banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Phải chăng có mạng lưới BOT của trung quốc chuyên thu thập dữ liệu?  XML
  [Discussion]   Phải chăng có mạng lưới BOT của trung quốc chuyên thu thập dữ liệu? 17/08/2012 17:24:16 (+0700) | #1 | 268511
nguyenbinh07
Member

[Minus]    0    [Plus]
Joined: 30/07/2007 15:24:31
Messages: 13
Offline
[Profile] [PM]
Trong lúc làm bài tập về phần mạng & CSDL mình có viết phần mềm nhận các query MSSQL từ các client và chuyển nó đến máy chủ. Khi chạy thử thì mình hơi ngạc nhiên vì trong số các IP gửi truy vấn thì ngoài IP của máy mình dùng để test còn có một số IP lạ mà nó chỉ kết nối, gửi dữ liệu xác thực và disconnect (lúc này mình chưa làm tới phần phân tích kết quả trả về nên mình chỉ đoán là nó xác thực k thành công nên disconnect), lúc đầu tưởng là thằng bạn làm vì mình mới nói với nó nhưng mà thấy toàn IP lạ và khác nhau, dùng công cụ dò thì thấy rất nhiều IP là từ Trung Quốc và trung bình cứ hơn 1 phút có 1 cái query từ 1 IP khác, mình thu đc một số IP như sau:

Code:
[color=red]110.76.44.125[/color]
222.89.191.180
42.121.238.192
110.76.45.92
110.76.46.162
202.65.159.140
42.121.68.124
113.106.94.149
58.55.127.6
110.76.44.125
110.76.39.247


cái IP mình tô đậm là cái nó có mở cổng 80 và trên đó có 1 con trojan, các cao thủ thử phân tích xem nó làm cái ji chứ mình dùng virus total để quét thì 100% các antivirus đều cảnh báo. Phải chăng đây là mạng lưới thu thập dữ liệu của Trung Quốc nhỉ?

EDIT: Nếu các bạn không tin thì cứ mở cổng MSSQL (1433) rồi dùng chương trình ji đó lắng nghe như netcat chẳng hạn trên cổng đó là biết ngay thôi (nc -nvv -l -p 1433), cứ khoảng hơn 1 phút thì có 1 kết nối (từ IP trung quốc) tới xác thực
[Up] [Print Copy]
  [Discussion]   Phải chăng có mạng lưới BOT của trung quốc chuyên thu thập dữ liệu? 17/08/2012 18:31:31 (+0700) | #2 | 268514
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Bạn gửi file chứa trojan đó lên thì mọi người mới coi được.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Discussion]   Phải chăng có mạng lưới BOT của trung quốc chuyên thu thập dữ liệu? 17/08/2012 18:53:13 (+0700) | #3 | 268515
nguyenbinh07
Member

[Minus]    0    [Plus]
Joined: 30/07/2007 15:24:31
Messages: 13
Offline
[Profile] [PM]
File virus đó nằm ngay trên máy kia luôn: http://110.76.44.125. Cái file 1.exe đó
[Up] [Print Copy]
  [Discussion]   Phải chăng có mạng lưới BOT của trung quốc chuyên thu thập dữ liệu? 18/08/2012 05:30:38 (+0700) | #4 | 268526
[Avatar]
.lht.
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
[Profile] [PM]
Tình trạng này mình cũng gặp nhiều rồi smilie

Mình hay kiểm tra logs firewall của server mình và liên tục nhận được cảnh báo "Brute force" vào port 22 (SSH) đến từ những IP của Trung Quốc (rất nhiều IPs).
Trash from trash is the place for new good things ~
[Up] [Print Copy]
  [Discussion]   Phải chăng có mạng lưới BOT của trung quốc chuyên thu thập dữ liệu? 21/08/2012 09:52:26 (+0700) | #5 | 268597
xwm
Member

[Minus]    0    [Plus]
Joined: 29/08/2011 21:49:17
Messages: 36
Offline
[Profile] [PM]
Không biết có liên quan đến vụ này không smilie
root:root@72.8.12.162 ,,,,,,,,,,,,,,,|`PP111111b,|111
root:root@186.1.79.248 loginfailed:pleaseentercorrectusernameandpassword
root:root@149.125.248.12 Sorry,telnetisnotallowedonthisport!
root:root@186.33.91.35 loginfailed:pleaseentercorrectusernameandpassword
root:root@75.112.144.236 Pleaselogin:
root:root@220.136.123.106 Pleaselogin:
root:root@74.39.216.85
root:root@78.138.250.220 loginfailed:pleaseentercorrectusernameandpassword
root:root@209.40.215.242 loginfailed:pleaseentercorrectusernameandpassword
root:root@64.31.7.128 AuthUser/PasswithPS...fail...Pleasereconnect!.
root:root@5.2.1.144 loginfailed:pleaseentercorrectusernameandpassword
root:root@46.44.101.215
root:root@188.248.207.79 loginfailed:pleaseentercorrectusernameandpassword
root:root@108.58.23.42 ,,,,,,,,,,,,,,,|`PP111111b,|111
root:root@24.238.107.229 Pleaselogin:
root:root@31.214.44.11 loginfailed:pleaseentercorrectusernameandpassword
root:root@186.33.120.127 loginfailed:pleaseentercorrectusernameandpassword
root:root@186.1.122.64 loginfailed:pleaseentercorrectusernameandpassword
root:root@209.40.212.125 loginfailed:pleaseentercorrectusernameandpassword
root:root@189.57.91.117 BusyBoxv1.01(2006.12.06-11:11+0000)Built-inshell(ash)Enter'help'foralistofbuilt-incommands.
root:root@208.115.195.90 AuthUser/PasswithPS...fail...Pleasereconnect!.
root:root@5.102.4.157 loginfailed:pleaseentercorrectusernameandpassword
root:root@78.35.231.254 [4h
root:root@24.119.119.162 ,,,,,,,,,,,,,,,|`PP111111b,|111
root:root@188.135.169.66 loginfailed:pleaseentercorrectusernameandpassword
root:root@108.162.40.58 ,,,,,,,,,,,,,,,|`PP111111b,|111
root:root@146.251.25.194 loginfailed:pleaseentercorrectusernameandpassword
root:root@46.184.15.203 loginfailed:pleaseentercorrectusernameandpassword
[Up] [Print Copy]
  [Discussion]   Phải chăng có mạng lưới BOT của trung quốc chuyên thu thập dữ liệu? 22/10/2012 17:18:02 (+0700) | #6 | 270363
nguyenbinh07
Member

[Minus]    0    [Plus]
Joined: 30/07/2007 15:24:31
Messages: 13
Offline
[Profile] [PM]
Chắc là nó đó. Mấy cái máy của tàu khựa ngày đêm dò password vậy thì bảo sao tụi hacker nó không xâm nhập được nhiều smilie
[Up] [Print Copy]
  [Discussion]   Phải chăng có mạng lưới BOT của trung quốc chuyên thu thập dữ liệu? 26/10/2012 19:11:13 (+0700) | #7 | 270499
12acute
Member

[Minus]    0    [Plus]
Joined: 25/10/2012 02:18:39
Messages: 6
Offline
[Profile] [PM]
Tụi trung quốc chơi nhục quá đi. Kiểu này chắc phải trang bị thêm cho cô em út cái firewall mới. Khoá các port nổi tiếng lại thui
[Up] [Print Copy]
  [Discussion]   Phải chăng có mạng lưới BOT của trung quốc chuyên thu thập dữ liệu? 26/10/2012 21:37:23 (+0700) | #8 | 270508
alt_enter
Member

[Minus]    0    [Plus]
Joined: 17/03/2012 17:48:27
Messages: 1
Offline
[Profile] [PM]
mọi người chỉ em rõ hơn vụ này đc không em chưa rõ lắm
nhất là cái này root:root@72.8.12.162 ,,,,,,,,,,,,,,,|`PP111111b,|111
root:root@186.1.79.248 loginfailed:pleaseentercorrectusernameandpassword
root:root@149.125.248.12 Sorry,telnetisnotallowedonthisport!
root:root@186.33.91.35 loginfailed:pleaseentercorrectusernameandpassword
root:root@75.112.144.236 Pleaselogin:
root:root@220.136.123.106 Pleaselogin:
root:root@74.39.216.85
root:root@78.138.250.220 loginfailed:pleaseentercorrectusernameandpassword
root:root@209.40.215.242 loginfailed:pleaseentercorrectusernameandpassword
root:root@64.31.7.128 AuthUser/PasswithPS...fail...Pleasereconnect!.
root:root@5.2.1.144 loginfailed:pleaseentercorrectusernameandpassword
root:root@46.44.101.215
root:root@188.248.207.79 loginfailed:pleaseentercorrectusernameandpassword
root:root@108.58.23.42 ,,,,,,,,,,,,,,,|`PP111111b,|111
root:root@24.238.107.229 Pleaselogin:
root:root@31.214.44.11 loginfailed:pleaseentercorrectusernameandpassword
root:root@186.33.120.127 loginfailed:pleaseentercorrectusernameandpassword
root:root@186.1.122.64 loginfailed:pleaseentercorrectusernameandpassword
root:root@209.40.212.125 loginfailed:pleaseentercorrectusernameandpassword
root:root@189.57.91.117 BusyBoxv1.01(2006.12.06-11:11+0000)Built-inshell(ash)Enter'help'foralistofbuilt-incommands.
root:root@208.115.195.90 AuthUser/PasswithPS...fail...Pleasereconnect!.
root:root@5.102.4.157 loginfailed:pleaseentercorrectusernameandpassword
root:root@78.35.231.254 [4h
root:root@24.119.119.162 ,,,,,,,,,,,,,,,|`PP111111b,|111
root:root@188.135.169.66 loginfailed:pleaseentercorrectusernameandpassword
root:root@108.162.40.58 ,,,,,,,,,,,,,,,|`PP111111b,|111
root:root@146.251.25.194 loginfailed:pleaseentercorrectusernameandpassword
root:root@46.184.15.203 loginfailed:pleaseentercorrectusernameandpassword
[Up] [Print Copy]
  [Discussion]   Phải chăng có mạng lưới BOT của trung quốc chuyên thu thập dữ liệu? 05/03/2013 15:53:07 (+0700) | #9 | 273863
quybeo83
Member

[Minus]    0    [Plus]
Joined: 15/07/2010 21:12:11
Messages: 35
Offline
[Profile] [PM] [Yahoo!]
bên mình cũng bị kết nối port 1433 liên tục khi nào mình public lên cái là i như rằng lại thấy xuất hiện hiện tượng như các bạn và các ip từ khựa chiếm đa số. Điều này chứng tỏ bọn nó đặt công cụ scan automatic cả dải ip luôn rồi. sểnh ra cái là chết toi ngay đáng sợ thật smilie(
[Up] [Print Copy]
  [Discussion]   Phải chăng có mạng lưới BOT của trung quốc chuyên thu thập dữ liệu? 05/03/2013 17:28:34 (+0700) | #10 | 273871
[Avatar]
mylove14129
Member

[Minus]    0    [Plus]
Joined: 27/04/2008 19:07:19
Messages: 106
Offline
[Profile] [PM]
thường với những dịch vụ nhạy cảm( remote sql,ssh,ftp,...) ngoài đặt password phức tạp thì mình thường giới hạn Ip hoặc dải Ip có thể connect tới.
[Up] [Print Copy]
  [Discussion]   Phải chăng có mạng lưới BOT của trung quốc chuyên thu thập dữ liệu? 06/03/2013 18:12:48 (+0700) | #11 | 273911
[Avatar]
crazykid
Member

[Minus]    0    [Plus]
Joined: 23/02/2013 08:41:52
Messages: 33
Location: toiyeucntt
Offline
[Profile] [PM] [WWW]
Có thể bạn đang bị Brute force bởi ai đó. Nếu đây là người Trung quốc thì đây sẽ là dân không chuyên vì không ai tấn công hay thăm dò trên nước khác mà không ít nhất là face IP cả. Cũng có thể là ai đó đang fake IP hoặc sock và cố gắng tấn công bạn. Tốt nhất nên hạn chế truy cập với các IP từ Trung quốc
========== By Crazykid ==========
[Up] [Print Copy]
  [Discussion]   Phải chăng có mạng lưới BOT của trung quốc chuyên thu thập dữ liệu? 26/03/2013 20:48:27 (+0700) | #12 | 274416
daizachoisang
Member

[Minus]    0    [Plus]
Joined: 11/06/2009 16:09:43
Messages: 2
Offline
[Profile] [PM]
server của công ty ông anh mình đang làm cũng search ra rất nhiều IP từ Trung quốc @@" lẽ nào chúng định tấn công toàn bộ mạng internet @@"
[Up] [Print Copy]
  [Discussion]   Phải chăng có mạng lưới BOT của trung quốc chuyên thu thập dữ liệu? 29/03/2013 14:13:34 (+0700) | #13 | 274504
[Avatar]
A.T
Member

[Minus]    0    [Plus]
Joined: 11/06/2011 05:45:42
Messages: 76
Offline
[Profile] [PM]
khi trước có làm cho 1 Nhà phát hành game ở VN (cty VN mua source game TQ về cắm lên server VN (game online ) ) khi mình mới vào cty đi làm login vào server thì ôi thôi rồi,server bì cài cắm đủ thử,trojan,công cụ quét...đủ thể loại,mất cả tuần để check cả đống server ,IP đó,túm lại phải học hỏi nhiều nếu ko chơi với khựa thì thiệt..Hết..việc server của bạn Pub ra ngoài thì bị scan,quyết linh tinh....là chuyện thường,
ps: nhớ check đủ các loại logs hàng ngày nhé smilie
[Up] [Print Copy]
  [Discussion]   Phải chăng có mạng lưới BOT của trung quốc chuyên thu thập dữ liệu? 29/03/2013 15:38:11 (+0700) | #14 | 274508
[Avatar]
chiro8x
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]
Không biết có phải tại em ngu không chứ em thấy vấn đề bạn A.T nói chẳng ăn nhậu gì với topic ráo.

Topic đang nói về mấy con BOT của bọn khựa thì phải.
while(1){}
[Up] [Print Copy]
  [Discussion]   Phải chăng có mạng lưới BOT của trung quốc chuyên thu thập dữ liệu? 03/04/2013 08:33:03 (+0700) | #15 | 274633
[Avatar]
A.T
Member

[Minus]    0    [Plus]
Joined: 11/06/2011 05:45:42
Messages: 76
Offline
[Profile] [PM]
A.T: server khi bạn pub ra ngoài (bên ngoài truy cập đc) thì tình trạng bạn bị "Brute force" thì rất nhiều < view log hàng ngày nhé > ,và xem hiện tượng của alt_enter kìa chiro8x ,những con BOT này có thể nằm đâu đó Thế giới or chính Việt Nam,Chiro đã bị hiện tượng server của bạn bị "cắm tool" và chính cái tool đó đang scan cả dãi IP của những server còn lại ( server đang online,pub) chưa ?
ps: -ở bên dưới mình chỉ đưa ra 1 ví dụ mình từng gặp phải.
[Up] [Print Copy]
  [Discussion]   Phải chăng có mạng lưới BOT của trung quốc chuyên thu thập dữ liệu? 03/04/2013 09:06:49 (+0700) | #16 | 274634
[Avatar]
A.T
Member

[Minus]    0    [Plus]
Joined: 11/06/2011 05:45:42
Messages: 76
Offline
[Profile] [PM]

A.T wrote:
A.T: server khi bạn pub ra ngoài (bên ngoài truy cập đc) thì tình trạng bạn bị "Brute force" thì rất nhiều < view log hàng ngày nhé > ,và xem hiện tượng của alt_enter kìa chiro8x ,những con BOT này có thể nằm đâu đó Thế giới or chính Việt Nam,Chiro đã bị hiện tượng server của bạn bị "cắm tool" và chính cái tool đó đang scan cả dãi IP của những server còn lại ( server đang online,pub) chưa ?
ps: -ở bên trên mình chỉ đưa ra 1 ví dụ mình từng gặp phải. 

-mạng Botnet thế nào thì chắc bạn cũng biết,hiểu,
-với 1 IP pub,1 Server (đặt tại data center) game thì phải online 24/365 việc config firewall sẻ không nhiều ex:người chơi cần đăng nhập nhanh,chơi luôn.....nếu config firewall nhiều thì hạn chế tốc độ,người chơi thấy nản bỏ game thì ăn cháo à, việc config firewall này phó cho mấy anh ISP, Data center thôi,mà Data center thì lỡm vì nhiều server của rât nhiều công ty,vô khối dịch vụ,đồng nghĩa với việc FW của họ phần đa là ACCESS smilie ,Mặt "sờ cu ri ty" về mặt con người <vào ra Data center > cũng ko cao,mình vì dụ vui,có thật: ngay lúc này Bạn có thể gọi lên Data center <xxx> <đúng só máy mấy ông trực ở data center >nói shutdown lại giúp bạn server,bạn đọc đúng IP,tủ Jack,tên công ty thì họ làm ngay và luôn đó smilie hậu qả thế nào thì bạn tự chịu smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|