<![CDATA[Messages posted by "whisper"]]> /hvaonline/posts/listByUser/102628.html JForum - http://www.jforum.net Re: Thảo luận: kỹ năng xác định sự cố

conmale wrote:
. Không thể xác định nguyên nhân khác, Tuấn đợi Tú (quản lý hệ thống) vào để hỏi thêm lý do. Khi Tú vào, Tuấn hỏi những câu sau: 1. Cậu có táy máy gì trên máy tớ trong ngày cuối tuần không đấy? 2. Máy tớ và các máy khác cũ mới, linh kiện, hãng cung cấp... có gì khác nhau không? 3. Cậu xem giúp có bộ phận nào trong máy tớ bị hỏng hóc không nhá?"[/i] Vậy trong đoạn trên, ngoài việc dùng kinh nghiệm (experience) và kiến thức (knowledge) chuyên môn (mà Tuấn không có đủ so với Tú), Tuấn đã thử dùng thêm những gì để định hướng sự cố? Mời anh chị em tiếp tục thảo luận :)). 
Ngoài change management như bạn gì ở trên đã nói thì. 2. Trong trường hợp không có sự tác động theo kế hoạch ( change management ) thì xác định xem có khả năng phục hồi khẩn cấp được bằng cách thay các thiết bị tương đương hay không. 3. Tuấn phải dùng hoàn toàn kinh nghiệm và kiến thức của Tú. Lâu quá tham gia lại HVA, comment với bác conmale cho vui.]]>
/hvaonline/posts/preList/13314/227051.html#227051 /hvaonline/posts/preList/13314/227051.html#227051 GMT
Re: Fix FoxitReader to by pass protected pdf file! /hvaonline/posts/preList/24547/150838.html#150838 /hvaonline/posts/preList/24547/150838.html#150838 GMT Code Chống DoS của trang BacBaPhi.com.vn

conmale wrote:
Hèm.... code của bacbaphi mà sao lại sang HVA mà hỏi nhỉ? 
Đúng rồi, phải xin của đại ka conmale đi kìa ! :x :x ]]>
/hvaonline/posts/preList/17387/104604.html#104604 /hvaonline/posts/preList/17387/104604.html#104604 GMT
Re: Xin chỉ giúp cách chống DDOS (website đang bị DDOS) /hvaonline/posts/preList/13996/92977.html#92977 /hvaonline/posts/preList/13996/92977.html#92977 GMT Hỏi về Stateful Firewall ?

No.13 wrote:
xxx:1056 -----> yyy:80 xxx:1096 -----> yyy:443 Có gì mà không phân biệt được nhỉ ? Bạn muốn phân biệt theo kiểu nào nữa ? 
No.13 không hiểu câu hỏi của mình rồi. + Trường hợp đầu tiên là cùng là http nhưng trên hai port 80 và 81, thì đương nhiên xxx connect tới yyy từ 2 port khác nhau và bị stateful Firewall block 1 port 81. + Trường hợp sau là apache chạy web service nhưng là http và https trên 2 port 80 và 443. Firewall không block là dựa vào cơ chế nào để làm vậy khi cả 2 port này cùng là webservice?? Thanks ]]>
/hvaonline/posts/preList/14842/90757.html#90757 /hvaonline/posts/preList/14842/90757.html#90757 GMT
Hỏi về Stateful Firewall ?

conmale wrote:
Bị chặn. Bởi vì xxx đến yyy ở cổng 80 là giá trị đã ấn định trong state table. Nếu bất chợt xxx đến yyy ở cổng 81 thì nó phải thỏa mãn các bước bắt tay hợp lệ và hình thành 1 giá trị khác trong state table, nếu không, nó bị drop. PS: state table chớ không phải stale table. 
( viết sai chính tả, xấu hổ quá !!! ) Anh cho em hỏi tiếp, vậy stateful firewall phân biệt http và https ra sao khi một thằng yyy chạy apache có http trên port 80 và https trên port 443 thì xxx vẫn có thể connect đến yyy trên cả 2 port 80 và 443 ? Thanks.]]>
/hvaonline/posts/preList/14842/90112.html#90112 /hvaonline/posts/preList/14842/90112.html#90112 GMT
Hỏi về Stateful Firewall ?

conmale wrote:
Stateful firewall có nhiều dạng và nhiều ứng dụng. Nếu nó ứng dụng để kiểm soát cả tầng 7 (của model OSI) thì nó không chỉ dừng lại ở tầng network và transport. Việc đổi port có liên quan trực tiếp và quan trọng đến tính năng "stateful" của một stateful firewall. Lý do: - 1 request từ bên ngoài vào có IP là xxx.xxx.xxx.xxx đi đến IP yyy.yyy.yyy.yyy ở cổng 80 (xuyên qua stateful firewall trên kiểm soát) . Nếu firewall này cho phép, nó sẽ cho phép IP xxx.xxx.xxx.xxx thực hiện 3 bước bắt tay một cách bình thường. Sau giai đoạn này, firewall ấy sẽ thiết lập một "state table" để theo dõi "state" của xuất truy cập này. - nếu IP xxx.xxx.xxx.xxx này bất thình lình liên hệ IP yyy.yyy.yyy.yyy ở cổng 80 nhưng lại không hề có quy trình 3 bước bắt tay --> hoàn toàn không nằm trong một "state" nào cả --> bị hủy. - nếu IP xxx.xxx.xxx.xxx này đã thiết lập 3 bước bắt tay bình thường và đã được hình thành "state table" nhưng bất chợt lại có destination port là 81 --> hoàn toàn không nằm trong một "state" nào cả --> bị hủy. - khi packet đi đến tầng application, nó vẫn có thông tin source port, source ip, destination port, destination ip và nhiều thông tin khác. Cái "state machine" của một stateful firewall dựa trên những thông tin có thể thu thập được để xác định "state" của một packet và một xuất truy cập. Thân mến. 
Hi anh conmale, Cho em hỏi xíu, nếu 1 web server chạy 2 service apache trên 2 port khác nhau, 1 cái là 80, 1 cái là 81. Firewall mở quyền access cho xxx đi tới yyy. Sau khi xxx bắt tay và tạo ra 1 stale table rồi trên port 80. Từ xxx tạo một connection mới tới yyy trên port 81 thì nó có khả năng bị chặn không? Thanks. ]]>
/hvaonline/posts/preList/14842/89836.html#89836 /hvaonline/posts/preList/14842/89836.html#89836 GMT
Website bị tấn công !!! Code:
58.186.91.225 - - [02/Mar/2007:19:06:08 +0700] "OPTIONS / HTTP/1.1" 200 56112 "-" "Microsoft Office Protocol Discovery"
58.186.91.225 - - [02/Mar/2007:19:06:09 +0700] "OPTIONS / HTTP/1.1" 200 56112 "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery"
58.186.91.225 - - [02/Mar/2007:19:06:09 +0700] "OPTIONS /showthread.php?t=481 HTTP/1.1" 200 89547 "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery"
58.186.91.225 - - [02/Mar/2007:19:06:10 +0700] "GET /_vti_inf.html HTTP/1.1" 404 296 "-" "Mozilla/4.0 (compatible; MS FrontPage 12.0)"
58.186.91.225 - - [02/Mar/2007:19:06:10 +0700] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 310 "-" "MSFrontPage/12.0"
58.186.91.225 - - [02/Mar/2007:19:06:10 +0700] "OPTIONS / HTTP/1.1" 200 56112 "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery"
58.186.91.225 - - [02/Mar/2007:19:06:10 +0700] "OPTIONS /showthread.php?t=481 HTTP/1.1" 200 89547 "-" "Microsoft Data Access Internet Publishing Provider Protocol Discovery"
58.186.91.225 - - [02/Mar/2007:19:06:13 +0700] "HEAD /showthread.php?t=481 HTTP/1.1" 200 - "-" "Microsoft Office Existence Discovery"

222.253.255.228 - - [02/Mar/2007:19:31:50 +0700] "GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=2614&STRMVER=4&CAPREQ=0 HTTP/1.1" 404 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
222.253.255.228 - - [02/Mar/2007:19:31:50 +0700] "GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=2614&STRMVER=4&CAPREQ=0 HTTP/1.1" 404 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
Và error log Code:
[Fri Mar 02 19:06:10 2007] [error] [client 58.186.91.225] File does not exist: /home/www/web/_vti_inf.html
[Fri Mar 02 19:06:10 2007] [error] [client 58.186.91.225] File does not exist: /home/www/web/_vti_bin

[Fri Mar 02 19:31:50 2007] [error] [client 222.253.255.228] File does not exist: /home/www/web/_vti_bin
[Fri Mar 02 19:31:50 2007] [error] [client 222.253.255.228] File does not exist: /home/www/web/MSOffice
Với http không hiểu tại sao mà dùng option cũng được 1 đống thông tin, dùng option để DDoS web của tôi chắc chết quá. Với tình hình này chắc phải cài nhanh cái mod_security quá, nhưng mà chưa thử lần nào, sợ cài vào web site cứng ngắc thì phiền ghê. Thanks for reading.]]>
/hvaonline/posts/preList/7202/44300.html#44300 /hvaonline/posts/preList/7202/44300.html#44300 GMT
Website bị tấn công !!! /hvaonline/posts/preList/7202/44215.html#44215 /hvaonline/posts/preList/7202/44215.html#44215 GMT Website bị tấn công !!! Code:
221.132.37.217 - - [15/Feb/2007:15:04:07 +0700] "GET / HTTP/1.0" 200 1062 "-" "-"
221.132.37.217 - - [15/Feb/2007:15:04:12 +0700] "SEARCH /\x90\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\...\x90\x90\x90\x90\x90\x90\x90" 414 328 "-" "-"
221.132.37.217 - - [15/Feb/2007:15:04:42 +0700] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 305 "-" "-"
Dấu ... thay thế cho một đoạn rất dài giống nhau. error log: Code:
[Thu Feb 15 15:04:12 2007] [error] [client 221.132.37.217] request failed: URI too long (longer than 8190)
[Thu Feb 15 15:04:42 2007] [error] [client 221.132.37.217] File does not exist: /xxx/yyy/zzz/_vti_bin
Tôi search trên web thì đây là dạng tấn công buffer overflow, không ảnh hưởng đến apache nhưng cững chưa yên tâm lắm nên nhờ mấy bro cho ý kiến dùm. Thanks for reading.]]>
/hvaonline/posts/preList/7202/41886.html#41886 /hvaonline/posts/preList/7202/41886.html#41886 GMT