Thank bạn n2tforever, mình không nghĩ đến việc dùng ntoskrnl.exe là khả thi, vì theo mình được biết thì ntoskrnl đâu export ra địa chỉ nào đâu, mà việc gọi qua sysenter thì như là bị hệ điều hành nó cấm rồi hay sao đó mà ! Nhưng qua gợi ý của bạn và tìm hiểu một số thông tin thì mình tìm được một số nguồn tài liệu này, có lẽ sẽ có ích cho ai đó :) http://alter.org.ua/docs/nt_kernel/procaddr/ http://alter.org.ua/soft/nt_kernel/crossnt/ http://netcode.cz/img/83/nativeapi.html http://zenwinx.sourceforge.net/doxy-doc/html/index.html http://hex.pp.ua/nt-native-applications-shell-eng.php Đặc biệt trong http://files.keiranbolton.me/down/66.14.166.45/whitepapers/ có một loạt các tài liệu về Forensics và Reverse Engineering cũng có giá trị, bạn nào muốn tải có thể dùng cache của google để truy ra link tải về cache:http://files.keiranbolton.me/down/66.14.166.45/whitepapers/ 

HoangManhHa1991 wrote:

Hiện này em đang có bài tập cấu hình firewall = iptables Cấu hình trên các máy đơn , chặn IN , chặn OUT , em đã làm đc rồi . H cô giáo em đòi hỏi vấn đề cao hơn là . Có 3 máy tính cùng 1 subnet . 1 máy đc coi như 1 firewall . 2 máy còn lại sẽ đưa gói tin qua máy 1 để lọc . Sau khi lọc xong , thì các gói tin khớp luật mới đc chuyển tới router (modem ADSL) . Theo các bác thì nên xử lý tình huống này ra sao ? 

2 máy con kia gởi / nhận thông tin từ đâu và đến đâu mà phải đi xuyên qua máy 1 và được chuyển tới router? Luật gồm có những gì? Cho cái gì? Không có thì lấy cái gì để xử lý cái gì? PS: thế hệ sau này câu cú, chấm phẩy, xuống hàng, cách trình bày cực tệ. Tình trạng này nhan nhản khắp nơi. Không biết thêm một thế hệ nữa thì tiếng Việt sẽ trờ thành cái đống tả phí lù gì đây :(. 

Actually, the MAC-address stored in the packet is changed on every hop of a packet's journey. MAC is shorthand for Media Access Control, with media refering to the local communication media. While source and destination IP-Addresses remain the same throughout the journey (and are used for long-distance routing decisions), the source and destination MAC-Addresses just indicate the next hop. Because of this, the MAC-Address stored in packets received by your server should be the MAC address of your point of presence-router, or of the equipment of your provider. You might want to have a look at the OSI Layer model and encapsulation.  

.lht. wrote:

Đến đây, có thể "thông tin" máy ta được che giấu (khi đi qua các proxies) nhưng "hành động" của chúng ta không thể nào che giấu được khi qua những chặng này.  

Như mình đã nói, thông tin ta connect đến các chặng này thì không thể che dấu được, mỗi bước đi của ta ít nhiều đều để lại dấu chân. Nhưng quan trọng ta chọn đi ở đâu, chẳng hạn như đi ra biển (các servers) thì dấu chân để lại nhiều; còn đi trên gạch (các PC đã bị ta hack) thì dấu chân của ta để lại ít hơn. Suy nghĩ của mình khi viết bài này: mình đặt mình là người điều tra, và người điều tra nghĩ gì, sau đó mình làm ngược lại với suy nghĩ đó :) 

máy nhà (1.1.1.1 | IP mạng nội bộ của ISP) --> ISP (2.2.2.2 | IP access to internet) ---> jump server (3.3.3.3) --> firewall bảo vệ đích (4.4.4.4) --> đích (5.5.5.5).  

- Những gì đằng sau nguồn đều là tracks. - Những gì trước đích và chung quanh đích đều là tracks.  

jump server (3.3.3.3) | firewall bảo vệ đích (4.4.4.4) | đích (5.5.5.5) 

từ điểm xuất phát (1.1.1.1) xuyên qua những chặng trung gian (n.n.n.n) 

+ Bạn có quyền hạn ghi/ xoá trên những file logs: Ta có thể fake, thay vào đó những thông báo/ cảnh báo giả để đánh lạc hướng điều tra hoặc ta cũng có thể "thanh toán" thẳng đám này ... diệt gọn và sạch ! + Bạn không có quyền hạn để tác động được đến những file logs và trong hoàn cảnh server cấu hình có giới hạn ... Ta hãy nhìn vào "cấu hình server", ta thấy cái gì ? ... "Giới hạn dung lương lưu trữ" ... Ở đây cũng lại phụ thuộc vào những yếu tố liên quan đến cấu hình quản lý logs của server, thời gian live và giới hạn dung lượng logs cho phép. Dựa vảo những "giới hạn" đó mà ta có thể tìm cách làm server "tự xử" - Chẳng hạn bạn cố tình flood 1 loạt những thứ khiến server phải cảnh báo -> Flood liên tục cho đến khi "chạm giới hạn" thì server sẽ tự xoá đống logs kia để lấy chỗ cho đống logs mới ... + Bạn không có quyền hạn để tác động được đến những file logs và trong hoàn cảnh server "không có giới hạn" . Nếu ở trường hợp này thì mệt rồi :( Thôi ta đành "lẩn trốn 1 thời gian" và áp dụng cách sau:

Từ đây ta nhận thấy 1 điều rằng, đôi khi những cái "current" logs thường có "khoảng thời gian không được động đến cho đến khi 1 sự việc nào đó sảy ra" và cần phải kiểm tra. Với 1 hệ thống lớn, nhiều người truy cập. Chắc hản sẽ có ấn định xoá logs trong 1 khoảng thời gian (có thể là sau vài tuần cho đến vài tháng) để tránh tình trạng hệ thống có nhiều "rác" ngốn hết tài nguyên. Với 1 attacker khôn ngoan và có tính kiên nhẫn, với mục tiêu của anh ta. Trong trường hợp anh ta tấn công hệ thống thành công và cài đặt thành công backdoor nhưng "dìm ỉm" chuyện đó (không như anh bạn hacker kia để 1 file html to đùng ngay sau khi xâm nhập thành công). Và vài tháng sau anh ta trở lại để thực hiện hành vi phá hoại của mình thì như vậy những cái logs lưu giữ thông tin quạn trọng nhất để có thể hình dung ra quá trình bị thâm nhập lại không còn nữa ... 

-> Ngồi hi vọng rằng : "Anh quản trị gì đó ơi, anh lười cho em được nhờ !"  

Mình có liên lạc anh Phạm Kim Long và anh ấy đã xác nhận trang web sau không phải của anh ấy: Bộ gõ tiếng Việt Unikey Code:

http://unikey.vn/vietnam/

Mình vẫn giữ quan điểm mọi người không nên tải phần mềm Unikey từ những nguồn không được kiểm chứng như thế này. 

Từ đây ta nhận thấy 1 điều rằng, đôi khi những cái "current" logs thường có "khoảng thời gian không được động đến cho đến khi 1 sự việc nào đó sảy ra" và cần phải kiểm tra. Với 1 hệ thống lớn, nhiều người truy cập. Chắc hản sẽ có ấn định xoá logs trong 1 khoảng thời gian (có thể là sau vài tuần cho đến vài tháng) để tránh tình trạng hệ thống có nhiều "rác" ngốn hết tài nguyên. Với 1 attacker khôn ngoan và có tính kiên nhẫn, với mục tiêu của anh ta. Trong trường hợp anh ta tấn công hệ thống thành công và cài đặt thành công backdoor nhưng "dìm ỉm" chuyện đó (không như anh bạn hacker kia để 1 file html to đùng ngay sau khi xâm nhập thành công). Và vài tháng sau anh ta trở lại để thực hiện hành vi phá hoại của mình thì như vậy những cái logs lưu giữ thông tin quạn trọng nhất để có thể hình dung ra quá trình bị thâm nhập lại không còn nữa ...  

Như mình từng đề cập đến, nhiều khi vì quá cẩn thận mà bạn vô tình để lộ sơ hở và chính sự cẩn thận của bạn lại hại bạn. Mình có ví dụ sau: Nhiều bạn nói rằng, máy sử dụng dịch vụ VPN và "để đề phòng + đánh lạc hướng", các bạn "cài thêm máy ảo" và thực hiện các hành động của mình trên máy ảo. Câu hỏi của mình là, tại sao ở trường hợp này nó lại "rất nguy hiểm" nếu như bạn "quên 1 thứ ..." ? Và cái thứ mà mình nhắc đến kia là công việc gì :D  

.lht. wrote:

Bạn cho mình coi cấu hình trong file nginx.conf của bạn được không ? ;) Nếu được thì thêm cả php-fpm.conf nữa :D 

Cảm ơn mọi người đã quan tâm Đây là file nginx.conf của em

worker_processes 4; worker_rlimit_nofile 10240; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { worker_connections 2048; use epoll; } http { include mime.types; default_type application/octet-stream; #log_format main '$remote_addr - $remote_user [$time_local] "$request" ' # '$status $body_bytes_sent "$http_referer" ' # '"$http_user_agent" "$http_x_forwarded_for"'; #access_log logs/access.log main; client_body_buffer_size 8K; client_header_buffer_size 1k; client_max_body_size 2m; large_client_header_buffers 2 1k; ## Start: Timeouts ## client_body_timeout 10; client_header_timeout 10; keepalive_timeout 5 5; send_timeout 10; ## End: Timeouts ## server_tokens off; sendfile on; tcp_nopush on; gzip on; gzip_comp_level 2; gzip_min_length 1000; gzip_proxied expired no-cache no-store private auth; gzip_types text/plain application/xml; gzip_disable "MSIE [1-6]\."; server { listen 80; server_name localhost; location / { root /webroot/abc/web2012; index index.php index.html index.htm; } #error_page 404 /404.html; # wwwect server error pages to the static page /50x.html # error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } location ~ /\. { access_log off; log_not_found off; deny all; } # proxy the PHP scripts to Apache listening on 127.0.0.1:80 # #location ~ \.php$ { # proxy_pass http://127.0.0.1; #} # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000 # location ~ \.php$ { # root html; root /webroot/abc/web2012; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; # fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; }  

Và đây là file php-fpm.conf của mình

[global] pid = run/php-fpm.pid error_log = log/php-fpm.log [www] user = abc group = abc listen = 127.0.0.1:9000 listen.backlog = -1 listen.allowed_clients = 127.0.0.1 pm = dynamic pm.max_children = 50 pm.start_servers = 20 pm.min_spare_servers = 10 pm.max_spare_servers = 35 pm.max_requests = 500 

Mong nhận được chỉ giáo của mọi người 

## Size Limits client_body_buffer_size 5m; client_header_buffer_size 1m; client_max_body_size 5m; large_client_header_buffers 2 1m; ## Timeouts client_body_timeout 60; client_header_timeout 60; keepalive_timeout 5; send_timeout 60;  

.lht. wrote:

Attacker: Opp ... Me: Vâng, bản thân Tor nó có công cụ nhận dạng xem bạn có đang sử dụng Tor hay không. Vậy mấy bác bên BKAV cũng tạo 1 công cụ kiểm tra các IP truy cập đến đó có thuộc đám "con cháu" của Tor không thì sẽ giới hạn được phạm vi.  

Cứ dùng firefox change user-agent và các công cụ Tor, ... để post bài lên HVA. Dùng IE or Chrome vào BKAV. Bạn trả lời hộ mình: Tại sao vào BKAV phải dùng Tor? Chỉ có cu cậu vụ handheld.vn mới dùng account lừa đảo để post bài: Catch me if you can. Sau đó login vào acc thật để đọc bài thôi. Chứ nếu thằng gây án là mình thì luôn luôn là gây án xong rồi mất tích. Không bao giờ quay lại hiện trường, chỉ có trà đá và nghe ngóng tình hình. 

nginx handle connections, apache detect anomaly (modsec), app server sau cùng (php-fgci v.v...)