|
|
PhpMyAdmin phiên bản mới đã support MảiDB rồi đó bạn
-rickb
|
|
|
Hình như bạn nhầm link với topic crackme rongchaua ? Mình có pm bạn xem thử, nếu được thì nhờ bạn fix lại. Thanks
Best Regards,
-rickb
|
|
|
mapthulu wrote:
Uchiha-Itachi wrote:
Tính năng Sandbox đã có từ lâu rồi, nhớ không nhầm là 1 chương trình Antivirus free.
Của Comodo, xài free mà ngon nữa, bao gồm gói tường lửa
Sandbox của Comodo đã bị bypass bởi 1 số chuyên gia security trên TG
-rickb
|
|
|
conmale wrote:
StarGhost wrote:
conmale wrote:
Chuyển sang IPv6 thì 90% những kẻ hở của giao thức trong IPv4 sẽ bị loại bỏ và bởi thế, DDoS cũng bị loại bỏ 1 phần lớn.
Khi chuyển sang IPv6, mỗi thiết bị được gán cho 1 IP riêng và nếu IP ấy dùng để DDoS thì nó sẽ bị ban vĩnh viễn. Khỏi DDoS .
Anh có thể cho một số ví dụ về kẽ hở của IPv4 mà sau khi được khắc phục bởi IPv6 thì DDoS sẽ bị hạn chế?
Một trong những tính năng quan trọng của IPv6 là IPSec hoàn toàn được hỗ trợ (natively). Vì tính năng này, những dạng DDoS sử dụng reflection không thể thực hiện được vì các packets refection không có giá trị. Những dạng DDoS sử dụng spoof addresses như với IPv4 sẽ không thực hiện được với IPv6. Các dạng DDoS sử dụng biện pháp spoofing và reflection chiếm tỉ lệ rất lớn ở IPv4.
Không may, với IPv6, dạng flood bằng TCP, UDP và ICMP vẫn không thể triệt tiêu vì cơ chế "bắt tay" vẫn không thay đổi. Tuy nhiên, vì IPv6 có thừa IP để assign cho mỗi device một static IP riêng biệt cho nên nếu sử dụng biện pháp ban IP vi phạm thì chỉ ảnh hưởng có 1 người thay vì ban 1 IPv4 IP như hiện nay có thể ban hàng chục, hàng trăm hay hàng ngàn người (vì sử dụng proxy, nat....).
StarGhost wrote:
Còn câu sau của anh thì em không đồng ý, có 3 lí do:
- một IP được sử dụng để DDoS không phải là do chủ nhân IP đó muốn, mà là do thiết bị sử dụng IP đó đã trở thành zombie. Nếu IP đó bị ban, thì lại nảy sinh một vấn đề DoS mới, mà anh tưởng tượng giả sử một botnet khoảng 100000 máy bị dùng làm DDoS, mà nếu ban IP của 100000 máy đó thì không phải là DoS trên diện rộng sao.
- nếu IP spoofing vẫn còn tồn tại, làm sao tìm ra chính xác 100000 máy trong botnet để ban IP
- kể cả tìm ra được, ai sẽ thực hiện việc ban IP? ISP chăng? Tier 3, tier 2, hay tier 1 chăng? Họ được lợi gì trong việc đó?
- Nếu chủ nhân không muốn tham gia DDoS và là nạn nhân thì trước tiên chỉ có mỗi "nạn nhân" ấy bị block thay vì hàng loạt người bị block như tình trạng hiện nay. Cái này giúp giảm thiểu "từ chối dịch vụ" do chính biện pháp ban. Nếu 100000 static IPv6 IP bị ban thì chỉ 100000 IP đó bị ban thay vì 100000 x 10 hoặc x 100 bị ban như IPv4 hiện nay thì vẫn tốt hơn.
- IP Spoofing không tồn tại với IPv6 được.
- Người bị DDoS (chủ máy, chủ hệ thống) ban chớ chẳng có ISP nào ban cả. Người bị DDoS có trọn quyền cho phép hoặc ban bất cứ nguồn IP nào vi phạm. Nếu "nạn nhân" bị ban vì chính máy mình là zombie thì người bị ban phải có trách nhiệm tự xoá zombie, tự phục hồi để không bị ban.
Hãy xét ở góc độ "adaptive firewall" có khả năng tiếp tục ban một IP cho đến khi nào IP đó không còn tấn công với tính chất là một zombie. Như HVA hiện tại chẳng hạn, nếu một IP nào đó liên tục và dồn dập gởi quá giới hạn số requests trong vòng một khoảng thời gian (ngắn) thì nó bị ban. Quy chế ban có nhiều cấp độ khác nhau.
Ví dụ, nếu IP gởi cùng 5 requests đến /hvaonline/forums/list.html mà có User-Agent y hệt nhau trong vòng 10 giây thì drop request thứ 6 nhưng không block IP đó. Nếu tình trạng này tiếp tục thì tiếp tục drop requests. Nếu sau một khoảng thời gian hoặc sau một số lượng đếm nhất định nào đó thì ra lệnh cho firewall block IP này. Tuy nhiên, việc block IP sẽ không phải là block vĩnh viễn mà cứ sau bao nhiêu giây hoặc bao nhiêu phút kiểm tra và thấy IP ấy vẫn tiếp tục "dội bom" thì tiếp tục block nhưng nếu nó quay về tầng số truy cập như một người bình thường thì không block nó nữa. Nếu cũng cùng 1 IP nhưng có nhiều User-Agents khác nhau thì nới rộng giới hạn drop và block ra vì xem đó là 1 IP (proxy hoặc nat) có nhiều người dùng nhưng đến một lúc nào đó vẫn phải block vì nó đi quá giới hạn cho phép.
Bởi vậy, với IPv6 và với hoàn toàn static IP thì block một IP (theo cơ chế đã giải thích ở trên) vẫn tốt hơn là block 1 IPv4 IP.
Hi anh conmale,
Anh cho em hỏi theo anh thì cơ chế "bắt tay" phải thay đổi như thế nào thì các dạng flood bằng TCP, UDP và ICMP mới có thể được ngăn chặn được ? Thanks anh
-rickb
|
|
|
tmd wrote:
Network nhiều thành lắm, web là 1 services, thành phần nằm trong cái network đó. Lấy 1 cái nhỏ so với 1 cái lớn.
Bạn tmd nghĩ là bảo mật "nhỏ" hơn network à
-rickb
|
|
|
bolzano_1989 wrote:
Nếu HVA mở lớp thì những khóa học với các môn học nào có thể được mở?
Nếu học phí có giá trên trời như của học viện SANS đến Việt Nam thì chắc chắn không phù hợp với khả năng tài chính của số đông bạn đọc:
http://force.vnsecurity.net/download/SANS-560-VN.pdf
Thực ra là tuỳ đối tượng thôi em, dùng chữ "giá trên trời" có vẻ ko hợp lý lắm vì :
+ Chất lượng của các khoá học SANS đã được proven trên khắp thế giới và nó tương xứng với số $ bỏ ra
+ Cũng chính vì đó, SANS không phải dạng course cho đối tượng HSSV hay dạng "học chơi cho biết" mà là các chuyên gia đã đi làm & có kinh nghiệm, đối với dạng như vậy thì anh nghĩ họ sẽ không tiếc bỏ ra nếu course đáp ứng đúng nhu cầu công việc của họ. Do VN gần đây bị "đầu độc" bởi các khoá học rẻ tiền đua nhau ra đời của Nhất nghệ, ... nên khi so với SANS là choánh thôi
-rickb
|
|
|
conmale wrote:
S_ThuCoDon wrote:
Chào mọi người.
Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS.
Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công.
Mong mọi người giúp đỡ.
tcpdump http://tinypaste.com/daf608
netstat http://tinypaste.com/01b22
netstat2 http://tinypaste.com/47c18d
Cảm ơn mọi người rất nhiều!
iptables -I INPUT -p tcp --sport 1000 --dport 80 -j DROP
iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP
Điều chỉnh /etc/sysctl.conf và thêm mấy dòng:
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5
net.ipv4.tcp_syn_retries = 5
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_fin_timeout = 10
save nó và chạy: sysctl -p (với chủ quyền root).
Sao trong phần hardening trên em không thấy anh conmale đề cập đến 1 thông số phổ biến khi prevent SYN DoS là "SYN cookies" nhỉ ? Phải chăng là do nó đã được enable default nên anh không care nữa hay là nó không còn hiệu quả nữa ?
-rickb
|
|
|
bolzano_1989 wrote:
Mình thấy việc các bạn không mở quá trình đăng ký thành viên diễn đàn không hay lắm (phải cung cấp họ tên, thông tin về bản thân):
Topic: Đăng ký | BKITSEC
http://bkitsec.vn/?topic=dang-ky
Để tham gia thảo luận trên diễn đàn, các bạn cần phải đăng ký cho mình một tên tham dự.
Việc đăng ký hết sức đơn giản, các bạn cần gửi thông tin theo mẫu sau về hộp thư admin at bkitsec dot vn :
Tên tham dự :
Họ :
Tên :
Giới thiệu sơ về bản thân :
Chúng tôi sẽ tạo tài khoản cho các bạn và gửi thông tin về hộp thư bạn dùng để gửi thông tin trên.
Thân chào !
Có lẽ đây là lí do:
Topic: Nội dung diễn đàn | BKITSEC
http://bkitsec.vn/?topic=n%e1%bb%99i-dung-di%e1%bb%85n-dan
Cũng chính vì những nguyên nhân trên mà nhóm quyết định chỉ cho đăng kí thông qua email, sẽ giúp cho tụi mình nắm được số liệu về các bạn, và tránh tình trạng đăng kí tràn lan mà không có chất lượng, tuy nhiên nếu như trong một thời gian dài các bạn không hoạt động ( không thảo luận, không đưa ra chủ đề..) thì tụi mình cũng sẽ có biện pháp xử lí hiệu quả, tất cả nhằm nâng cao chất lượng diễn đàn, tạo ra sân chơi hữu ích cho mọi người.
Topic: [1st Chal] Targeted Attack level 1 | BKITSEC
http://bkitsec.vn/?topic=1st-chal-targeted-attack-level-1
Chi tiết và challenges có trong mục Private cho members….
Có vẻ diễn đàn này sẽ là một diễn đàn đóng.
Mình lại thấy vì không public việc reg nick là hợp lý vì nếu làm vậy thì hoá ra ... cũng như các diễn đàn khác, mà số lượng diễn đàn kiểu vậy trên NET thì quá nhiều rồi (nếu thích kiểu vậy thì HVA đã chẳng phải là 1 trong những nơi tốt nhất rồi sao?). Với hình thức này thì sẽ hạn chế được 1 số lớn những người chỉ tham gia diễn đàn với mục đích xem, thích "ăn sẵn", ... dẫn đến gây loãng và chất lượng đi xuống. Thực ra trên TG vẫn tồn tại song song 2 hình thức này, cả forum public và các nhóm hoạt động riêng biệt, mỗi hình thức đều có ưu & nhược điểm riêng.
-rickb
|
|
|
WinDak wrote:
comale wrote:
Cho rằng (các phiên bản đưa ra ở đây hoàn toàn là ngẫu nhiên): trang web ấy chạy trên hệ điều hành Windows 2003, sử dụng IIS làm reverse proxy, Apache phiên bản 2.2.15, PHP phiên bản 5.3, sử dụng software thương mại là vBulletin có phiên bản 4.1.5 và cơ sở dữ liệu là mysql phiên bản 5.1. Tất cả các dịch vụ đều chạy trên cùng một máy chủ (dedicated server) và được firewall của ISP bảo vệ.
Vui lòng khai triển ở góc độ "forensics" để từ đó mới có thể đưa đến biện pháp.
Theo em thấy thì website đã bị hack thì uy tín đã sứt mẻ rồi, việc còn lại là làm sao để không sứt mẻ thêm và phục hồi nó.
Dưới "góc độ forensic" thì việc tối quan trọng là tìm ra lỗ hổng và vá lỗi kịp thời. Nhưng cái khó ở đây là vừa tìm được lỗ hổng vừa phải đảm bảo việc làm ăn vẫn thuận lợi, đối với 1 công ty lớn chỉ cần đặt server offline 1p có thể thiệt hại nhiều tỉ đồng. Do đó cái một chiến lược tốt sẽ là một chiến lược "nhanh" mà vẫn "chắc". Ngoài những thứ các bạn khác đã nói ở trên thì mình xin bổ xung theo quan điểm của mình:
1) Luôn có 1 máy chủ dự phòng và thiết lập ở chế độ DEBUG mode và SAFE mode (disable các tính năng không cần thiết). Khi bị hack lập tức switch qua máy chủ này và lưu lại toàn bộ traffic vào ra để điều tra nếu hacker có ý quay lại.
2) Trong lúc đó khoanh vùng các application có khả năng bị lỗi cao. Cái này tùy thuộc nhiều vào dấu hiệu bị hack mà attacker để lại. (qua access log, event log của window, thời gian loggin, ip loggin). Ví dụ:
Nếu bị hack vào database thì khả năng cao là :
- sql injection trong vbulletin forums, các pluggin, app v.v..
- lỗi 0-day mysql server
Nếu bị deface / upload file lạ trên hệ thống:
- xem khả năng bị chiếm quyền root của server vì các ứng dụng webserver, php có lỗi 0-day
- khả năng admin bị cài virus và mất mật khẩu
- khả năng webserver bị lỗi cho upload file hay thay đổi file
3) Cùng lúc chạy các ứng dụng tìm rootkit kết hợp audit manually các file bị thay đổi trong hệ thống trong khoảng thời gian bị tấn công.
4) Sửa lỗi và thông báo cho các cơ quan chức năng, đặc biệt quan trọng theo mình là phải luôn trung thực, cầu tiến và bình tĩnh trong phát ngôn với các tổ chức bên ngoài.
Mình thấy phần chạy ứng dụng tìm rootkit trong điểm thứ 3 của Windak nêu ra không cần thiết lắm, vì theo mình thì 1 khi hệ thống đã bị owned thì không thể tin tưởng để tiếp tục sử dụng tiếp mà phải chuyển sang 1 máy chủ fresh khác (còn máy owned thì offline để forensic). Thay vì đó, ta nên tập trung time cho forensic thì tốt hơn
-rickb
|
|
|
LeVuHoang wrote:
@rickb: Theo mình nghĩ định nghĩa stable kernel dựa trên cái kernel chạy gần nhất mà trên Windows định nghĩa là: Last good known configuration.
Nói nôm na thì có thể mô tả như vầy:
Đầu tiên, khi server boot, hoàn tất tới shell, kernel #1. ID = #1, recoveryState = 0.
Reboot server, nếu người dùng không tự chọn kernel thì dùng lại kernel #1 (ID = #1). Nếu boot với kernel khác (#2), tới shell, ID = #2. recoveryState = 0.
Recompile kernel, reboot với kernel #3, kernel panic, set recoveryState = 1. server tự reboot.
Khi server đang reboot, check thấy giá trị recoveryState = 1 thì dùng last kernel version, ở đây là #2. Như vậy hầu như tự khắc vào được version gần nhất khởi động được. Trong trường hợp không giải quyết được triệt để thì cũng giảm thiểu 1 phần đáng kể của việc gọi điện lên DC kêu NOC fix.
Ok, đồng ý với anh, nhưng như vậy thì nó cũng không do khả khi do phần quyền như em đã nói đúng khộng ?
-rickb
|
|
|
LeVuHoang wrote:
Tui đang suy nghĩ, tại sao tụi GRUB team không modify cho grub boot loader, nếu kernel panic thì khi reboot lại nó sẽ tự động chọn stable kernel trước đó mà boot nhỉ. Chứ mỗi lần server từ xa reboot lại sợ gần chết.
Em nghĩ là không thể vì nhiều lý do :
1/ Sau khi Grub đã bắt đầu load kernel thì nó đã pass control cho OS, và theo định nghĩa kernel panic xảy ra khi OS ko thể control/recovery được fatal error xảy ra => Grub ko thể can thiệp vì lúc đó nó ko còn quyền control
2/ Giả dụ là Grub có quyền làm chuyện đó thì nó cũng chỉ nên restart lại hệ thống, chứ ko nên tự chọn 1 stable kernel được vì khái niệm "stable" nó còn phụ thuộc còn phụ thuộc vào tuỳ trường hợp nữa, còn nếu chỉ cảe cái cái version stable trên kernel.org distribute thì sẽ ko ổn, vd như 1 server có hardware đặc biệt khiến sysadmin ko thể cài OS default mà phải rebuilt lại kernel thì OS đó mới chạy được trên nền tảng hardware đó, nhưng khi sự cố xảy ra khiến kernel panic => grub tự động chuyển sang cái stable kernel cũ
P/S : đây chỉ là suy nghĩ cá nhân của em, mọi người có gì đóng góp thêm nha
-rickb
|
|
|
Cá nhân mình thấy giải pháp tìm IP Game Sever thì ko khả thi lắm, ko phải ko được mà là vì thông thường 1 Game Online (đặc biệt là thể loại MMO) có khá nhiều Game Server nhỏ bên trong (vd cụm Thái Sơn, ...), mỗi GS như vậy có 1 hoặc nhiều IP WAN. Như vậy thì biết chặn đến khi nào ? Thay vì đó cá nhân mình suggest nên limit port trên FW (thường có kèm theo modem), tức là chỉ allow các port cần thiết như 80, 22, ... thôi, cò nlại drop hết. Thiết nghĩ thì khả thi hơn
Thân,
|
|
|
ntycle wrote:
dexxa wrote:
Tâm huyết và đam mê CNTT em CÓ. Năng khiếu em CÓ.
Ai chứng minh , ai chứng nhận được 2 cái ý này ?
Đó là cái mà em có thể tự tin nói ra.
Bạn có thể tự tin nói ra ko có nghĩa là bạn có thể đạt được, giống như ai cũng có thể nói mình giỏi còn chuyện giỏi thật hay ko thì cần phải có minh chứng cụ thể. Ở đây mình ko nói bạn nói xạo mà có thể bạn bị ngộ nhận, chuyện này rất hay xảy ra
Thứ 2 là bạn nói qui mô công ty nhỏ nên chỉ khi nào có project mới học được => mình cho đây là sai và nó chứng tỏ bạn chưa có đam mê thực sự, vì nếu thực sự bạn đã đam mê rồi thì dù cty ko bắt bạn cũng có thể tự nghiên cứu rất rất nhiều cái, chỉ trừ 1 số ít liên quan đến device thì còn có thể nói là ko có cơ hội làm, nhưng đó chỉ là 1 phần rất rất nhỏ
Thân,
|
|
|
Em nghĩ là sẽ xoay quanh 3 topic : Software exploitation, Web 2.0 Attack và Mobile Attack
Thân,
|
|
|
Mr.Khoai wrote:
Chào thupt86,
Theo khoai biết, định nghĩa về firewall rất không rõ ràng. Một số người đồng ý là packet filter cũng có thể được xem là firewall, trong khi một số khác đòi hỏi phải có stateful packet inspection.
Proxy rõ ràng là để nằm giữa "đệm" cho hai bên client và server thật nói chuyện với nhau. Nếu proxy có thêm một cơ chế nào đó để lọc ra chỉ chấp nhận một số client, hoặc một dãy subnet, vân vân thì khoai vẫn xem nó hoạt động như một firewall.
khoai vẫn không rõ các dạng proxy mà bạn nói có nghĩa gì. Dạng "vô hình" khoai đoán là transparent proxy. Vậy còn dạng kết nối trực tiếp là sao?
khoai
Theo cá nhân mình thì khái niệm firewall chỉ là khá rộng chứ ko hề ko rõ ràng, và theo mình đây là định nghĩa chính xác nhất về nó (trích từ wikipeadia) :
It is a device or set of devices that is configured to permit or deny computer applications based upon a set of rules and other criteria.
Như vậy có thể thấy yếu tố chính quyết định sự chính xác của firewall chính là ACLs, còn các chức năng như stateful thì chỉ là feature sau này được bổ sung, tuy quan trọng nhưng ko thể dựa vào nó để đánh giá xem có phải là fw hay ko. Còn như khoai nói "trong khi một số khác đòi hỏi phải có stateful packet inspection" thì theo mình đó chỉ là những kẻ gàng dỡ kỹ thuật thôi
Proxy tương tự như firewall, là 1 khái niệm rộng, 1 cách từu tượng nhất thì nó là danh từ để chỉ 1 layer (device or software) đứng giữa 2 đầu communicate. Thông dụng hơn, thì nó ám chỉ 1 dịch vụ đứng giữa với vai trò như 1 "người đại diện" cho 1 loại protocol nào đó, vd HTTP Proxy, FTP Proxy ...
Thân,
|
|
|
|
|
|
|