banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: cino  XML
Profile for cino Messages posted by cino [ number of posts not being displayed on this page: 0 ]
 

TQN wrote:
Không phải đâu cino, tui không than phiền đâu. Mấy cái đó mà là obfuscation, polymoxxx gì đó thì em đi đầu xuống đất luôn, bỏ nghề tay trái RCE luôn.
Tui từng làm coder và R&D gần chục năm, mấy cái lỗi đó chỉ đơn thuần là lỗi code của coder thôi bạn, chả có obfuscation, polyxxx (đa hình) hay đánh lừa AV gì ráo hết. Phải gọi là code stupid, "ngớ ngẫn" ! 

Chào bác. Đấy là em nghĩ tới phương diện là 1 con malware transparent với AV - với những công nghệ Heuristic, Sandbox... "thông minh" cũng thừa sức analyze đám "clearly malware" như vầy, chưa kể AV cấp cao còn có chức năng scan network traffic/ header... Rồi với những con "siêu đa hình" cũng bị dập cho bẹp gí thì sá gì con cùi bắp của mấy attacker đang đề cập ở đây.

Em không nói đến ở mức độ decompile, disasm, operator hay coding convention, tier architecture, software en.. gì gì gì. Và em chưa từng thử, cũng như chưa từng view processes của mấy mẫu gửi ở đây. Trình em từ lâu tới giờ máy mó "thực hành" con IDM (Internet Download Manager) toàn failed over thì lấy đâu ra. Tiện thể em nghĩ các bác scan mấy chú IDM hàng chùa xem thử, thứ đó cũng phổ biến chả kém gì Unikey hay Vietkey đâu. Đấy là chưa kể các Hệ điều hành 10k/disk bán ngoài chợ, lâu lâu lại phòi ra 1 chú "quản trị cấp hệ thống" hù chơi. Thảm hoạ chẳng kém gì "Da nâu" của dòng nhạc Việt smilie

TQN wrote:

Vd nhé: Chuỗi hex string của mấy anh, mấy anh dùng sscanf(xxx, "02X", xxx) để đổi từng cặp hex string ra character. Đầu chuỗi, mấy anh lấy 2 ký tự đầu làm len, lưu cả chuỗi hex vào GDIPlusX key. Giả sử em chơi set 0xFF 0xFF vào đầu cái hex string trong registry đó, bằng tool em phổ biến chẵng hạn, thì con "mèo què" của mấy anh crash không ???? Suy nghĩ kỹ rồi trả lời bằng PM cho em nhé !
Còn nữa, mấy anh sao cứ khoái xài memset, memcpy quá ! Code vậy có optimize không ? Hay kệ cha nó, chạy được, phá được để mấy anh báo cáo xếp Nguyễn Xuân xxxx, Nguễn Nam xxxx là được rồi, phải không mấy anh ???? 

Em thấy bác hay than phiền ở những đoạn này. Xét về phía virus maker mà nói thì đó chính là những chiêu obfuscation AV trên máy nạn nhân. Hạn chế các tác vụ check. Chạy được/ phá được là được rồi.

PS: sếp NXT, xxx là ai thế bác?

conmale wrote:

Bồ nên đọc thêm ở đây:
http://httpd.apache.org/docs/2.2/howto/htaccess.html
 

Cảm ơn bác,

Vậy là phải thiết lập
AllowOverride None 
và edit trong httpd.conf; Em muốn hỏi bác thêm là có cách nào chỉ enable cho .htaccess cấu hình với rewrite_url (mod_rewrite) ở directory mà không cho phép override các thứ khác ngoài rewrite không.

conmale wrote:

bồ xem trong php-fpm.org thì ngay trang đầu nó có những thông tin sau:

What is PHP-FPM?
Ability to start workers with different uid/gid/chroot/environment and different php.ini (replaces safe_mode) 

 

Xin lỗi bác, lúc em vào là nó bị 'không truy cập được'.
Nhưng em vẫn chưa hiểu rõ đoạn

conmale wrote:
nên chạy php-fpm để isolate giữa công tác parse + run php và công tác i/o files trên apache thì vững hơn.  

và đoạn bôi của bác
Ability to start workers with different uid/gid/chroot/environment and different php.ini (replaces safe_mode) 

thì có khác gì với chroot cho apache khi có delicated server cho 1 site hông.
- Và gữa php-fpm, suhosin hay một implementation nào đó có chức năng củng cố bảo mật thì cái nào "ngon" nhất (theo bác). Performance kèm theo có bị ảnh hưởng gì không, hay đó là cái phải đánh đổi.

PS: Cảm ơn rongchaua vì cái topic này nhé! Hồi cách đây mấy năm mình cũng khá 'ái mộ' một số topic (hướng dẫn) 'decrypt' trên site của bạn (do google được). Tiếc là đến giờ trình vẫn còi vì cái gì cũng thích nhúng mũi vào.
Bác cho em hỏi

conmale wrote:

RemoveHandler .php
php_flag engine off
Options -Includes -Indexes

 

Nếu ở directory bị mất kiểm soát được/bị override ngược lại thì việc thiết lập trên có hiệu quả không bác? ví dụ:
AddHandler .php
php_flag engine on
Options +Includes +Indexes

conmale wrote:

PS: nếu được, nên chạy php-fpm để isolate giữa công tác parse + run php và công tác i/o files trên apache thì vững hơn.
 

Em vào trang http://php-fpm.org thấy không được bác ạ. Bác cho em ý niệm về việc isolate này hoặc hint cho em chỗ vọc được không?
Chào bạn,

Topic của mình có 3 phần khá rõ ràng,
1. Giới thiệu sơ lược, server bị nghẽn
[2.] Hỏi về nguyên nhân, cách tìm hiểu
[3.] Hỏi về kinh nghiệm đánh giá giữa PHP ISAPI và PHP CGI

tranhuuphuoc wrote:
Cấu hình phần cứng của máy tính ở nhà của bro như thế nào mà "nhồi nhét" Windows Server 2008, .NET , Webserver IIS,.... lên trên đó . Trên máy tính có cài đặt phần mềm nào nữa không ? 

Rõ ràng là 2k8 server chạy lên là phải "nhồi nhét" "được" những "thứ" bạn đã nêu, mình bổ sung vào dấu 3 chấm của bạn là có thêm PHP-CGI nữa. (xem lại topic)

Cấu hình phần cứng của máy mình có như thế nào đi nữa, thì lúc cao điểm của bên mình là CPU ~70%, RAM ~90%

tranhuuphuoc wrote:
Tôi dùng Centos làm máy chính, còn máy ảo dùng Windows XP để viết code .NET smilie CPU Duo 2Ghz , RAM 2 G chạy vù vù 

Bạn nêu đoạn này ra để có ý gì nhỉ?.

tranhuuphuoc wrote:
về phần mềm giám sát kiểm tra có thể tận dụng giao thức SNMP để giám sát hệ thống mạng của mình như PTRG Network Monitor, bắt gói tin như Wireshark, ...để tìm rõ nguyên nhân.  

Bạn có thể nói rõ việc analyze gói tin từ wireshake để tìm nguyên nhân có được không? [*] Hệ thống mạng (đường truyền) thì vẫn ok.

tranhuuphuoc wrote:
Topic của bro nó quá ...mơ hồ, ko dẫn chứng cụ thể nên người đọc rất khó hình dung ra bị sự cố gì.  

Sự cố nó thế này đây bạn ơi,

cino wrote:
Với CGI hệ thống đang chạy ổn định cho cả .NET và PHP, tuy nhiên vào giờ cao điểm, đôi khi một trong 2 process trên bị nghẽn ở đâu đó, làm đứng cả server, một hàm "print_output" cũng mất cỡ 10-15s để hoàn thành. VD: <?php echo "Hello"; ?>  


Nếu bạn có kinh nghiệm & ý định giúp mình phần [2], [3], [*] thì reply lại giúp mình nhé
Chào các bạn,

Máy tính nhà mình chạy Win2k8 RC2, webserver sử dụng IIS (7.5) chạy dotNET 4, ASP.NET MVC 2.0, LingQ. Do yêu cầu khách quan nên phải cài thêm PHP và mình sử dụng PHP-CGI.

Với CGI hệ thống đang chạy ổn định cho cả .NET và PHP, tuy nhiên vào giờ cao điểm, đôi khi một trong 2 process trên bị nghẽn ở đâu đó, làm đứng cả server, một hàm "print_output" cũng mất cỡ 10-15s để hoàn thành. VD: <?php echo "Hello"; ?>
(Do đổ DB ra RAM nên RAM luôn chiếm ~90%, còn CPU chạy 60-70% giờ cao điểm)

Vậy nguyên nhân là do đâu, làm sao để kiểm tra/ phân tích các đường kết nối giữa server-client được nhỉ.

Hiện tại mình đang phân vân về hiệu suất giữa PHP ISAPI và PHP CGI, bạn nào có kinh nghiệm chia sẻ giúp mình nhé.
Hi all,

Sau mỗi cuộc tàn phá của hacker, các dữ liệu log (access log- web log) 100% đều bị điểm huyệt, có cách nào hữu hiệu để giữ được các dữ liệu này an toàn không? - backup từng giây có phải là giải pháp hữu hiệu không, performance có bị ảnh hưởng theo hay không, có thể backup chỉ những phần data thay đổi/ thêm mới không...

Và một vấn đề thêm về audit, mình muốn hỏi có thể audit các lần access với filesytem (r/w/e) của từng user không, sử dụng chương trình gì?

Hiện mình chưa có kinh nghiệm về monitor trên hệ thống chạy linux, rất mong các anh em tư vấn!
 
Go to Page:  First Page Page 1

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|