<![CDATA[Messages posted by "JFS"]]> /hvaonline/posts/listByUser/60129.html JForum - http://www.jforum.net Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

bolzano_1989 wrote:
Công cụ diệt STL malware trong Unikey Gửi đến các bạn thành viên diễn đàn HVAOnline và bạn đọc công cụ CMC.CleanFakeUnikey: Code:
http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip
Kết quả scan với VirusTotal: Code:
https://www.virustotal.com/file/5b351a784338bc27c01e23a2378aca9d4e5bf7ea2a37e00e4be9ba84f806743b/analysis/1330664621/
Với mọi góp ý về công cụ này (detection, removal, false positive,...), các bạn có thể gửi tại chủ đề này hoặc ở diễn đàn CMC InfoSec. Ngoài ra, xin các bạn vui lòng không upload công cụ này đến các trang chia sẻ file để chia sẻ cho mọi người do có thể bị kẻ xấu lợi dụng, chèn mã độc hại vào công cụ này. xnohat: thêm cái tiêu đề cho người dùng dễ kiếm 
Chưa đc blozano ơi làm ơn kiểm tra lại , tool của B và Xnohat check không báo chứ virustotal báo đó ! Link đây : _https://www.virustotal.com/file/9b3610f28dafac29461bf4bd916f434887e6941e2d52c006829affb1f84f9b0e/analysis/]]>
/hvaonline/posts/preList/41404/256633.html#256633 /hvaonline/posts/preList/41404/256633.html#256633 GMT
tổng đài Asterisk bị hack

Mr_chuon wrote:
 
tui nhớ không lầm thì trên Asterisk có chế độ Record phải không ? nếu có thì thử record cái thằng ext đó thử coi.   có chế độ này nhưng nó vốn không d][cj cài đặt. hiện giờ e đã chặn được sự xâm nhập này rồi, em muốn hỏi có cách nào lần ngược lại được không  Bạn có thể nói rõ đc không , bạn chặn bằng cách nào , log trên có vấn đề gì đâu , cấu hình 2 chi nhánh bạn dùng VPN à hay mô hình bạn như thế nào ! Mình không thể hình dung cái đó gọi là bị tấn công vào tổng đài ! SIP account của bạn qua IP public ? Bạn có tài khoản nào VPN vào ko ? nhiều thứ quá bạn hỏi 1 câu và show cái log vậy thì sao mà biết ? mình cũng đang quan tâm vấn đề này ! Thanks ! ]]>
/hvaonline/posts/preList/40565/249965.html#249965 /hvaonline/posts/preList/40565/249965.html#249965 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) 1. Bạn gắn static arp cho router hay client? Router của bạn của hãng nào, thuộc dòng nào? bạn cấu hình nó ra sao? => Nếu dùng static ARP cho cả client và router thì không thể poison ARP nữa, nhưng gói tin vẫn có nguy cơ bị sniff :P 2. Để phòng tránh thì tốt nhất là dùng tính năng port security trên Switch (và chỉ có một máy tính nối trực tiếp đến port được bật tính năng port security) đồng thời dùng arp tĩnh cho client và switch thì không có host nào có thể sniff cũng như poison được. - Ky0 -   1. Tất nhiên mình làm cho cả router và client , router mình có Port Security . Mình cấu hình nó theo yêu cầu của mình . 2. Mình cũng nghĩ phương pháp ngăn chặn trên là hữu hiệu nhất , nếu gói tin vẫn bị sniff nhưng giao thức là SSL thì mình nghĩ tấn công trong LAN khi đã có các cơ chế bảo mật như thế thì ok và để lấy đc Session là rất khó như đã nói ở trên . Nếu client change MAC và dùng 1 Static IP khác trong lớp thì sao nhỉ vẫn không có khả năng poision . Thanks Ky0 ]]> /hvaonline/posts/preList/40470/249669.html#249669 /hvaonline/posts/preList/40470/249669.html#249669 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) Trên mạng wifi thì traffic giữa client và server đều có thể bị capture quan trọng là trạng thái của Card Wifi (bạn xem lại Promiscuous mode). Đối với mạng LAN thì khó hơn vì nếu set port security trên Switch thì không có tình trạng gói tin broadcast được (nhưng các switch có tính năng này cũng tương đối mắc tiền :P). Để hiểu rõ hơn bạn có thể đọc thêm về ARP Poison   @Ky0 Có lẽ ở đây mình không chú ý đến cái wifi và trạng thái card mạng mà mình gắn nó vào LAN. Nếu dùng Static arp and gán MAC router cho client , trong LAN có 1 host bật trạng thái card mạng Promiscuous mode thì có bị poison ko ? ]]> /hvaonline/posts/preList/40470/249662.html#249662 /hvaonline/posts/preList/40470/249662.html#249662 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) /hvaonline/posts/preList/40470/249659.html#249659 /hvaonline/posts/preList/40470/249659.html#249659 GMT Hệ thống mail của cơ quan bị giả mạo Code:
Microsoft Mail Internet Headers Version 2.0
Received: from domain ([118.69.34.3] RDNS failed) by domain with Microsoft SMTPSVC(6.0.3790.4675);
	 Tue, 10 May 2011 10:34:02 +0700
From: "Mail Administrator" <MAILER-DAEMON@domain>
To: user2@domain
Subject: Returned mail: Data format error
Date: Tue, 10 May 2011 10:27:45 +0700
MIME-Version: 1.0
Content-Type: multipart/mixed;
	boundary="----=_NextPart_000_0008_9396C5B9.E65A9911"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Return-Path: MAILER-DAEMON@domain
Message-ID: <SRV2T6sQHmuX7b0TydU0000001c@domain>
X-OriginalArrivalTime: 10 May 2011 03:34:02.0639 (UTC) FILETIME=[1B4DB1F0:01CC0EC3]

------=_NextPart_000_0008_9396C5B9.E65A9911
Content-Type: text/plain;
	charset=us-ascii
Content-Transfer-Encoding: 7bit

------=_NextPart_000_0008_9396C5B9.E65A9911
Content-Type: application/octet-stream;
	name="user2@domain.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
	filename="user2@domain.zip"


------=_NextPart_000_0008_9396C5B9.E65A9911--
Thêm một cái mail dụ nữa : Code:
Dear user user1@domain,

We have detected that your email account was used to send a huge amount of junk email during this week.
Most likely your computer had been infected by a recent virus and now contains a trojaned proxy server.

Please follow instructions in order to keep your computer safe.

Best regards,
The domain support team.
Mail này có zip 1 file chứa luôn con Mydoom . Theo header mail thì em này có IP từ FPT : 118.69.34.3 RDNS failed Checked em nó thì thấy em nó có location là HCM và 1 domain la machmach.com Xin mọi người cho ý kiến về cách chống spam dạng mail này . Công ty không cho phép openrelay và chỉ có 2 user bị . Kiểm tra virus tại 2 máy của user chưa phát hiện đc gì ! Mong các bác phân tích để em mở mang thêm ạ ! PS: em đã thay tên domain thật bằng domain , 2 user bằng user1 , user2 Thanks !]]>
/hvaonline/posts/preList/38657/237053.html#237053 /hvaonline/posts/preList/38657/237053.html#237053 GMT
UDP traffic không hiện trên Base 1.4.5 Code:
--== Initialization Complete ==--

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.0.1 GRE (Build 82) 
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
           Copyright (C) 1998-2010 Sourcefire, Inc., et al.
           Using libpcap version 1.1.1
           Using PCRE version: 6.6 06-Feb-2006
           Using ZLIB version: 1.2.3

           Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 1.12  <Build 18>
           Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
           Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
           Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
           Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
           Preprocessor Object: SF_Dynamic_Example_Preprocessor  Version 1.0  <Build 1>
           Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
           Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
           Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
Commencing packet processing (pid=7218)
Kiểm tra base permision & owned ls -l /etc/snort/snort.conf Code:
-rw-r--r-- 1 root root 18559 Nov 18 17:10 /etc/snort/snort.conf
Code:
Log mysql
echo "SELECTecho "SELECT hostname FROM snort.sensor;" | mysql -u snort -p
>
kiểm Tra bằng 1 rule ICMP đã hiển thị alert trên Base log tail Code:
11/18-18:18:21.455781  [**] [1:408:5] ICMP Echo Reply [**] [Classification: Misc activity] [Priority: 3] {ICMP} 192.168.99.79 -> 192.168.99.207
11/18-18:18:22.455715  [**] [1:382:7] ICMP PING Windows [**] [Classification: Misc activity] [Priority: 3] {ICMP} 192.168.99.207 -> 192.168.99.79
Lỗi xảy ra không hiển thị UDP traffic trên Base
Mong cả nhà giúp đỡ ! ]]>
/hvaonline/posts/preList/36655/225174.html#225174 /hvaonline/posts/preList/36655/225174.html#225174 GMT
server 2003 va 2008 chay song song /hvaonline/posts/preList/35487/219419.html#219419 /hvaonline/posts/preList/35487/219419.html#219419 GMT cần giúp đỡ khẩn cấp mạng wifi, máy không kết nối đươc với AP /hvaonline/posts/preList/32007/197700.html#197700 /hvaonline/posts/preList/32007/197700.html#197700 GMT Exchange 2003-Outlook 2007, không gửi mail đi được, bị chui vào Outbox

JFS wrote:
Cho mình hỏi là quanta có dùng account khác để test thử trên máy đó chưa chưa ? Policy kiểm tra chưa . Account khác trên máy đó cũng không gửi đi được luôn. Bạn có thể cho biết cụ thể là kiểm tra Policy của cái gì và ở chỗ nào không? Hôm nay, mình tìm thêm được một manh mối là có thể phải đăng ký lại cái thư viện Send/Receive inetcomm.dll. Mình cũng đã thử và... không ăn thua. Chắc không còn cách nào khác ngoài việc tìm bằng được driver và cài lại Windows. P/S: có ai từng gặp trường hợp: trước kia có một chương trình Antivirus nào đó được cài trên máy, và có chức năng scan mail outgoing, nhưng sau khi uninstall đi rồi, vẫn còn cái gì đó sót lại và không gửi mail đi được không? (Mình uninstall bằng Revo Uninstaller nên nghĩ là sạch rồi).  
@quanta Mình cũng từng dính cái GFI cài ngay lên exchange server may mắn trước khi cài có backup lại . Policy thì không phải rùi vì Account đó test trên máy khác ok . => Nếu cậu còn nhớ cái scan out going mail đó là gì thì cậu thử vào regedit xem còn cái gì không . Giải pháp ở đây là repair lại windows hay update service pack cho windows không cần cài lại máy . (Chắc chắn máy không có virut chứ ) . Rùi cài thử cái MS OL lại xem (Thay thế đĩa khác chưa tức bản cài của cậu sạch và chất lượng) Thân]]>
/hvaonline/posts/preList/29853/184357.html#184357 /hvaonline/posts/preList/29853/184357.html#184357 GMT
Exchange 2003-Outlook 2007, không gửi mail đi được, bị chui vào Outbox /hvaonline/posts/preList/29853/184279.html#184279 /hvaonline/posts/preList/29853/184279.html#184279 GMT Re: [help] Vấn đề Mail Exchange 2003 /hvaonline/posts/preList/29536/182121.html#182121 /hvaonline/posts/preList/29536/182121.html#182121 GMT Re: [help] Vấn đề Mail Exchange 2003 /hvaonline/posts/preList/29536/182102.html#182102 /hvaonline/posts/preList/29536/182102.html#182102 GMT [help] Vấn đề Mail Exchange 2003 Code:
This is an SMTP protocol log for virtual server ID 1, connection #158. The client at "41.201.108.176" 
           sent a "rcpt" command, and the SMTP server responded with "550 5.7.1 Unable to relay for 
           yuking.chiu@msa.hinet.net  ". The full command sent was "rcpt TO: <yuking.chiu@msa.hinet.net>".  This will 
           probably cause the connection to fail. 

           For more information, click http://www.microsoft.com/contentwwwect.asp.
Trong vòng 1h mà Error chạy lên đến 49 ngàn . Kiểm tra log trong exchange : Code:
2009-5-24	13:0:36 GMT	[color=red]218.160.245.36	218-160-245-36.dynamic.hinet.net[/color]	
            -	NEWSRV	192.168.10.2	a123999@ms33.hinet.net	1019	
            ETTNHBVCUVMOWVJNYSWKW@umail.hinet.net	1	0	2614	32	2009-5-24 13:0:25 GMT	0	     
            Version: 6.0.3790.3959	-	 L/C}BץӽСEHΪʮƶUڡEHΪӽСEHΪBܲ{E	whct@yahoo.de	-
             2009-5-24	13:0:36 GMT	218.160.245.36	218-160-245-36.dynamic.hinet.net	-	NEWSRV	
             192.168.10.2	a123a@ms33.hinet.net	1019	ETTNHBVCUVMOWVJNYSWKW@umail.hinet.net	1	
             0	2614	32	2009-5-24 13:0:25 GMT	0	Version: 6.0.3790.3959	-	 
             L/C}BץӽСEHΪʮƶUڡEHΪӽСEHΪBܲ{E	whct@yahoo.de	-
             2009-5-24	13:0:36 GMT	218.160.245.36	218-160-245-36.dynamic.hinet.net	-	NEWSRV	
             192.168.10.2	a1239813@ms24.hinet.net	1019	ETTNHBVCUVMOWVJNYSWKW@umail.hinet.net	1	
              0	2614	32	2009-5-24 13:0:25 GMT	0	Version: 6.0.3790.3959	-	 
              L/C}BץӽСEHΪʮƶUڡEHΪӽСEHΪBܲ{E	whct@yahoo.de	-
Thông tin IP và dns đều nằm bên taiwan chỗ mình bị spam . Bật bộ lọc IMF (Intelligent Message Filter ) lên và kiểm tra Event viewer của Application . Thấy thông báo trong Application information : Code:
he message with ID  <FRPNTYBIWYOKAKMHNMKAUQXYE@ms81.hinet.net>, P1 From , Subject   
          ¢e¢e³Q¶Å°ÈÀ£±o³Ý¤£¹L®ð¶Ü¡HÅý§Ú§U§A¤@Áu¤§¤O¢e¢emating ritual, from remote host "NEWSRV"   was 
          Rejected/Deleted by Intelligent Message Filter. This is an informational event and does not indicate an error. 

           For more information, click http://www.microsoft.com/contentwwwect.asp.
bọ lọc hoạt động tốt . Kiềm tra log của Exchange : Code:
2009-5-24	17:23:13 GMT	[color=red]114.45.59.5[/color]	220.231.x.x	-	NEWSRV	 
          192.168.10.2	x73427@yahoo.com.tw	1041	QQPZUWFOPMEQWFSVLGJPWO@yahoo.ca	3	0	3570	
          15	2009-5-24 17:23:9 GMT	0	Version: 6.0.3790.3959	-	 mmu[vN~A~u}IuutvXMufAe§B~a 
          ̹bEImmover	pvyqgaipxu@yahoo.ca	-
         2009-5-24	17:23:13 GMT	114.45.59.5	220.231.x.x	-	NEWSRV	192.168.10.2	
         wercyu@yahoo.com.tw	1041	QQPZUWFOPMEQWFSVLGJPWO@yahoo.ca	3	0	3570	15	2009-5-24 
          17:23:9 GMT	0	Version: 6.0.3790.3959	-	 mmu[vN~A~u}IuutvXMufAe§B~a ̹bEImmover	
          pvyqgaipxu@yahoo.ca	-
          2009-5-24	17:23:13 GMT	114.45.59.5	220.231.x.x	-	NEWSRV	192.168.10.2	
          zq6@yahoo.com.tw	1041	QQPZUWFOPMEQWFSVLGJPWO@yahoo.ca	3	0	3570	15	2009-5-24 
         17:23:9 GMT	0	Version: 6.0.3790.3959	-	 mmu[vN~A~u}IuutvXMufAe§B~a ̹bEImmover	
         pvyqgaipxu@yahoo.ca	-
         2
Filter dns nhưng nó nhảy qua IP , IP thay đổi rất nhiều . 114.45.59.5 Ip này là một minh họa . Đã thử dùng IPsec để chặn nhưng không hiệu quả mail server rất chậm . Mong cả nhà giúp đỡ . Cảm ơn . jfs ]]>
/hvaonline/posts/preList/29536/182050.html#182050 /hvaonline/posts/preList/29536/182050.html#182050 GMT
Re: Máy em tự động logoff sau khi đăng nhập, giúp em với , Chú ý : Sau userinit.exe có dấu "," 2. Repair lại windows . Thân .]]> /hvaonline/posts/preList/28020/172098.html#172098 /hvaonline/posts/preList/28020/172098.html#172098 GMT Re: Thắc mắc về DNS server /hvaonline/posts/preList/27687/169480.html#169480 /hvaonline/posts/preList/27687/169480.html#169480 GMT Re: Tìm phần mềm backup trên Windows server 2003 /hvaonline/posts/preList/26418/160690.html#160690 /hvaonline/posts/preList/26418/160690.html#160690 GMT Re: Tìm phần mềm backup trên Windows server 2003 /hvaonline/posts/preList/26418/160517.html#160517 /hvaonline/posts/preList/26418/160517.html#160517 GMT Re: Ping được nhưng không có mạng! /hvaonline/posts/preList/26400/160385.html#160385 /hvaonline/posts/preList/26400/160385.html#160385 GMT Re: Ping được nhưng không có mạng! /hvaonline/posts/preList/26400/160380.html#160380 /hvaonline/posts/preList/26400/160380.html#160380 GMT Re: Khẩn cầu các anh chị giúp đỡ .Em vẫn bị vấn đề Print Spooler /hvaonline/posts/preList/26302/159774.html#159774 /hvaonline/posts/preList/26302/159774.html#159774 GMT Re: Khẩn cầu các anh chị giúp đỡ .Em vẫn bị vấn đề Print Spooler /hvaonline/posts/preList/26302/159766.html#159766 /hvaonline/posts/preList/26302/159766.html#159766 GMT Re: Giúp mình xử lý lỗi W2k3

mR.Bi wrote:
Tạo mail thì tạo trên Exchange chứ nhỉ?  
Chào mR.Bi Có thể tạo trên AD (Active Diectory rùi link đến ) . Cái lão vnsl đọc vào sao tui chẳng hiểu mô tê chi cả thế nhỉ ? Thân . ]]>
/hvaonline/posts/preList/26161/159401.html#159401 /hvaonline/posts/preList/26161/159401.html#159401 GMT
Re: Những vấn đề khi chuyển từ mdaemon sang exchange 2007 /hvaonline/posts/preList/25904/157050.html#157050 /hvaonline/posts/preList/25904/157050.html#157050 GMT Re: Những vấn đề khi chuyển từ mdaemon sang exchange 2007 http://technet.microsoft.com/en-us/library/bb123669.aspx 2. http://www.msexchange.org/tutorials/Exchange-Migration-Wizard.html Thân . ]]> /hvaonline/posts/preList/25904/157038.html#157038 /hvaonline/posts/preList/25904/157038.html#157038 GMT Re:Thảo luận 1 vấn đề gặp phải khi vận hành Mail Server Hôm nay có 1 thông báo từ phía đối tác và user của bên em " Trong vòng 3 ngày qua mail chạy êm, không còn tình trạng lúc được lúc không". Họ cũng xác định là chưa hề chỉnh sửa gì bên họ, và bên em cũng vậy. Thông tin này làm em hơi thất vọng nhưng vẫn muốn tìm ra nguyên nhân triệt để của vấn đề.  Em chưa gặp trường hợp nào lạ như anh . Cũng thấy thật khó hiểu nếu chỉ mỗi mail sever bên kia chạy không ổn định đối với mail server của anh , em đoán hệ thống bên kia có vấn đề ở tầng nào thì em không biết . Còn anh nói black list với White list thì cũng không phải , em đồng ý với anh điểm này . Mới đầu em cũng nghĩ sao anh đặt FE ở trong như anh PhuongDong nói ? Rồi thắc mắc chính vấn đề này gây ra cái lỗi như trên nhưng đối với domain khác thì không sao nên em loại bỏ cái này . Nhưng cái reply của bên Lotus thì em khó hiểu quá vì vậy em kết luận bên ấy bị lỗi nhưng không biết ở tầng nào . Mong mọi người chỉ bảo nếu em sai ở chỗ nào đó . Chân thành cảm ơn . Thân . ]]> /hvaonline/posts/preList/25713/155944.html#155944 /hvaonline/posts/preList/25713/155944.html#155944 GMT Re: Từ máy Domain có thể đổi mật khẩu administrator của user ? /hvaonline/posts/preList/25687/155720.html#155720 /hvaonline/posts/preList/25687/155720.html#155720 GMT Re: Log on locally vào máy domain controller /hvaonline/posts/preList/25654/155608.html#155608 /hvaonline/posts/preList/25654/155608.html#155608 GMT