<![CDATA[Latest posts for the topic "Thông báo: về việc diễn đàn HVA bị gián đoạn sáng nay 14/7/2011"]]> /hvaonline/posts/list/2.html JForum - http://www.jforum.net Thông báo: về việc diễn đàn HVA bị gián đoạn sáng nay 14/7/2011 "Googlebot-Image/1.0", "Mozilla/5.0 (Compatible; Googlebot/2.1; +http://www.google.com/bot.html)""Googlebot/2.1; (+http://www.google.com/bot.html)" để tấn công trực tiếp vào /portal/list.html. Tại URL này, cơ chế cản lọc có phần thiếu chặt chẽ nên bị tác động mạnh. Điều này chứng tỏ nhóm tấn công đã thử nghiệm rất nhiều trên HVA nhằm tìm ra yếu điểm để thực hiện DDoS. Điều đáng buồn là lần này, trong số 15000 IP addresses tấn công HVA (số lượng IP được thu thập chỉ trong vòng 10 phút) thì có khoảng trên 40% là IP từ VN, số còn lại là từ nước ngoài. Số IP nước ngoài đặc biệt đi từ các chuỗi sau của Trung Quốc: 222.176.0.0/12 222.168.0.0/13 222.128.0.0/12 222.64.0.0/11 221.224.0.0/12 221.200.0.0/13 221.130.0.0/15 221.0.0.0/13 220.160.0.0/11 219.128.0.0/11 218.0.0.0/11 211.96.0.0/13 211.80.80.0.0/12 202.112.0.0/12 202.96.0.0/12 180.95.128.0/17 125.208.0.0/18 125.64.0.0/11 124.248.0.0/17 124.192.0.0/15 124.160.0.0/13 123.112.0.0/12 122.224.0.0/12 122.192.0.0/14 122.64.0.0/11 122.48.0.0/16 121.8.0.0/13 119.112.0.0/12 115.224.0.0/12 114.224.0.0/11 61.128.0.0/10 60.160.0.0/11 60.0.0.0/11 59.132.0.0/11 58.192.0.0/11 Có lẽ đây là loạt zombies được tạo ra từ mớ trojans gần đây. Trong vòng vài ngày tới, HVA sẽ tiếp tục mở rộng thêm network để chống đỡ với luồng DDoS này nhằm tránh tình trạng truy cập khó khăn cho các thành viên và độc giả. Thay mặt BQT.]]> /hvaonline/posts/list/39575.html#243479 /hvaonline/posts/list/39575.html#243479 GMT Thông báo: về việc diễn đàn HVA bị gián đoạn sáng nay 14/7/2011 17:10:41 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 503 2174 "/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10" 118.68.147.189 - - [18/Jul/2011:17:10:41 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 503 2174 "/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Zune 4.0; InfoPath.3; MS-RTC LM 8; .NET4.0C; .NET4.0E)" 118.68.147.189 - - [18/Jul/2011:17:10:41 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 503 2174 "/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.7) Gecko/20100713 Firefox/3.6.7 GTB7.1" Ví dụ trên cho thấy, trong vòng 1 giây, từ mỗi IP có thể gởi từ 3 đến 30 requests và các requests ấy có "User-Agent" hoàn toàn khác nhau.]]> /hvaonline/posts/list/39575.html#243782 /hvaonline/posts/list/39575.html#243782 GMT Thông báo: về việc diễn đàn HVA bị gián đoạn sáng nay 14/7/2011 113.165.60.120 - - [19/Jul/2011:19:54:09 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; Media Center PC 6.0; InfoPath.2; MS-RTC LM 8)" 113.165.60.120 - - [19/Jul/2011:19:55:44 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00" 113.165.60.120 - - [19/Jul/2011:19:57:19 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.7) Gecko/20100713 Firefox/3.6.7 GTB7.1" 113.165.60.120 - - [19/Jul/2011:19:58:54 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; Media Center PC 4.0; SLCC1; .NET CLR 3.0.04320)" 113.165.60.120 - - [19/Jul/2011:20:00:29 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.0; Trident/4.0; FBSMTWB; .NET CLR 2.0.34861; .NET CLR 3.0.3746.3218; .NET CLR 3.5.33652; msn OptimizedIE8;ENUS)" Ví dụ trên cho thấy IP này là IP tại Hải Phòng và thuộc chuỗi static IP hoặc Cable TV. Qua thống kê tổng quát thì số lượng máy con ở Việt Nam bị biến thành zombies không phải là ít. Có khoảng xấp xỉ 40 ngàn IP (cá biệt) đã đập vào diễn đàn HVA trong 2 ngày qua và nếu tính chung các IP được sử dụng để NAT những máy con khác nữa thì số lượng máy con bị nhiễm virus (biến thành zombies) có thể có thể lên đến con số trăm ngàn.]]> /hvaonline/posts/list/39575.html#243801 /hvaonline/posts/list/39575.html#243801 GMT Thông báo: về việc diễn đàn HVA bị gián đoạn sáng nay 14/7/2011 /hvaonline/posts/downloadAttach/1029.html Và đây là bản liệt kê cái IP cá biệt tấn công HVA có kèm User-Agent theo mỗi IP. Đây là bản nén zip với dung lượng 2.1Mb. Sau khi xả nén sẽ là 61Mb: /hvaonline/posts/downloadAttach/1030.html Cập nhật: Hiện tại (2 giờ chiều giờ VN), botnet giảm hẳn, chỉ còn lác đác vài IP tấn công một cách rời rạc. Có lẽ chủ botnet đang thăm dò và đổi chiến thuật.]]> /hvaonline/posts/list/39575.html#243807 /hvaonline/posts/list/39575.html#243807 GMT Thông báo: về việc diễn đàn HVA bị gián đoạn sáng nay 14/7/2011 /hvaonline/posts/list/39575.html#243905 /hvaonline/posts/list/39575.html#243905 GMT Thông báo: về việc diễn đàn HVA bị gián đoạn sáng nay 14/7/2011 /hvaonline/posts/list/39575.html#243921 /hvaonline/posts/list/39575.html#243921 GMT Thông báo: về việc diễn đàn HVA bị gián đoạn sáng nay 14/7/2011 /hvaonline/posts/list/39575.html#244358 /hvaonline/posts/list/39575.html#244358 GMT Thông báo: về việc diễn đàn HVA bị gián 3 ngày vừa qua /hvaonline/posts/list/39575.html#244446 /hvaonline/posts/list/39575.html#244446 GMT Thông báo: về việc diễn đàn HVA bị gián đoạn sáng nay 14/7/2011 /hvaonline/posts/list/39575.html#244447 /hvaonline/posts/list/39575.html#244447 GMT Thông báo: về việc diễn đàn HVA bị gián đoạn sáng nay 14/7/2011 /hvaonline/posts/list/39575.html#244525 /hvaonline/posts/list/39575.html#244525 GMT Thông báo: về việc diễn đàn HVA bị gián đoạn sáng nay 14/7/2011 /hvaonline/posts/list/39575.html#244574 /hvaonline/posts/list/39575.html#244574 GMT