|
|
Chào Sanvu88,
Tớ đã xem qua con virus bạn gửi và đưa ra vài kết luận:
+ Nó được làm ra để phục vụ mục đích DDoS máy khác, bằng 1 panel chạy web, đây là links panel hosting: http://thuvienmobile.com/panel/
+ Nó lây bằng cách autorun và tự nén vào các file rar hoặc zip
|
|
|
send to yahoo ban qua inbox nhe, sr admin, em online bang dien thoai.
|
|
|
Ai giúp tớ với
|
|
|
bạn có thể query vài từ khoá trên google như: các bug của vbb 4.1.x
Nhưng mình thấy chắc bạn bị dính sql injection rồi, nếu muốn biết cách fix thì liên hệ inbox mình
|
|
|
Nếu bạn muốn có câu trả lời của 2 câu hỏi:
1. Cho em hỏi các tiêu chí/ phương pháp nào để đánh giá firewall?
2. Các công cụ thường được sử dụng đánh giá?
Thì cứ liên hệ tớ.
Tớ sẽ chia sẻ một chút với bạn những thứ mà bạn cần để trả lời 2 câu hỏi này
|
|
|
Ai giúp tớ với
|
|
|
Có thể thứ bạn cần ở đây:
Tổng quan về Firewall:
Phần 1: /hvaonline/readingRoom/item/93169.html
Phần 2: /hvaonline/readingRoom/item/93186.html
Phần 3: /hvaonline/readingRoom/item/93345.html
Các công cụ đánh giá thường là các phần mềm scan như nmap, nesuss để cảm độ cản lọc input và output của FW, nhưng tớ thường dùng cả kinh nghiệm của mình để đánh giá chứ tớ thấy tools cũng có độ chính xác nhất định thôi bạn, đừng phó mặc vào tools
Các firewall mềm mà các công ty thường dùng là: mod_sec, snort, iptables bạn có thể tham khảo trực tiếp ở phòng đọc ở HVA: /hvaonline/readingRoom/list.html
Các firewall cứng thường dùng là: Cisco PIX Security Appliance Software, Checkpiont FW....
|
|
|
Bạn viết từ A-->Z à
Bạn mô tả như thế thì cũng chả biết được gì
|
|
|
Vẫn không được bạn ơi:
[root@pn ~]# nmap -e venet0:0 -v -A scanme.nmap.org
Starting Nmap 6.01 ( http://nmap.org ) at 2012-08-04 11:41 JST
I cannot figure out what source address to use for device venet0:0, does it even exist?
QUITTING!
|
|
|
Của bạn đây:
Code:
[root@pn ~]# ifconfig -a
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:127.0.0.1 P-t-P:127.0.0.1 Bcast:0.0.0.0 Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:697578 errors:0 dropped:0 overruns:0 frame:0
TX packets:510471 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:335138494 (319.6 MiB) TX bytes:39539487 (37.7 MiB)
venet0:0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:153.127.241.241 P-t-P:153.127.241.241 Bcast:153.127.241.241 Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
Code:
[root@pn ~]# nmap --iflist
Starting Nmap 6.01 ( http://nmap.org ) at 2012-08-03 21:57 JST
INTERFACES: NONE FOUND(!)
ROUTES: NONE FOUND(!)
Cám ơn nhé
|
|
|
có ai giúp mình với
|
|
|
Em dùng Nmap5x thì bình thường
Chuyển sang dùng nmap6 thì lại bị lỗi:
Code:
[root@pn nmap-6.01]# nmap -v -A scanme.nmap.org
Warning: File ./nmap-os-db exists, but Nmap is using /usr/local/bin/../share/nmap/nmap-os-db for security and consistency reasons. set NMAPDIR=. to give priority to files in your local directory (may affect the other data files too).
Starting Nmap 6.01 ( http://nmap.org ) at 2012-08-03 12:00 JST
NSE: Loaded 93 scripts for scanning.
NSE: Script Pre-scanning.
route_dst_netlink: can't find interface "venet0"
|
|
|
em trước nhé
Em sẽ bàn 1 hệ thống *nix cụ thể là centos nhé
Code:
Về phần cứng. em nghĩ cần một hoặc nhiều máy chủ sao cho đáp ứng đủ nhu cầu truy cập của người dùng (và có thể thêm nếu có sự cố), 1 firewall phần cứng như Pix hoặc ASA
Về phần nhân lực thì phải có đội ngũ giỏi có khả năng điều hoạt server và biểt xử lý sự cố
Code:
Em thấy mọi hệ thống mạnh đều mang "phong cách" càng ít dịch vụ chạy trên server càng tốt để tránh rủi ro do lỗi phần mềm gây ra. Thường những máy chủ này chỉ chạy những dịch vụ tối cần thiết thôi.
Hạn chế hoặc đóng các cổng không cần thiết (như chỉ cần chạy Web thì chỉ mở cổng 80)
Sử dụng
+ Webapp Firewall như mod sec để loại bỏ các bad request, bad refer
+ stateful firewall như iptable để hạn chế số lần đăng nhập của ssh hay dùng tham số limit của iptable để hạn chế tấn công DDoS
+ Snort để phát hiện các hành động gây hại cho máy chủ, ở đây Snort đóng vai trò của 1 Network Instrusion Detection System
==> bất kì gói tin nào vào các cổng đang mở phải qua tay của firewall trước rồi mới được phép vào sâu trong server
Chrooting cho server, cấm không cho chạy bất kì shell nào như BASH hay CSH.... chạy trong môi trường chroot
Chỉ chạy các dịch vụ tối cần thiết như trên.
Code:
- Cần quản lý như thế nào?
Thực hiện cập nhật rule cho snort thường xuyên.
Để em tham khảo thêm
Code:
- Cần bảo trì và theo dõi ra làm sao?
Theo dõi sát sao và sử dụng 1 số monitor để theo dõi CPU, RAM để tránh sự cố về phần cứng.
Thêm vài cái tail để capture các gói tin đi vào và đi ra (thường là đối với port 80)
Định kì bảo trì server, cập nhật các bản vá (pacth)
|
|
|
Em sẽ đọc lại
cám ơn anh nhiều
|
|
|
ai giúp tớ với
|
|
|
antibkav wrote:
wepbfeer wrote:
Chào Anh - Chào Chị ) như tiêu đề em mới tham gia vào IT nhưng yêu thích vbb, giờ làm 1 forum thì được nhưng em có 1 cái điểm yếu là, phần bảo mật cho forum, tuy đã nhiều lần học hỏi nhưng vẫn ko được , forum em rất hay bị ddos + Attack , khiến các thành viên thấy nản, nhàm chán rồi lại bỏ đi, ai có thể cho em ít kinh nghiệm bảo mật được không ah, và cho em xin bài hướng dẫn nữa nhé, Thanks các anh chị !
DDOS Không phải là lỗi trên VBB bạn đó là lỗi trên toàn server kiểu tấn công này gọi là vô phương cứu chữa rồi ,
bạn chỉ có thể hạn chế thôi HVA cũng mấy lần ngương phục vụ vì botnet và dos còn gì
một : hạn chế bằng iptable ( tường lửa pnd )
hai : mua nhiều vps/host ( host nhiều ip khác nhau upload file data gốc lên hết các vps hay host đó đồng thời export sql data thường xuyên từ server chính và import vào các server phụ ) khi server chính bị ddos bạn chỉ cần vào DNS trỏ ip về host hay vps phụ! như vậy web bạn sẽ duy trì đăng nhập được !
mong các pro khác đừng ném đá em!!
Tường lủa pnd là gì thế bạn, mình ngu nên chưa nghe bao giờ
|
|
|
nick của bạn này rất quen, hình như mình gặp ở đâu rồi thì phải, bạn có phải là Triệu Long không?
Bạn cho tớ xem hết đoạn make của bạn xem
|
|
|
Ô, từ mới tìm hiểu bạn lại chuyển sang khai thác luôn à, giỏi quá nhỉ.
Giống kiểu vừa quen con nhỏ, thấy nó có vẻ mến mình ==> đi cầu hôn nhỏ luôn à
|
|
|
quanta wrote:
sasser01052004 wrote:
Nhưng em chưa biết cái mod unique_id download ở đâu, anh chỉ em nhé.
Tải mã nguồn của Apache về, `cd` vào, gõ lệnh `find` như trên, sẽ thấy nó nằm ở `./modules/metadata`.
Em đã làm như anh chỉ rồi nhưng khi compile lại bị lỗi:
Code:
root@linux1 [~/httpd-2.4.2/modules/metadata]# apxs -i -a -c mod_unique_id.c /usr/local/apache/build/libtool --silent --mode=compile gcc -prefer-pic --param ggc-min-expand=1 --param ggc-min-heapsize=4096 -DLINUX=2 -D_REENTRANT -D_GNU_SOURCE -D_LARGEFILE64_SOURCE --param ggc-min-expand=1 --param ggc-min-heapsize=4096 -pthread -I/opt/pcre/include -I/usr/local/apache/include -I/usr/local/apache/include -I/usr/local/apache/include -c -o mod_unique_id.lo mod_unique_id.c && touch mod_unique_id.slo
mod_unique_id.c: In function unique_id_global_init:
mod_unique_id.c:175: error: expected ) before string constant
mod_unique_id.c:175: warning: passing argument 6 of ap_log_error makes pointer from integer without a cast
/usr/local/apache/include/http_log.h:171: note: expected const char * but argument is of type int
mod_unique_id.c:184: error: expected ) before string constant
mod_unique_id.c:184: warning: passing argument 6 of ap_log_error makes pointer from integer without a cast
/usr/local/apache/include/http_log.h:171: note: expected const char * but argument is of type int
mod_unique_id.c:191: error: expected ) before string constant
mod_unique_id.c:191: warning: passing argument 6 of ap_log_error makes pointer from integer without a cast
/usr/local/apache/include/http_log.h:171: note: expected const char * but argument is of type int
mod_unique_id.c:200: error: expected ) before string constant
mod_unique_id.c:201: warning: passing argument 6 of ap_log_error makes pointer from integer without a cast
/usr/local/apache/include/http_log.h:171: note: expected const char * but argument is of type int
mod_unique_id.c: In function unique_id_child_init:
mod_unique_id.c:244: error: expected ) before string constant
mod_unique_id.c:244: warning: passing argument 6 of ap_log_error makes pointer from integer without a cast
/usr/local/apache/include/http_log.h:171: note: expected const char * but argument is of type int
mod_unique_id.c: In function set_unique_id:
mod_unique_id.c:379: error: request_rec has no member named log_id
mod_unique_id.c: At top level:
mod_unique_id.c:400: warning: data definition has no type or storage class
mod_unique_id.c:400: warning: parameter names (without types) in function declaration
mod_unique_id.c:400: error: function AP_DECLARE_MODULE is initialized like a variable
mod_unique_id.c:401: error: invalid initializer
mod_unique_id.c:401: error: (near initialization for AP_DECLARE_MODULE)
mod_unique_id.c:401: warning: excess elements in scalar initializer
mod_unique_id.c:401: warning: (near initialization for AP_DECLARE_MODULE)
mod_unique_id.c:401: warning: excess elements in scalar initializer
mod_unique_id.c:401: warning: (near initialization for AP_DECLARE_MODULE)
mod_unique_id.c:401: warning: excess elements in scalar initializer
mod_unique_id.c:401: warning: (near initialization for AP_DECLARE_MODULE)
mod_unique_id.c:401: warning: excess elements in scalar initializer
mod_unique_id.c:401: warning: (near initialization for AP_DECLARE_MODULE)
mod_unique_id.c:401: warning: excess elements in scalar initializer
mod_unique_id.c:401: warning: (near initialization for AP_DECLARE_MODULE)
mod_unique_id.c:401: warning: excess elements in scalar initializer
mod_unique_id.c:401: warning: (near initialization for AP_DECLARE_MODULE)
mod_unique_id.c:401: warning: excess elements in scalar initializer
mod_unique_id.c:401: warning: (near initialization for AP_DECLARE_MODULE)
mod_unique_id.c:402: warning: excess elements in scalar initializer
mod_unique_id.c:402: warning: (near initialization for AP_DECLARE_MODULE)
mod_unique_id.c:403: warning: excess elements in scalar initializer
mod_unique_id.c:403: warning: (near initialization for AP_DECLARE_MODULE)
mod_unique_id.c:404: warning: excess elements in scalar initializer
mod_unique_id.c:404: warning: (near initialization for AP_DECLARE_MODULE)
mod_unique_id.c:405: warning: excess elements in scalar initializer
mod_unique_id.c:405: warning: (near initialization for AP_DECLARE_MODULE)
mod_unique_id.c:406: warning: excess elements in scalar initializer
mod_unique_id.c:406: warning: (near initialization for AP_DECLARE_MODULE)
mod_unique_id.c:408: warning: excess elements in scalar initializer
mod_unique_id.c:408: warning: (near initialization for AP_DECLARE_MODULE)
apxs:Error: Command failed with rc=65536
|
|
|
Em cài Cpanel mà cpanel tự động cài apache luôn nên không có source.
Giờ chắc phải dùng apxs để cài
Nhưng em chưa biết cái mod unique_id download ở đâu, anh chỉ em nhé.
Cám ơn anh!
|
|
|
quanta wrote:
sasser01052004 wrote:
Đúng như em dự đoán, thiếu mod unique_id
Xem logs có phải thấy ngay vấn đề không, đoán làm chi cho mệt.
Tại em cảm tính quá.
À, tiện cho em hỏi giờ mình cài mod unique sao anh. Em chả tìm thấy cái mod đó ở đâu cả
sasser01052004 wrote:
P/S: em lười đọc mấy cái sách non-tech lắm, nhưng em sẽ suy nghĩ kĩ trước khi đặt câu hỏi
Bạn chưa đọc sao lại biết cái đấy là non-tech?
Cũng tại em cảm tính quá, chưa đọc mà đã nói thế.
|
|
|
Đúng như em dự đoán, thiếu mod unique_id
Code:
[Sat Jul 28 12:30:01 2012] [error] ModSecurity: ModSecurity requires mod_unique_id to be installed.
[Sat Jul 28 12:35:01 2012] [error] ModSecurity: ModSecurity requires mod_unique_id to be installed.
[Sat Jul 28 12:40:01 2012] [error] ModSecurity: ModSecurity requires mod_unique_id to be installed.
[Sat Jul 28 12:45:01 2012] [error] ModSecurity: ModSecurity requires mod_unique_id to be installed.
[Sat Jul 28 12:50:01 2012] [error] ModSecurity: ModSecurity requires mod_unique_id to be installed.
[Sat Jul 28 12:55:01 2012] [error] ModSecurity: ModSecurity requires mod_unique_id to be installed.
Cám ơn anh nhiều lắm
P/S: em lười đọc mấy cái sách non-tech lắm, nhưng em sẽ suy nghĩ kĩ trước khi đặt câu hỏi
|
|
|
Em chưa đọc cái Smart Question bao giờ. ^^
Em thấy apache chạy thế nào thường dựa vào hồ sơ cấu hình httpd.conf . Em đưa cho anh cái LoadModule vì em nghĩ mod security còn thiếu cái gì đó (cái này không chắc nên em hỏi) như mod unique_id giống như bài hướng dẫn của bạn tanviet
Anh cần thông tin gì nữa không?
Cám ơn anh!
|
|
|
Do 1 số lý do về bảo mật, em không pub ra được, ai muốn giúp thì pm em nhé.
Em đã send vào inbox cho anh quanta
Cám ơn anh đã hỗ trợ
|
|
|
Em đã compile mod sec và cấu hình cho nó nhưng khi test thì mod sec không chạy
Ai biết bị sao thì giúp em nhé
|
|
|
có gì cứ pm tớ, tớ vừa mới cài xong cái ARP và APU cho centos xong
|
|
|
Em cài xong cái curl-devel và xoá makefile thì compile được mod security luôn
Cám ơn 2 anh nhiều nhé
|
|
|
Không biết gì về lập trình web mà sao bạn lại "muốn" làm web cho công ty thế.
Theo tớ thì bạn nên giao cho người giỏi thiết kế web của công ty làm hoặc kiêu công ty thuê người làm. Chứ làm web mà dùng tools hay cái gì đó mà người dùng tools hoặc code có sãn không "lường" được độ bảo mât (hay thiếu bảo mật) trong code hoặc hệ thống thì ... thà không làm còn hơn.
|
|
|
Cái cUrl em cài sẵn rồi mà anh.
nhưng khi cài Mod_sec nó vẫn báo mlogc.c:32:23: error: curl/curl.h: No such file or directory
|
|
|
Cái đó hình như 42 GB lận, tớ đang down. :d
Cần gì pm tớ
|
|