banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: .lht.  XML
Profile for .lht. Messages posted by .lht. [ number of posts not being displayed on this page: 0 ]
 
Ở trên mình có nói mà smilie Những thông tin quan trọng nhất để phát hiện lỗ hổng lúc này có thể đã bị "tự huỷ" nên nếu khi "back" thì mình qua đường backdoor.

Mục tiêu của người quản trị là tìm ra "lỗ hổng chính" để fix, còn attacker lại cao tay hơn "chờ" 1 thời gian "quay lại với con đường khác đã mở ra từ trước" chứ không theo con đường cũ. Sự việc này sẽ khiến 1 người quản trị "không thường xuyên theo dõi (lười)" khó tìm ra được vấn đề.

=> Thường xuyên theo dõi tình trạng hệ thống và kiểm tra logs định kì + đầy đủ cũng rất quan trọng.  


smilie
Forensics chỉ có thể mang lại kết quả nếu như hệ thống đã được sắp xếp và ấn định sẵn. Nếu chỉ dựa vào cơ chế "logging" tiêu chuẩn của hệ điều hành và của từng application thì xem như là thất bại (ngoài trừ trường hợp hacker quá thiếu kinh nghiệm nên không thực hiện "cover-track" đúng bài bản).  


Vậy ở đây, forensics mang lại nhiều kết quả khi mà hệ thống được sắp xếp từ trước (có thể là nhiều nếu "hacker không chuyên" và ít hoặc khó khăn nếu "hacker cao thủ" ).
Nếu những hệ thống khi mà trước đó không được chuẩn bị từ trước (rất nhiều ở VN lẫn trên thế giới) khi bị tấn công phải chăng là "khó khăn để tìm ra cho đến mức độ vô vọng" ?

Ở trên, mọi người "phụ thuộc" vào logs để suy đoán diễn biến và hiện trạng là nhiều. Theo như em thấy thì song song nó, hằng ngày ta cũng nên theo dõi những cập nhật và phát hiện lỗi mới. Nó sẽ giúp cho quá trình forensics nhanh phát hiện ra vấn đề hơn (với nhiều trường hợp - cụ thể là những công bố lỗi bảo mật mới nhất của phiên bản dịch vụ).

=> Biên độ "Phiên bản của của hệ điều hành và các dịch vụ" sẽ có ích hơn nhiều.

Về mặt tâm lý quản trị viên, như 1 bạn Sứ giả thiện chí của BKAV có nickname Longdo đã từng viết:

Với một website đang beta như webscan, người ta chủ yếu theo dõi các chỉ số truy cập, seo, phản hồi người dùng...chứ không phải lúc nào cũng lùng sục lên code đâu bạn ạ.
 


Từ đây ta nhận thấy 1 điều rằng, đôi khi những cái "current" logs thường có "khoảng thời gian không được động đến cho đến khi 1 sự việc nào đó sảy ra" và cần phải kiểm tra.
Với 1 hệ thống lớn, nhiều người truy cập. Chắc hản sẽ có ấn định xoá logs trong 1 khoảng thời gian (có thể là sau vài tuần cho đến vài tháng) để tránh tình trạng hệ thống có nhiều "rác" ngốn hết tài nguyên.

Với 1 attacker khôn ngoan và có tính kiên nhẫn, với mục tiêu của anh ta. Trong trường hợp anh ta tấn công hệ thống thành công và cài đặt thành công backdoor nhưng "dìm ỉm" chuyện đó (không như anh bạn hacker kia để 1 file html to đùng ngay sau khi xâm nhập thành công). Và vài tháng sau anh ta trở lại để thực hiện hành vi phá hoại của mình thì như vậy những cái logs lưu giữ thông tin quạn trọng nhất để có thể hình dung ra quá trình bị thâm nhập lại không còn nữa ...

=> Thường xuyên theo dõi tình trạng hệ thống và kiểm tra logs định kì + đầy đủ cũng rất quan trọng.
Có 1 trick rất đơn giản sau khi edit resource của file .jar đó là bạn mở file đó bằng winrar và thao tác "kéo" những dữ liệu đã được chỉnh sửa từ bên ngoài và "thả" vô cửa sổ của winrar và chấp nhận ghi đè smilie
Học về IT thì bản thân bạn phải tự dạy cho bạn là chính.
Kiến thức ở trường lớp dạy ở lĩnh vực này chỉ là những căn bản để bạn bắt đầu chứ nó cũng không đem lại gì nhiều.
Kinh nghiệm của bản thân khi tự mình vọc và mày mò mới là những kiến thức bổ ích.
Các khoá CEH ở VN chỉ dạy người ta làm 1 "user" thôi nhỉ ?
Mình muốn là tác giả của những exploit được viết sẵn trong metasploit cơ smilie
Hì,

Có lẽ tại quá chú ý vào "Để bảo đảm bảo mật và uy tín của công ty, theo bạn, công ty ấy cần khai triển những gì và lý do tại sao?" nên em đi sang chiều hướng phòng chống.

Do bản thân em cũng chưa được trải nghiệm thực tế hay được chỉ dẫn qua nên có thế cái góc nhìn của em vẫn chưa được rõ ràng, các ý kiến nêu ra cũng chỉ là ý kiến cá nhân. Nhưng không sao smilie tiếp tục lấy sự "hóng hớt" và "bồi dưỡng" thêm kiến thức và tiếp tục thảo luận là tiêu chỉ smilie

Ở đây chúng ta nắm được các thông tin sau:

a. Một máy chủ có nhiều dịch vụ.
b. Máy chủ ấy được ISP bảo vệ.
c. Phiên bản của của hệ điều hành và các dịch vụ.
 


Điều cần làm trước hết khi sảy ra sự cố:
1) Dữ nguyên hiện trạng và cách ly máy chủ này.
2) Thông báo/ Cảnh báo đến người sử dụng. (Điều này nên thực hiện sớm nhất có thể, nó sẽ ảnh hưởng đến cách đánh giá từ phía người sử dụng)
3) Sử dụng máy chủ dự phòng để đưa dịch vụ hoạt động trở lại - song song đó tiến hành theo dõi kĩ lưỡng các truy cập (Nếu ta đứng ở phía attacker, với cái tâm lý "hả hê" thì cứ vài phút lại F5 trở lại coi thành quả của mình chẳng hạn smilie hoặc attacker vô tình để lộ thông tin.)

Tiến hành phân tích máy chủ bị thâm nhập
1) Nhìn ngay vào cái đồng hồ, khoanh vùng thời gian sảy ra sự cố.
2) Khoanh vùng đối tượng.
- Trước khi đi sâu vào kĩ thuật, xem xét khả năng nhân viên để lộ mật khẩu.
- Kiểm tra các kết nối "đặc quyền" được cho phép từ bên ngoài.
- Cuối cùng mới đi vào kĩ thuật.
3) Khi đi vào kĩ thuật, đầu tiên ta sẽ chú ý đến "hệ thống phòng thủ" vốn có
- Lúc này xem xét lại khả năng phát hiện và ngăn chặn của hệ thống, ghi nhận những điểm yếu kém của nó - Góp phần giúp ta suy đoán ra phuơng thức attacker sử dụng.
4) Thu thập thông tin từ logs và tìm hiểu về lỗ hổng của phần mềm
- Dựa vào những dấu hiệu mà ta suy đoán.

Điều tra attacker (Còn tuỳ trường hợp và tình huống)
1) Dựa vào các thông tin thu thập được từ bước phân tích, ta đặt mình vào phía attacker.
2) Suy đoán những hướng đi và phuơng thức rồi tiến hành "đặt bẫy" - khả năng attacker trở lại cao.
3) Tìm hiểu thêm thông tin từ bên ngoài ...
To chiro8x:
- Cung cấp thông tin sai lệch cho báo chí sẽ làm ảnh hưởng rất nhiều đên danh dự và uy tín của công ty đó bạn smilie Trong trường hợp này, người ta thường không cung cấp bất cứ thông tin gì và chờ đến lúc điều tra rõ ràng.

To vd_:
- Rebuild lại server sẽ mất thời gian -> tăng thời gian downtime của hệ thống. Vì vậy ngay từ đầu nếu ta chuẩn bị sẵn server dự phòng thì sẽ khác.

Nếu có thể thì mình thiết lập 2 hệ thống khác nhau (cấu hình, phần mềm, ... ?), hệ thống chính nếu bị tấn công thì đưa hệ thống thứ 2 vào.
Với mình thì trước khi làm 1 cái gì đó cũng phải có 1 plan.

Plan và các quá trình của mình sẽ như sau:

TRƯỚC KHI TRIỂN KHAI DỊCH VỤ

1) Thu thập thông tin
- Công đoạn này là xem xét kĩ yêu cầu của công việc và dịch vụ.
=> Tránh thiếu sót hay thừa thãi về sau.
2) Chuẩn bị
- Liệt kê ra 1 danh sách những gì ta cần để thực hiện như là: nguyên liệu (máy chủ, phần mềm, ...)
- Ở bước này kèm theo luôn cả tìm hiểu thông tin về những nguyên liệu đó - như là cấu hình phần cứng liệu có đủ, phần mềm version nào ổn định, tìm hiểu thêm xem có bug mới nào của nó đã được report .... và cuối cùng là theo cảm tính đánh giá về hãng cung cấp để lựa chọn sản phẩm.
- Với yêu cầu đề ra ở đây là "Đảm báo tính bảo mật và uy tín", ta cần dự phòng và tính trước những sự cố -> Chuẩn bị server dự phòng.
- Chuẩn bị nhân lực, phân chia công việc rõ ràng.

TRIỂN KHAI DỊCH VỤ
1) Xây dựng
- Cài đặt và cấu hình server cẩn thận, phân quyền rõ ràng <> Phần lớn các công ty hiện nay mình thấy họ sử dụng tài khoản root để chạy chung các dịch vụ/ tác vụ trên server.
2) Thử nghiệm và theo dõi trước khi đưa vào sử dụng
- Tiến hành chạy thử và theo dõi kiểm tra xem có phát sinh lỗi gì hay không, ...

SAU KHI TRIỂN KHAI DỊCH VỤ
1) Theo dõi
- Kiểm tra log liên tục.
- Theo dõi và ghi nhận những điểm "không ổn" và đưa ra phương án để "giải quyết".
- Luôn luôn cập nhật thông tin về các bug,exploit và update hệ thống.
2) Thu thập ý kiến đóng góp người dùng ...

SỰ CỐ SAU KHI TRIỂN KHAI DỊCH VỤ
* Bước này sẽ được giải quyết đơn giản hơn nếu mà ta từ những bước trước chuẩn bị sẵn.
1) Ngắt hoàn toàn các hoạt động của máy chủ chính và những hoạt động liên quan của nó và đưa máy chủ dự phòng vào hoạt động.
2) Đưa ngay thông báo/ cảnh báo đến người dùng.
3) Tiến hành phân tích và điều tra phát hiện lỗi:
- Nếu chúng ta thường xuyên theo dõi log và cập nhật thông tin mới, ta sẽ thu thập được từ đó những thông tin hữu ích.
- Nếu quyền hạn được phân chia rõ ràng, cũng góp phần giúp ta nhanh chóng khoanh vùng đối tượng.
4) Còn tuỳ vào tính chất sự việc mà liên hệ với bên thứ 3 để "cùng giải quyết".
-------------------------------------------

Ở đây theo ý kiến cá nhân của riêng mình, thì trước khi làm 1 cái gì đó cũng nên liệu trước các vấn đề có thể sảy ra và chuẩn bị sẵn từ trước.
Như tình huống của anh conmale đưa ra, nếu ta ngay từ đầu đã đề phòng và chuẩn bị trước thì đã không đến nỗi tệ hại lắm smilie
Còn về uy tín của công ty, không có gì là hoàn hảo cả. Cái "uy tín" này còn phải dựa vào cách ứng xử của công ty đó trong trường hợp này thế nào, có khiến người dùng mất cảm tình hay không mà thôi smilie)
Chủ sở hữu hiện hành của cái IP đó có đang chạy và cho phép tác vụ nào với chức năng như bạn mô tả không vậy ?
Có 1 cách âm thầm và lặng lẽ smilie

- Viết 1 trang log cookie bằng php với chức năng vẽ ra ảnh, tuỳ biến header cho phù hợp (ví dụ: 0xfff.net/asiancy/?img=aa.png)
- Chèn vào thẻ style hay tag img gì đó.
- Dùng javascript tạo cookie cho cái trang log của mình (client side) và viết lại toàn bộ cookie của trang hiện hành vào cookie của trang log (client side).
- Trang log lúc này chỉ việc đọc cookie của nó (server side) và lưu lại.

Tóm tắt lại thì cách này là dùng javascript để tạo cookie và sao chép cookie phía client. Trình duyệt khi gặp link "ảnh" kia thì sẽ gửi request kèm theo cookie mà javascript tạo ra lên cho trang log.

Không biết hiện giờ các trình duyệt còn áp dụng được thành công nữa không nhỉ smilie

WinDak wrote:

phanledaivuong wrote:

Win7 không ghi đè kiểu thông thường được anh ạ. còn cách sethc.exe thì 1 số cu cậu còn làm backdoor trên cả server của người ta smilie. thằng admin server cứ há mồm tìm backdoor (dùng diệt virus quét thật lực) nhưng mấy hôm sau lại thấy user administrator khác được tạo thêm. cuối cùng sau 3 ngày liền ngồi rình thì tóm được 1 cái ComputerName remote vào -> google ra tên thằng Hack smilie


Đúng là trong Windows thì những file hệ thống thường có "Windows File Protection" bảo vệ nên không thể chép đè lên chúng TRONG WINDOWS dù có quyền admin đi chăng nữa. Có lẽ phải patch một số file khác để làm việc đó (như thế nào tớ cũng không rõ).

Cho nên cách tớ và các anh em trên đang thảo luận chỉ làm việc khi boot vào 1 HDH khác, khi đó file system của Window không có gì bảo vệ.

nói nhỏ: đã test thành công với thằng máy Windows 7 ở chỗ mình làm việc smilie.

Anh em nào giỏi "cracking" có khi còn có thể patch một vài file khi khởi động của Windows để cho đăng nhập với bất kì password nào chẳng hạn.

 


Cái này thì dùng tool có sẵn của Windows giải quyết smilie
Trong cmd gõ lệnh takeown /? để biết thêm chi tiết smilie
Bạn tham khảo ob_start() tại đây: http://php.net/manual/en/function.ob-start.php
Mình thì qua nước ngoài sống từ hồi lên lớp 9, trước đó ham được học về tin học mà không có điều kiện smilie
Sang bên này thì có máy , có mạng để dùng đó. Nhưng không có ai dạy, đọc sách tiếng Đức thì mới sang cũng chả hiểu ... Tài liệu trên mạng thì ôi thôi "loạn" ... Và quá trình tự vọc của mình bắt đầu ...

Với mình, mình sang nước ngoài "nửa mùa" vì vậy tiếng Việt còn chưa thấm hết, mà tiếng ngoại cũng chưa vô ...

1)
Hồi đầu mình tự vọc lập trình, nhiều câu hướng dẫn trong tài liệu thực sự mình đọc không hiểu được ý của người viết ... -> Từ đây mình học được cách so sánh các ý kiến, tài liệu khác nhau nhiều chiều về 1 hiện tượng, sự việc để tìm ra điểm chung (cốt lõi của nó) và các điểm khác nhau (các ý kiến trái chiều) rồi từ đó mình vừa nắm được ý chính của cái mà mình đang tìm hiểu, vừa được biết về những điểm yếu của nó qua các ý kiến trái chiều kia ...

2)
Khi đã có chút kiến thức về lập trình rồi, vậy khi mình code, gặp các lỗi gây khó khăn, bản thân thì căn bản cũng không nắm vững nên mới vậy. Hỏi ai bây giờ ? đi hỏi mọi người nhưng cái vấn đề đó còn không hiểu thì làm sao mà đặt được câu hỏi cho đúng vào trọng tâm của nó để người ta hiểu và giải đáp đựoc rồi giúp mình ? -> Ở bước này, mình học được cách làm sao để đặt câu hỏi mà người nghe có thể hiểu và giúp được mình !

3)
Vậy những khi bạn có ý tưởng mới cho project của bạn, bạn thường làm gì để thực hiện hoá ý tưởng đó ? -> Với mình, mình thường lục google tìm tất tần tật những gì liên quan đến nó (mã nguồn tuơng tự, tài liệu hướng dẫn, tài liệu liên quan) để tham khảo phuơng pháp của họ và từ đó tìm ra phuơng pháp riêng cho bản thân.

4)
Trong quá trình code, gặp lỗi và fix lỗi là chuyện bình thường rồi. Từ cái quá trình nhàm chán lập đi lập lại này, bạn sẽ học được nhiều điều giúp trong hướng RCE đó .

5)
Vậy khi project của bạn xong rồi, bạn sẽ làm gì ngoài việc đem ra sử dụng, đem khoe bạn bè, cho nhiều người sử dụng ? Lúc này bạn muốn và cố gắng để bảo vệ mã nguồn, ý tưởng của mình, bạn phải tìm cách để hạn chế người khác "nghịch ngợm", vậy là ít nhiều gì bạn đã làm về lĩnh vực bảo mật rồi đó smilie

Dạo này mình bận quá nên không chú ý cái topic này của bạn, không biết bạn khắc phục được chưa.

Nhưng nếu hiện tượng như vậy thì mình nghĩ máy bạn bị dính malware rồi, và chắc con malware đó có nguồn gốc từ Việt Nam smilie

Antivirus không thể nào có thể biết và chặn hết được tất cả virus bạn à, virus cũng chỉ là 1 phần mềm. Nếu code cho nó hoạt động "theo cái cách mà Anti không nghĩ nó là virus" thì cũng trời mới biết được smilie
Bạn không truy cập được vào google.com.vn, bạn thử truy cập vào 1 số domain google của quốc gia khác xem ?

google.com.ph
google.de
...
Mình vẫn không hiểu thực sự bạn muốn mọi người "HACK" cái gì ? ( trong câu này : "nếu mọi người thích hack với mã nguồn khác thì cứ đề nghị")
Lỗ hổng bảo mật thì có nhiều loại, sơ hở của webmaster, lỗi service, lỗ hổng trong source webapp bạn sử dụng.

Vậy tớ đề nghị bạn giữ lại file INSTALL.php của joomla hay giữ lại PASS MẶC ĐỊNH của tài khoản admin thì sao ?
Hoặc là theo như bạn nói, ĐỀ NGHỊ với mã nguồn khác. Tớ đề nghị bạn cài 1 mã nguồn CÓ SẴN LỖ HỔNG để rồi cho tớ "HACK" sao ?

Thay vì bạn cứ nhờ người khác "hack dùm", mình thấy bạn bỏ chút thời gian vào những trang cung cấp exploit để có thể thường xuyên cập nhật những lỗi mới nhất và xem trong đống Services, Source bạn sử dụng có bị dính lỗi bảo mật nào không !


1337day.com
exploit-db.com
...
 

TQN wrote:
Buồn một chút là không nhắc gì tới HVA cả, nếu không có HVA thì mấy ai biết được ITunesHelper và GoogleCrashHandler.
Tuy nhiên, vẫn có CMC trong list các đơn vị hổ trợ. Và chia buồn với mấy sứ giả cãi thiện chiến của BKAV, BKIS là không có tên của mấy anh trong đó ! Hoan hô Bolzano của CMC !
Công sức của anh em HVA ta, tuy không và chưa được ai công nhận, nhưng đã đến lúc thu được kết quả rồi. Giống như những nhà từ thiện chân chính, cần gì báo đài tung hô, chỉ cần mình làm đúng, hết lòng vì việc mình làm, phải không các bạn ?

Còn phần em thì vẫn tiếp tục chờ và tìm mẫu giấu mặt khác đang DDOS VNN, vẫn tiếp tục RCE, phân tích và công bố các mẫu khác của stl. Không ai cấm em được việc em đang làm ! Mong mọi người tiếp tục ủng hộ, tham gia, mạnh dạn vạch trần, đánh sập tụi stl xấu xa, giấu mặt, dơ bẩn, hèn hạ này !

Tự dưng em tự hỏi, nếu lần này, chúng ta, HVA, cộng đồng IT VN ta, phải thua tụi nó giữa chừng, thì mai mốt, vô hình, không có nước nào trên thế giới giống VN ta, có một thế lực hắc ám, "tử thần thực tử" cho kẻ mà "ai cũng biết là ai đó" lơ lững trên đầu mình, sẵn sàng dập mình, đập chết mình, bóp nghẹt, đàn áp, khống chế, đe doạ mình ! Các bạn chịu được không ????????????????? Tự hỏi chính lương tâm các bạn đi ! Xã hội bây giờ là xã hội dân chủ, tự do thông tin, tự do chính kiến rồi, các bạn à !
1. Việc chúng ta đang làm, đấu tranh với stl có phạm pháp không các bạn ? Hoàn toàn không !
2. Chúng ta có chống phá chế độ, nhà nước không các bạn ? Hoàn toàn không !
3. Chúng ta có xúc phạm, đả kích một công dân chân chính VN nào không các bạn ? Hoàn toàn không !
4. Chúng ta làm việc này, có thu lợi, mang lại đồng tiền, lợi ích cho cá nhân không các bạn ? Hoàn toàn không !
5. Chúng ta đang đấu tranh với tội phạm mạng, tội phạm xã hội phải không các bạn ? Hoàn toàn đúng !
6. Chúng ta tham gia đấu tranh với stl để bảo vệ chính mình, bảo vệ mọi người, bạn bè, thân thuộc..., đúng không các bạn ? Hoàn toàn đúng !
....
Còn nhiều cái khác nữa, mong các bạn hãy dũng cảm đứng lên, cùng tham gia góp sức để đập tan tụi stl này ! Tà không bao giờ thắng chính được, các bạn à !

 


Chắc anh lại uống quá chén rùi smilie
Bình tĩnh anh ơi, để có sức mà dập tắt nạn stl chứ smilie) Mọi người vẫn ủng hộ việc làm của các anh mà smilie
Sau khi xong cái đám tạp nham đó thì có khối người mời anh đi nhậu ý smilie lúc đó có uống nổi không smilie
Code:
proxy_pass http://123.45.232.50:8080/;


bạn đổi thành:
Code:
proxy_pass http://127.0.0.1:8080/;
listen 80;
server_name nixcraft.in www.nixcraft.in;
#charset koi8-r;
#access_log logs/host.access.log main;
location / {
root html;
index index.html index.htm;
}
location ~ ^/index.php
{
fastcgi_pass 127.0.0.1:9000;
#CHANGE THIS TO THE PATH TO YOUR WEB ROOT DIRECTORY
fastcgi_param SCRIPT_FILENAME /var/www/marketdark$fastcgi_script_name;
fastcgi_param PATH_INFO $fastcgi_script_name;
include fastcgi_params;
}
#error_page 404 /404.html;
# wwwect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
# proxy the PHP scripts to Apache listening on 127.0.0.1:80
#
#location ~ \.php$ {
# proxy_pass http://127.0.0.1;
#}
# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;


Coi qua đoạn config trên của bạn đã thấy 1 số chỗ khó hiểu, bạn chưa config path rõ ràng cho thư mục html và chown cho nó.

Bạn thử sửa lại thế này xem:
1. Tạo 1 thư mục wwwroot và chown cho nó:
Code:
mkdir /home/wwwroot
chown -R nginx:nginx/home/wwwroot


từ đoạn mình quote trên, bạn sửa lại tất cả thành:
Code:
listen 80;
server_name nixcraft.in www.nixcraft.in;
#charset koi8-r;
#access_log logs/host.access.log main;
location / {
root /home/wwwroot;
index index.php index.html index.htm;
}
#error_page 404 /404.html;
# wwwect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /home/wwwroot;
}
# proxy the PHP scripts to Apache listening on 127.0.0.1:80
#
#location ~ \.php$ {
# proxy_pass  http://127.0.0.1;
#}
# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
location ~ \.php$ {
#root /home/wwwroot;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /home/wwwroot$fastcgi_script_name;
include fastcgi_params;
}


Sau đó vào thư mục /home/wwwroot và tạo 1 file php để test và reload nginx (/etc/init.d/nginx reload).
Nếu có thể, bạn đưa lên toàn bộ nội dung của các files proxy.conf/nginx.conf/httpd.conf lên để mọi người coi và giúp bạn.
Ở đây theo mình, việc mọi người mong muốn đạt được danh hiệu ELITE của HVA là ước mơ và lý tưởng để họ cố gắng đạt được. Song song với nó, các bạn thật sự cố gắng và cố gắng không ngừng để kiến thức không bị "cổ / yếu" và làm sao để cho phù hợp với cái danh hiệu đó -> ELITE MEMBER "có giá". HVA là 1 forum có chỗ đứng và có danh tiếng của nó, vì vậy đã từ lâu. Để trở thành 1 người "thuộc" HVA là niềm ao ước của nhiều bạn rồi, quyền hạn và sự phân biệt không quan trọng; Với họ thì nó đơn giản là 1 mục tiêu để phấn đấu thôi.
Mình vừa xem qua file trên, theo như mình nghĩ thì nó không có hại.
Về việc Anti Virus xác nhận nó là Virus cũng chỉ vì do cái công việc của nó. Ở đây nó có chế độ kết nối đến server gốc, download, khoá máy (Phần mềm quản lý mà) - những hành vi này sẽ bị antivirus cảnh báo và cho là virus đó.

TQN wrote:
Bà con tạo một thư mục Tracker chẵng hạn, chép đoạn bat file này vào file tracker.bat. Lâu lâu mấy bác buồn buồn không biết làm gì thì Enter nó giùm em một cái.
Code:
@echo off
echo ===============================================================================
echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet
echo ===============================================================================
echo.
wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt
wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt
wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt
wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt
wget -t3 "http://option.drfound.net/k113.css"
pause

Đoạn bat này sẽ download các file trên về. Sau đó các bạn tạo thêm 1 thư mục chứa ngày tháng mà các bạn down các file trên về, vd: 26_08_2011, chép các file đã download được vào đó. Định kỳ compare một lần, nếu có thấy thay đổi nội dung một trong các file thì báo lên cho bà con biết giùm, còn giống hết thì xoá đi.

Cảm ơn bà con tham gia giúp theo dõi. Một mình em cứ chạy tracker 1 đống luôn, compare nữa thì mệt quá, code tool tự động thì lười, thôi thì chịu khó bat file vậy.
 

Tạo 1 team nhỏ code những tools nhỏ cần thiết hỗ trợ RCE đi anh smilie
Ví dụ 1 số tools tự động kiểm tra thường xuyên những link down "mèo què" và tự động detect nếu nó đã bị thay đổi. Những tool như vậy sẽ có ích và giúp tiết kiệm được nhiều thời gian.
@Các bạn coder nào rảnh hay không biết phải làm gì thì cùng 1 tay góp sức đi ^^...

mrquytk93 wrote:
Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT "
Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không
Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán
Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood
Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào

-------------------------------------------------------------------------
Mr.Quy CBG.No1

ADMIN - ATH  


Có vẻ hơi kiêu ngạo ?
Thường thì đứng trước đám đông, người ta phải biết mình là ai và phải biết phép "lịch sự" bạn nhé smilie

1) Trước khi bạn "bắt" HVA phải nghiên cứ sâu hơn về synflood, vậy bạn thử phân tích qua về nó xem nào ?
Nếu bạn hiểu về nó thì trong quá trình phân tích cũng tìm ra 1 số biện pháp đấy smilie

2) Theo bạn thì "với synflood bạn có thể cho HVA die kiểu gì và đi đến đâu" ? Chắc bạn hiểu synflood lắm nhỉ ? Vậy chắc bạn biết rõ "synflood đưa HVA về đâu" ...

conmale wrote:
Elite members trước kia (trước 2010) được set dựa trên mức độ sinh hoạt thường xuyên và tích cực. Tuy vậy, đánh giá về mức tích cực khá chủ quan và thiếu chính xác. Việc set Elite là việc ghi nhận khả năng kỹ thuật lẫn mức độ sinh hoạt. Bởi vậy, sau 2010, set Elite sẽ được dựa trên một loạt câu hỏi trắc nghiệm.

Có lẽ HVA sẽ hình thành đợt set Elite vào cuối năm 2011 với 10 câu hỏi trắc nghiệm có tổng số điểm là 100. Những ai đạt trên 75% sẽ được set vào nhóm Elite. 


Hjx để vào được Elite thì có vẻ khắt khao và khó lắm smilie
Em hi vọng được 10% thui smilie(

bolzano_1989 wrote:

checklove2008 wrote:
nguyên tắt đa hoạt động của các hầu hết các loại auto là:
-Client tải thông tin từ server xuống ----> hook cập nhật thông tin ---->hook đưa vô auto ---->auto sử lý ----> đưa vào hook ---> hook đưa vào lại game.
-Hook ở đây là bước trung gian tránh rất quang trọng (hầu hết auto đều phải có)
-Ngoại trừ 1 số auto viết trên nên kịch bản (script) thì ko có hook ví dụ: như ngôn ngữ autoit nên nhận lệnh trược tiệp bằng cách lấy thông tin từ cửa sổ game ===> sẻ bị tranh chấp + xung đột
 

Còn thiếu 1 chỗ: kill phần mềm chống Auto Game trước khi dùng Auto... 


Với 1 số người thì họ code thế nào mà không động vào Anti, Hack cứ trơ trơ ra mà Anti nó chịu ^^ ...
Ở đây bạn phải chia ra rõ ràng là câu truy vấn đó đựoc cản lọc ở tầng nào :

Querry -> Cản lọc request của server -> Cản lọc trong mã nguồn của site -> SQL

thường thì họ cấu hình chặn 1 số request có chứa những cụm từ hay kí tự (select, union, table_name, ...) ở request đến server hay có hàm cản lọc trong bản thân mã nguồn website.

Ở bước này còn tuỳ trường hợp mà bạn có thể khai thác, ví dụ nếu chặn select (viết thường) cùng với server nó phân biệt select và SeLecT khác nhau -> khi bạn viết SeLecT hay /*!0000SeLect*/ thì sẽ qua mặt được và đến phần SQL thực thi câu querry. Lúc này SQL nó vẫn hiểu SeLecT và vẫn thực thi bình thường.
Tuơng tự như vậy với hex() và unhex() ... và cũng như WinDak nói là :



cái union có thể bị illegal collation nếu data type không đồng bộ unhex(hex()) là một trick hay để bypass !
 
Phân tích rất hay, chuẩn với nhiều tổ chức !
Nhưng với STL thì mình cảm thấy ngược lại smilie Đơn giản mà, nếu dùng CC chùa để đăng kí máy chủ. Cứ cho là qua mặt được bước verify tài khoản và được phép sử dụng. Nhưng liệu trong quá trình sử dụng, với mục đich của STL thì khả năng bị block tài khoản rất lớn smilie

Mà đến tận bây giờ, nó vẫn live sờ sờ ra đó. Phải chăng máy chủ được đăng kí bằng tiền của họ mới đảm bảo như vậy ... ? smilie

@TQN: Liệu trong những virus của STL có sử dụng những kĩ thuật nâng quyền, ring0 Access, ... không anh ? Hay nói cách khác là virus của STL can thiệp đến mức độ nào vào hệ thống rùi ạ ?
Không có sài chùa đâu bạn smilie)
Nếu như theo dõi các reply của mọi người, chắc hẳn ai cũng nhận ra STL là 1 tổ chức lớn và không đơn giản, có được hỗ trợ lớn về nhiều mặt. Vậy tại sao phải dùng CC chùa ? Mà đã là "tổ chức lớn" thì ai lại động đến CC chùa nhỉ ?
 
Go to Page:  First Page Page 1 Page 3 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|