banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Tìm kẻ tấn công khi đã biết IP  XML
  [Discussion]   Tìm kẻ tấn công khi đã biết IP 31/05/2010 06:52:33 (+0700) | #1 | 211942
[Avatar]
Jino_Hoang
Member

[Minus]    0    [Plus]
Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline
[Profile] [PM] [Yahoo!]
Em đã biết nếu kẻ tấn công để lại IP thực của hắn thì khả năng tìm ra hắn sẽ là 100%. Nhưng em không hiểu rõ cách thức làm thế nào để từ IP đó có thể lấy được thông tin của kẻ tấn công. Em đã mang IP qua một số trang lấy thông tin như http://domaintools.com nhưng chỉ lấy được cái địa điểm VD như Hà Nội hay TP HCM.
Forum của em vừa bị hack. Thằng hack nó up lên mấy con shell. Em đã xem log thì phát hiện một số IP khả nghi. Vì Forum của em là VBB Null lên không dám nhờ cơ quan chức năng giải quyết ( Forum em bị nó Drop mất 2 table, lại còn viết lên Index những lời sằng bậy nữa). Bây giờ em đang muốn đưa nó ra ánh sáng. Mong mọi người giúp cho em với.
Đã Trở Lại - Ăn Hại Hơn Trước
[Up] [Print Copy]
  [Discussion]   Tìm kẻ tấn công khi đã biết IP 01/06/2010 08:04:30 (+0700) | #2 | 212026
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Jino_Hoang wrote:
Em đã biết nếu kẻ tấn công để lại IP thực của hắn thì khả năng tìm ra hắn sẽ là 100%. Nhưng em không hiểu rõ cách thức làm thế nào để từ IP đó có thể lấy được thông tin của kẻ tấn công. Em đã mang IP qua một số trang lấy thông tin như http://domaintools.com nhưng chỉ lấy được cái địa điểm VD như Hà Nội hay TP HCM.
Forum của em vừa bị hack. Thằng hack nó up lên mấy con shell. Em đã xem log thì phát hiện một số IP khả nghi. Vì Forum của em là VBB Null lên không dám nhờ cơ quan chức năng giải quyết ( Forum em bị nó Drop mất 2 table, lại còn viết lên Index những lời sằng bậy nữa). Bây giờ em đang muốn đưa nó ra ánh sáng. Mong mọi người giúp cho em với. 


Thông tin ở phần màu đỏ chỉ là thông tin về nhà cung cấp chớ chẳng phải thông tin của kẻ thâm nhập. Nếu không có sự giúp đỡ của nhà cung cấp thì vô phương. Không có cách gì tìm ra đâu.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Tìm kẻ tấn công khi đã biết IP 01/06/2010 18:14:07 (+0700) | #3 | 212084
[Avatar]
Jino_Hoang
Member

[Minus]    0    [Plus]
Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline
[Profile] [PM] [Yahoo!]
Vâng cháu hiểu rồi. Có lẽ cháu lên chú trọng bảo mật cho Forum hơn là tìm ra kẻ đã tấn công. Dù sao Forum cũng đã phục hồi được nguyên vẹn rồi.
Đã Trở Lại - Ăn Hại Hơn Trước
[Up] [Print Copy]
  [Discussion]   Tìm kẻ tấn công khi đã biết IP 03/06/2010 09:22:01 (+0700) | #4 | 212221
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

conmale wrote:

Jino_Hoang wrote:
Em đã biết nếu kẻ tấn công để lại IP thực của hắn thì khả năng tìm ra hắn sẽ là 100%. Nhưng em không hiểu rõ cách thức làm thế nào để từ IP đó có thể lấy được thông tin của kẻ tấn công. Em đã mang IP qua một số trang lấy thông tin như http://domaintools.com nhưng chỉ lấy được cái địa điểm VD như Hà Nội hay TP HCM.
Forum của em vừa bị hack. Thằng hack nó up lên mấy con shell. Em đã xem log thì phát hiện một số IP khả nghi. Vì Forum của em là VBB Null lên không dám nhờ cơ quan chức năng giải quyết ( Forum em bị nó Drop mất 2 table, lại còn viết lên Index những lời sằng bậy nữa). Bây giờ em đang muốn đưa nó ra ánh sáng. Mong mọi người giúp cho em với. 


Thông tin ở phần màu đỏ chỉ là thông tin về nhà cung cấp chớ chẳng phải thông tin của kẻ thâm nhập. Nếu không có sự giúp đỡ của nhà cung cấp thì vô phương. Không có cách gì tìm ra đâu. 


1- Nhất trí hoàn toàn với bác conmale.
2- Bổ sung một vài kiến thức-kinh nghiệm thêm cho bạn. Dù rằng bạn chưa làm được ngay, có thể làm được trong tương lai. Nhưng dù sao để các ban khác có thể tham khảo.

a- Kiểm tra xem cái đia chỉ WAN IP ấy có phải là IP của một Proxy server nào đó không? Nếu "yes" thì gần như là bótay.com.

b- Kiểm tra xem nó có phải là IP tĩnh (WAN static IP) không? Nếu "yes" thì còn may. Nó đang tấn công bạn từ một Webserver hay Fileserver... nào đó. Check thẳng vào server đó mà tìm tòi, dự đoán.

c- Nếu IP đó là một WAN dynamic IP do một ISP nào đó (thí dụ Viettel, VDC, FPT...) cung cấp, thì chú ý xác đinh tên của ISP, các thông tin liên quan có thể tìm thấy và chờ đợi.

d. Chờ cho đến khi nó hack lai máy (thí dụ webserver của mình), thì xác đinh ngay WAN IP của nó và lập tức check thẳng vào máy của nó, trong khi nó (hay ISP) chưa thay đổi WAN dynamic IP (của modem-router của nó).
Nếu nó (hay ISP) liên tục thay đổi WAN dynamic IP, thì cũng bótay.com.
Trong quá trình này kẻ thắng thường là người "thông minh hơn và quan trong là kiên nhẫn hơn".

e- Nhưng nếu nó đã thâm nhập đươc vào máy-server của bạn, chiếm đươc quyền admin. hay root và thay đổi Event log (cả các log khác nữa) trong hệ thống rồi, thì chắc chắn là bótay.com

Hì hì.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Discussion]   Tìm kẻ tấn công khi đã biết IP 03/06/2010 10:15:06 (+0700) | #5 | 212228
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Nhân anh PXMMRF đề cập đến trường hợp kẻ tấn công dùng một proxy nào đó để truy cập đến điểm cần tấn công tôi nhớ có lần tôi truy tìm nguồn tấn công đến một máy chủ (mà tôi nhận lời thực hiện forensic) thì tìm thấy một trường hợp khá lý thú như sau:

- Kẻ tấn công dùng proxy để "che" IP thật của mình.
- Có hai IP khác nhau (tạm gọi là AB) liên tục request đến máy chủ của nạn nhân.
- Một trong hai IP trên có bảo mật cực kỳ lỏng lẻo nên tôi có thể thâm nhập nó khá dễ dàng và khám phá ra đó là một proxy chạy bằng squid (B).
- Squid server này có "parent" là một proxy server khác (A). Trên cấu hình của server B có dòng:
cache_peer xxx.xxx.xxx.xxx parent 8080 3130 default

trong đó, xxx.xx.xxx.xxx chính là IP của A.

Nói một cách khác, kẻ tấn công cố tình nấp sau 2 proxies khác nhau để che dấu IP. Đáng lẽ ra logs của máy chủ của nạn nhân chỉ lưu IP của máy A nhưng vì cấu hình sai nên các requests mà kẻ tấn công tạo ra khi thì đi xuyên qua proxy A, khi thì đi xuyên proxy B.

Tất nhiên, sau khi xem access log của proxy B, tôi biết được nguồn IP (public IP) của kẻ tấn công. Điều tôi muốn nói ở đây là nếu kẻ tấn công có thể huy động một chuỗi proxy (chạy trên squid chẳng hạn), hắn có thể "chain" các proxies ấy lại nhau để che dấu tung tích. Ví dụ:

Tin tặc ---> proxy A ---> proxy B ---> proxy C ----> nạn nhân.

Trong đó, proxy C có thể là một anonymous proxy có thời gian tồn tại rất ngắn (do nó bị config sai nên vô tình mở ra cho công cộng dùng). Proxy B là một squid server nằm ở vị trí địa lý 1, proxy A nằm ở vị trí địa lý 2. Trên thực tế, nếu proxy C có thời gian tồn tại ngắn (như danh sách các anonymous proxy có trên mạng) thì việc truy tìm IP nguyên thuỷ gần như vô vọng. Tệ hơn nữa, nếu các gói tin đi xuyên qua thêm proxy A và B thì càng khó. Tất nhiên, tin tặc dạng "kiddie" thường không có điều kiện tài chính hay kỹ thuật để tạo nên một chuỗi proxy cho mục đích tấn công. Chỉ có những kẻ có khả năng và ở mức độ chuyên nghiệp mới làm như vậy.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Tìm kẻ tấn công khi đã biết IP 03/06/2010 12:49:06 (+0700) | #6 | 212236
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]

PXMMRF wrote:


a- Kiểm tra xem cái đia chỉ WAN IP ấy có phải là IP của một Proxy server nào đó không? Nếu "yes" thì gần như là bótay.com.

 


Hi anh, gần như là có nghĩa là vẫn có cơ hội hoăc hi vọng. Vậy cơ hội và hi vọng nằm ở đâu tiếp theo để xác định được thế anh ?

Hiện tại bên em đang bị dò pass email. Truy ra ip trên log thì chỉ tới những proxy ở nước ngoài. Tuy nhiên em dự đoán là chỉ có những người "quen" mới biết những địa chỉ email đó. Thân
[Up] [Print Copy]
  [Discussion]   Tìm kẻ tấn công khi đã biết IP 04/06/2010 21:16:46 (+0700) | #7 | 212370
[Avatar]
Jino_Hoang
Member

[Minus]    0    [Plus]
Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline
[Profile] [PM] [Yahoo!]
Đúng là nếu có Proxy thì khó làm ăn thật. Cảm ơn mọi người đã chia sẽ kiến thức. Nếu có được IP thì cách 1 là hỏi ISP còn cách 2 là tấn công máy chủ của ISP và lấy thông tin về IP đó đúng không mọi người?
Nếu mà IP của nó là WAN dynamic IP thì khi bị thay đổi là ta bị mất dấu sao? Nếu mà ISP có log thì có thể xem không?
Trường hợp của cháu thì có vẻ như là bị local nhưng không hiểu sao cái Event log lại bị xoá mất lên cũng không chắc có phải local không. Có vài cái IP khả nghi nhưng mà không tìm được Info của nó.
Đã Trở Lại - Ăn Hại Hơn Trước
[Up] [Print Copy]
  [Discussion]   Tìm kẻ tấn công khi đã biết IP 05/06/2010 10:03:58 (+0700) | #8 | 212404
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

vikjava wrote:

PXMMRF wrote:


a- Kiểm tra xem cái đia chỉ WAN IP ấy có phải là IP của một Proxy server nào đó không? Nếu "yes" thì gần như là bótay.com.

 


Hi anh, gần như là có nghĩa là vẫn có cơ hội hoăc hi vọng. Vậy cơ hội và hi vọng nằm ở đâu tiếp theo để xác định được thế anh ?

Hiện tại bên em đang bị dò pass email. Truy ra ip trên log thì chỉ tới những proxy ở nước ngoài. Tuy nhiên em dự đoán là chỉ có những người "quen" mới biết những địa chỉ email đó. Thân  


Thân chào vikjava
Biết được chính xác đia chỉ IP (WAN IP) của proxy server là còn biết được "nơi ở" của thằng đã được người khác nhờ đánh mình. Nhưng đó lại là dấu vết duy nhất mà ta có thể căn cứ vào đó để điều tra.

Tuy nhiên, thưc tế cho thấy thường thì các Proxy server bảo mật hệ thống hơi lỏng lẻo. Điều này anh conmale cũng đã nói ở trên. Có nhiều lý do của việc này. Nhưng theo tôi có một lý do là: các admin. của Proxy servers cho rằng rất ít ai muốn tấn công-khai thác proxy servers. Tin tặc thì không rồi, vì tin tặc còn phải dưa vào proxy servers để "làm ăn" chứ.

Vì vậy nếu thâm nhập vào proxy server được, thì có thể đọc được các event log hay access log..., do vậy tìm ra được đia chỉ IP "origin' của tin tặc.
Tuy nhiên việc thâm nhập vào một server hoàn toàn không dễ dàng chút nào, ngay cả khi nó được quản lý bảo mật khá lỏng lẻo ở một vài "chỗ" nào đấy. Ngoài ra cũng có những khó khăn khác: như bảng thời gian của ta theo chuẩn khác với proxy server (nên phải quy chuyển lại) hay chính máy của ta cũng "căn" giờ lung tung thiên mà ta không biết để khắc phục từ trước... vân vân.

Việc liên hệ với ISP nhờ họ giúp thưc tế là rất khó, hay không làm được. Họ bận trăm công, ngàn việc nên chẳng bao giờ chú ý đến yêu cầu nhỏ nhoi của một cá nhân. Khi nhờ đươc thì lại có những trục trặc mà tôi đã nói ở trên (về chuẩn thời gian giữa máy ta và ISP server...). Không hiểu các ISP ở nước ngoài có khá hơn không?

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Discussion]   Tìm kẻ tấn công khi đã biết IP 06/06/2010 00:14:46 (+0700) | #9 | 212486
[Avatar]
tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline
[Profile] [PM] [WWW]

Jino_Hoang wrote:
Em đã biết nếu kẻ tấn công để lại IP thực của hắn thì khả năng tìm ra hắn sẽ là 100%. Nhưng em không hiểu rõ cách thức làm thế nào để từ IP đó có thể lấy được thông tin của kẻ tấn công. Em đã mang IP qua một số trang lấy thông tin như http://domaintools.com nhưng chỉ lấy được cái địa điểm VD như Hà Nội hay TP HCM.
Forum của em vừa bị hack. Thằng hack nó up lên mấy con shell. Em đã xem log thì phát hiện một số IP khả nghi. Vì Forum của em là VBB Null lên không dám nhờ cơ quan chức năng giải quyết ( Forum em bị nó Drop mất 2 table, lại còn viết lên Index những lời sằng bậy nữa). Bây giờ em đang muốn đưa nó ra ánh sáng. Mong mọi người giúp cho em với. 


Bro liên hệ với ISP quãn lý IP "ma" này nhờ họ giúp đỡ xem vì ISP sẽ nắm rõ các dãy IP quy hoạch, phân phối,thời gian cấp phát... cho các tỉnh thành trong toàn quốc, tuy nhiên bro không có bằng chứng, đơn thư khiếu nại, có mối quan hệ, ngoại giao với họ thì giống như mò kim đáy bể.

Tôi tin nếu bro có "bà con" với ISP thì trace cũng mò ra mà thôi smilie (trường hợp IP tấn công này dùng IP động, IP tỉnh do ISP XXXX,YYYY cung cấp ở VN).
[Up] [Print Copy]
  [Discussion]   Tìm kẻ tấn công khi đã biết IP 07/06/2010 11:02:28 (+0700) | #10 | 212643
[Avatar]
Ikut3
Elite Member

[Minus]    0    [Plus]
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
[Profile] [PM] [Yahoo!]
Hi chú và các anh

Thật không biết là sự trùng hợp hay sao nữa nhưng từ khi Topic này được mở em nhận phải 1 case tương tự và giống đến từng chi tiết mà chú Conmale & bác PXM đưa ra.

Server đang chạy của 1 nhà cung cấp các dịch vụ làm Web, hầu như các site trên này đều được build từ source Joomla. Sáng nay em nhận được tin báo server bị ip lạ connect vào và thực thi 1 số câu lệnh nguy hiểm (rm, shutdown, service [x] stop).

IP cuối cùng login vào hệ thống thông qua quyền root và location ở USA. Điều đáng nói là attacker đã xoá hết các câu lệnh của him trong .bash_history và không để lại dấu vết gì từ địa chỉ IP này. Em suy xét các mối nguy hại khi xảy ra chuyện này ở 2 khía cạnh sau

+ Nếu attacker login vào root với user + pass có sẵn thì ở đâu attacker có 2 thứ này ? Nếu bên khách hàng em làm lộ pass thì đó là điều không bàn cãi, nhưng người chủ họ đảm bảo password không hề bị lội, vì lần nào ssh vào cũng đều ngồi ở nhà. Các nhân viên của họ hầu như làm việc trên máy tính không thể cài đặt bất cứ 1 tool nào phục vụ cho việc sniffer

+ Nếu attacker là 1 tay chuyên nghiệp, lợi dụng 1 vài lỗ hổng trên ứng dụng Joomla để getroot thì quả thực quá với sức tưởng tự. Vì em hầu hết đã apply các rules security nhằm hạn chế những lỗ hổng thường gặp nhất như XSS - SQL inject - Local v.v.... Và thật sự nếu attacker là người có thể get root server dễ dàng như vậy thì chắc chắn cũng chỉ vào xem thôi chứ không cố ý thực hiện các câu lệnh tương tác nguy hại

Địa chỉ của Attacker login nằm ở 1 Mỹ và đây là 1 proxy server. Em không giỏi để có thể xâm nhập vào máy chủ này và xem các access log của nó.

Mục đích của em là muốn thấy được nó đã vào bằng cách nào, và nó ở đây là ai !

Rất mong được các chú và mọi người góp ý

Thân
[Up] [Print Copy]
  [Discussion]   Tìm kẻ tấn công khi đã biết IP 08/06/2010 07:35:25 (+0700) | #11 | 212754
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Ikut3 wrote:
Hi chú và các anh

Thật không biết là sự trùng hợp hay sao nữa nhưng từ khi Topic này được mở em nhận phải 1 case tương tự và giống đến từng chi tiết mà chú Conmale & bác PXM đưa ra.

Server đang chạy của 1 nhà cung cấp các dịch vụ làm Web, hầu như các site trên này đều được build từ source Joomla. Sáng nay em nhận được tin báo server bị ip lạ connect vào và thực thi 1 số câu lệnh nguy hiểm (rm, shutdown, service [x] stop).

IP cuối cùng login vào hệ thống thông qua quyền root và location ở USA. Điều đáng nói là attacker đã xoá hết các câu lệnh của him trong .bash_history và không để lại dấu vết gì từ địa chỉ IP này. Em suy xét các mối nguy hại khi xảy ra chuyện này ở 2 khía cạnh sau

+ Nếu attacker login vào root với user + pass có sẵn thì ở đâu attacker có 2 thứ này ? Nếu bên khách hàng em làm lộ pass thì đó là điều không bàn cãi, nhưng người chủ họ đảm bảo password không hề bị lội, vì lần nào ssh vào cũng đều ngồi ở nhà. Các nhân viên của họ hầu như làm việc trên máy tính không thể cài đặt bất cứ 1 tool nào phục vụ cho việc sniffer

+ Nếu attacker là 1 tay chuyên nghiệp, lợi dụng 1 vài lỗ hổng trên ứng dụng Joomla để getroot thì quả thực quá với sức tưởng tự. Vì em hầu hết đã apply các rules security nhằm hạn chế những lỗ hổng thường gặp nhất như XSS - SQL inject - Local v.v.... Và thật sự nếu attacker là người có thể get root server dễ dàng như vậy thì chắc chắn cũng chỉ vào xem thôi chứ không cố ý thực hiện các câu lệnh tương tác nguy hại

Địa chỉ của Attacker login nằm ở 1 Mỹ và đây là 1 proxy server. Em không giỏi để có thể xâm nhập vào máy chủ này và xem các access log của nó.

Mục đích của em là muốn thấy được nó đã vào bằng cách nào, và nó ở đây là ai !

Rất mong được các chú và mọi người góp ý

Thân 


Để xác định server bị tấn công như thế nào, cần xác định "possbile entries". Ở đây, bồ cung cấp 3 dữ liệu:

- SSH
- Joomla (trên Web)
- Tấn công từ proxy server nào đó ở Mỹ.

1. Nên xét thử SSH có bị brute force và mất password chưa? Nếu cho phép root truy cập SSH và dùng password đơn giản thì cơ hội bị brute force thành công có thể xảy ra.

2. Nên xét thử nếu compromised Joomla (cần phải xác định thêm thông tin từ log của web server), account nào dùng để chạy apache / joomla có chủ quyền cao hơn bình thường hoặc có điều kiện để gia tăng chủ quyền không.

3. Nếu ghi nhận được nguồn tấn công từ một proxy thì xem thử trên system logs (messages, secure....) để xác định IP đó access đến những cổng dịch vụ nào.

Ngoài ra còn xem thử máy chủ này có những cổng dịch vụ nào khác được mở và có khả năng bị khống chế.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Tìm kẻ tấn công khi đã biết IP 08/06/2010 10:26:58 (+0700) | #12 | 212785
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
nhân lúc bị thế này, để tránh gặp tình trạng tương tự, nghĩ cách làm sao để ngay khi ssh bị brute force quản trị hệ thống được thông báo, những log bất thường (ERROR, WARNING, CRITICAL) được mặc định gửi về email nào đó, kiểm tra tình trạng syslog... thay vì ngồi chờ cho đến khi phát hiện hệ thống bị compromised mới lo đến việc tìm log để suy ra thủ phạm :- )
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Discussion]   Tìm kẻ tấn công khi đã biết IP 09/06/2010 23:15:16 (+0700) | #13 | 212922
[Avatar]
Ikut3
Elite Member

[Minus]    0    [Plus]
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
[Profile] [PM] [Yahoo!]
Cám ơn Chú Diêu và anh Bi. Vụ lần này do bị lộ pass (MITM) qua sơ hở của chủ Server
Tuy nhiên em sẽ xây dựng 1 hệ thống log hoàn chỉnh bằng syslog để cảnh báo tốt hơn

Cám ơn mọi người.
[Up] [Print Copy]
  [Discussion]   Tìm kẻ tấn công khi đã biết IP 10/06/2010 09:34:24 (+0700) | #14 | 212945
[Avatar]
panfider
Member

[Minus]    0    [Plus]
Joined: 12/05/2010 01:51:04
Messages: 448
Offline
[Profile] [PM] [Email]
làm admin cũng khổ thật
[Unix] live free or die
[Up] [Print Copy]
  [Discussion]   Tìm kẻ tấn công khi đã biết IP 10/06/2010 10:58:55 (+0700) | #15 | 212953
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
- Theo dõi trên hệ thống mình thấy đa phần các nguồn attack đến từ các proxy nước ngoài. Theo những phân tích của anh conmale và bac PXMMRF thì có lẽ tăng cường phòng bị, monitor liên tục để có biện pháp ngăn chặn là giải pháp tốt nhất. Tìm ra kẻ tấn công thì hạ hồi phân giải smilie và có lẽ khó tìm ra.

- Tấn công lại kẻ tấn công mình thì chắc khả năng không có smilie . Hi vọng các anh bớt tí thời gian chia sẻ với tụi em một quy trình hoặc 1 trường hợp cụ thể mà các anh thực hiện forensic. Đây là một lĩnh vực mà khả năng chưa đạt đươc, tuy nhiên vẫn muốn học hỏi để biết mình thiếu kiến thức chỗ nào, đặng mà trám vào . Thân



[Up] [Print Copy]
  [Discussion]   Tìm kẻ tấn công khi đã biết IP 11/06/2010 09:05:29 (+0700) | #16 | 213038
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

Ikut3 wrote:
Cám ơn Chú Diêu và anh Bi. Vụ lần này do bị lộ pass (MITM) qua sơ hở của chủ Server
Tuy nhiên em sẽ xây dựng 1 hệ thống log hoàn chỉnh bằng syslog để cảnh báo tốt hơn

Cám ơn mọi người. 

Đúng là cần phải như vậy.

Tuy nhiên không nên quá nghiêng về việc củng cố-thiết lập các log từ hệ điều hành và từ các application cài đặt trong hệ điều hành.

Cũng cần chú ý, tận dung, khai thác tối đa các log thiết lập trong các Router hay ADSL modem..... Bởi vì đó là chốt đầu tiên mà mọi hacker hay user bắt buộc phải "đi "qua.

Có nhiều thông tin hay và "tinh khiết" từ syslog của router-modem. Hacker có thể vào được hệ thống server (Hệ Điều hành), nhưng chưa chắc đã vào được Router-modem.

Nên cài đặt chế độ Router-modem định kỳ gửi thông tin trong syslog đến máy của ta (máy khác, đặt ở nhà chẳng han) qua email.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|