Messages posted by: xnohat

Với cách quản lý lỏng lẻo trên thì có vô vàn cách để các tệp tài liệu mật được đưa lên internet

- Người trong phòng xyz dùng mạng của cơ quan bồ upload lên internet ( mail, file hosting, p2p, send file qua IM ... )
- Người trong phòng xyz dùng USB chép ra ngoài rồi upload lên mạng sau đó
- Người trong phòng xyz dùng 3G để upload lên internet
... etc

Với một hệ thống không có monitor thì việc cần là có chuyên gia thực thụ trong việc forensic là chuyện cơ quan bồ cần phải cân nhắc. Vì các manh mối bây giờ hiện đã rất mỏng manh, trong quá trình forensic không cẩn thận làm các dữ liệu bị ghi đè hoặc làm biến dạng quá mức thì sẽ dẫn tới vô phương trong việc tìm hiểu. Nên việc ky0 khuyến cáo cơ quan bồ nên mời bên An Ninh vào giúp là có lý do chuyên môn, bên An Ninh có "chuyên môn" và thẩm quyền để truy cập nhiều dữ liệu từ các ISP giúp việc điều tra dễ dàng hơn

Trân trọng,

Cách dàn trang ở trên đây là nhằm giúp người đọc phải tư duy đoán câu query thay vì copy paste :v

skpkt wrote:

Chào mọi người

Mình mới bắt đầu tìm hiểu về lt web, hôm qua mình cài windows 8 thay cho win 7 và wamp bị lỗi 403 for hidden khi vào localhost (hình như chỉ windows 8 mới bị thế).
Mình đã thử làm theo cách của một vài trang mạng là bỏ # trước "# 127.0.0.1 localhost" trong files HOTS "C:\windows\system32\drivers\etc\HOST" nhưng ko dc (và lại cho nó trở lại như cũ rồi).
Vậy ai biết làm ơn chỉ mình cách khắc phục lỗi này!

Cảm ơn!

Tắt Web Publishing Service trong Windows 8 đi, dịch vụ này mặc định được cài đặt và chiếm cổng 80 của Hệ thống

Đang diễn ra cuộc tấn công DDoS lớn nhất lịch sử internet

Hiện tính tới thời điểm này ( 27-03-2013 ) cuộc tấn công vấn đang diễn ra, Tổ chức Spamhaus vốn chịu trách nhiệm duy trì danh sách blacklist các máy chủ đang gửi thư spam trên toàn cầu. Hiện đang phải hứng chịu một cuộc tấn công DDoS với lưu lượng lớn nhất lịch sử Internet, lưu lượng hiện đã đạt đỉnh 300 Gbps ( tương đương 37 GB/s ). Cũng nên nhắc bạn rằng tổng lưu lượng internet của Việt Nam chỉ khoảng 361 Gbps, tức là nếu cuộc tấn công này nhắm vào hạ tầng internet Việt Nam thì chúng ta sẽ nhanh chóng bị bão hoà đường truyền và Việt Nam sẽ sớm bị cách ly hoàn toàn với internet thế giới.
Các cuộc tấn công DDoS thông thường trên thế giới gần đây chỉ đạt khoảng 50 Gbps là đã đủ làm tê liệt cơ sở hạ tầng của một tổ chức bị nhắm tới.
Rất may Spamhaus hiện đang được chống lưng bởi rất nhiều tập đoàn công nghệ lớn của thế giới như Google, Microsoft, Yahoo, Amazon,... do đó các hãng này hiện đang chia sẻ tài nguyên khổng lồ của họ nhằm giúp hấp thụ lưu lượng khổng lồ trên
Nguyên nhân dẫn đến cuộc tấn công là từ một cuộc tranh cãi giữa tổ chức Spamhaus và một công ty dịch vụ hosting của Đức tên Cyberbunker khi tổ chức Spamhaus liệt kê các máy chủ của công ty này vào danh sách Blacklist, danh sách này sẽ giúp các nhà cung cấp dịch vụ mail toàn cầu chặn đứng các spam mail đến từ công ty Cyberbunker. Cuộc tranh cãi này nhanh chóng leo theo thành các lời đe doạ tấn công và cuối cùng, công ty này đã kết hợp với nhiều tổ chức tin tặc tại Châu Âu để điều hướng một lượng khổng lồ gồm nhiều mạng máy tính ma ( botnets ) với nhiều triệu máy tính đã bị thâm nhập trước đó, tập trung tấn công các máy chủ DNS của Spamhaus
Hiện các kỹ sư của Spamhaus đang cố gắng duy trì dịch vụ cùng với các kỹ sư của các hãng công nghệ lớn. Bên cạnh đó lực lượng an ninh của 5 quốc gia đang vào cuộc để truy tìm các tổ chức tin tặc đang tham gia cuộc tấn công này

Điều đáng ngại là cuộc tấn công này đã tạo nên một kỷ lục mới về lưu lượng tấn công, nó đánh dấu một thời kì khó khăn sắp tới của internet khi mà các chính phủ có vẻ đang bất lực trước các tổ chức tin tặc

xnohat - HVA News

Nguồn tham khảo:
http://www.nytimes.com/2013/03/27/technology/internet/online-dispute-becomes-internet-snarling-attack.html?pagewanted=1&_r=0

hackervn297 wrote:

chủ đề ko mới nhưng em gà về thâm nhập lắm?
hiện tại em đang theo đuổi 1 người, có ý định theo dõi máy tính. Em có quyền được biết ip, tên user, pass của windown (do em cài win, sửa những phần cứng máy tính cho nhỏ đó), nên có thể lấy ip (tĩnh, động,....)
nhưng cách nào cài 1 phần mềm nào có thể theo dõi được ko? tin buồn là có cái anti bkav nên chỉ khi nào cài win lại là cơ hội tới.
em xem đoạn video khi tải teamvier rồi thông qua sv có thể xem được máy mà ko phát hiện được, chứ dùng team thì lộ ngay vì màn hình thay đổi.

còn về cooki thì lấy thế nào được? em xem được ít pass nếu lưu lại trên web, còn đa số em ko biết lắm. cũng hy vọng sau này thành người ko cần chìa khóa chính vẫn mở được cái tủ.

Bật máy tính, gõ password, bấm enter. Chúc mừng bồ đã xâm nhập thành công

Có lẽ ai đó mới cài lại hệ thống mà quên bật maintained page lên smilie

Các bước tiến hành một cuộc tấn công vào mạng máy tính của một tổ chức

Việc tấn công có chủ đích vào mạng của một tổ chức kinh tế, chính trị của một quốc gia nhằm đánh cắp các thông tin quan trọng, thường phải do một nhóm hacker được tài trợ bởi chính phủ một quốc gia khác. Lý do là vì các cuộc tấn công này cần một lượng tài nguyên nhất định về con người, thời gian, tài chính để thực hiện. Các cuộc tấn công này thường được giới an ninh thông tin gọi là Advanced Persistent Threat ( APT attack ) – dịch ra không chính xác vì vậy giữ nguyên cụm từ này cho lành

• Bước đầu thỏa hiệp: thực hiện bằng cách sử dụng các phương thức như Social Engineering (về mặt bảo mật), tấn công lừa đảo có định hướng, hoặc thông qua email, sử dụng các exploit trên dịch vụ web, email, chat… hoặc bất kì phương thức lây nhiễm thông dụng nào để “cấy” malware vào một website mà nhân viên của tổ chức đó thường truy cập vào. Qua đó “trồng” malware vào máy của nhân viên trong tổ chức được nhắm đến
Các công cụ sử dụng: Social engineering, fake web, fake mail, port 80 exploit, client service exploit, malware, virus, trojan, downloader, dropper

• Thiết lập chỗ đứng trong mạng tổ chức: sử dụng các phần mềm remote access để cài vào mạng của tổ chức nhắm tới, rồi tiếp tục trồng cắm các backdoor cũng như thiết lập các tunnel ( đường truyền được mã hóa ) để âm thầm truy cập từ bên ngoài vào hạ tầng mạng của tổ chức nhắm tới
Các công cụ sử dụng: Remote access, RAT, Backdoor, trojan, Keylogger

• Leo thang đặc quyền: sử dụng các exploit hoặc các công cụ crack password ( dĩ nhiên là lôi các hash về máy của người tấn công rồi crack ), để leo thang lên quyền administrator trên máy tính của nhân viên trong tổ chức ( máy tính đã bị nhiễm malware ). Cố gắng mở rộng qua việc chiếm lấy quyền administrator điều khiển Windows domains, hoặc quyền quản trị mạng.
Các công cụ sử dụng: Exploit, Password cracker, Password resetter, Keylogger, Social Engineering

• Điều tra mạng nội bộ của tổ chức: thu thập thông tin về cơ sở hạ tầng mạng nội bộ của tổ chức, các lớp mạng, sơ đồ cấu trúc mạng, các máy chủ, các lớp bảo mật, các phương thức bảo mật …etc
Các công cụ sử dụng: network scanner, tracer, sniffer

• Tấn công lan rộng: tìm cách tấn công mở rộng qua các hạ tầng quan trọng của mạng mục tiêu, như tìm cách điều khiển các máy tính của các nhân viên cấp cao hơn, các máy chủ, các thành phần kiểm soát mạng như router, switch…, rồi thực hiện thu thập dữ liệu trên các hạ tầng này
Các công cụ sử dụng: thông tin về mạng đã thu thập ở trên, exploit, remote access tool, virus, malware, trojan, phishing…

• Duy trì khả năng truy cập: thiết lập các backdoor, các lớp bảo vệ che dấu để chắc chắn rằng có thể tiếp tục truy cập vào mạng nội bộ tổ chức mục tiêu cũng như kết nối, các backdoor, các quyền quản trị đã chiếm được ở các bước trước. Tóm lại đảm bảo tương lai có thể tiếp tục truy cập mạng của tổ chức
Các công cụ sử dụng: Rootkit, backdoor, disable AV, hidden malware, hidden administrator account, remote access tool…

• Hoàn tất chiến dịch: Chuyển mọi dữ liệu đã thu thập từ mạng của tổ chức mục tiêu về trung tâm
Các công cụ sử dụng: Encrypted tunnel, stealth connection, hidden connection, backconnect…

xnohat - HVANews

pimcapu wrote:

Mấy anh chị HVA có thể cho em mấy cái ví dụ: có phương pháp cụ thể và giải pháp phòng chống trong bảo mật thanh toán trong thương mại điện tử
Ví dụ: Như tài khoản ATM thì phương pháp xâm nhập là như thế nào với cách phòng chống nó ra sao ạ
Em cảm ơn ạ ^^

Mền ghét nhất là các câu hỏi kiểu thế này. Kiếm một chủ đề đúng to, đúng bự, đúng kêu rồi vứt lên hỏi với 1 câu ngắn gọn "... xâm nhập như thế nào, phòng chống như thế nào ..."

Kiểu như kêu người khác làm luôn thành một bài nghiên cứu rồi gửi cho đọc smilie

Anh em nào còn tính viết mấy câu hỏi kiểu này thì tôi có một lời khuyên là nên đi nghiên cứu trước đi rồi cái gì không hiểu mới hỏi. Hỏi 1 chủ đề to oạch thế này rồi bảo người ta trả lời, thì trả lời thế qué nào được

Crack thì còn tuỳ theo nghĩa nào của crack thì mới có câu trả lời chính xác smilie

Hacker của quân đội Trung Quốc tự tố mình bằng việc “chơi” Facebook

Theo báo cáo của công ty Mandiant, tòa nhà này chính là tổng hành dinh của đội quân Hacker thuộc quân đội Trung Quốc, chuyên tấn công vào các công ty Hoa Kỳ

Công ty Madiant của Hoa Kỳ hiện đang thực hiện cuộc điều tra diện rộng về các cuộc tấn công không gian mạng nhằm vào các công ty, tổ chức và chính phủ Hoa Kỳ, vừa cho biết rằng, một trong số các dấu vết để truy ngược lại kẻ chủ mưu các cuộc tấn công mạng nhằm vào Hoa Kỳ - quân đội Trung Quốc – là bằng cách khai thác các thông tin từ chính chính sách kiểm soát internet của Chính Phủ Trung Quốc

“Vạn lý tường lửa” của Trung Quốc – tên gọi một hệ thống tường lửa rất lớn kiểm soát mọi truy cập Web ở Trung Quốc, bao gồm cả việc chặn truy cập vào các mạng xã hội như Facebook và Twitter. Người dùng internet ở Trung Quốc buộc phải tìm cách “vượt tường lửa” bằng cách sử dụng các phương thức như đi xuyên qua các mạng máy chủ VPN, Proxy… Nhưng các Hacker của quân đội Trung Quốc thì không dùng các máy chủ VPN công cộng (hoặc thương mại) này như các Hacker khác trên thế giới thường dùng, khi họ thực hiện các cuộc tấn công vào mạng internet của các nước khác. Họ dùng một thứ mạng VPN cực kỳ phức tạp: một loạt các hệ thống máy chủ đặc biệt được dùng khi tấn công các cơ quan, tổ chức của các nước khác

Đây chính là điểm mà các Hacker Trung Quốc tự làm lộ chính mình. Để tuyệt đối an toàn, các Hacker Trung Quốc sẽ phải đăng xuất ra khỏi các máy chủ VPN được dùng cho việc tấn công, dọ thám tình báo không gian mạng ( các máy chủ này được tài trợ bởi Quân Đội Trung Quốc ) trước khi họ đăng nhập vào các máy chủ VPN công cộng hoặc thương mại thường dùng để truy cập các trang web, dịch vụ internet của Hoa Kỳ như Facebook, Twitter.

Thay vì tuân thủ nghiêm ngặt quy trình trên, một số Hacker đã “lười nhác” và “liều lĩnh” bằng cách đăng nhập vào Facebook, Twitter thông qua các máy chủ VPN vốn chỉ dành cho việc tấn công, dọ thám tình báo mạng internet các nước khác. Đây chính là điểm sơ hở mấu chốt giúp cho việc tìm ra danh tính thực sự của những kẻ đã tấn công vào mạng internet của nước Mỹ. Khi mà các Hacker sử dụng các “máy chủ chuyên dụng để đi tấn công” này để đăng nhập vào những tài khoản Facebook, Twitter “cụ thể” – hay nói theo cách khác, “Đó là một con người cụ thể”

Công ty Mandiant đã dò ra hai Hacker thuộc quân đội Trung Quốc đã dùng các máy chủ chuyên dụng dùng để hack của quân đội Trung Quốc để đăng nhập vào hai tài khoản có tên là DOTA và UglyGorilla. Quá trình điều tra cho thấy, hơn thế nữa, số điện thoại mà một trong số các hacker trên sử dụng để đăng kí tài khoản Gmail ( Gmail đôi khi yêu cầu việc xác thực đăng kí thông qua việc gửi một tin nhắn SMS xác thực qua điện thoại di động ) đã cung cấp thông tin về vị trí của hackers

Thật trớ trêu, các Hacker Trung Quốc thường tìm cách đánh cắp thông tin của mục tiêu thông qua các máy chủ VPN giả mạo, thế nhưng ở đây hai Hacker Trung Quốc đã rơi vào cái bẫy giống cách như chính họ thường giăng ra để bẫy người khác.

HVANews - Theo Washington Post

Tham khảo:
http://www.washingtonpost.com/blogs/worldviews/wp/2013/02/19/chinese-hackers-outed-themselves-by-logging-into-their-personal-facebook-accounts/

http://www.nationaljournal.com/tech/it-s-not-just-you-chinese-hackers-are-terrible-at-making-passwords-too-20130219

Lỗi khó khăn khi post bài được anh Conmale fix cách đây ít ngày

Lỗi khó khăn khi post bài được anh Conmale fix cách đây ít ngày

Ky0shir0 wrote:

Có thể học hỏi được gì về "thử nghiệm Hacking & Security cơ bản" từ cái môi trường này nhỉ?

Với suy nghĩ cần được dâng tận miệng mọi thứ như câu hỏi này thì bồ không thể học hỏi thêm bất kỳ thứ gì hơn chính câu hỏi trên của bồ

Hình minh hoạ bài Thiết lập môi trường thử nghiệm Hacking & Security cơ bản

Thiết lập môi trường thử nghiệm Hacking & Security cơ bản

Bài viết này nhằm giải quyết vấn đề nhiều bạn member diễn đàn HVA hỏi câu cực kỳ nguy hiểm kiểu như "cho em xin website abcxyz nào đó bị lỗi để hack thử"

Các thành phần cần thiết:
Các liên kết download này được tìm thấy từ internet ( trừ file ảnh Windows XP VMWare )
- Chương trình máy ảo VMWare ( tải tại: http://www.fshare.vn/file/TB6W13P7ZT )
- File ảnh máy ảo VMWare hệ điều hành BackTrack 5 ( tải tại: http://www.backtrack-linux.org/ajax/download_wwwect.php?id=BT5R3-GNOME-VM-32.7z )
- File ảnh máy ảo Windows XP ( tải tại: http://www.mediafire.com/?23osy6dc5rd43 pass giải nén: xnohathva )
Thiết lập môi trường:

Cài đặt chương trình máy ảo VMWare ( search google coi cách cài nếu không biết cách cài một chương trình )
Giải nén 2 file nén chưa thư mục ảnh của 2 HDH ở trên ra thành 2 thư mục
Vào thư mục chứa HDH BackTrack 5, double click tệp tin có đuôi *.vmx để mở HDH ảo này trong VMWare
Làm như trên đối với HDH Windows XP
Sau khi đã có 2 HDH trong VMWare thì lần lượt click chạy từng cái bằng cách chọn tab tên của HDH đó rồi click nút Start
Khi VMWare hiện ra bảng tùy chọn “I move it” hoặc “I copy it” chọn “I copy it” ( lý do tại sao thì đọc cái câu hỏi của VMWare sẽ hiểu )
Đăng nhập HDH:
- BackTrack 5 có username/password mặc định là
- - Username: root
- - Password: toor
- Để hiện giao diện đồ họa trong BackTrack 5 thay vì giao diện dòng lệnh thì sau khi đăng nhập bằng username/password trên, tại dấu nhắc lệnh gõ “startx” ( không có dấu ngoặc kép )
- Windows XP có username/password mặc định là
- - Username: admin
- - Password: bỏ trống ( không có password )

Sau khi khởi động và đăng nhập thử xong thì shutdown từng hệ điều hành để đến bước tùy chọn là chỉnh chế độ kết nối mạng

Để máy ảo có thể kết nối mạng ( mạng LAN nội bộ ở nhà bạn hoặc mạng internet ) thì cần cấu hình kiểu kết nối mạng phù hợp cho HDH ảo, tùy theo nhu cầu sử dụng

Cách cấu hình: Mở Tab của HDH cần chỉnh kiểu kết nối mạng, click mục Network Adapter rồi chọn kiểu mạng phù hợp nhu cầu thử nghiệm

VMWare hỗ trợ rất nhiều kiểu kết nối mạng cho máy ảo, tuy nhiên trong đó có 2 kiểu kết nối mạng thường dùng, cụ thể ở đây là phù hợp với 2 nhu cầu thử nghiệm

- Kiểu mạng NAT:
Với kiểu mạng này các máy ảo sẽ kết nối với nhau trong một mạng LAN ảo và máy thật sẽ có vai trò làm một cái Gateway Router trung gian kết nối các máy ảo với mạng thật, các máy ảo sẽ có IP thuộc lớp mạng riêng khác với lớp mạng của mạng LAN thật. Kiểu mạng này thường dùng khi cần một môi trường thử nghiệm được cách ly an toàn, tránh tác động vào các máy tính thật khác thuộc mạng LAN thật, chỉ có các máy tính ảo tấn công lẫn nhau trong mạng LAN ảo
Sơ đồ mô tả kiểu mạng NAT:

- Kiểu mạng Bridged:
Với kiểu mạng này thì máy ảo sẽ kết nối trực tiếp với mạng LAN thật và có địa chỉ IP thuộc mạng LAN thật. Kiểu mạng này thường sử dụng khi cần thực hiện thử nghiệm tấn công vào mạng thật hoặc mục tiêu tấn công là máy thật thuộc mạng LAN thật thay vì chỉ thực hiện tấn công giữa các máy ảo với nhau trong mạng LAN ảo
Sơ đồ mô tả kiểu mạng Bridged:

Sau khi hoàn tất việc cấu hình kiểu mạng, bạn đã có một môi trường thử nghiệm sẵn sàng bao gồm 2 HDH rất thông dụng:

BackTrack 5 là một phiên bản HDH Linux được cài đặt sẵn các công cụ hỗ trợ tấn công thông dụng
Windows XP vốn là HDH nhỏ gọn, chạy nhanh, cũ kĩ, nhiều lỗi bảo mật đúng kiểu một HDH dùng để làm mục tiêu tấn công thử nghiệm

Trên HDH Windows XP bạn có thể cài đặt các dịch vụ phù hợp cho việc thử nghiệm khai thác ví dụ như dịch vụ Web, MySQL, PHP thì cài đặt bộ XAMPP ( hướng dẫn đầy trên mạng ), hoặc thử nghiệm exploit mã nguồn mở web app nào thì cứ tải mã nguồn web app đó về setup vào mà test.
Thử gì thì thử ở Lab này đừng đi thử trên website, dịch vụ của người khác rồi bảo là em chỉ thử nghiệm để học hỏi, đó là phá hoại chứ không phải thử nghiệm, nghiên cứu

xnohat HVA

Đậu moá cái đám VTC, lần trước đã report không công cho chúng nó mấy cái bug hệ thống của chúng nó. Moẹ suốt ngày gắp lửa bỏ tay HVA

Vì trong bài viết trên có 1 đoạn quote về 1 Javascript Exploit nên cái Avast cùi bắp nó alert.

Đám avast trước giờ toàn báo bí đao kiểu này, report mấy lần vẫn không có giải pháp sửa, ngu vãi lúa

conmale wrote:

Đừng có fancy màu mè để phiền.

Cứ vào rồi bấm vào link "forum" hay "portal" để vào. Đừng có thêm thắt https để rồi gặp những trở ngại vô ích. HVA chỉ áp dụng https khi đăng nhập (nếu member muốn đăng nhập xuyên qua https). Cố tình thêm https ngay từ trang bìa sẽ gặp những khó khăn vì http và https là 2 thứ hoàn toàn tách rời.

Trên Firefox, nếu anh Login với tuỳ chọn HTTPS, Firefox sẽ remember việc truy cập xuyên qua HTTPS cho các lần truy cập sau đối với domain www.hvaonline.net luôn, Chrome không bị việc này chỉ Firefox khôn quá hoá tào lao smilie

randallx wrote:

VPS của mình trong vòng một tháng vừa qua, trong khoảng thời gian từ 18h đến 22h hay bị quá tải httpd và mysqld, mình có xem qua log apache nhưng không phát hiện được gì.

Kiến thức về hệ thống mạng và bảo mật mình còn non kém, nhờ anh, chị, em HVA tư vấn và giúp đỡ phân tích giúp các gói tcpdum này với :
http://anime47.com/ddos80
http://anime47.com/ddos90
http://anime47.com/ddostest

Xin chân thành cảm ơn anh, chị, em nhiều!

404 Not found rồi