
Using ZLIB version: 1.2.3
Rules Engine: SF_SNORT_DETECTION_ENGINE Version 1.12 <Build 18>
Preprocessor Object: SF_DNS Version 1.1 <Build 4>
Preprocessor Object: SF_FTPTELNET Version 1.2 <Build 13>
Preprocessor Object: SF_DCERPC2 Version 1.0 <Build 3>
Preprocessor Object: SF_SDF Version 1.1 <Build 1>
Preprocessor Object: SF_Dynamic_Example_Preprocessor Version 1.0 <Build 1>
Preprocessor Object: SF_SMTP Version 1.1 <Build 9>
Preprocessor Object: SF_SSH Version 1.1 <Build 3>
Preprocessor Object: SF_SSLPP Version 1.1 <Build 4>
Commencing packet processing (pid=7218)

Kiểm tra base
permision & owned
ls -l /etc/snort/snort.conf
Code:

-rw-r--r-- 1 root root 18559 Nov 18 17:10 /etc/snort/snort.conf

Code:

Log mysql
echo "SELECTecho "SELECT hostname FROM snort.sensor;" | mysql -u snort -p
>

kiểm Tra bằng 1 rule ICMP đã hiển thị alert trên Base
log tail
Code:

11/18-18:18:21.455781 [**] [1:408:5] ICMP Echo Reply [**] [Classification: Misc activity] [Priority: 3] {ICMP} 192.168.99.79 -> 192.168.99.207
11/18-18:18:22.455715 [**] [1:382:7] ICMP PING Windows [**] [Classification: Misc activity] [Priority: 3] {ICMP} 192.168.99.207 -> 192.168.99.79

Lỗi xảy ra không hiển thị UDP traffic trên Base

Mong cả nhà giúp đỡ !

Dear Anh Beo

Lâu lâu đọc cái Functional level cũng giật mình .
Functional level trong AD quan trọng đối với mô hình nhiều HĐH khác nhau .
Mô hình anh chạy gì mà cần đến w2k8 thế anh . RMS hay nhiều dịch vụ khác ?

PS :
Nghe nói anh bỏ IT theo con đường rựu lậu rồi mà nhỉ .

Sao bữa nay còn thấy anh 2k3 với 2k8 nữa , hì hì .

Bạn thử lệnh :
Trong cmd gõ : netsh winsock reset
Giữa các lệnh có khoảng trắng reboot máy và connect lại xem .
Nếu AP có chức năng giới hạn số IP truy cập thì cần coi lại .

JFS wrote:

Cho mình hỏi là quanta có dùng account khác để test thử trên máy đó chưa chưa ?
Policy kiểm tra chưa .
Account khác trên máy đó cũng không gửi đi được luôn.
Bạn có thể cho biết cụ thể là kiểm tra Policy của cái gì và ở chỗ nào không?

Hôm nay, mình tìm thêm được một manh mối là có thể phải đăng ký lại cái thư viện Send/Receive inetcomm.dll. Mình cũng đã thử và... không ăn thua.

Chắc không còn cách nào khác ngoài việc tìm bằng được driver và cài lại Windows.

P/S: có ai từng gặp trường hợp: trước kia có một chương trình Antivirus nào đó được cài trên máy, và có chức năng scan mail outgoing, nhưng sau khi uninstall đi rồi, vẫn còn cái gì đó sót lại và không gửi mail đi được không? (Mình uninstall bằng Revo Uninstaller nên nghĩ là sạch rồi).

@quanta Mình cũng từng dính cái GFI cài ngay lên exchange server may mắn trước khi cài có backup lại .
Policy thì không phải rùi vì Account đó test trên máy khác ok .

=> Nếu cậu còn nhớ cái scan out going mail đó là gì thì cậu thử vào regedit xem còn cái gì không . Giải pháp ở đây là repair lại windows hay update service pack cho windows không cần cài lại máy . (Chắc chắn máy không có virut chứ ) . Rùi cài thử cái MS OL lại xem (Thay thế đĩa khác chưa tức bản cài của cậu sạch và chất lượng)

Thân

Cho mình hỏi là quanta có dùng account khác để test thử trên máy đó chưa chưa ?
Policy kiểm tra chưa .

Cảm ơn anh nhiều .

Up phát cho mới . Mong cả nhà giúp em

Ps : Sao em pót bài mà cứ báo connection interruped và thông báo không thể post được nhỉ Em sử dụng IE 7 , Firefox 3.10 . Không hiểu tại sao là một đoạn test ngắn thhì ok . Còn nguyên đoạn dài thì không được nhưng hôm nay lại được .

Chào cả nhà , mình xin giúp đỡ về exchange server 2003 SP2 :
Thông tin về hệ thống của mình :
OS : Windows server enterprise 2003 SP2
Mail : Exchange server 2003 SP2
Tình trạng như sau :
Tuần trước bị spam và relay mail từ : name server : netnew.hinet.net IP :168.95.195.16
Fix xong và chạy ổn định thì tuần này bị tình trạng như sau :
Trong Event Viewer phần Application xuất hiện thông báo Error sau :
Code:

This is an SMTP protocol log for virtual server ID 1, connection #158. The client at "41.201.108.176"
sent a "rcpt" command, and the SMTP server responded with "550 5.7.1 Unable to relay for
<a href="mailto:yuking.chiu@msa.hinet.net">yuking.chiu@msa.hinet.net</a> ". The full command sent was "rcpt TO: <yuking.chiu@msa.hinet.net>". This will
probably cause the connection to fail.
For more information, click http://www.microsoft.com/contentwwwect.asp.

Trong vòng 1h mà Error chạy lên đến 49 ngàn .

Kiểm tra log trong exchange :

Code:

2009-5-24 13:0:36 GMT [color=red]218.160.245.36 218-160-245-36.dynamic.hinet.net[/color]
- NEWSRV 192.168.10.2 a123999@ms33.hinet.net 1019
ETTNHBVCUVMOWVJNYSWKW@umail.hinet.net 1 0 2614 32 2009-5-24 13:0:25 GMT 0
Version: 6.0.3790.3959 - L/C}BץӽСEHΪʮƶUڡEHΪӽСEHΪBܲ{E whct@yahoo.de -
2009-5-24 13:0:36 GMT 218.160.245.36 218-160-245-36.dynamic.hinet.net - NEWSRV
192.168.10.2 a123a@ms33.hinet.net 1019 ETTNHBVCUVMOWVJNYSWKW@umail.hinet.net 1
0 2614 32 2009-5-24 13:0:25 GMT 0 Version: 6.0.3790.3959 -
L/C}BץӽСEHΪʮƶUڡEHΪӽСEHΪBܲ{E whct@yahoo.de -
2009-5-24 13:0:36 GMT 218.160.245.36 218-160-245-36.dynamic.hinet.net - NEWSRV
192.168.10.2 a1239813@ms24.hinet.net 1019 ETTNHBVCUVMOWVJNYSWKW@umail.hinet.net 1
0 2614 32 2009-5-24 13:0:25 GMT 0 Version: 6.0.3790.3959 -
L/C}BץӽСEHΪʮƶUڡEHΪӽСEHΪBܲ{E whct@yahoo.de -

Thông tin IP và dns đều nằm bên taiwan chỗ mình bị spam .
Bật bộ lọc IMF (Intelligent Message Filter ) lên và kiểm tra Event viewer của Application .
Thấy thông báo trong Application information :
Code:

he message with ID <FRPNTYBIWYOKAKMHNMKAUQXYE@ms81.hinet.net>, P1 From , Subject
¢e¢e³Q¶Å°ÈÀ£±o³Ý¤£¹L®ð¶Ü¡HÅý§Ú§U§A¤@Áu¤§¤O¢e¢emating ritual, from remote host "NEWSRV" was
Rejected/Deleted by Intelligent Message Filter. This is an informational event and does not indicate an error.
For more information, click http://www.microsoft.com/contentwwwect.asp.

bọ lọc hoạt động tốt . Kiềm tra log của Exchange :

Code:

2009-5-24 17:23:13 GMT [color=red]114.45.59.5[/color] 220.231.x.x - NEWSRV
192.168.10.2 x73427@yahoo.com.tw 1041 QQPZUWFOPMEQWFSVLGJPWO@yahoo.ca 3 0 3570
15 2009-5-24 17:23:9 GMT 0 Version: 6.0.3790.3959 - mmu[vN~A~u}IuutvXMufAe§B~a
̹bEImmover pvyqgaipxu@yahoo.ca -
2009-5-24 17:23:13 GMT 114.45.59.5 220.231.x.x - NEWSRV 192.168.10.2
<a href="mailto:wercyu@yahoo.com.tw">wercyu@yahoo.com.tw</a> 1041 QQPZUWFOPMEQWFSVLGJPWO@yahoo.ca 3 0 3570 15 2009-5-24
17:23:9 GMT 0 Version: 6.0.3790.3959 - mmu[vN~A~u}IuutvXMufAe§B~a ̹bEImmover
<a href="mailto:pvyqgaipxu@yahoo.ca">pvyqgaipxu@yahoo.ca</a> -
2009-5-24 17:23:13 GMT 114.45.59.5 220.231.x.x - NEWSRV 192.168.10.2
<a href="mailto:zq6@yahoo.com.tw">zq6@yahoo.com.tw</a> 1041 QQPZUWFOPMEQWFSVLGJPWO@yahoo.ca 3 0 3570 15 2009-5-24
17:23:9 GMT 0 Version: 6.0.3790.3959 - mmu[vN~A~u}IuutvXMufAe§B~a ̹bEImmover
<a href="mailto:pvyqgaipxu@yahoo.ca">pvyqgaipxu@yahoo.ca</a> -
2

Filter dns nhưng nó nhảy qua IP , IP thay đổi rất nhiều . 114.45.59.5 Ip này là một minh họa .

Đã thử dùng IPsec để chặn nhưng không hiệu quả mail server rất chậm .

Mong cả nhà giúp đỡ .
Cảm ơn .
jfs

Bạn bị dính con forever.exe :
Có 2 cách để làm :
1. Cách ngắn là sử dụng tính năng remote Registry hay đĩa boot winPe sử lại khóa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows NT\CurrentVersion\winlogon
Tìm String Value UserInit sửa thành C:\WINDOWS\System32\userinit.exe,
Chú ý : Sau userinit.exe có dấu ","

2. Repair lại windows .

Thân .

edit !

Chào bạn đây bạn

Acronis True Image Corporate Workstation/Enterprise Server for Windows

Bạn nhớ search trên diễn đàn trước nhé .

jfs

Chào bạn có 2 lựa chọn cho bạn . Nhưng mới bắt đầu thì dùng cái này :
Veritas lập lịch backup , ....

Còn trong windows có ntbackup cũng lập lịch tự động nếu cái giá cho Veritas đắt .

Backup lúc hết giờ , giờ làm việc ai backup , bạn nên tính kỹ cách backup theo tuần , theo tháng sao cho hợp với lich làm việc của công ty bạn nhất , và sao để phục hồi tốt nhất .
Bạn phải coi dữ liệu của bạn cao điểm trong tuần , tháng , ngày . Phát sinh cao nhất là bao nhiêu sau mới tính đến thời gian backup , và tốc độ của thiết bị thì ra hết .

Mua cái Backup của HP ok !

Thân .

Thử lệnh nslookup xem, nếu phân giải DNS , Ping Thông bỏ check IPV6, bỏ proxy , security chọn medium , mà không vô mạng thì quả lạ ping với -t xem sao , thử enable , disable card mạng , chưa gặp chú nào lạ như vậy cả !
Trong vista còn cái phần Defender nữa á kiểm tra luôn đi .

Nếu có up cái hình biểu tượng kết nối lên .
Thử Remove và config lại .

Đáng lạ nhỉ .

Chào cậu :
Kiểm tra IP xem IPV6 có check không , nếu check thì bỏ nó ra , disable và enable cái card mạng lại .

Xem thấy biểu tượng báo kết nối chưa ?
Được thì up vài cái screenshot lên !
Thân.

Tạm thời setup một máy print server maping những máy cần in đến ! Giải quyết công việc trước mắt .
Hay tạo một file chia sẻ để mọi người muốn in thì post lên .

Rùi bắt tay khắc phục sự cố !
Dùng Kis quét xem ?
Ps: Mà công ty cậu giàu thế đến 10 chú máy in cái này cùng lầu mà chạy loadbalancing thì đã đỡ tranh chấp và đợi .

Thân .

Edited : jfs

Bạn cài lại máy , Move cái thư mục spool sang ổ khác để chạy ổn định hơn .
Bây giờ mầy mò làm gì công việc công ty không đáp ứng coi chừng mất việc á .

Thân .

mR.Bi wrote:

Tạo mail thì tạo trên Exchange chứ nhỉ?

Chào mR.Bi
Có thể tạo trên AD (Active Diectory rùi link đến ) .

Cái lão vnsl đọc vào sao tui chẳng hiểu mô tê chi cả thế nhỉ ?

Thân .

Chào cậu vikjava

Theo mình nghĩ cái thiết yếu khi Migration user là tiện dụng cho user .
Loại bỏ khả hoặc hạn chế khả năng user phải đổi lại pass hay phải tinh chỉnh lại để có thể truy cập vào mailbox của mình .

Nếu cậu test thử có vấn đề gì mình thảo luận nhé . Mình nghĩ Exchange 2007 cũng được up từ nền 2003 nên thay đổi chẳng là bao nhiêu .

Thân .

Chào cậu :
Tớ chưa thử nhưng tham khảo 2 link bên dưới :
1. http://technet.microsoft.com/en-us/library/bb123669.aspx
2. http://www.msexchange.org/tutorials/Exchange-Migration-Wizard.html

Thân .

Chào anh thangdiablo :
Em chỉ thắc mắc ở cái chỗ anh mới post lên là bữa nay anh nhận được email của đối tác và nó đã chạy smooth .

Hôm nay có 1 thông báo từ phía đối tác và user của bên em " Trong vòng 3 ngày qua mail chạy êm, không còn tình trạng lúc được lúc không". Họ cũng xác định là chưa hề chỉnh sửa gì bên họ, và bên em cũng vậy. Thông tin này làm em hơi thất vọng nhưng vẫn muốn tìm ra nguyên nhân triệt để của vấn đề.

Em chưa gặp trường hợp nào lạ như anh . Cũng thấy thật khó hiểu nếu chỉ mỗi mail sever bên kia chạy không ổn định đối với mail server của anh , em đoán hệ thống bên kia có vấn đề ở tầng nào thì em không biết .

Còn anh nói black list với White list thì cũng không phải , em đồng ý với anh điểm này .

Mới đầu em cũng nghĩ sao anh đặt FE ở trong như anh PhuongDong nói ?

Rồi thắc mắc chính vấn đề này gây ra cái lỗi như trên nhưng đối với domain khác thì không sao nên em loại bỏ cái này .

Nhưng cái reply của bên Lotus thì em khó hiểu quá vì vậy em kết luận bên ấy bị lỗi nhưng không biết ở tầng nào .

Mong mọi người chỉ bảo nếu em sai ở chỗ nào đó . Chân thành cảm ơn .

Thân .

Phân Biệt User Local và User Domain member . Thằng local và thằng domain khác nhau mà .

Thân .

Chào cậu update service pack 1 cho hệ điều hành window server 2003 .

Thân