banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: dacminhm  XML
Profile for dacminhm Messages posted by dacminhm [ number of posts not being displayed on this page: 0 ]
 
Kinh dị câu hỏi đã trải qua 3 tháng ròng rã mà chủ nhân vẫn chưa giải quyết được à? smilie)
- Vào internet mà bị limited thì gọi thằng admin biểu ' anh ơi cấp phát cho em cái ip", rồi vào mà manual config đừng để auto nữa
- Được cấp phát ip rồi mà vẫn không vào được mạng --> xem thằng bên cạnh vào được không? Hắn vẫn vào được mình thì không thì....cài lại máy cho nhanh gọn, vứt cái ghost kia vào sọt rác là vừa.
- Trường hợp đặc biệt là bị netcut !

FaL wrote:
chiro8x, dacminhm:
Thoải mái đi các bạn, chính mình cũng chưa đạt đến tầm để rà soát, kiểm tra hoàn toàn một source code. Vì thật sự bây giờ source code không đơn giản, cần phải hiểu biết ngôn ngữ, kiến trúc, triết lý,... mới có thể thực hiện công việc đó. Mình tạo ra chủ đề này để học hỏi thêm mọi người về khía cạnh bảo mật, bên cạnh đó cũng để một số bạn chưa quan tâm đúng mức đến vấn đề dùng source code lạ biết được những nguy cơ còn tồn tại.
 

smilie Tôi tự biết từ xưa đến giờ chưa quan tâm đến bảo mật,cứ làm rồi vứt đấy nên mới tự kêu là newmem vậy mà có người kêu newmem không được phát biểu thì hết biết rồi. Tôi cũng đâu dư time cãi nhau với người chê người khác mà chính mình chẳng nêu ra lý do, cách giải quyết thuyết phục cả. Đến cuối cùng thì lại quay về cái tôi nói là phân tích tất cả các url mà server mình kết nối!
Fal để mình giải thích với bạn sao cứ dây dưa mãi
Tại sao gọi base64 là mã hoá 2 chiều là vì:
- base64_encode('password') --->abcde
- base64_decode('abcde') --->password
Khi kiểm tra login có 2 cách:
If base64_decode($pass)=Pass trong database =>passed (pass trong database text)
If base64_encode($pass)=Pass trong database ----> passed (pass trong database là base64)
Với MD5 thì chỉ có hàm md5('password')-->7041159938a3c020ab037179de2fac52
=> Chính vì lý do này mà có người nghĩ MD5 chỉ đựoc dùng cho mã hoá password. Tuy MD5 là mã hoá 1 chiều nhưng ta có thể làm như sau: khi mã hoá được đoạn text thì lưu vào database cả đoạn MD5 7041159938a3c020ab037179de2fac52 cùng normal text có thể ánh xạ cho nhau được (cái này thì tuỳ người làm, có thể chia nhỏ cho vào nhiều table khác nhau hay thế nào thì kệ không bàn ở đây). Như vậy khi cần decrypt chỉ cần phép so sánh là xong.
Việc này thì nhiều trang decrypt md5 hay làm ví dụ: http://www.md5decrypter.com/ .

chiro8x wrote:
Nếu như nhận biết backdoor theo hành vi của chúng có vẻ là lựa chọn khôn ngoan hơn với sử dụng phương pháp so sánh text content. Nếu có chương trình thực thi các file script và phân tích nó như vậy việc chống backdoor sẽ tốt hơn. 


Giữa việc nói và việc làm là 2 việc khác nhau, smilie Bạn professional có chương trình hay phương pháp nào như thế thì nói rõ ra, chứ nói chung chung thì ai cũng nói được chẳng cần đến professional làm gì.
smilie Quên mất phải nói điều nữa, bạn đừng chê tôi là newmem vì đây là topic thảo luận chứ không phải là topic hướng dẫn. bạn thông cảm cho, có gì sai thì nói ra để anh em sửa chữa thì mới là thảo luận
Thiếu nút thank bạn vì đã làm mình phải xem lại base64(sha-1) với md5 khác nhau thế nào? Và kết nhất cái câu:
Hix ! thực sự bạn nguy hiểm quá, nên phát biểu nhữn điều trong tầm hiểu biết của mình nếu không người ta cười cho đấy :"< 
Bạn chiro8x làm như tôi là chuyên gia vậy đã nói từ đầu là newmem mà lỵ smilie)

Còn nữa tôi cứ theo cái câu của FAL
Source code của ứng dụng có chứa backdoor hay không? 
; bàn ra thế, chứ không bàn về source code sau khi bị tấn công hay phát hiện ra bị tấn công!
Cái vụ này phức tạp thật !
Code:
aHR0cDovL3Rlc3RzaXRlLmNvbS9iYWNrZG9vci5waHA=

nó được mã hoá bằng base64 hả? Khó nhỉ? ngoài ra còn chơi SHA hay MD5 nữa cho khoẻ đi... chả biết nó mã hoá bằng gì hay giấu kiểu gì thì kết quả cuối cùng thì cũng là gửi 1 cái gì đó đến cái URL đấy smilie tôi ý kiến như thế các bạn có thấy đúng ko? Thế thì chỉ cần phân tích toàn bộ các url mà server kết nối đến là xong! Newmem chỉ biết thế thôi...Vì ngay FAL đã nói là
Chủ đề này không đi sâu vào việc kiện toàn bảo mật cho server chứa ứng dụng web, mà thảo luận về việc nhận biết backdoor của web-application không có nguồn gốc rõ ràng.
 

Có bạn nào chỉ cách khắc phục vụ form upload với smilie giả sử đang chơi forum thì phải có nơi cho mem upload lên chứ? cấm sao đựoc!
Cái chuyện diệt virus bằng tay hồi xưa bàn nhiều lắm rùi mà smilie Tôi thuộc loại pre - newmember về lĩnh vực virus nên có mấy bàn luận sau (chỉ dành cho Window thôi ah):

_ Bước 1: Xin mời dùng antivirus soft trước, đỡ mệt. cái nào soft không diệt đựoc thì ta mới diệt bằng tay

_ Bước 2: Dữ liệu có quan trọng quá không? Có cần diệt gấp ko? --> nếu KHÔNG thì khỏi diệt, format hoặc del luôn lập phân vùng lại disk từ đầu như hồi mới mua về ấy! Chỉ copy riêng ra 1 số file thôi. Dữ liệu quan trọng ấy, kêu quan trọng thì chắc chỉ file văn bản hay file ảnh, video thôi nhỉ? Mấy cái đấy thì lấy đâu ra virus xịn = bước 1 chơi đựoc hết!

_ Bước 3: Nếu cả 2 bước trên đều không thực hiện được thì ta mới bắt đầu diệt bằng tay. Nói bằng tay chứ thực ra thì vẫn dùng phần mềm, phần mềm chúng ta cần là ProcessExplorer, HijackThis ( cả 2 cái này đều là free - quá nổi tiếng). Trước tiên là dùng processExplorer mở ra và truy xét ra các truy vấn khả nghi (ghi vào giấy cho dễ nhớ smilie) - cái chương trình này hay ở chỗ nó kill process lẫn service mà không gặp cản trở gì! Đã thế lại cho biết cái process hay cái service đấy nó nằm ở đâu, thậm chí là có trong Registry nào mà diệt.

_ Bứoc 3.5: sau khi kill process, services rồi thi dùng Hijack mà quét thôi ...ra con nào thì..viết ra giấy rồi kill hết cho tôi.

_ Bước 4: Bước này đơn giản nhất, mà cũng khó nhất. Điều căn bản là bạn phải nhận biết ra đâu là file khả nghi còn đâu là file hệ thống! (Cái này thì là do bạn trong quá trình sử dụng mà tự ngộ ra thôi, riêng kinh nghiệm tui cài đi cài lại máy hàng chục lần nên toàn bộ file, process, services là nhớ như lòng bàn tay. ) Còn phát hiện ở đâu thì ở cái tờ giấy mà bạn ghi trong bứoc 3 ý...cứ tìm nó mà diệt (Xoá shift -del). Nhớ là khi xoá có mở Process Explorer nhé (nhiều con chơi kiểu backup để trùng sinh - khi nó trùng sinh là ăn đòn ngay).

_ Bước 4.5: thực ra bước này là để dự phòng. Trứoc khi bạn xoá file virus thì nhớ copy nó vào 1 thư mục. Đổi đuôi file thành dạng khó tự chạy kiểu *.txt hay *.bak *.temp chẳng hạn. Tuỳ ý. Rồi sau đó vào Local Security Policy mở 1 hash rule tại key Software Restriction Polices để disable theo mã hash thì thách virus chạy lại (nhiễm) lần 2,. Ngoài ra bước này còn có ích cho bác nào muốn sưu tập virus đề làm của riêng với mục đích khác
Các bạn siêu cao thủ quá..nói thế thì các newmem hiểu sao nổi! Người xem hiểu thì chả cần đọc hướng dẫn các bạn làm gì vì họ...hiểu sẵn rồi! Nên với tư cách newmem nên có ý kiến sau:

_ Tôi thấy thường các backdoor trên web application thì chẳng antivirus nào quét ra nổi.

_ Không dại gì config server bằng cách khoá mấy hàm ít cần (ít cần chứ không phải ko cần) ví dụ như fopen, fclose, readfile thì lỡ tôi muốn xây dựng 1 cái box chat mà lưu database dưới dạng text ngay trong 1 file temp thì sao? Sử dụng mấy lệnh khác tương tự nhưng dài hơn thì...hổng biết smilie) Hay

_ Không có kiến thức debug..nhưng chung quy backdoor nếu không biến ta thành zoombie thì cũng là ăn cắp information --> và kiểu gì cũng phải gửi đến đâu đó --> Cho lên một host free nào đó ..chạy source --> phân tích bằng firebug còn nếu không biết dùng thì chơi bằng adblock. Cái nào mà không phải từ host của ta thì...bóp chết thôi. Cách bóp chết thì dễ thôi, nếu là file thì xoá file đi, nếu là code thì xoá dòng code đó đi. Nếu kém hơn nữa là không biết sửa thì.... thay địa chỉ đó bằng địa chỉ của ta! Hoặc chặn luôn ip của nó đi cho hết gửi.

_ À có ai chống chế hắn chèn kiểu date=time thì include..thì vô tư đi. Máy chủ là máy ảo, máy client cũng cho ảo luôn. Cả hai máy ảo này cho đổi thời gian chạy luôn 1 năm (mỗi lần đổi time chỉnh cho lên 1 tháng coi) mất tầm 10 phút là truy ra hết mấy địa chỉ rỏm. Nói vui thế chứ, bình thường kiểu gì hắn cũng phải include 1 file shell nằm đâu đó (trong source của ta thì dễ chơi quá khỏi bàn) nếu là 1 đường link thì...ha ha... mở toàn bộ file trong source lên (tôi thấy dùng Notepad++ cũng đựoc) rồi Ctrl+F theo kiểu http,ftp,https,.... thì kiểu gì cũng ra! Ra rồi thì quay lại bước trên kia.

_ Bị chèn trong database SQL, MySQL ư? Lúc đầu cứ đặt prefix bằng tên của riêng ta, cái nào mà không phải tên ta thì cứ xoá vô tư! Hắc hắc... smilie Còn nếu kém hơn thì chơi kiểu 2 source chạy 2 máy khác nhau ( 1 trong nó chạy cái cần thử ) rồi đem 2 cái data ra so sánh mà..bó tay rồi... trước khi install cái nào thì cố xem database nó gồm cái gì, chứ đã install rồi mà ngồi tìm thì có mà ốm...
smilie newmem chỉ biết thế...các bạn chỉ giáo gì không? chứ nói cao siêu như trên thì khó chơi quá
từ đầu kêu telnet google.com 80 fail, roi ping google ---> Khoe ta đây mắc vào lỗi gì đó thôi, không cần ai trả lời ---> cãi nhau ỏm tỏi --> tự dưng ta tìm được unwise.exe (là gì vậy trời) gây nên bệnh --> ta tự sửa được rồi, có cần ai đâu, khoe thui ma --> tự sướng smilie)
Thế khi hỏng không vào được window (do sửa nút welcome) thì vào đâu để phục hồi vậy bạn yêu?
 

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|