Từ đây ta nhận thấy 1 điều rằng, đôi khi những cái "current" logs thường có "khoảng thời gian không được động đến cho đến khi 1 sự việc nào đó sảy ra" và cần phải kiểm tra. Với 1 hệ thống lớn, nhiều người truy cập. Chắc hản sẽ có ấn định xoá logs trong 1 khoảng thời gian (có thể là sau vài tuần cho đến vài tháng) để tránh tình trạng hệ thống có nhiều "rác" ngốn hết tài nguyên. Với 1 attacker khôn ngoan và có tính kiên nhẫn, với mục tiêu của anh ta. Trong trường hợp anh ta tấn công hệ thống thành công và cài đặt thành công backdoor nhưng "dìm ỉm" chuyện đó (không như anh bạn hacker kia để 1 file html to đùng ngay sau khi xâm nhập thành công). Và vài tháng sau anh ta trở lại để thực hiện hành vi phá hoại của mình thì như vậy những cái logs lưu giữ thông tin quạn trọng nhất để có thể hình dung ra quá trình bị thâm nhập lại không còn nữa ...  

Như mình từng đề cập đến, nhiều khi vì quá cẩn thận mà bạn vô tình để lộ sơ hở và chính sự cẩn thận của bạn lại hại bạn. Mình có ví dụ sau: Nhiều bạn nói rằng, máy sử dụng dịch vụ VPN và "để đề phòng + đánh lạc hướng", các bạn "cài thêm máy ảo" và thực hiện các hành động của mình trên máy ảo. Câu hỏi của mình là, tại sao ở trường hợp này nó lại "rất nguy hiểm" nếu như bạn "quên 1 thứ ..." ? Và cái thứ mà mình nhắc đến kia là công việc gì :D  

Về phía server (quá trình xoá dấu vết sau khi khai thác): Ở chặng này, chúng ta cần phải thu thập đầy đủ thông tin về server (như là phiên bản hệ thống, thông tin và phiên bản các dịch vụ, cấu hình) => Từ những thông tin mà ta thu thập được, giúp ta tìm ra được nơi lưu trữ logs (syslogs,app logs, ...). Khi có được những thứ này, ta sẽ gặp 1 trong những tình huống sau: + Bạn có quyền hạn ghi/ xoá trên những file logs: Ta có thể fake, thay vào đó những thông báo/ cảnh báo giả để đánh lạc hướng điều tra hoặc ta cũng có thể "thanh toán" thẳng đám này ... diệt gọn và sạch ! + Bạn không có quyền hạn để tác động được đến những file logs + server cấu hình có giới hạn ... Chẳng lẽ bó tay sao ? smilie Tất nhiên là không rồi, hãy nhìn vào "cấu hình server", ta thấy cái gì ? ... "Giới hạn dung lương lưu trữ" ... Ở đây cũng lại phụ thuộc vào những yếu tố liên quan đến cấu hình quản lý logs của server, thời gian live và giới hạn dung lượng logs cho phép. Dựa vảo những "giới hạn" đó mà ta có thể tìm cách làm server "tự xử" - Chẳng hạn bạn cố tình flood 1 loạt những thứ khiến server phải cảnh báo -> Flood liên tục cho đến khi "chạm giới hạn" thì server sẽ tự xoá đống logs kia để lấy chỗ cho đống logs mới ... + Bạn không có quyền hạn để tác động được đến những file logs + server "không có giới hạn" . Nếu ở trường hợp này thì mệt rồi smilie Thôi ta đành "lẩn trốn 1 thời gian" và áp dụng cách sau:  

--->;cho mình hỏi tí, trường hợp log đã đổ về server log center thì sao hã bạn? 

• Hành động của bạn có thể lưu dấu vết ở những chỗ nào? Tính chất của các dấu vết bạn để lại

Ok đón xe ôm về cà mau, chú nhớ mang cục 3G theo nha, mang nhiều sim rác vô nha, vào đó vừa tắm biển vừa hack nó mới đã !  

tất cả chúng ta đều không (thể) sợ và không (thể) phòng ngừa những nguy cơ mà chúng ta không biết 

Bà con tham gia thảo luận xôm tụ lắm nhưng vẫn chưa có cái nhìn toàn diện nên khó khai triển cho rốt ráo. Tớ xin đưa ra vài điểm mấu chốt để dễ khai triển. Khi nói đến "tracks" (trong tinh thần cover-tracks), ta nói đến điểm nguồn (source) và điểm đích (destination). Nguồn ở đây là một public IP trực tiếp tương tác với đích: Nguồn ---> Đích. Trong đó, - Những gì đằng sau nguồn đều là tracks. - Những gì trước đích và chung quanh đích đều là tracks. Ví dụ, một perpetrator tấn công một máy chủ có IP là zz.zz.zz.zz và public IP của perpetrator là xx.xx.xx.xx. Nếu biểu thị ở một dạng "flow" đơn giản thì có thể là: máy con (1.1.1.1) --> jump server 1 (2.2.2.2) ---> jump server 2 (3.3.3.3) --> firewall bảo vệ đích (4.4.4.4) --> đích (5.5.5.5). Với biểu thị trên thì "nguồn" chính là 3.3.3.3 và "đích" chính là 5.5.5.5. Nếu packets đi từ 1.1.1.1 xuyên qua các jump servers (VPN, VPS, anonymous proxies....) trước khi trở thành 3.3.3.3 đối với đích 5.5.5.5 thì tất các những jump servers ấy đều thuộc về "tracks". Ở phía "đích", ngoài FW (4.4.4.4) còn có thể có những "stealth" IDS nằm ẩn và thu thập tất cả mọi thông tin đi từ "nguồn" 3.3.3.3 (bởi vì IDS không thể nào detect được những gì thuộc về 2.2.2.2 hoặc 1.1.1.1 hoặc nếu được thì chỉ là những thông tin mơ hồ vì hầu hết anonymous proxy đúng nghĩa sẽ xoá hết những thông tin nguyên thuỷ của client đứng sau nó). Ở phía đích, ngoài IDS còn có thể có kernel-based keylogger thu thập hết những "actions" xảy ra trên chính 5.5.5.5). Nói tóm lại, "xoá vết" bao gồm tất cả những gì đi từ điểm xuất phát (1.1.1.1) xuyên qua những chặng trung gian (n.n.n.n) đến điểm đích và những gì xung quanh điểm đích. Bởi vậy, ngoài việc xoá (hoặc ẩn) những thông tin trên những chặng trung gian còn phải tìm hiểu xem đích được cái gì bảo vệ và theo dõi. 

... 

Nói tóm lại, "xoá vết" bao gồm tất cả những gì đi từ điểm xuất phát (1.1.1.1) xuyên qua những chặng trung gian (n.n.n.n) đến điểm đích và những gì xung quanh điểm đích. Bởi vậy, ngoài việc xoá (hoặc ẩn) những thông tin trên những chặng trung gian còn phải tìm hiểu xem đích được cái gì bảo vệ và theo dõi. 

... Tuy nhiên, sự thật là sự thật, nếu người khác có thời gian, chắc chắn họ sẽ tìm ra. Do vậy, ngoài việc có thể/không có thể can thiệp vào log của server. Ta còn phải tạo cho mình 1 vỏ bọc an toàn. Ví dụ như máy tính ta sau khi tấn công xong phải huỷ hết mọi thông tin: ví dụ như tấn công từ VMWare, sau khi tấn công xong thì lưu mọi thông tin đó lên Internet, huỷ ngay máy VMWare đó. Máy luôn sẵn sàng có 1 chương trình làm backdoor, 1 log ảo nhằm nếu bị phát hiện, thì ta vẫn có thể chứng minh mình là 1 nạn nhân trong 1 quá trình :)  

máy nhà (1.1.1.1 | IP mạng nội bộ của ISP) --> ISP (2.2.2.2 | IP access to internet) ---> jump server (3.3.3.3) --> firewall bảo vệ đích (4.4.4.4) --> đích (5.5.5.5).  

- Những gì đằng sau nguồn đều là tracks. - Những gì trước đích và chung quanh đích đều là tracks.  

jump server (3.3.3.3) | firewall bảo vệ đích (4.4.4.4) | đích (5.5.5.5) 

từ điểm xuất phát (1.1.1.1) xuyên qua những chặng trung gian (n.n.n.n) 

+ Bạn có quyền hạn ghi/ xoá trên những file logs: Ta có thể fake, thay vào đó những thông báo/ cảnh báo giả để đánh lạc hướng điều tra hoặc ta cũng có thể "thanh toán" thẳng đám này ... diệt gọn và sạch ! + Bạn không có quyền hạn để tác động được đến những file logs và trong hoàn cảnh server cấu hình có giới hạn ... Ta hãy nhìn vào "cấu hình server", ta thấy cái gì ? ... "Giới hạn dung lương lưu trữ" ... Ở đây cũng lại phụ thuộc vào những yếu tố liên quan đến cấu hình quản lý logs của server, thời gian live và giới hạn dung lượng logs cho phép. Dựa vảo những "giới hạn" đó mà ta có thể tìm cách làm server "tự xử" - Chẳng hạn bạn cố tình flood 1 loạt những thứ khiến server phải cảnh báo -> Flood liên tục cho đến khi "chạm giới hạn" thì server sẽ tự xoá đống logs kia để lấy chỗ cho đống logs mới ... + Bạn không có quyền hạn để tác động được đến những file logs và trong hoàn cảnh server "không có giới hạn" . Nếu ở trường hợp này thì mệt rồi :( Thôi ta đành "lẩn trốn 1 thời gian" và áp dụng cách sau:

Từ đây ta nhận thấy 1 điều rằng, đôi khi những cái "current" logs thường có "khoảng thời gian không được động đến cho đến khi 1 sự việc nào đó sảy ra" và cần phải kiểm tra. Với 1 hệ thống lớn, nhiều người truy cập. Chắc hản sẽ có ấn định xoá logs trong 1 khoảng thời gian (có thể là sau vài tuần cho đến vài tháng) để tránh tình trạng hệ thống có nhiều "rác" ngốn hết tài nguyên. Với 1 attacker khôn ngoan và có tính kiên nhẫn, với mục tiêu của anh ta. Trong trường hợp anh ta tấn công hệ thống thành công và cài đặt thành công backdoor nhưng "dìm ỉm" chuyện đó (không như anh bạn hacker kia để 1 file html to đùng ngay sau khi xâm nhập thành công). Và vài tháng sau anh ta trở lại để thực hiện hành vi phá hoại của mình thì như vậy những cái logs lưu giữ thông tin quạn trọng nhất để có thể hình dung ra quá trình bị thâm nhập lại không còn nữa ... 

-> Ngồi hi vọng rằng : "Anh quản trị gì đó ơi, anh lười cho em được nhờ !"  

Đến đây, có thể "thông tin" máy ta được che giấu (khi đi qua các proxies) nhưng "hành động" của chúng ta không thể nào che giấu được khi qua những chặng này.  

.lht. wrote:

Đến đây, có thể "thông tin" máy ta được che giấu (khi đi qua các proxies) nhưng "hành động" của chúng ta không thể nào che giấu được khi qua những chặng này.  

Như mình đã nói, thông tin ta connect đến các chặng này thì không thể che dấu được, mỗi bước đi của ta ít nhiều đều để lại dấu chân. Nhưng quan trọng ta chọn đi ở đâu, chẳng hạn như đi ra biển (các servers) thì dấu chân để lại nhiều; còn đi trên gạch (các PC đã bị ta hack) thì dấu chân của ta để lại ít hơn. Suy nghĩ của mình khi viết bài này: mình đặt mình là người điều tra, và người điều tra nghĩ gì, sau đó mình làm ngược lại với suy nghĩ đó :) 

chube wrote:

Ok đón xe ôm về cà mau, chú nhớ mang cục 3G theo nha, mang nhiều sim rác vô nha, vào đó vừa tắm biển vừa hack nó mới đã !  

Một vài người cho rằng kiếm một quán net ở xa xa và ít đến để hack thì khó bị truy tìm hơn - Một người lạ đến quán net thì có bị để ý hay không? - Một người vào quán net tải một mớ thứ về và đôi lúc dùng dòng lệnh đen xì có bị mọi người để ý không? - Chưa kể một mớ trojan keylog có thể tồn tại trên các máy tính ở quán net nữa? An toàn trong trường hợp này là đến những quán net đông người và quản lý lười biếng. Ví dụ: mấy tiệm internet ở làng đại học Thủ Đức chẳng hạn :D Một vài người bảo dùng 3G và SIM rác thì không lo bị truy tìm.

mrro wrote:

tất cả chúng ta đều không (thể) sợ và không (thể) phòng ngừa những nguy cơ mà chúng ta không biết 

- USB 3G có số seri mã nhận dạng hay không? - Các thông số của USB 3G có được gửi đến trạm phát sóng hoặc nhà mạng không? - Mạng 3G làm thế nào để quản lý các thuê bao? (về mặt kỹ thuật, tránh xung đột với thuê bao khác ....) ... Để thực sự an toàn thì bạn chỉ sử dụng USB 3G một lần và hủy cùng với cái SIM rác sau khi xong việc :) Giải pháp tốt nhất thì dùng các mạng wifi miễn phí, cái này thì chạy vòng vòng thì cũng được vài cái rồi làm giống như phanledaivuong ;-) Nhưng để an toàn nhất thì chúng ta không nên làm việc xấu - Ky0 -  

Ky0 wrote:

chube wrote:

Ok đón xe ôm về cà mau, chú nhớ mang cục 3G theo nha, mang nhiều sim rác vô nha, vào đó vừa tắm biển vừa hack nó mới đã !  

Một vài người cho rằng kiếm một quán net ở xa xa và ít đến để hack thì khó bị truy tìm hơn - Một người lạ đến quán net thì có bị để ý hay không? - Một người vào quán net tải một mớ thứ về và đôi lúc dùng dòng lệnh đen xì có bị mọi người để ý không? - Chưa kể một mớ trojan keylog có thể tồn tại trên các máy tính ở quán net nữa? An toàn trong trường hợp này là đến những quán net đông người và quản lý lười biếng. Ví dụ: mấy tiệm internet ở làng đại học Thủ Đức chẳng hạn :D Một vài người bảo dùng 3G và SIM rác thì không lo bị truy tìm.

mrro wrote:

tất cả chúng ta đều không (thể) sợ và không (thể) phòng ngừa những nguy cơ mà chúng ta không biết 

- USB 3G có số seri mã nhận dạng hay không? - Các thông số của USB 3G có được gửi đến trạm phát sóng hoặc nhà mạng không? - Mạng 3G làm thế nào để quản lý các thuê bao? (về mặt kỹ thuật, tránh xung đột với thuê bao khác ....) ... Để thực sự an toàn thì bạn chỉ sử dụng USB 3G một lần và hủy cùng với cái SIM rác sau khi xong việc :) Giải pháp tốt nhất thì dùng các mạng wifi miễn phí, cái này thì chạy vòng vòng thì cũng được vài cái rồi làm giống như phanledaivuong ;-) Nhưng để an toàn nhất thì chúng ta không nên làm việc xấu - Ky0 -  

Ngoài ra còn cái MAC cũng khá quan trọng bạn nhỉ. 

Ky0 wrote:

chube wrote:

Ok đón xe ôm về cà mau, chú nhớ mang cục 3G theo nha, mang nhiều sim rác vô nha, vào đó vừa tắm biển vừa hack nó mới đã !  

Một vài người cho rằng kiếm một quán net ở xa xa và ít đến để hack thì khó bị truy tìm hơn - Một người lạ đến quán net thì có bị để ý hay không? - Một người vào quán net tải một mớ thứ về và đôi lúc dùng dòng lệnh đen xì có bị mọi người để ý không? - Chưa kể một mớ trojan keylog có thể tồn tại trên các máy tính ở quán net nữa? An toàn trong trường hợp này là đến những quán net đông người và quản lý lười biếng. Ví dụ: mấy tiệm internet ở làng đại học Thủ Đức chẳng hạn :D Một vài người bảo dùng 3G và SIM rác thì không lo bị truy tìm.

mrro wrote:

tất cả chúng ta đều không (thể) sợ và không (thể) phòng ngừa những nguy cơ mà chúng ta không biết 

- USB 3G có số seri mã nhận dạng hay không? - Các thông số của USB 3G có được gửi đến trạm phát sóng hoặc nhà mạng không? - Mạng 3G làm thế nào để quản lý các thuê bao? (về mặt kỹ thuật, tránh xung đột với thuê bao khác ....) ... Để thực sự an toàn thì bạn chỉ sử dụng USB 3G một lần và hủy cùng với cái SIM rác sau khi xong việc :) Giải pháp tốt nhất thì dùng các mạng wifi miễn phí, cái này thì chạy vòng vòng thì cũng được vài cái rồi làm giống như phanledaivuong ;-) Nhưng để an toàn nhất thì chúng ta không nên làm việc xấu - Ky0 -  

Ngoài ra còn cái MAC cũng khá quan trọng bạn nhỉ. 

Actually, the MAC-address stored in the packet is changed on every hop of a packet's journey. MAC is shorthand for Media Access Control, with media refering to the local communication media. While source and destination IP-Addresses remain the same throughout the journey (and are used for long-distance routing decisions), the source and destination MAC-Addresses just indicate the next hop. Because of this, the MAC-Address stored in packets received by your server should be the MAC address of your point of presence-router, or of the equipment of your provider. You might want to have a look at the OSI Layer model and encapsulation.  

Ở dạng tấn công [từ bên trong] này, điểm yếu/mạnh dễ nhận thấy nhất là: Yếu: - Các hệ thống theo dõi sẽ dễ dàng thu thập được thông tin và hành động. Trong đó "hành động" dễ bị nhận diện và phát hiện nhất. Mạnh: - Ta dễ dàng nắm được cấu hình của hệ thống mạng đó để lên kế hoạch cover track.  

Giải pháp này tránh được các nhược điểm nếu bạn sử dụng hệ điều hành Windows, các vết các hoạt động của bạn có thể được lưu lại ở nhiều nơi trên ổ cứng mà bạn khó lòng kiểm soát hết được, ví dụ như các file thumbs.db, pagefile.sys,..., các vùng ổ cứng được format.  

/hvaonline/posts/list/35052.html#215288

nmap tracert whois nslookup brute froce tools etc...  

Giả sử ai đó tạo 1 cái tunnel xuyên qua payload của HTTP đến cổng 443 của một hostname nào đó rất thông thường (my.chungkhoan.vn) chẳng hạn rồi cứ để đỏ cả ngày, không làm gì hết hoặc thỉnh thoảng để cho làm ra vẻ thông thưởng, chạy một cái script để nó gởi nhận vài trăm gói tin. Sau một ngày hay vài ngày, người đó mới bắt đầu SSH ra đến my.chungkhoan.vn xuyên qua HTTP tunnel rồi từ đó mới nhảy sang một VPN hoặc một (hoặc nhiều) anymous proxy để thực hiện việc quay ngược vào đích (5.5.5.5) thì sao?  

Thực lòng em không cảm thấy tin tưởng vào các ISP của Việt Nam lắm, chúng ta sử dụng internet thông qua các thiết bị mạng và các thiết bị này được phân phối thông qua các ISP. ISP sẽ biết đích xác là ai dùng thiết bị gì, tại địa điểm nào, username đăng nhập vào hệ thống là gì.  

chiro8x wrote:

Thực lòng em không cảm thấy tin tưởng vào các ISP của Việt Nam lắm, chúng ta sử dụng internet thông qua các thiết bị mạng và các thiết bị này được phân phối thông qua các ISP. ISP sẽ biết đích xác là ai dùng thiết bị gì, tại địa điểm nào, username đăng nhập vào hệ thống là gì.  

Đề nghị bạn nói rõ những nhận định mình trích ở trên, sử dụng căn cứ kỹ thuật, không nhận định cảm tính.  

hoahongtuoi wrote:

chiro8x wrote:

Thực lòng em không cảm thấy tin tưởng vào các ISP của Việt Nam lắm, chúng ta sử dụng internet thông qua các thiết bị mạng và các thiết bị này được phân phối thông qua các ISP. ISP sẽ biết đích xác là ai dùng thiết bị gì, tại địa điểm nào, username đăng nhập vào hệ thống là gì.  

Đề nghị bạn nói rõ những nhận định mình trích ở trên, sử dụng căn cứ kỹ thuật, không nhận định cảm tính.  

Làm thế nào nhà mạng thống kê được lưu lượng sử dụng internet (dù là cáp đồng, cáp quang hay usb 3G) để cuối tháng in hóa đơn tính tiền cho bạn? Bạn tự tìm hiểu, đó cũng sẽ là lời giải thích cho đề nghị của bạn. 

.Máy luôn sẵn sàng có 1 chương trình làm backdoor, 1 log ảo nhằm nếu bị phát hiện, thì ta vẫn có thể chứng minh mình là 1 nạn nhân trong 1 quá trình. => Cao thủ.