Cám ơn bác đã chia sẻ những kinh nghiệm thực tế cho mọi người.

Qua đây em cũng có một số thắc mắc về việc detect site chứa XFlash mong bác có thể tư vấn. Khi em đọc cả núi log thì em chỉ thấy được có mấy cái IP của máy bị biến thành Zombie còn cái server chứa cái tệp .swf kia thì em không biết nó nắm đâu

Nếu bác có log thực tế để minh họa thì em rất cảm kích, xin làm phiền bác. 

X-flash có 3 hạn chế rất lớn:

2) nếu dùng quá nhiều vòng lặp và vòng lặp xảy ra quá nhanh ---> client bị teo. Nhưng nếu không dùng nhiều vòng lặp và không tạo vòng lặp nhanh thì không đủ để tàn phá

Tuy x-flash hạn chế như thế nhưng cũng đủ làm cho HVA từng khốn đốn vì máy chủ và băng thông của HVA không đủ để đáp ứng. 

conmale wrote:

X-flash có 3 hạn chế rất lớn:

2) nếu dùng quá nhiều vòng lặp và vòng lặp xảy ra quá nhanh ---> client bị teo. Nhưng nếu không dùng nhiều vòng lặp và không tạo vòng lặp nhanh thì không đủ để tàn phá

Tuy x-flash hạn chế như thế nhưng cũng đủ làm cho HVA từng khốn đốn vì máy chủ và băng thông của HVA không đủ để đáp ứng. 

Dạ "teo" là "teo" cái gì của client ạ bạn nói rõ mình tham khảo với  

"teo" là "teo" cái gì của client có thể... "teo" :lol :lol
 

conmale wrote:

"teo" là "teo" cái gì của client có thể... "teo" :lol :lol
 

Ko, từ client ở đây tôi hiểu là gồm có một số thành phần như Computer rồi Router, băng thông .v.v.
 

Cá nhân tôi nghĩ thì cái mà bạn gọi là teo kia ko phải bao tất cả client mà sẽ có một hoặc một số thành phần trong đó "teo" .
 

Từ teo của bạn ở đây ý nói là làm hỏng hay làm ngưng trệ hoặc trì trệ hoạt động? 

hackernohat wrote:

Cám ơn bác đã chia sẻ những kinh nghiệm thực tế cho mọi người.

Qua đây em cũng có một số thắc mắc về việc detect site chứa XFlash mong bác có thể tư vấn. Khi em đọc cả núi log thì em chỉ thấy được có mấy cái IP của máy bị biến thành Zombie còn cái server chứa cái tệp .swf kia thì em không biết nó nắm đâu

Nếu bác có log thực tế để minh họa thì em rất cảm kích, xin làm phiền bác. 

Tôi thấy bạn thực sự thông minh.
Cái lý do tôi tìm ra hai điểm quan trọng liên quan đến quá trình DDoS vào HVA thì tôi đã viết khá kỹ trong box BQT của HVA vào những ngày trứoc ngày bạn hack thành công vào HVA. Sau đó thì toàn bộ CSDL của HVA bị copy và bị xóa như mọi người đã biết. Các bài viết của tôi trong CSDL này. Nếu bạn còn lưu thì hãy xem kỹ và cho tôi xin lại.

1- Điều thứ nhất là xác định trang web nào tổ chức tấn công HVA.? Bình thừong thì rất khó xác định nó ở đâu? Đây chính là một "ưu điểm" của Flash DDoS.Trên System log hay Apache access log thì chỉ thấy các IP của attackers ( ngừoi truy cập ). Tôi may mắn xác định đựoc trang geocities.jp là thủ phạm do một mẩu tin do anh conmale viết trong nhiều thôg tin anh cung cấp cho BQT. Lúc đó anh conmale đang rất bận chống đỡ để giữ vũng server nên không có thời gian phân tích kỹ mẩu tin. Nếu có thời gian như tôi , anh cũng sẽ tìm ra. Mâu tin đó có đựoc từ việc sniffer một số gói tin tấn công đến HVA. Nhưng lúc đó không chỉ geocities.jp có malicious shock wave file, mà hacker còn mang sang một số trang khác, cũng là do hắn theo rõi, hay của bạn bè .
Tuy nhiên khi truy cập vào geocities.jp thì cũng không thể biết là mình đang tấn công vào HVA. Tôi chỉ biết đựoc khi tôi mở Firewall phần connection-activity log và mở một số trình network monitor mới xác định đựoc . Lúc đó tôi rất ngạc nhiên vì quả thật lần đầu tiên ở VN và có lẽ trên toàn TG, hacker áp dụng kiểu tấn công này.

2- Còn đúng là trên website của geocities.jp có một file.swf chủ chốt dùng trong việc tấn công Flash DDoS. Tôi mất rất nhiều thời gian để cố tìm ra file này vì geocities.jp không lưu nó ỡ trang mà user truy cập đến . Script viết theo ActionScript là nằm trong file .swf này. Tôi củng đã decode toàn bộ các gói tin gừi từ geocities.jp gửi đến máy tôi và từ máy tôi " tấn công " vào HVA ( Tôi có gửi cho bác conmale môt bản, in ra có thể đến vài chục trang A 4 ) .

Cuối cùng tôi đã tìm ra file này và có deccomplier nó bằng môt software của Đức, củng như xác định mối quan hệ giữa các file với file .swf này. T[ôi cũng có viết một phần vấn đề này ra ngoài HVA forum vào buổi tối trứoc đêm bạn hack vào HVA server.Hề hề


 

Đến nay, x-flash đã giảm thiểu rất nhiều (trên HVA) bởi vì có rất nhiều trình duyệt đã cập nhật lên version 9 (flash plugin). Đám Adobe mất gần một năm và hàng đống reports từ nhiều nguồn mới chịu ra version 9 này để fix cái nạn ddos kỳ quái kia
 

Khổ lắm anh à, không có mấy chủ máy có kết nối internet của VN là chịu cập nhật cả ( ngay cả cái antivirus còn không update nữa là ).
 

Khổ tìm lồi mắt mới thấy cái topic này

Khổ lắm anh à, không có mấy chủ máy có kết nối internet của VN là chịu cập nhật cả ( ngay cả cái antivirus còn không update nữa là ).
 

Bạn quote cái đoạn của bạn conmale, và viết câu đó, vậy thì máy chủ cập nhật là cập nhật cái gì? tôi chưa hiểu.

Trên kia conmale đã viết là cập nhật flash plugin ở trình duyệt mà; Trình duyệt là ở client hay server vậy Hí Hí

Máy chủ cần cập nhật antivirus để cho detect cái file chứa mã DDoS kia à. Có antivirus hiện đại thế sao. (Sorry vì tôi ko dùng antivirus).

Tôi thấy câu nói đó ko liên quan ... đến đoạn quote

*****

Bạn conmale bảo teo ... với thực tế mạng của vn tôi thấy teo đầu tiên là băng thông. Nếu băng thông lớn thì lúc đó chắc đến trình duyệt, hệ điều hành ...