English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Phân tích dùm cái này  XML
  [Question]   Phân tích dùm cái này 29/03/2009 06:53:35 (+0700) | #1 | 175148
hmtaccess
Member
[Minus]    0    [Plus]
Joined: 12/06/2008 02:26:45
Messages: 197
Location: ™œžŸ¤¢£§¨©
Offline
[Profile] [PM]
Chào mọi ngời hôm nay tui tình cờ mở ws lên để chơi
nhưng khi thấy port 6667 mở
không bít mình đã bị dính vào zombie chưa nữa
mọi người coi dùm


smilie smilie smilie smilie smilie
[Up] [Print Copy]
  [Question]   Re: Phân tích dùm cái này 29/03/2009 06:58:41 (+0700) | #2 | 175149
hmtaccess
Member
[Minus]    0    [Plus]
Joined: 12/06/2008 02:26:45
Messages: 197
Location: ™œžŸ¤¢£§¨©
Offline
[Profile] [PM]
Và khi em gõ lệnh nestat -an
thì nó như thế này

Code:
Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:113            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:912            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:2869           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:5101           0.0.0.0:0              LISTENING
  TCP    10.0.0.1:139           0.0.0.0:0              LISTENING
  TCP    127.0.0.1:1025         127.0.0.1:1026         ESTABLISHED
  TCP    127.0.0.1:1026         127.0.0.1:1025         ESTABLISHED
  TCP    127.0.0.1:1027         127.0.0.1:1028         ESTABLISHED
  TCP    127.0.0.1:1028         127.0.0.1:1027         ESTABLISHED
  TCP    127.0.0.1:1031         127.0.0.1:1032         ESTABLISHED
  TCP    127.0.0.1:1032         127.0.0.1:1031         ESTABLISHED
  TCP    127.0.0.1:1033         127.0.0.1:1034         ESTABLISHED
  TCP    127.0.0.1:1034         127.0.0.1:1033         ESTABLISHED
  TCP    127.0.0.1:1036         0.0.0.0:0              LISTENING
  TCP    127.0.0.1:1042         127.0.0.1:1043         ESTABLISHED
  TCP    127.0.0.1:1043         127.0.0.1:1042         ESTABLISHED
  TCP    127.0.0.1:1044         127.0.0.1:1045         ESTABLISHED
  TCP    127.0.0.1:1045         127.0.0.1:1044         ESTABLISHED
  TCP    127.0.0.1:1445         127.0.0.1:1446         ESTABLISHED
  TCP    127.0.0.1:1446         127.0.0.1:1445         ESTABLISHED
  TCP    127.0.0.1:1451         127.0.0.1:1452         ESTABLISHED
  TCP    127.0.0.1:1452         127.0.0.1:1451         ESTABLISHED
  TCP    127.0.0.1:2031         127.0.0.1:2032         ESTABLISHED
  TCP    127.0.0.1:2032         127.0.0.1:2031         ESTABLISHED
  TCP    127.0.0.1:9000         0.0.0.0:0              LISTENING
  TCP    192.168.1.11:139       0.0.0.0:0              LISTENING
  TCP    192.168.1.11:4170      68.180.217.30:5050     ESTABLISHED
  TCP    192.168.1.11:4181      68.142.233.119:5050    ESTABLISHED
  TCP    192.168.1.11:4750      125.56.199.42:80       TIME_WAIT
  TCP    192.168.1.11:4753      125.56.199.42:80       TIME_WAIT
  TCP    192.168.1.11:4830      125.56.199.82:80       ESTABLISHED
  TCP    192.168.1.11:4831      125.56.199.82:80       ESTABLISHED
  TCP    192.168.1.11:4845      125.56.199.96:80       ESTABLISHED
  TCP    192.168.1.11:4862      209.17.73.11:80        CLOSE_WAIT
  TCP    192.168.1.11:4888      203.106.85.187:80      ESTABLISHED
  TCP    192.168.1.11:4889      203.106.85.65:80       ESTABLISHED
  TCP    192.168.68.1:139       0.0.0.0:0              LISTENING
  TCP    192.168.234.1:139      0.0.0.0:0              LISTENING
  UDP    0.0.0.0:259            *:*                    
  UDP    0.0.0.0:445            *:*                    
  UDP    0.0.0.0:500            *:*                    
  UDP    0.0.0.0:1029           *:*                    
  UDP    0.0.0.0:1030           *:*                    
  UDP    0.0.0.0:1035           *:*                    
  UDP    0.0.0.0:1108           *:*                    
  UDP    0.0.0.0:1109           *:*                    
  UDP    0.0.0.0:1889           *:*                    
  UDP    0.0.0.0:2636           *:*                    
  UDP    0.0.0.0:2637           *:*                    
  UDP    0.0.0.0:2638           *:*                    
  UDP    0.0.0.0:2639           *:*                    
  UDP    0.0.0.0:2746           *:*                    
  UDP    0.0.0.0:4500           *:*                    
  UDP    0.0.0.0:18234          *:*                    
  UDP    10.0.0.1:137           *:*                    
  UDP    10.0.0.1:138           *:*                    
  UDP    10.0.0.1:1900          *:*                    
  UDP    127.0.0.1:1900         *:*                    
  UDP    127.0.0.1:2040         *:*                    
  UDP    192.168.1.11:137       *:*                    
  UDP    192.168.1.11:138       *:*                    
  UDP    192.168.1.11:1900      *:*                    
  UDP    192.168.68.1:137       *:*                    
  UDP    192.168.68.1:138       *:*                    
  UDP    192.168.68.1:1900      *:*                    
  UDP    192.168.234.1:137      *:*                    
  UDP    192.168.234.1:138      *:*                    
  UDP    192.168.234.1:1900     *:*
[Up] [Print Copy]
  [Question]   Re: Phân tích dùm cái này 29/03/2009 11:21:41 (+0700) | #3 | 175174
hmtaccess
Member
[Minus]    0    [Plus]
Joined: 12/06/2008 02:26:45
Messages: 197
Location: ™œžŸ¤¢£§¨©
Offline
[Profile] [PM]
smilie smilie smilie smilie smilie smilie
Hình như mọi người không hứng thú thì phải
Mình phải bít nó như thế nào mà còn khắc phục dùm chứ
smilie smilie smilie smilie
[Up] [Print Copy]
  [Question]   Re: Phân tích dùm cái này 29/03/2009 11:22:38 (+0700) | #4 | 175175
[Avatar]
 tranduyninh
Member
[Minus]    0    [Plus]
Joined: 05/07/2006 12:05:48
Messages: 253
Location: aiowebs.net
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cách đặt câu hỏi của bạn làm mọi người không có hứng thú đó
Các bạn giúp mình giải cứu bạn gái này nha : http://bit.ly/23mHJE ( đây là 1 cuộc thi đó ) không biêt các hắc cơ có ý kiến như thế nào ?
[Up] [Print Copy]
  [Question]   Re: Phân tích dùm cái này 29/03/2009 11:30:22 (+0700) | #5 | 175177
hmtaccess
Member
[Minus]    0    [Plus]
Joined: 12/06/2008 02:26:45
Messages: 197
Location: ™œžŸ¤¢£§¨©
Offline
[Profile] [PM]
smilie hì thanks anh
nếu không thì mình em tự tìm hiểu vậy.
solo thui smilie smilie
[Up] [Print Copy]
  [Question]   Re: Phân tích dùm cái này 30/03/2009 14:47:18 (+0700) | #6 | 175295
myquartz
Member
[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Gõ lệnh netstat -anp và post kết quả lên coi xem thế nào.
[Up] [Print Copy]
  [Question]   Re: Phân tích dùm cái này 30/03/2009 19:27:42 (+0700) | #7 | 175302
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

hmtaccess wrote:
smilie smilie smilie smilie smilie smilie
Hình như mọi người không hứng thú thì phải
Mình phải bít nó như thế nào mà còn khắc phục dùm chứ
smilie smilie smilie smilie  


Hứng thú chứ nhưng... bận quá chưa "hứng" được thì sao? smilie

Này, nhìn xem mấy dòng màu đỏ có mấy gói tin đến cổng 6667 đó có gì đặc biệt? Rồi xem thử trên kết quả netstat đó có cái gì là 4649 không?

Trả lời đi rồi mình bàn tiếp.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Phân tích dùm cái này 30/03/2009 22:21:10 (+0700) | #8 | 175315
hmtaccess
Member
[Minus]    0    [Plus]
Joined: 12/06/2008 02:26:45
Messages: 197
Location: ™œžŸ¤¢£§¨©
Offline
[Profile] [PM]
Hì chào...!!! được anh conmale quan tâm rùi
Tin bùn là do em không bình tĩnh nên đã download cái AVG dìa và diệt nó mất tiêu rùi
Sau khi diệt xong thì không có chuyện gì xảy ra nữa
smilie smilie smilie smilie smilie smilie
Nếu nó còn thì em post lên để mình cùng "thảo lụn" về cái này
để cho anh em mình cùng tránh, cùng có thêm kinh nghiệm nữa
---> Thui không sao lần sau lập 1 cái irc server rùi cùng phân tích smilie
[Up] [Print Copy]
  [Question]   Re: Phân tích dùm cái này 30/03/2009 23:01:57 (+0700) | #9 | 175328
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

hmtaccess wrote:
Hì chào...!!! được anh conmale quan tâm rùi
Tin bùn là do em không bình tĩnh nên đã download cái AVG dìa và diệt nó mất tiêu rùi
Sau khi diệt xong thì không có chuyện gì xảy ra nữa
smilie smilie smilie smilie smilie smilie
Nếu nó còn thì em post lên để mình cùng "thảo lụn" về cái này
để cho anh em mình cùng tránh, cùng có thêm kinh nghiệm nữa
---> Thui không sao lần sau lập 1 cái irc server rùi cùng phân tích smilie  


Diệt "nó" rồi những vẫn có thể bàn trên những thông tin mà bồ đã gởi ở trên mà? Chúng đều hữu ích để nắm bắt cả đấy.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Phân tích dùm cái này 30/03/2009 23:27:46 (+0700) | #10 | 175332
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

hmtaccess wrote:
Hì chào...!!! được anh conmale quan tâm rùi
Tin bùn là do em không bình tĩnh nên đã download cái AVG dìa và diệt nó mất tiêu rùi
Sau khi diệt xong thì không có chuyện gì xảy ra nữa
smilie smilie smilie smilie smilie smilie
Nếu nó còn thì em post lên để mình cùng "thảo lụn" về cái này
để cho anh em mình cùng tránh, cùng có thêm kinh nghiệm nữa
---> Thui không sao lần sau lập 1 cái irc server rùi cùng phân tích smilie  


Vẫn cần góp ý kiến với em (hì hì), hoăc ít nhất là nói thêm để các bạn khác trong forum cùng tìm hiểu thêm.

1- Thứ nhất là trong trường hơp này, không nên chỉ mở WS để kiểm tra. Những thông tin trên WS chỉ phù hợp với các yêu cầu khác, liên quan đến các gói tin. Cần phải mở các "Event log" hay "Activity log", "Connection" (trong các firewall tiên tiến chẵng hạn) để ngoài Source hay Destination IP, port ta còn biết cả các process thưc hiện quá trinh kết nối liên quan, hay các thông tin cần thiết khác, giúp ta tìm ra nguồn gốc botnet.

2- Cần phải kiểm tra thêm các webserver sử dụng địa chỉ WAN IP lạ (trong trương hơp này là 66.199.162.243) để tìm các thông tin về nó, từ đó giúp ta củng cố và bổ sung các nhân định của mình.
Trong trừong hơp này ta sẽ thấy webserver 66.199.162.243 chỉ mở một cổng 3389 (Terminal Service- Remote Control-MsRDP), chạy trên nền Windows. Nhiều khả năng webserver chỉ mở ra để lấy thông tin từ nạn nhân hoăc dùng nó để điều khiển máy nạn nhân. Webserver đôi khi đổi cổng dùng cho Terminal service nói trên

3- Nếu ta cài mới một Antivirus và dùng nó diệt luôn (trong khoảnh khắc) virus, trojan hay bot đã thâm nhập vào hệ thống, thì ta sẽ không có kinh nghiệm trong việc phát hiện, phòng chống các mã đôc hại thâm nhập vào máy sau này (đăc biệt là các "0-day threat").
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: Phân tích dùm cái này 07/04/2009 03:49:50 (+0700) | #11 | 175963
thangdiablo
HVA Friend
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]
Yêu cầu chủ topic sửa lại tiêu đề trước khi muốn mọi người tiếp tục thảo luận.
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|