HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Những thảo luận khác

HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	08/07/2013 17:25:01 (+0700) \| #31 \| 277286

thiên hương
Member

Joined: 09/12/2007 17:39:14
Messages: 28
Offline

Khi chưa có cách nào thì tốt nhất làm phương pháp loại trừ số ip từ đâu là nhiều nhất chặn nước đó lại để tránh tắc nghẽn. Suy cho cùng độc giả của các tờ báo này ở Việt Nam là nhiều nhất. Vậy tại sao không tính tới chuyện chặn các ip nước ngoài có số ip đánh vào nhiều nhất. Với số lượng ip của việt nam đang bị lợi dụng làm bot net thì không thể gây tắc nghẽn các trang này được.

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	08/07/2013 17:43:00 (+0700) \| #32 \| 277288

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

quanta wrote:

PXMMRF wrote:

Trong đó có bao nhiêu static-dynamic IP từ Việt nam, bao nhiêu từ TQ và bao nhiêu từ các nước còn lại?

Danh sách trên chỉ toàn các IP từ Việt Nam thôi anh ạ (em đã lọc rồi, không biết có sót cái nào không).

Bạn nào không có account hoặc lười login thì có thể download ở đây: http://www.mediafire.com/download/53qug17mhvvzg3d/attacked_newspapers_2013-07-08.txt

Cám ơn quanta.

Thế thì những địa chỉ IP này có của VN hay webserver của nó có đặt tai VN hay không?
1.55.109.82
1.55.150.108
1.53.102.51
1.54.145.227
1.53.9.45
1.53.16.84
...............
Cái webserver (chạy Microsoft-HTTPAPI/2.0) có IP là 14.161.35.19 thì của VN thật (VN sở hữu) nhưng có thật sự đặt (located) ở VN hay không? Hì hì.
Có chính xác bao nhiêu IP có tiền tố là 113, bao nhiêu tiền tố là 123, bao nhiêu là 222? (thí dụ tổng số IP có tiền tố 113 -như 113.163.216.171- là 1748 IP)

Vấn đề ở đây cũng cần xác định có bao nhiêu webserver-PC mà Vietel quản lý (với tư cách là ISP), bao nhiêu VNPT , FPT... quản lý. Có webserver nào của những cơ quan bảo mật nổi tiếng của VN hay không -Hì hì, như BKIS, VINACERT... chẳng hạn...

Quanta có thể upload toàn bộ IP (not yet filtered) lên đươc không? Cám ơn

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	08/07/2013 19:51:16 (+0700) \| #33 \| 277293

whisky9x
Member

Joined: 07/07/2013 10:29:09
Messages: 6
Offline

Em check ở trang ipligence thì ra kết quả là các ip ở VN mà anh PXMMRF

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	09/07/2013 07:18:01 (+0700) \| #34 \| 277303

blancbugx
Member

Joined: 15/01/2007 11:00:51
Messages: 10
Location: Richmond, Massachusetts US
Offline

hiện giờ chỉ còn Dân Trí báo 503.

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	09/07/2013 08:04:11 (+0700) \| #35 \| 277306

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

Bạn nào có máy tính có địa chỉ IP trong danh sách tấn công các website trên có thể liên lạc mình để lấy mẫu và diệt sạch virus.

Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	09/07/2013 08:31:53 (+0700) \| #36 \| 277307

CucKiHungHan
Member

Joined: 15/02/2008 22:00:19
Messages: 37
Offline

Vừa down cái file ip về. May quá mình không trong số đó

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	09/07/2013 08:51:38 (+0700) \| #37 \| 277308

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

whisky9x wrote:

Em check ở trang ipligence thì ra kết quả là các ip ở VN mà anh PXMMRF

Khi kiểm tra location (vị trí địa lý) của một IP bạn nên qua các bước sau (just recommendation):

- Xem tiền tố đầu tiên (octet đầu tiên) và thứ hai của IP(v4) xem địa chỉ này thuộc khu vưc, tổ chức hay nước nào quản lý.

- Thí dụ hai octet của một đia chỉ IP chứng tỏ IP này thuộc diện VN quản lý, thì xác định xem ISP nào quản lý IP này.
(Một ISP thường chỉ được sở hữu một vài địa chỉ lớp B hoặc C. Ví dụ một ISP "X" quản lý dãy IP 113.22.x.x
mà địa chỉ IP của bạn là 113.22.85.117, 113.22.45.187, 113.22.210.239 (đây là các IP trong list IP tấn công DDoS vừa qua- theo tài liệu từ quanta) thì IP của bạn do ISP "X" nói trên quản lý.)

-Sau đó ta sử dụng các phần mềm chuyên nghiệp để kiểm tra lại location của IP. Các phần mềm này khá đắt (phải trả khoảng 500 -600USD/năm để được update và chỉnh sửa DataBase về location IP của các quốc gia, khu vực, thành phố)- Làm sao để có các soft này: Đó là việc của bạn.

- Cuối cùng thì mới tham khảo thêm các website tra cứu miễn phí IP location trên mạng, như website mà bạn đã tra cứu. Nhưng theo tôi không ít trường hợp các website này cho thông tin không chính xác (có lẽ chỉ đúng 50-70%).

Ghi chú: Trong bài viết trên cụm từ IP đều được hiểu là IP address (địa chỉ IP), không phải là Internet Protocol

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	09/07/2013 18:40:30 (+0700) \| #38 \| 277320

chanhtrung
Member

Joined: 06/06/2011 21:48:50
Messages: 0
Offline

Hôm nay thấy các báo đã vào khá ổn, có vẻ tình hình đã khá hơn rồi!

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	10/07/2013 14:10:06 (+0700) \| #39 \| 277336

ga_cum06
Member

Joined: 04/05/2008 19:01:15
Messages: 29
Offline

Có 1 ip 118.70.xxx.xx là của hàng net. mình đã kiếm chứng 1 hàng và nếu thời gian sẽ mở rộng thêm vài hàng net nữa. Đây là nơi dễ cài cắm botnet nhất của những người có ý đồ.

...Ước mơ xây trường học cho trẻ em nghèo Việt Nam

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	11/07/2013 12:01:55 (+0700) \| #40 \| 277344

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

Hôm nay báo Tuổi trẻ online xác nhận là mấy ngày qua đã bị tấn công DDoS trầm trọng
Đây là bài viết trên báo hôm nay:

Website báo Tuổi Trẻ đang bị tấn công DDoS
Thứ Năm, 11/07/2013, 10:26
http://nhipsongso.tuoitre.vn/Nhip-song-so/558597/Website-bao-Tuoi-Tre-dang-bi-tan-cong-DDoS.html
TTO - Liên tục những ngày qua, website báo Tuổi Trẻ bị tấn công DDoS rất mạnh gây nghẽn mạng, khiến nhiều bạn đọc khó truy cập.
Cụ thể kẻ tấn công sử dụng hình thức Tấn công Từ chối Dịch vụ (Distributed Denial of Service) tạo ra hàng chục triệu lượt yêu cầu truy cập ảo vào các phiên bản của báo Tuổi Trẻ như: Tuổi Trẻ Online (tuoitre.vn), Tuổi Trẻ Mobile (m.tuoitre.vn), Tuổi Trẻ Online tiếng Anh (tuoitrenews.vn) gây ra tình trạng nghẽn mạng trầm trọng.
Việc này khiến nhiều bạn đọc có nhu cầu đọc báo thật rất khó truy cập được vào các trang địa chỉ trên.
...................................
Hiện tại bạn đọc đã có thể truy cập được vào Tuổi Trẻ Online mặc dù tốc độ vẫn còn khá chập chờn.
........................................
Mong bạn đọc thông cảm và chia sẻ. ĐỨC THIỆN
----------------------------------------------------------------------------------------------------------

Đêm hôm qua và rạng sáng ngày hôm nay (11/7) tôi có truy cập vào trang mạng tuoitre.vn, nhưng đều không được. (xem hình minh hoa dưới đây). Có lẽ cả đêm hôm qua tuoitre.vn đã bị tấn công DDoS và hệ thống webservers của Tuổi trẻ đã crash gần như hoàn toàn.

Tôi có dùng một tiện ích để kiểm tra tốc độ truy cập đến tuoitre.vn và vnexpress.net, vietnamnet.vn (để so sánh). Tốc độ truy cập-download (file trên trang chủ) đến tuoitre.vn là bằng 0. Đêm qua hacker "lạ" tạm ngừng tấn công vào vietnamnet.vn. Chúng cũng chưa từng tấn công vnexpress.net

(Ghi chú; Tôi dùng Laptop Sony, CPU: i7, 4GB RAM, OS: Windows server 2008 R2 SP1-64bits, USB 3G Viettel)

Kiểm tra tốc độ kết nối

Đêm 10/7/2013

Rạng sáng 11/7/2013

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Question] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	11/07/2013 13:27:45 (+0700) \| #41 \| 277347

h2013
Member

Joined: 08/07/2013 21:55:23
Messages: 0
Offline

Nhóm nào tấn công mà dữ vậy ae?

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	11/07/2013 16:37:19 (+0700) \| #42 \| 277354

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Trong một chuỗi gói tin được capture chỉ vài giây mà đã lên tới vài trăm Mb, có hơn 14 ngàn IP riêng biệt.

Danh sách các IP dùng để tấn công Tuổi Trẻ ở đây. Các bạn download về để xem thử máy mình có bị nhiễm không. Nếu có thì thông báo để anh em lấy mẫu mèo què để phân tích và gởi cho các AV.

https://docs.google.com/file/d/0B-JKbAa37-OQNHA3RVF5Q2JSVmc/edit?usp=sharing

What bringing us together is stronger than what pulling us apart.

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	11/07/2013 17:30:29 (+0700) \| #43 \| 277356

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

conmale wrote:

Trong một chuỗi gói tin được capture chỉ vài giây mà đã lên tới vài trăm Mb, có hơn 14 ngàn IP riêng biệt.

Danh sách các IP dùng để tấn công Tuổi Trẻ ở đây. Các bạn download về để xem thử máy mình có bị nhiễm không. Nếu có thì thông báo để anh em lấy mẫu mèo què để phân tích và gởi cho các AV.

https://docs.google.com/file/d/0B-JKbAa37-OQNHA3RVF5Q2JSVmc/edit?usp=sharing

Xem cái list của bác conmale mà thấy kinh hồn.
Có tới 14.390 IP. Riêng các IP có octet đầu tiên là 113 đã là 4494 IP.
Riêng IP cùng nằm trong một lớp mạng với các (xin nhấn manh "các") webserver của tuoitre, 123.30.x.x cũng tới 23 IP

Các ban download file .css này về máy và dùng NotePad++v6.4.1 xem cho có mầu mè, dễ kiểm tra

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[News] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	12/07/2013 10:23:05 (+0700) \| #44 \| 277365

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

Do một số bạn chưa có account của HVA, nên tôi đã upload file "Danh sách các IP tấn công DDoS vào báo mạng VN" lên mediafire.com

Trong file upload này, tôi đã phân riêng từng nhóm IP có octet đầu tiên giống nhau (thí dụ 113, 123...), để các bạn tiện tra cứu.
Folder IP-DDoS-7.2013NEW (nhận được sau khi giải nén .rar) gồm có 21 file, có tên "113-IP", "123-IP".... tương ứng với nhóm IP có octet đầu tiên là 113, 123.....

Chỉ cần nhấp chuột phải vào file cần xem và chọn "Edit with NotePad++" để mở file.

NotePad++ có thể download tại:
http://sourceforge.net/projects/notepad-plus/
(Khi cài Notepad++ nhớ chọn thêm feature "Locazation")

Địa chỉ down load folder " IP-DDoS-7.2013NEW" tại:
http://www.mediafire.com/?e7hs1js35vobb92

Xin các bạn kiểm tra các file có octet đầu tiên trùng với địa chỉ IP của máy tính đang dùng, xem đia chỉ IP máy mình có trùng với một IP trong danh sách không? (Nếu trùng, thì có khả năng máy bạn đã nhiễm mã độc và trở thành một Zombie)

Chúng tôi sẽ hướng dẫn tiếp cách tìm ra botnet tấn công DDoS trong máy bạn. Và sau đó các bạn cung cấp thông tin về mã độc này cho HVA để anh em HVA tìm cách khắc phục, như anh conmale đã viết ở trên.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	12/07/2013 10:28:31 (+0700) \| #45 \| 277366

CuteFTP
Member

Joined: 25/05/2009 02:07:45
Messages: 60
Offline

đang thắc mắc vụ này to mà ko thấy các đơn vị to to nhảy vào thì tìm được bài báo này. không biết có phải thật không :v

http://ictnews.vn/home/Bao-mat/19/Cac-bao-dien-tu-tu-choi-VNCERT-tro-giup-chong-tan-cong-DDoS/110489/index.ict

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	12/07/2013 11:33:00 (+0700) \| #46 \| 277369

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

CuteFTP wrote:

đang thắc mắc vụ này to mà ko thấy các đơn vị to to nhảy vào thì tìm được bài báo này. không biết có phải thật không :v

http://ictnews.vn/home/Bao-mat/19/Cac-bao-dien-tu-tu-choi-VNCERT-tro-giup-chong-tan-cong-DDoS/110489/index.ict

"Trong năm 2011, báo điện tử Vietnamnet đã bị tấn công từ chối dịch vụ trong thời gian hơn 1 tháng với sự tham gia của hàng chục ngàn máy tính "ma". Khi đó, bên cạnh sự ứng cứu của các đơn vị đối tác truyền thống như VDC, VTC, Zing, CMC TI, CMC Infosec, AQTech… cũng như một số đơn vị có hạ tầng lớn hơn như FPT Telecom, Bộ TT&TT đã phải thành lập một ban hỗ trợ ứng cứu báo điện tử Vietnamnet với sự tham gia của các đơn vị liên quan để việc ứng cứu được hiệu quả, kịp thời hơn."

Không có HVA tham gia giúp vietnamnet đâu nha bà con, đừng ham. Hé hé.

What bringing us together is stronger than what pulling us apart.

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	12/07/2013 11:41:46 (+0700) \| #47 \| 277371

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Chỉ phân tích tính chất các gói tin tấn công vào dân trí, tuổi trẻ, vietnamnet (chưa phân tích một số mẫu mèo què mới) thì thấy tính chất rất giống dạng DDoS vietnamnet và HVA năm 2011. Từ chuyện giả mạo hàng loạt các User-Agents cho đến biên độ đánh, đến những biểu hiện crawl...v.v...

Với tổng băng thông dùng để đánh và số IP cá biệt như lần này thì rõ ràng một số lượng RẤT LỚN các máy tính ở Việt Nam đã bị nhiễm mã độc mà AV không hề phát hiện. Có vẻ đây là một thứ mã độc mà người dùng đang dùng rất thông dụng.

Vấn đề là tại sao đánh dân trí, đánh TT và lại đánh vietnamnet? Những tờ này là lề phải và chẳng có cái gì đụng chạm ai cả. Đây là trò chơi gì đây?

What bringing us together is stronger than what pulling us apart.

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	12/07/2013 13:41:56 (+0700) \| #48 \| 277374

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

Xin tặng các bạn thành viên HVA "Bản danh sách các IP Ranges mà Việt nam hiện đang quản lý"
(File .css- cũng xem bằng NotePad++ nhé). Download phía dưới.

conmale wrote:

Vấn đề là tại sao đánh dân trí, đánh TT và lại đánh vietnamnet? Những tờ này là lề phải và chẳng có cái gì đụng chạm ai cả. Đây là trò chơi gì đây?

Thế theo bác conmale các báo lề phải và các trang mạng lề trái gần đây có một hai điểm (nội dung) gì giống nhau, dù nói chung chúng có nội dung rất khác nhau?

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	12/07/2013 16:27:18 (+0700) \| #49 \| 277380

xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline

Theo thông tin em có được thì lưu lượng DDoS vô Tuoitre có lúc đạt 8GB/s smilie

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	12/07/2013 16:39:44 (+0700) \| #50 \| 277381

piloveyou
Member

Joined: 13/04/2010 21:23:15
Messages: 231
Location: EveryWhere
Offline

Báo tuổi trẻ lại bị xịt nữa rồi.

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	12/07/2013 17:10:45 (+0700) \| #51 \| 277383

chanhtrung
Member

Joined: 06/06/2011 21:48:50
Messages: 0
Offline

Theo em có lẽ nguyên nhân DDoS là do gần đây "sinh chuyện" giữa các báo và các trang tin chuyên đi lấy, xào lại tin từ các báo mà ko có văn bản thoả thuận chia sẻ với nhau! ý kiến cá nhân của em thôi!

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	12/07/2013 17:18:57 (+0700) \| #52 \| 277384

chanhtrung
Member

Joined: 06/06/2011 21:48:50
Messages: 0
Offline

Tuổi Trẻ đang tèo hoàn toàn, kinh quá!

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	12/07/2013 18:01:39 (+0700) \| #53 \| 277385

maibangcomp
Member

Joined: 23/07/2009 01:57:55
Messages: 10
Offline

ga_cum06 wrote:

Có 1 ip 118.70.xxx.xx là của hàng net. mình đã kiếm chứng 1 hàng và nếu thời gian sẽ mở rộng thêm vài hàng net nữa. Đây là nơi dễ cài cắm botnet nhất của những người có ý đồ.

Mình nghĩ zombie từ hàng net cũng ko phải là ít đâu vì hầu hết hàng net mình dùng soft lậu, crack, game tùm lum, và người triển khai quán net thường "clone" từ hàng này sang hàng khác nữa.
Vói băng thông của quán net thì attack cũng khá mạnh.

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	12/07/2013 22:23:59 (+0700) \| #54 \| 277391

duynhi1978
Member

Joined: 07/02/2011 19:08:20
Messages: 1
Offline

Sao im lìm quá. Đến giờ này tuoitre vẩn chưa vào được.

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	13/07/2013 08:22:30 (+0700) \| #55 \| 277394

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

conmale wrote:

CuteFTP wrote:

đang thắc mắc vụ này to mà ko thấy các đơn vị to to nhảy vào thì tìm được bài báo này. không biết có phải thật không :v

http://ictnews.vn/home/Bao-mat/19/Cac-bao-dien-tu-tu-choi-VNCERT-tro-giup-chong-tan-cong-DDoS/110489/index.ict

"Trong năm 2011, báo điện tử Vietnamnet đã bị tấn công từ chối dịch vụ trong thời gian hơn 1 tháng với sự tham gia của hàng chục ngàn máy tính "ma". Khi đó, bên cạnh sự ứng cứu của các đơn vị đối tác truyền thống như VDC, VTC, Zing, CMC TI, CMC Infosec, AQTech… cũng như một số đơn vị có hạ tầng lớn hơn như FPT Telecom, Bộ TT&TT đã phải thành lập một ban hỗ trợ ứng cứu báo điện tử Vietnamnet với sự tham gia của các đơn vị liên quan để việc ứng cứu được hiệu quả, kịp thời hơn."

Không có HVA tham gia giúp vietnamnet đâu nha bà con, đừng ham. Hé hé.

Tôi xin xác nhận là việc hạn chế từng bước tác hại, tiến tới xoá bỏ hầu hết mạng DDoS tool (botnet) tấn công vào vietnamnet.vn năm 2011 là công của tập thể anh em thành viên HVA hay cơ bản là như vậy. Trong việc này có sự giúp sức nhanh chóng hiệu quả của các công ty Antivirus thế giới với một công ty Antivirus trong nước, đặc biệt nổi bật là Avira (CHLB Đức)

Nhưng HVA không nhận được bất cứ lời khen nào, bất cứ lời động viên nào từ nhà nước- ничево нет!-. Hì hì

--------------------------------------------------------------------

Thứ bảy, có thời gian rảnh, check thử xem IP của các cơ quan bảo mật tên tuổi, "nổi tiêng" của VN ta, xem có anh nào nằm trong "dead list" (zombies) hay không?

1- VNCERT (vinacert.vn): Cả webserver và các webmail đều không có trong danh sách dead list. Chúc mừng! Hì hì
2- BKAV (bkav.com.vn) Tất cả 15 static IP hiện BKAV đang quản lý không có IP nào trong dead list. Lại xin chúc mừng bác Quảng. Nhưng webmail "mail45.bkav.com.vn" thì dường như create sai (Record A) và "mail47.bkav.com.vn" thì chưa created.
3-..........

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	14/07/2013 02:31:39 (+0700) \| #56 \| 277406

xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline

Hiện chúng tôi đã và đang liên tục cập nhật danh sách các IP của các máy tính bị stl biến thành Zombie tấn công DDoS vào các tờ báo lớn trong 10 ngày qua, thông qua công cụ "Kiểm tra nguy cơ nhiễm Virus Zombie Sinh tử lệnh"

Mọi người có thể truy cập link dưới đây để dùng công cụ, nếu công cụ thông báo máy bạn "CÓ NGUY CƠ BỊ NHIỄM" và nếu máy bạn hiện đang truy cập mạng rất chậm và trong vòng 10 ngày qua bạn chưa từng reset modem thì khả năng máy bạn đang bị nhiễm Virus stl và đang nằm trong mạng Botnet lớn nhất Việt Nam là rất cao

http://www.antibotnet.tk/

Vui lòng share tin này càng rộng càng tốt để góp tay chung sức giúp chúng tôi mau chóng có thể tìm thấy mẫu virus mới của stl nhằm chặn đứng những cuộc tấn công của chúng vào các tờ báo yêu thích mà hàng ngày bạn vẫn đọc

xnohat

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	14/07/2013 06:56:18 (+0700) \| #57 \| 277407

lamdt
Member

Joined: 25/02/2012 11:00:01
Messages: 10
Location: nowhere
Offline

@xnohat: tool scan này so sánh IP của client với list các IP thu được hả anh smilie

HVA có dùng cơ chế này để kiểm tra khách truy cập có IP nằm trong list đó không?

Chân cứng, đá mềm

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	14/07/2013 11:30:59 (+0700) \| #58 \| 277412

hochack_9x
Member

Joined: 13/05/2009 03:31:29
Messages: 8
Offline

Đây là hình em capture lúc truy cập thanhnien.com.vn ngày 12/07/2013, không biết có liên quan tới vụ này không :

<img src="http://upanh.phimnhanh.net/img.php?image=0019_2013_07_12_144018_xqu2.jpg" border="0">

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	14/07/2013 12:29:11 (+0700) \| #59 \| 277413

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Thôi, thà giết lầm hơn bỏ sót.
Con bot này chính là một biến thể từ 1 code base của con mạo danh SbieSvc.exe và SbieMgm.dll của software Sandboxie hồi xưa.
Tôi cũng đang trong quá trình re con btwdins.dll này, cố gắng re cho hơn 90%, nên chưa công bố kết quả "rờ em", viết "rì pọt" về nó chi tiết được smilie

, nhưng cũng mạo muội post một bat file nhỏ để remove nó, giảm tác hại DDoS các trang báo mạng:
Code:

@echo off
echo ==========================================================================
echo Bat file to Kill con bot dang DDoS cac trang bao mang cua "so ti lon"
echo Code "bay ba cho vui" by ThangCuAnh - HVA
echo Ba con test, modify, bo sung thoa mai - No copyright
echo ==========================================================================

:Repeat
echo.
echo Kill and delete btwdins.exe + btwdins.dll
echo.

sc stop WMPNetworkSvchost
taskkill /F /IM btwdins.exe /T
sc delete WMPNetworkSvchost

dir "%APPDATA%\btwdins.exe" /b /S
del "%APPDATA%\btwdins.exe" /F /S

dir "%APPDATA%\btwdins.dll" /b /S
del "%APPDATA%\btwdins.dll" /F /S

rd  "%APPDATA%\WIDCOMM" /s /q

dir "%COMMONPROGRAMFILES%\btwdins.exe" /b /S
del "%COMMONPROGRAMFILES%\btwdins.exe" /F /S

dir "%COMMONPROGRAMFILES%\btwdins.dll" /b /S
del "%COMMONPROGRAMFILES%\btwdins.dll" /F /S

rd  "%COMMONPROGRAMFILES%\WIDCOMM" /s /q

reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ALG /v Version /f

del "%SystemDrive%\Program Files (x86)\Common Files\btwdins.exe" /F /S
del "%SystemDrive%\Program Files (x86)\Common Files\btwdins.dll" /F /S

echo.
echo Press Ctrl-C to terminate & pause
goto Repeat

Hoặc bà con có thể download file bat này ở đây:
http://www.mediafire.com/download/pg4hs72x1ifs7z3

Hướng dẫn sử dụng: down về, chép vào USB, tới bấy cứ máy nào các bạn quản lý, cắm vào, run file killstlbot.cmd đó với quuền Admin. Cho nó repeat khoảng vài lần rồi nhấn Ctrl-C. Xong.
Bà con test giùm, nếu có bug sữa giùm luôn smilie

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	14/07/2013 13:44:23 (+0700) \| #60 \| 277414

BlueMM
Member

Joined: 14/02/2012 05:11:33
Messages: 28
Offline

IP hiện tại của mình là 171.245.46.97, mà 171.245 lại nằm trong danh sách rất nhiều, không biết mình có thành zombie không, mình đang xài USB 3G Viettel

Go to:

Users currently in here
1 Anonymous