HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Những thảo luận khác

HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	05/07/2013 13:23:55 (+0700) \| #1 \| 277193

xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline

Theo quan sát hiện nay của HVA News, hàng loạt trang tin đã và đang bị DDoS, cuộc vấn công đã kéo dài 2 ngày, số lượng tờ báo bị tấn công đang tăng. Hiện có các trang

- Dân Trí ( đã khôi phục một phần )
- Vietnamnet
- Tuổi trẻ
- Kênh 14

Lưu lượng DDoS ước lượng mỗi tờ báo đang phải gánh từ 50-70Mbps ( thông tin thu thập bởi các nguồn khả tín ).

Chúng tôi sẽ cập nhật thông tin mới khi có thể

HVA News

------------------------------------------------
06/07/2013
Cập nhật phân tích

Code:

Thống kê sơ bộ một cuộc tấn công vào một tờ báo						
Thời lượng sniff	3	s				
Số packets	1,000,000					
Kích thước file sniff	184,642	MB				
(ước tính) Lưu lượng/s	61,547	MB/s	(hoặc)			
	492,376	Mb/s				
Số lượng IP	16,143	Unique IP				
IP VN	2,874	Unique IP	=	18	%	Tổng lượng IP
IP nước ngoài	13,269	Unique IP	=	82	%	Tổng lượng IP
IP Trung Quốc	543	Unique IP	=	3	%	Tổng lượng IP
IP OS	Windows	90%

--------------------------------
Cập nhật ngày 16/07/2013

Bữa nay tạm thời máy chủ C&C ( Command & Control ) của botnet đã ngưng hoạt động, nhưng việc nó có thể active lại là chuyện chắc chắn. Đây chỉ là đoạn dừng trước cơn bão lớn khác, các domain của các C&C server vẫn chưa bị tước bỏ, các mẫu virus vẫn đang cần cộng đồng phụ submit lên các Antivirus toàn cầu

Đề nghị các ISP nếu có thể hãy chặn toàn bộ các domain C&C này để ngừa hậu hoạ
speak.checknik.com
media.bulkweb.org
lovenet.contbiz.com

Còn người dùng cuối vì sự an toàn cũng nên tải về công cụ của CMC quét và diệt thử trên máy dù có nhiễm hay không

http://www3.cmcinfosec.com/Tin-tu-CMC-InfoSec/CMC-InfoSec-cung-cap-cong-cu-diet-ma-doc-doi-tuong-tan-cong-DDoS-bao-mang/1456.epi

Những kẻ tấn công đã trở lại nhiều lần, đây không phải là lần đầu, chỉ là lần này chúng manh động hơn, liều lĩnh hơn.

Các nạn nhân bị DDoS lần này nên bắt đầu việc chuẩn bị các yếu tố con người, tài nguyên hạ tầng, chuẩn bị cho các đợt tấn công tương lai

Tuy nhiên lần này có điều đáng mừng là cộng đồng mạng đã đóng vai trò cực kì nhanh chóng trong việc truy tìm và gửi các mẫu virus cho HVA và các chuyên gia. Có cộng đồng giúp sức, thì những trò bậy bạ như tấn công, DDoS, cài đặt malware sẽ không có chỗ đứng. Xin cám ơn một số thành viên cộng đồng mạng đã giúp sức tìm mẫu virus nhanh nhất có thể như halh, 1visao...

Đây mới chỉ là sự bắt đầu...

Đôi lời nhắn gửi anh em kỹ thuật của các tờ báo đang bị tấn công:
Các anh em chuyên gia của HVA luôn sẵn sàng hỗ trợ anh em trong tình huống bị DDoS nặng nề này hết sức trong khả năng của mình. Nếu cần anh em cứ liên lạc theo địa chỉ thư điện tử: xnohat AT gmail DOT com hoặc liên lạc của bất kỳ anh em nào khác trong HVA mà anh em quen biết. Tôi cũng sẽ forward các mail tôi nhận được cho các anh em khác trong HVA nhằm cùng tìm giải pháp hỗ trợ anh em kỹ thuật của các tờ báo đang bị tấn công

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	05/07/2013 15:09:26 (+0700) \| #2 \| 277195

fawkes_hk
Member

Joined: 01/04/2012 08:34:12
Messages: 5
Location: 260160
Offline

Em thấy cứ có hack là lượng khách vào HVA lại cao smilie

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	05/07/2013 15:31:13 (+0700) \| #3 \| 277196

daiduong47
Member

Joined: 17/03/2010 08:59:03
Messages: 2
Offline

Các anh có thể cho biết rõ hơn traffic này là trong nước hay là ngoài nước vậy ạ. Nếu cả hai thì đa phần là từ đâu ạ ?

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	05/07/2013 16:08:00 (+0700) \| #4 \| 277197

vuong
Elite Member

Joined: 21/03/2003 04:58:54
Messages: 50
Location: Yên Hạ
Offline

Chờ đợi thêm thông tin từ nhiều nguồn khác.

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	05/07/2013 16:10:38 (+0700) \| #5 \| 277198

lamdt
Member

Joined: 25/02/2012 11:00:01
Messages: 10
Location: nowhere
Offline

Dân Trí được 3 ngày rồi ạ.
Traffic cả trong nước lẫn nước ngoài. hết smilie

Chân cứng, đá mềm

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	05/07/2013 16:48:22 (+0700) \| #6 \| 277199

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Có nguồn cho biết tuổi trẻ đang hứng cỡ 1,3Gbit smilie

.

Xem mớ log thì thấy cũng cái trò đổi User-Agent nhưng kiểu DDoS này giống như kiểu nó cố là bão hoà băng thông vì nó crawl tá lả bùng binh.

Hết nước âm binh đi đánh lề phải luôn. Hình như thời buổi này bà con uống lộn thuốc hết rồi. smilie

What bringing us together is stronger than what pulling us apart.

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	05/07/2013 17:46:00 (+0700) \| #7 \| 277200

thienhoang562
Member

Joined: 15/06/2011 07:53:10
Messages: 25
Offline

Dạo này đang cuộc chiến ảo trên mạng thật là nóng quá đi @@

'.'.'.'.'.'Lặng yên để lắng nghe và cảm nhận'.'.'.'.'.'.'.

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	05/07/2013 21:11:05 (+0700) \| #8 \| 277207

vu tri huy
Member

Joined: 03/03/2013 05:07:32
Messages: 1
Offline

Thoả nào mấy ngày hôm nay em không thể nào vào mấy trang mạng đọc báo được
Chỉ có vào được 24h thôi à.
Buồn Ghê cơ

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	05/07/2013 21:15:28 (+0700) \| #9 \| 277208

thegunner2401
Member

Joined: 20/07/2011 06:35:07
Messages: 2
Offline

Hình như HVA cũng đang bị tấn công hay sao ý ạ?
Hôm nay em vào diễn đàn thấy load khá lâu và đôi lúc nhận được thông báo "Trang web này hiện không có"

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	05/07/2013 22:35:26 (+0700) \| #10 \| 277210

phanledaivuong
Member

Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline

This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	05/07/2013 22:46:25 (+0700) \| #11 \| 277212

nguyenga86
Member

Joined: 13/11/2010 00:19:05
Messages: 205
Offline

kênh 14 ra đi, các bạn teen hết chỗ hóng tin sao hàn , tin rác về các hot boy hot girl không có chỗ đăng , ảnh hưởng nặng nề đến một bộ phận giới trẻ ( trâu) nước ta . Thật là đáng buồn smilie

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	06/07/2013 14:31:13 (+0700) \| #12 \| 277227

isecret
Member

Joined: 26/04/2012 10:03:58
Messages: 0
Offline

không biết đội nào DDOS mà không DDOS được vnexpress

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	06/07/2013 20:29:09 (+0700) \| #13 \| 277237

docphongm41
Member

Joined: 02/03/2008 23:47:04
Messages: 10
Offline

dạng flood gì đấy hả các anh ?

Perfection of sounds is the silence

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	06/07/2013 21:56:56 (+0700) \| #14 \| 277238

he0k0n
Member

Joined: 02/11/2011 01:07:17
Messages: 42
Offline

đang hóng thêm tin tức...

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	07/07/2013 00:31:38 (+0700) \| #15 \| 277242

tuan_delete
Member

Joined: 26/06/2006 17:18:53
Messages: 2
Offline

This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	07/07/2013 06:01:44 (+0700) \| #16 \| 277243

lenon
Member

Joined: 15/12/2007 18:35:56
Messages: 29
Offline

Sáng nay em thử vào Nhaccuatui.com cũng có hiện tượng không vào được, các anh có thể xem nhé

Cho em hỏi là nguy cơ truy cập vào những web bị tấn công này thì máy tính mình có thể bị nhiễm virus hay không ?
Phương pháp kiểm tra độ an toàn khi truy cập những website nghi ngờ nào là hữu hiệu nhất ?

smilie

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	07/07/2013 06:45:41 (+0700) \| #17 \| 277244

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Phần cứng đó thì mềnh không quan tâm, mềnh chỉ quan tâm làm sao test, dùng thử (trial) cái phần mềm đứng kèm kế bên thôi smilie

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	07/07/2013 07:17:11 (+0700) \| #18 \| 277246

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

Có vẻ như lần này "tổ chức" chỉ đao và tiến hành việc tấn công DDoS trên mạng đã thay đổi cách tấn công, khác với những lần trước.

Chúng định kỳ thời điểm (starting time) và thời hạn (duration) tấn công vào một mục tiêu đã được xác định từ trước (listed). Quá trình tấn công vào một mục tiêu vì vậy lặp đi lặp lai theo một chu kỳ định sẵn (bởi hackers). Trong khoảng thời gian tạm dừng tấn công vào mục tiêu này, mạng bot-zombies chuyển sang tấn công một mục tiêu khác (trong attacked list), rồi sau đó quay lại mục tiêu ban đầu.
Do vậy người ngoài khó nhận định là một website nào đó đang bị tấn công DDoS. Họ lại cho rằng hệ thống mạng-webserver-website này đang có trục trặc kỹ thuật (nội bộ) gì đó. Và những người làm bảo mật hay quản trị mạng có thể hiểu nhầm là các cuộc tấn công vào một webserver vừa qua không phải chỉ là của một "tổ chức", mà là của các cá nhân hay nhóm nhỏ nào đó. Vì trên mạng lúc nào cũng xảy ra một vài cuộc tấn công DoS.
("Tổ chức" nói trên có lẽ đang dùng nhiều loại DoS tool (bot), khoảng 3, 4 loại gì đó.)

Trong những ngày vừa qua có lẽ HVA webserver cũng bị tấn công DDoS theo kiểu cách như thế. Có lúc truy cập dễ, nhưng nhiều lúc vào rất khó, rất chậm. Post một bài viết ngắn, hay chỉnh sửa vài từ của post, có lúc mất đến 30 phút, hay hơn, nhưng ngay lúc đó lai truy cập rất dễ, nhanh đến các website VN và nước ngoài khác. (Xin anh conmale check lại access-log của Apache trong các webserver-Thank)

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	07/07/2013 08:04:22 (+0700) \| #19 \| 277247

Hunganh3
Member

Joined: 28/03/2003 01:51:25
Messages: 0
Offline

trận này lâu đấy nhỉ, làm tớ lâu quá rồi phải vào lại HVA xem tin.

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	07/07/2013 15:18:50 (+0700) \| #20 \| 277255

canh_nguyen
Elite Member

Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline

thanhnien.com.vn hiện đang xịt.

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	07/07/2013 20:24:16 (+0700) \| #21 \| 277265

_sharp_
Member

Joined: 24/05/2009 19:24:50
Messages: 33
Location: Onepiece
Offline

với các site lớn như thế: chắc chắn có F5 balancing, nginx (cache proxy), database distributed, caching data, cache browser,....

@PXMMRF: chú cho cháu hỏi nếu bị bot net thì hệ thống trên có thể không chống được; và nếu muốn chống thì chắc chỉ còn cách chặn IP; nhưng lúc đấy sẽ không biết được đâu là IP tấn công; đâu là IP người dùng thật; vì với các site báo chí; thói quen người dùng sẽ click rất nhiều tab + on page time rất cao + các site báo chí sẽ không thể làm giống HVA: bạn truy cập với tốc độ ánh sáng;....
Chú cho cháu hỏi còn biện pháp nào chống DDos không hay chờ cho đối thủ chán không DDos nữa!

Thanks!

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	07/07/2013 22:15:30 (+0700) \| #22 \| 277268

stylish_man
Member

Joined: 26/10/2007 11:05:48
Messages: 17
Offline

This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	07/07/2013 22:31:00 (+0700) \| #23 \| 277269

_sharp_
Member

Joined: 24/05/2009 19:24:50
Messages: 33
Location: Onepiece
Offline

This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	08/07/2013 10:30:13 (+0700) \| #24 \| 277276

Linux Kernel
Member

Joined: 05/08/2004 23:09:38
Messages: 1
Offline

Mấy năm rồi ko vào vẫn thấy thanh niên ham mê DDOs rác vào mặt văn hoá nước nhà nhỉ.
Kể ra đội hình ngày xưa chơi lịch sự hơn hẳn, nghĩ mà cũng buồn cho lớp trẻ bây giờ. Thích là nhích, thích là làm luôn. Không có thương hiệu gì cả, đốt bừa gây ô nhiễm văn hoá programer. Chữ ký chúng nó còn không dám để huống chi là ý thức bảo vệ tài nguyên hàn xẻng của bọn cuồng idol

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	08/07/2013 10:45:09 (+0700) \| #25 \| 277277

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

Mình xin được "ít" IP. Nhờ mọi người kiểm tra giúp xem IP của các bạn có trong danh sách này không. Nếu có, vui lòng tham khảo topic "Phân tích tính chất vài trận DDoS HVA vừa qua": /hvaonline/posts/list/39641.html để rà soát lại máy (hoặc hệ thống).

Cảm ơn mọi người.

Let's build on a great foundation!

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	08/07/2013 13:01:53 (+0700) \| #26 \| 277280

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

Cám ơn quanta nhiều.

Đố các bạn có bao nhiêu địa chỉ IP liệt kê trong file .txt mà quanta vừa cung cấp trên đây. Trong đó có bao nhiêu static-dynamic IP từ Việt nam, bao nhiêu từ TQ và bao nhiêu từ các nước còn lại?

Có tới 4874 IP đang tấn công DDoS vào một mục tiêu đấy! (Dân trí hay Vietnamnet, thanhnien...?), quanta chưa nói ra.
(Dùng cách nào để đếm cho chính xác nhỉ? Dùng notepad mở ra là thấy tá hoả tam tinh với những con số dày đặc. Hì hì. Cũng dễ thôi mà!)

Như quanta đã đề nghị, xin các bạn check xem có static IP nào là của server do bạn hay do cơ quan bạn quản lý, có dynamic IP nào thuộc DSLAM đang cung cấp dynamic IP cho máy bạn, cơ quan bạn....

Sau đó chúng tôi sẽ nhờ các bạn chung tay giúp một vài việc. Chỉ là để phục vụ cho cộng đồng, đất nước mà thôi. Thank you in advance.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	08/07/2013 15:30:43 (+0700) \| #27 \| 277282

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

PXMMRF wrote:

Trong đó có bao nhiêu static-dynamic IP từ Việt nam, bao nhiêu từ TQ và bao nhiêu từ các nước còn lại?

Danh sách trên chỉ toàn các IP từ Việt Nam thôi anh ạ (em đã lọc rồi, không biết có sót cái nào không).

Bạn nào không có account hoặc lười login thì có thể download ở đây: http://www.mediafire.com/download/53qug17mhvvzg3d/attacked_newspapers_2013-07-08.txt

Let's build on a great foundation!

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	08/07/2013 15:56:20 (+0700) \| #28 \| 277283

lenon
Member

Joined: 15/12/2007 18:35:56
Messages: 29
Offline

quanta wrote:

PXMMRF wrote:

Trong đó có bao nhiêu static-dynamic IP từ Việt nam, bao nhiêu từ TQ và bao nhiêu từ các nước còn lại?

Danh sách trên chỉ toàn các IP từ Việt Nam thôi anh ạ (em đã lọc rồi, không biết có sót cái nào không).

Bạn nào không có account hoặc lười login thì có thể download ở đây: http://www.mediafire.com/download/53qug17mhvvzg3d/attacked_newspapers_2013-07-08.txt

Máy tính em có cài Kaspersky nhưng bình thường em không bật lên vì ngốn RAM quá.
Hôm trước thấy Chrome không vào web được + Một số tình trạng bất thường trên máy thì bật lên mới biết máy dính virus ( Conflicker / Kido nổi danh một thời) nhưng không tìm nổi tool diệt ( mặc dù trước đó em đã diệt rất nhiều máy ( bdtools.net ). Vậy em kết luận đã có chủng mới cho loại virus này mà chưa có tool diệt.

Sau khi làm lại phần mềm trên máy tính thì giờ đã ổn. Em vẫn không yên tâm máy tính mình có sạch hay không nữa.

Nếu có tool nào kiểm tra toàn bộ logs máy cần thiết thì các anh làm bài hướng dẫn giúp em với nhé.

Tiện đây bên MMO lại có một một vài web mới kiếm tiền bằng tool chạy trên máy tính, em chưa hiểu nó kiếm tiền kiểu gì nhưng đoán là công cụ DDoS mà dân MMO không biết :

Có gì các anh phân tích thử ạ : http://www.mediafire.com/download/8crzrlti8kfvi8m/threadmanagersetup.exe

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	08/07/2013 16:03:42 (+0700) \| #29 \| 277284

dungth02
Member

Joined: 25/12/2008 21:33:01
Messages: 72
Offline

Không biết các cuộc tấn công này có ảnh hưởng đến nhà mạng FPT không? Vừa recovery cái windows 8 bản quyền giờ Active không được nữa smilie

và trang web của Microsoft để active cũng không vào được, trong khi vẫn duyệt facebook, google... vẫn bình thường.

Hay có khi máy tính của mình cũng thành một zombie mất rồi?

[News] HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến	08/07/2013 16:21:00 (+0700) \| #30 \| 277285

lenon
Member

Joined: 15/12/2007 18:35:56
Messages: 29
Offline

@dungth02
Cái cmt của mình trước cmt của bạn có nói về conflicker đó.
Bạn thử truy cập vào một số trang bảo mật như : Microsoft, Kaspersky, Norton.

Nếu có chủng mới của dòng này mà các hãng bảo mật không phát hiện ra thì đúng là nỗi kinh hoàng của năm 2009 bắt đầu hiện về smilie

Go to:

Users currently in here
1 Anonymous