banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: xnohat  XML
Profile for xnohat Messages posted by xnohat [ number of posts not being displayed on this page: 8 ]
 

1412luv wrote:
Chào các bạn. Server mình sử dụng vSphere Client để quản lý Server chạy RAID 6

Trên Server này mình có tạo 1 số VPS và hôm nay khi mình vẫn đang chạy 1 VPS. Mình vào Browse Datastore trên VsPhere Client và lỡ xoá mất các file chứa VPS ảo trên HDD. Mình muốn phục hồi dữ liệu của các FIle này thì phải làm thế nào? Mong được sự giúp đỡ sớm của các bác smilie


 


Ngưng tức thì server vật lý, cách ly HDD chứa các file .vmx, .vmdk ...

Dùng một chương trình phục hồi dữ liệu để lấy lại

dinhtuvu wrote:
Chào cả nhà
Tôi có 1 VPS hôm vừa rồi bị 1 hacker Việt tấn công và tạo ra 1 loạt các file index.cfm, index.asp, index.php, index.htm, index.html, Default.cfm, Default.asp, Default.php, Default.htm, Default.html cho tất cả các thư mục của tất cả các domain.
Mình đã xem qua các file log mà không thấy vết nào về việc tạo ra các file này. Không rõ bị tấn công như thế nào. Bác nào biết chỉ em với....Thanks...!

hacker có nickname hacker6009
 


Máy chủ bị hack thì phải dò lại toàn bộ mã nguồn xem có bị bug gì không ? Nếu có thể thì thử contact với người đã hack và thể hiện thiện chí hỏi người đó xem họ đã thâm nhập bằng cách gì, từ đó mà vá lỗi. Rồi rà soát tổng thể site tìm các bug rồi vá
HVA hiện không có nhân sự hỗ trợ việc này nữa

Trân trọng,
Nói chung autoit rất khó chống dịch ngược, chỉ có thể obfucaste nó để làm khó việc đọc mã thôi. Chứ việc dịch ngược autoit có thể thực hiện dễ dàng bằng OllyDBG với việc đọc các đoạn script đã được giải mã vào memory

phanledaivuong wrote:

Mình thấy chủ yếu các bạn đề cập tới HVA bảo mật server để chống hacking mà không thấy ai đề cập tới HVA bảo mật để bảo vệ người dùng (ví dụ: session hijacking xuyên qua XSS).  


Điều này luôn được ưu tiên. Hiện nay HVA đã huỷ bỏ việc cho phép chèn hyperlink vào bài viết để vô hiệu hoá mọi kiểu phishing lợi dụng HVA. Còn về XSS hay CSRF thì mấy lão cao thủ của HVA (mà-ai-cũng-biết-là-ai-đó smilie ) vẫn cứ ngày ngày "nghịch" .Bật mí cho mọi người biết là một số lượng không hề ít các lỗi XSS đã được tìm thấy và vá lỗi từ lâu lắc rồi. Bản Jforum hiện giờ có thể nói là đã được vá và sửa lỗi đến nỗi nó khác rất xa so với bản tại Jforum.net

kimtuthapMU wrote:

xnohat wrote:
Vì bắc triều tiên làm quái gì có Internet smilie 


Cơ sở nào bác bảo Triều Tiên không có Internet vậy bác? 


Nên đọc thêm tin tức từ các trang tin như BBC,AFP...

chupichu wrote:
IRAN bây giờ là mục tiêu của khá nhiều các vụ tấn công. Còn Triều Tiên thì vẫn im re nhỉ. 


Vì bắc triều tiên làm quái gì có Internet smilie
Đã sửa chỗ sai theo góp ý của lão mrro. Cám ơn lão smilie
HVANews - Virus tấn công cơ sở hạt nhân Iran bằng ... chơi nhạc Rock

Một nhà khoa học làm việc tại Tổ chức năng lượng Hạt nhân của Iran (Atomic Energy Organisation of Iran – AEOI) đã cho biết rằng các hệ thống máy tính của họ vừa mới phải hứng chịu một đợt tấn công kỹ thuật số nghiêm trọng và kỳ quặc, virus tấn công khiến cho hệ thống của AEOI phát bản nhạc "Tiếng sét" của nhóm AC/DC với cường độ âm thanh tối đa vào lúc nửa đêm

Cuộc tấn công được biến đến rộng rãi sau khi một nhà nghiên cứu của công ty bảo mật F-Secure nhận được một đoạn email từ tổ chức AEOI với nội dung “Tôi viết thư này cho anh để thông tin cho anh biết rằng, chương trình hạt nhân của chúng tôi lại một lần nữa bị nhân nhượng và tấn công bởi một sâu máy tính mới với phương thức tấn công làm ngắt hệ thống mạng lưới của chúng tôi tại Natanz và các cơ sở hạ tầng khác tại Fordo gần Qom.”

“Điều này nghe thực sự kỳ dị”, vị chuyên gia phát biểu. “Nếu đây thực sự à một cuộc tấn công, tại sao các kẻ tấn công lại tự tố giác chính mình bằng cách bắt các hệ thống bản nhạc “Tiếng sét” ?”. Nếu đây là sự thực thì đây là đợt tấn công kỹ thuật số thứ ba nhắm vào chương trình hạt nhân của Iran

Điều này cho thấy có vẻ như là AEOI đã phải hứng chịu một đợt tấn công nhắm vào cơ sở hạ tầng bằng cách dùng mã độc (malware), sự kiện này nằm trong một chuỗi các đợt tấn công kỹ thật số vào khu vực Trung Đông bắt đầu từ năm 2010 với siêu mã độc Stuxnet. Mặc dù vậy, hiện chưa có tổ chức độc lập nào đứng ra xác nhận về cuộc tấn công này.

Nhà khoa học Iran nói trên nói rằng virus trên được nhúng vào hệ thống thông qua một phần mềm mã muồn mở vốn dùng để thâm nhập rất nổi tiếng là Metasploit.

Dưới đây là toàn bộ nội dung thư:
“Tôi viết thư này cho anh để thông tin cho anh biết rằng, chương trình hạt nhân của chúng tôi lại một lần nữa bị nhân nhượng và tấn công bởi một sâu máy tính mới với phương thức tấn công làm ngắt hệ thống mạng lưới của chúng tôi tại Natanz và các cơ sở hạ tầng khác tại Fordo gần Qom.

Theo như thư mà các chuyên gia an ninh mạng của chúng tôi gửi, họ tin rằng công cụ thâm nhập Metasploit đã được sử dụng. Các hacker đã truy cập vào mạng VPN của chúng tôi. Hệ thống tự động hóa và hệ thống quản lý công nghiệp Siemens đã bị tấn công và phá hủy hoạt động. Tôi hiểu biết rất ít về cuộc tấn công kỹ thuật số này vì tôi chỉ là một nhà khoa học không phải một chuyên gia máy tính.

Có một số âm thanh nghe giống nhạc đã được chơi một cách ngẫu nhiên tại các máy tính kiểm soát hệ thống suốt nửa đêm. Tôi tin rằng hacker đã chơi bản nhạc “Tiếng sét” của nhóm AC/DC trên hệ thống của chúng tôi”


Theo thehackernews

xnohat - HVA news

Tham khảo:
http://thehackernews.com/2012/07/iranian-nuclear-program-hit-by-acdc.html
Với việc thiết kế một phần mềm, một hệ thống thông tin hoặc một cơ sở dữ liệu thì bước đầu tiên là thực hiện phân tích "Use-case", tức là phân tích các tình huống mà người dùng sử dụng chương trình của mình. Qua đó hình thành một bức tranh tổng thể về việc phần mềm của mình có những gì, được dùng làm gì trong những trường hợp nào...

Bồ tham khảo các link ở phần liên kết ngoài của http://vi.wikipedia.org/wiki/Use_case và bài viết này http://my.opera.com/nguyend/blog/qui-tinh-phan-tich-he-thong-quan-ly-diem-thi-trong-khoa-cua-mot-truong-dai-hoc-4

trungdung4 wrote:

p/s: Có nên loại trừ trường hợp bị Bruce force 1 số dịch vụ nào đó trên Sever ko anh xnohat  


Do không nắm rõ các bước trong quy trình gởi và nhận bài, cách mà các administrator của kenh14.vn phân quyền hạn người dùng, cũng như các lớp bảo mật mà kenh14.vn đã áp dụng cho các website của họ trước đây nên tôi không dám lạm bàn sâu theo hướng đó. Dĩ nhiên, trong tình trạng chưa có đủ nguồn tin và cuộc tấn công xảy ra quá nhanh, quá chớp nhoáng như vầy thì, mọi khả năng đều được bỏ ngỏ.
Cập nhật
Phân tích nhanh:
( Phân tích dưới đây là quan điểm cá nhân của thành viên xnohat chứ không phản ánh quan điểm của HVA cũng như cộng đồng HVA - vui lòng thận trọng nếu cần trích dẫn )
Theo như tình trạng của trang tin điện tử tổng hợp Kenh14.vn (1) lúc bị tấn công (2). Thì người tấn công có vẻ vẫn chưa hoàn toàn kiểm soát được máy chủ web chứa trang tin Kenh14.vn, giao diện trang chủ của Kenh14.vn vẫn chưa bị thay thế hoàn toàn bằng một tập tin trang chủ khác, tức là thay thế trang index của CMS (3) bằng tập tin index chứa nội dung deface, giống như tình trạng xảy ra ở các cuộc tấn công của các nhóm tin tặc như Anonymous, Thổ Nhĩ Kỳ ... mà chỉ bị thay thế một số phần tin tức đã có trước đó
Nên nhiều khả năng người tấn công đã khai thác thành công một lỗ hổng nào đó trong CMS của kenh14.vn và truy cập được vào hệ quản trị Cơ sở dữ liệu của kenh14.vn, có thể là trang quản trị website hoặc chỉ là truy cập vào kết nối SQL của trang tin và chạy SQL query.
Dựa vào tình hình chung tại VN, thì nhiều khả năng là cuộc tấn công này được thực hiện qua các lỗi khai thác trên cổng 80 như:
- SQL Injection
- XSS
- Remote/Local File inclusion
Ngày 19/07/2012 vào lúc 19h15, chúng tôi ghi nhận được tình trạng toàn bộ giao diện trang chủ của trang tin Kenh14.vn ( thuộc công ty VCCorp ) bị tấn công và deface.

Cập nhật 1
Phân tích nhanh:
( Phân tích dưới đây là quan điểm cá nhân của thành viên xnohat chứ không phản ánh quan điểm của HVA cũng như cộng đồng HVA - vui lòng thận trọng nếu cần trích dẫn )
Theo như tình trạng của trang tin điện tử tổng hợp Kenh14.vn (1) lúc bị tấn công (2). Thì người tấn công có vẻ vẫn chưa hoàn toàn kiểm soát được máy chủ web chứa trang tin Kenh14.vn, giao diện trang chủ của Kenh14.vn vẫn chưa bị thay thế hoàn toàn bằng một tập tin trang chủ khác, tức là thay thế trang index của CMS (3) bằng tập tin index chứa nội dung deface, giống như tình trạng xảy ra ở các cuộc tấn công của các nhóm tin tặc như Anonymous, Thổ Nhĩ Kỳ ... mà chỉ bị thay thế một số phần tin tức đã có trước đó
Nên nhiều khả năng người tấn công đã khai thác thành công một lỗ hổng nào đó trong CMS của kenh14.vn và truy cập được vào hệ quản trị Cơ sở dữ liệu của kenh14.vn, có thể là trang quản trị website hoặc chỉ là truy cập vào kết nối SQL của trang tin và chạy SQL query.
Dựa vào tình hình chung tại VN, thì nhiều khả năng là cuộc tấn công này được thực hiện qua các lỗi khai thác trên cổng 80 như:
- SQL Injection
- XSS
- Remote/Local File inclusion

Cập nhật 2: lúc 1:00 AM 20/07/2012 trang tin kenh14.vn đã được khôi phục tại địa chỉ www.kenh14.vn

Chúng tôi sẽ cập nhật khi có thêm thông tin









xnohat - HVA News

(1) Kenh14.vn không phải là Báo mạng
(2) tính từ lúc người dùng đầu tiên phát hiện và đưa lên mạng xã hội Facebook
(3) CMS - Content management system - Hệ thống quản trị nội dung

strongman1211 wrote:
Tình hình là password mail công ty mình nếu dùng phần mềm abel and cain truy cập mạng nội bộ để sniff thì đều dò ra được, authtype nó để là cleartext. Mọi người có cách nào để mã hoá password email không. Công ty mình có khá nhiều người truy cập web chủ yếu là khách hàng, nhỡ có bé newbie hacker nào tò mò vào công ty mình sniff thì khổ. smilie. Mình sniff các tài khoản đăng nhập bằng yahoo, gmail hay facebook đều không được, cả user name và password đều được mã hóa, không biết cách nó hoạt động ra sao nhỉ :? 


Qua bồ mô tả thì tôi đoán là công ty cung cấp dịch vụ web mail cho nhân viên, tức là nhân viên đăng nhập coi mail và quản lý mail thông qua giao diện web.

Vậy thì bồ cần bật HTTPS cho kết nối web của trang web mail và bật cả SSL/TLS cho việc duyệt gửi mail qua imap pop3, và smtp

antibkav wrote:
em nghe nói có thể tìm lại được máy tính hay vị trí của máy tinh bằng địa chỉ vật lý (M.A.C.address) bạn của e vừa bị kẻ xấu lấy mất laptop em lục trong ip table có M.A.C của bạn ấy vậy cho em hỏi chúng ta có hi vọng tìm thấy máy quan M.A.C đó không????


mong anh conmale và cac pro khác replay xớm giúp em với !! thanks các anh nhiều!!
 


Có, với điều kiện cái máy đấy có gắn thiết bị GPS smilie còn không thì tìm bằng niềm tin
Hiện nay có một số nguồn tin cảnh báo cho xnohat về các dịch vụ của Baidu mới thâm nhập thị trường VN có thể chứa malware. Ví dụ như:

Trang tìm kiếm: vn.hao123.com , vn.hao222.com
Phần mềm nghe nhạc TTPlayer: vn.qianqian.com,
Mạng xã hội trà đá quán tieba.baidu.com.vn, ahphim.com
Dự án Zhihao

phần mềm TTplayer và hao123client có một số hành vi bất thường như cố tình thay đổi trang chủ dịch vụ, cài đặt âm thầm một số thành phần vào máy ( không phải extract từ gói cài đặt ), và có chuyển nhiều dữ liệu tới một máy chủ đặt tại TQ.

Rất mong anh em cùng góp sức analysis các dịch vụ này của TQ để nếu như đây là các malware thật thì có chứng cứ kỹ thuật rõ ràng để cảnh báo cộng đồng

Bản cài đặt của 2 phần mềm trên có thể tải trực tiếp từ trang chủ của các dịch vụ này, hoặc tải từ gói copy dưới đây ( đóng gói ngày 3/7/2012 )

http://www.mediafire.com/?p5khdid6wja6qm3
pass: 123hva

Các anh em mới bắt đầu làm reverser nên cẩn trọng làm trong máy ảo, vì chúng ta chưa thể chắc chắn về tính xác thực của các thông tin về malware nhúng trong các dịch vụ của baidu nên cần chú ý cẩn trọng.
Trường hợp này là do có thể cô gái bị mất tích dùng chung một mật khẩu cho nhiều tài khoản dịch vụ khác nhau ( yahoo, facebook... ) , và cô ấy có thói quen dùng chức năng remember password của các trình duyệt web, khi này thì mật khẩu của cô gái sẽ được lưu lại và dễ dàng phục hồi ở dạng clear text

tham khảo: /hvaonline/posts/list/36878.html
Giả sử HVA mở lớp thì những bạn nào muốn đi học thì comment smilie
Restore máy lại từ một bản firnware mới không restore dữ liệu backup , rồi tắt tính năng find my iphone , location service đi thì nghỉ theo dõi
Cách mà malware Flame infect các máy khác trong mạng là cực kỳ tinh vi và thông minh:

Flame trên máy bị nhiễm sẽ tạo một máy chủ Windows Update giả trong mạng có tên là “MSHOME-F3BE293C”, nó sẽ chặn tất cả các yêu cầu cập nhật từ các máy khác trong mạng rồi "push" ( đẩy ) xuống các máy này các bản cập nhật giả mạo chứa malware Flame bên trong. Việc đẩy các bản cập nhật giả mạo này chỉ thành công khi có các chứng chỉ số từ Microsoft để ký lên các gói giả mạo, và điều đáng ngạc nhiên là các chứng chỉ số này Flame cũng có ( bài viết trên của Ky0 đã nói rõ )

Gói update giả mạo của Flame có description là:

<“update description="Allows you to display gadgets on your desktop."
displayName="Desktop Gadget Platform" name="WindowsGadgetPlatform"> 


HVA News sẽ cố gắng dịch bài này trong thời gian sớm nhất có thể để cập nhật tin tức về con siêu malware này cho mọi người.

Tham khảo:
[1] http://www.securelist.com/en/blog/208193558/Gadget_in_the_middle_Flame_malware_spreading_vector_identified
HVA News - Deep Web ( Web Ẩn ) là gì




Deep Web ( tạm dịch là Web Ẩn ) là các nguồn dữ liệu, thông tin dạng Web trên internet nhưng không thể tìm thấy trên các máy tìm kiếm thông thường hiện nay như Google, Bing…

Có rất nhiều nghiên cứu cho thấy, các máy tìm kiếm hiện nay chỉ lập được chỉ mục ( indexing ) cho một phần rất nhỏ của tất cả các nội dung web hiện có trên internet, còn một phần rất lớn của internet hoàn toàn không được biết đến bởi hầu hết người dùng internet.

Bạn sẽ nghĩ gì nếu bạn được cho biết rằng ngầm bên dưới của internet là cả một thế giới nội dung rộng lớn gấp nhiều lần hơn thế giới World Wide Web mà chúng ta có thể tiếp cận hiện nay ? Chúng tôi cho rằng bạn sẽ cảm thấy thực sự sốc. Các chuyên gia ước tính rằng các Web Ẩn mà các máy tìm kiếm hiện nay không thể chạm tới, chứa lượng nội dung nhiều gấp 500 lần so với World Wide Web.

Để có thể giải thích đơn giản và dễ hiểu hơn về khái niệm Web Ẩn, chuyên gia về Web Ẩn Mike Bergman, sáng lập viên của công ty BrightPlanet đã đưa ra một hình ảnh so sánh. Các dữ liệu có thể truy cập được của internet hiện nay thông qua cách tìm kiếm trên các máy tìm kiếm (Google, Bing…) giống như bề mặt của đại dương ( xem hình minh họa đầu bài ), rất nhiều thứ có giá trị có thể được tìm thấy trên bề mặt của đại dương internet, thế nhưng những mỏ dữ liệu, thông tin có kích thước lớn hơn nhiều, giá trị hơn nhiều lại nằm sâu, thậm chí rất sâu dưới bề mặt yên ả của internet, các dữ liệu này thường bị bỏ lỡ bởi các máy tìm kiếm không thể với tới chúng.

Thông thường các máy tìm kiếm sẽ lục lọi trên internet để thu thập các dữ liệu bằng một dạng phần mềm gọi là “Crawler” ( chương trình thu thập thông tin ). Công nghệ này hoàn toàn không hiệu quả trong việc lục tìm các nguồn dữ liệu ẩn trên internet ( Web Ẩn ), chúng ta có thể phân các dạng Web Ẩn thành các loại sau:
  • Dữ liệu web động: các trang web động có nội dung được sinh ra dựa vào các yêu cầu truy vấn nội dung đặc biệt hoặc truy cập thông qua các biểu mẫu truy vấn nội dụng ( ví dụ các biểu mẫu ở mục tìm kiếm của hva )
  • Các nội dung không được tạo liên kết hyperlink: các trang nội dung web không được liên kết tới từ bất kỳ trang web nào và bản thân nó cũng không có liên kết tham chiếu nào đến trang web khác. Giống như việc bạn đưa lên internet một tờ giấy A4 chỉ chứa nội dung mà không hề có một cái link nào hết cả vậy ( chú giải của người dịch )
  • Các trang web phải xác thực truy cập: các trang web yêu cầu muốn truy cập nội dung của nó thì thực hiện việc đăng ký và đăng nhập
  • Các trang web có nội dung thay đổi theo ngữ cảnh: các trang web này hiển thị nội dung thay đổi tùy thuộc vào một số điều kiện tác động, ví dụ như người dùng từ các dải IP của châu Á truy cập vào thì sẽ được xem nội dung phù hợp cho khu vực châu Á.
  • Các nội dung web bị giới hạn truy cập: một số trang web giới hạn việc truy cập tới các nội dung của nó bằng một số phương pháp kỹ thuật như file Robots.txt, CAPTCHAs hoặc tham số HTTP headers để ngăn cấm các máy tìm kiếm truy cập nội dung cua nó, cũng như tạo phiên bản cache nội dụng.
  • Nội dung sinh từ script hoặc Flash, Ajax: một số trang web chỉ có thể truy cập thông qua một liên kết được sinh ra bởi một đoạn mã JavaScript ( mà hva là một ví dụ trực tiếp ), hoặc nội dung được nhúng bên trong Flash hoặc chỉ có thể được tải về thông qua Ajax.
  • Nội dung phi HTML hoặc text: tức là các nội dung là text ( văn bản ) nhưng được hiển thị bên trong một tấm hình, video hoặc một số định dạng file mà các máy tìm kiếm không thể đọc được.
  • Nội dung văn bản chỉ có thể truy cập thông qua giao thức Gopher hoặc các file được lưu trữ trên các máy chủ FTP thì không được lập chỉ mục bởi hầu hết các máy tìm kiếm hiện nay: các máy tìm kiếm thông dụng như Google mặc nhiên không lập chỉ mục cho các trang không dùng giao thức HTTP hoặc HTTPS

Thế giới Web Ẩn song song này còn rộng lớn hơn nữa với rất nhiều nguồn thông tin, dữ liệu đa dạng thuộc các hệ thống mạng ( có đấu nối với internet ) của các doanh nghiệp, các chính phủ và cả của các tổ chức tội phạm mạng ( như các nguồn dữ liệu bị đánh cắp và công bố bởi Anonymous, LulzSec… ).

Trong trí tưởng tượng của nhiều người, khái niệm Web Ẩn thường đi kèm với ý tưởng về các nguồn dữ liệu bị đánh cắp, các nguồn dữ liệu bí mật thuộc các hệ thống bí ẩn không thể truy cập được. Dĩ nhiên, điều này thực sự chỉ là một sự hiểu biết sai lầm về Web Ẩn, các nội dung này vẫn có thể truy cập được theo một cách nào đó và trong một giới hạn nào đó, tuy nhiên ta sẽ chắc chắn rất khó để tìm thấy chúng bằng cách lục lọi trên một máy tìm kiếm phổ thông nào đó. Web Ẩn chính là giới hạn kỹ thuật mà các máy tìm kiếm hiện nay đang cố vượt qua.

Theo TheHackerNews

xnohat – HVA News


Tham khảo:

[1] http://thehackernews.com/2012/05/what-is-deep-web-first-trip-into-abyss.html

bolzano_1989 wrote:
Theo khoanh vùng của Microsoft thì malware Flame có sự góp tay của một/vài trong các khách hàng doanh nghiệp đã có yêu cầu kích hoạt license Terminal Services.

Microsoft certification authority signing certificates added to the Untrusted Certificate Store - Security Research & Defense - Site Home - TechNet Blogs
http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx
 


Giúp anh dịch bài này được không em, bài này giúp giải thích sâu hơn cho cái thông báo khẩn phía trên kia của MS nên có giá trị lắm
 
Go to Page:  First Page 1 2 3 5 6 7 Page 8 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|