banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: vnsec_net  XML
Profile for vnsec_net Messages posted by vnsec_net [ number of posts not being displayed on this page: 0 ]
 
Bác có thể cài keylog lên máy tính của mình hoặc máy tính nào mà vợ hay làm việc - ví dụ máy tính ở công ty- , sau đó "dụ" cho vợ login vào. Mà cách này không khuyến khích đâu bác nhé.

Còn cách nữa là khi ngoại tình sẽ đi "ăn ngoài", bác xem cử 1 đội thám tử đi dò xem smilie. Còn ko thì tự đi điều tra thôi bác smilie.
Đọc từ đầu đến cuối thì thấy chủ thread đang viết TUT hack website qua SQL Injection smilie).

vitti wrote:
Em là admin w4vn.net và vnit.mobi, không tin thì em chứng minh được: http://w4vn.net/vitti.txt

Dạo trước em có thuê 1 người mod code thuê cho site vnit.mobi (chung VPS với w4vn.net) , làm xong ok thì đến hôm nay em có giật mình khi thấy nó rao bán code vnit.mobi + w4vn.net của em với giá rẻ mạt với demo là http://wapmvn.com, em chửi nó nó vịn cớ là thiếu tiền mong em thông cảm, em không thể thông cảm được smilie(( em quyết định local để delete hết code của em trên host của nó nhưng mà không tài nào làm được smilie server nó là shared hosting bán host cho nó thôi

Em đã mua 1 host cùng server nó nhưng tuy safe_mode off nhưng disable function và em không có tài UG hay hacking nên không local được, Vậy mong các bác các anh các chị ở đây ai giúp em vụ này được không ak smilie(((
 


Bạn quên cái cách tấn công lại để xoá nó đi, bởi lẽ họ sẽ còn lưu source và db của bạn trên máy của họ. Cái này ko thể "diệt cỏ diệt tận gốc" được.

Bạn nên chứng minh được tin tặc đã tấn công và lấy toàn bộ thông tin website của mình sau đó liên hệ với Công an để kiện và đòi bồi thường thiệt hại.
[quote=Dark1990]em đang làm đồ án về Ossec HIDS.

- Demo tấn công ok và phát hiện khi đọc file log. Nhưng thầy hướng dẫn kêu em làm sao khi phát hiện ra tấn công phải có sound hay thông báo lên màn hình để biết bị tấn công chứ không phải ngồi đọc file log.

*Các anh biết chỉ giáo em với .Em cảm ơn .[/quote]

Nên cảnh báo bằng email, hiện tại theo tài liệu của OSSEC thì chưa thấy cảnh báo qua SOUND.

mjnhrock wrote:
Cho em hỏi trang web viustatol.com có tin tưởng được không 


Bạn cần thông tin gì từ đó?
Cái TuneUp này đợt trước chính là cái DDoS vào 3 báo điện tử hồi tháng 7 còn gì. Xoá nhanh không hậu hoạ khó tưởng nhé...

Real_Time wrote:
Các bạn hướng dẫn mình cụ thể thêm một chút được không ạ? 


Ví dụ bạn biết nó kéo 1 file DLL rồi thì bạn làm gì vs cái DLL đó?
Cách nhanh nhất là dùng Process Explorer. Nó có tính năng load những file dll nào.
Bạn lục lại cái đống access_log nhé. Coi nó chui vào phá bằng cách nào.

Nếu không thì gửi qua cho tôi, tôi xem giúp cho.

Email: support@vnsec.net

Nhớ có cái access_log nữa nhé.
Bạn làm thế là tiếp tay cho nó, giờ ví dụ nó đòi thêm thì bạn lại đưa thêm cho nó à?

Nhà mình xây lên nó đến đòi tiền là thế nào. 1 triệu đó đủ để trả tiền công xem bug rồi.

yeubaomat wrote:
Thank bạn
Ngay sau đó, mình đả nhắn tin cho khoa biết, và khoa đã khắc phục lỗi đó
Tuy nhiên khoa ko tiết lộ bị tấn công như thế nào
Các pro có thể chỉ cho mình biết cách tấn công như thế ko? 


Chỉ những người có quyền thực sự trên hệ thống mới biết được hacker vào phá bằng đường nào. Mọi dấu vết đều được lưu, vấn đề là phải đọc hiểu những cái đó. Mình nói ở trường hợp này là Logfile - log http access.

yeubaomat wrote:
Bạn nên cái hệ thống IDS (=Snort) để phát hiện xâm nhập
Nếu bắt được kể sniffer kia thì xử lý nó ngay tại chổ.
 


Phát hiện gì ở đây? Bạn cài Snort lúc nào chưa?
Chỉ có cách là bị chèn iframe hoặc javascript trong site rồi.

PM mình site của mình, mình sẽ kiếm tra cho smilie.
Để thiết lập bảo mật tốt thì Database chỉ cho kết nối ở trong mạng LAN, không liên quan bên ngoài. Khi đó giải pháp là dùng FW chặn cổng là xong.
Nếu máy bạn thuộc LAN thì phải cấu hình trên Modem, chức năng FORWARD cho đúng port nữa.
Loại này là Base64

Cách nhận biết: thường có dấu bằng "=" sau chuỗi được mã.

Tools thì vào Google gõ từ khoá "gzinflate base64 decode" hoặc đây có sẵn: http://tools.sinhvienit.net/gzinflate-base64_decode/
Bạn phải nói rõ hơn may ra mới có người giúp được smilie
Lên Google tìm từ khoá "slowloris".

Trong HVA này cũng đã thảo luận khá nhiều, hình như chủ để được tạo bởi Mirro thì phải.

vinhquang_th wrote:
Chào mọi người, Website của mình hôm nay bị hack. Bây giờ mình cần phải làm những gì? Mong mọi người chỉ giáo.
http://www.duongnhat.com.vn/

Cảm ơn mọi người 


Bạn mệt và đi lấy thuốc. Ra hiệu thuốc chỉ nói là "Tôi bị mệt, hãy lấy thuốc cho tôi".

Tôi đố bác sỹ nào dám kê đơn đấy!

boynet wrote:
Tối qua forum em vừa bị hack
, nó để lại địa chỉ face là http://www.facebook.com/Islamic.Ghosts.Team, một lúc sau forum lại vào bình thường (có lẽ nhà cung cấp host họ khắc phục ngay), tuy nhiên không vào host để kiểm tra được. Dùng FlashFXP vào host thì vẫn vào tốt. Vào kiểm tra thì không thấy file nào lạ cả, mọi dữ liệu vẫn còn đầy đủ. Xin hỏi các bác nó hack theo cách nào ? Hướng khắc phục thế nào để tránh những lần hack sau ? 


Mọi cuộc thâm nhập đều để lại dấu vết, việc là bạn có thể đọc hiểu được những dấu vết đó hay không thôi.

Trong trường hợp này, bạn có thể đọc Logfile - file access_log - là sẽ biết hacker đã hack như thế nào.
Mình không nghĩ giải pháp dùng FW cản được trong trường hợp này. Trừ khi bạn xác định đã mất mật khẩu và bạn dùng FW để câu hình chỉ cho 1 hay vài IP xác định đăng nhập vào.

Quay trở lại vấn đề chính, vấn đề của chủ thread là "nghi ngờ hacker đột nhập vào" và nếu bạn không cài Metasploit và tạo tài khoản thì chắc chắn đã bị hacker đột nhập.

Trong trường hợp này theo mình có 4 đường để hacker đi vào:

1. Máy tính đăng nhập vào máy chủ bị dính Keylog.
2. Hacker tấn công bằng lỗi 0-day trực tiếp exploit vào và tự động thêm tài khoản có quyền admin (Win của bạn khả năng này không cao).
3. Bạn chia sẽ mật khẩu cho người khác.
4. Đặt mật khẩu quá yếu làm người khác dễ đoán.
5. Mấy anh Data Center đút đĩa vào và thêm tài khoản.

Thử hỏi trong 5 loại kia khi Tường lửa của bạn dựng lên thì nó giải quyết được cái nào??? Cơ may chỉ chặn được Bruteforce mà thôi. Mặt khác Máy chủ của bạn với hệ điều hành hiện tại thì tại sao lại phải cài ISA lên làm gì trong khi trong nó đã được tích hợp khá mạnh và chi tiết rồi???

Điều cần làm là hãy tự xem lại bạn dùng máy nào đăng nhập vào??? Hãy kiểm tra virus trên máy tính đó. Nếu bạn không làm được hãy pm riêng cho tôi.

--
Trong trường hợp này không hiểu bạn crazykid triển khai ISA có tác dụng gì nhỉ? Xin được chỉ rõ smilie.
Nhìn vào đây có thể tham khảo mấy bài dùng IPTABLES kết hợp MODSECURITY để chặn.

IPTABLES để giới hạn request từ 1 IP.

MODSECURITY dùng để giới hạn request từ tầng trên như URL. Nhìn vào log để hình thành nên luật. Ví dụ như trên có thể chặn theo Request URL, REF,...
Trước tiên mình nghĩ bạn nên thay đổi toàn bộ Mật khẩu của các tài khoản trên máy. Tiếp theo là xoá cái tài khoản lạ đó.

Nguyên nhân bị hack chắc là lộ mật khẩu do dính keylog trên máy tính bạn thường đăng nhập Remote Desktop hoặc bạn đặt mật khẩu quá yếu làm cho họ đoán ra.

P/S: Đừng quên remove những cái không cần thiết trên máy chủ, kiểm tra lại source code của blog PHP và kiểm tra các cổng đang mở... Có vẻ như nhiều việc phải làm đấy.

Chúc bạn sớm khắc phục.
Bạn đã bị soi những gì? Vì sao lại bị soi? Khi bị soi thì bạn mất những gì?

Đã làm việc tại công ty thì sợ bị soi chỉ có làm việc riêng hoặc việc bất chính. Nếu chỉ lướt web thông thường đọc tin tức, fb thì chả có gì phải lo.

Liên quan đến máy in thì chịu khó mang máy Laptop của mình dùng 3G, máy cty thì chỉ dùng mạng nội bộ.
Mail đã được gửi đi thì người ta sẽ đọc được. Muốn người ta không đọc được thì cần hack tài khoản hoặc dùng biện pháp spam mail cho họ nhìn cái tiêu đề là spam và sẽ xoá đi.

Nếu ko để lần sau vi phạm chỉ còn cách dùng khoá để mã hoá. Sẽ không có khả năng gửi nhầm.
Hi Ruby6886,

Trước tiên như tiêu đề thì email bị hack ở đây là Gmail.

Bạn có nói là "Hachker xâm nhập vào Email thay đổi nội dung nhân viên đã gửi cho khách hàng". Theo đây thì một email đã được gửi đi thì không thể thay đổi được nội dung đã gửi đó được.

1. Về lật lẩy "đồng chí" hacker đó thì bạn có thể:
+ Xem IP nào đã login vào Gmail của mình thời điểm mà bạn biết, nếu có thể thì nhờ cơ quan có quyền lực giúp đỡ (khó).
+ Xem thông tin tài khoản Bank đích mà hacker muốn chuyển tiền đến.

2. Về việc xây dựng hệ thống an ninh: Bạn nói là Gmail nên bạn không thể xây dựng hệ thống được mà thay vào đó, ở Gmail có cơ chế xác thực mật khẩu qua SMS nên bạn hoàn toàn có thể sử dụng chức năng này.

3. Bảo mật tốt nhất hòm thư giao dịch: vấn đề này có lẽ nên bàn đến máy bạn bị nhiễm virus, hay là người duyệt mail bị phishing,...cần kiểm tra thường xuyên các bản vá AV thêm vào đó cần nâng cao nhật thức ATTT cho người sử dụng.
Vấn đề này rất hay. Có bác nào bên C50 rành về nghiệp vụ thì có thể giải quyết được.

Tôi nêu vài ý kiến:

Bước 1: Kiểm tra thời gian upload của file lên Server.
Bước 2: Kiểm tra IP nào đã upload file đó lên nhờ vào logfile.
Bước 3: Nhờ ISP kiểm tra vào thời điểm trên, ai đã sử dụng IP đó (việc này khó với người ngoài, tuy nhiên không khó đối với khi có công văn --theo tôi nghĩ thế).
Bước 4: Sau khi có các thông tin trên cần suy luận có thể ra đáp án, tuy là sử dụng IP động nhưng với ISP thì họ có thể biết được chủ thuê bao đang dùng.


Note: Không biết bên hoangkhoang sử dụng cái gì để upload và download file? Qua HTTP, FTP hay qua phuơng thức khác? Lấy logfile thì dựa vào các phuơng thức này mà lấy thôi bác ạ.

Chúc bác mau tìm ra "thủ phạm".
Mục đích bạn muốn theo dõi cái gì?

Thống kê lượt truy cập thì có vài site như alexa rồi.

Max87 wrote:
Nhân thể có bạn này cũng bị giống mình,mình xin trình bầy tại đây

Diễn đàn mình bị tấn công ddos ( botnet ) gần 1 tuần nay rồi,
Xem log thì có hằng trăm IP tấn công vào diễn đàn ( Link tấn công thay đổi liên tục theo ngày --> có người can thiệp vào vào tools đó hàng ngày và có chủ định.

Mình đã cài pass bảo vệ thư mục khi vào web phải nhập User/Pass thì diễn đàn vào bt nhưng khá bất tiện và là cách cuối cùng.

Xin hỏi cách hạn chế việc ddos này như thế nào?

Đây là file log 1 trong những ngày bị tấn công
https://www.box.com/s/e9880de0ca7960f8c40b

Mình có tài khoản root của server
Server linux centos6
Diễn đàn mình là : forum.ketqua666.vn

Các Mod chống ddos mình đều thử và hầu như là ko có hiệu quả.
 


Mình đã xem qua log, có vài cái rút ra:

1. User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) chiếm gần 90%.
2. Request vào /tin-tuc-139/ chiếm gần 90%
3. Những user-agent trên request vào /tin-tuc-139/ chiếm 99.99%.

Chặn dựa vào user-agent và request URI. Chi tiết pm tớ nha: support@vnsec.net (không tính phí đâu)

@Chủ thread: gửi log vào support@vnsec.net cho mình nha, bên mình sẽ cho đội xử lý giúp bạn.
 
Go to Page:  Page 2 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|