|
|
ủa, bạn đã đưa cái link unmask rồi thì hỏi gì nữa?
|
|
|
Vì vậy tôi cũng nghĩ rằng người đó chắc chắn là một trong những thành viên gạo cội của HVAonline
Sao bạn chắc chắn người này là thành viên gạo cội của HVA?
Vì với 1 diễn đàn gần 200K thành viên thì chỉ nguyên số lượng admin, mod, Frend của Hva đã lên tới con số vài trăm rồi. Rất mong bạn ấy liên lạc lại với chúng tôi
Trong số các Admin, Mod, hVA Friends trên này mà tôi quen thì chưa nghĩ ra được người nào sở dĩ có thể là người đó giúp bạn được. Vì hầu như những anh em trên đây đều lớn và có công ăn việc làm ổn định, không rãnh để làm và có những lời lẽ như vậy.
Thân.
|
|
|
hi quanta,
Trong trường hợp này là cái script ghi log đó nằm trên server là đúng rồi. Chưa tính đến trường hợp SERVICESTATUS như thế nào là nó cũng không được thực thi.
Mình đã giải quyết vấn đề này với lý do là nó cần tty để chạy.
Cụ thể là default tty trong /etc/sudoers.
|
|
|
Trong cái forum HVA này, người nào cũng có thể viết được 1 con như của bạn. Nên đừng có đăng quảng cáo nữa cho chật đất nha.
Topic locked!
PS: Àh, nhưng con của bạn còn thiếu 1 tính năng là nhảy ra khỏi máy tính để cắn người ta đi qua lại đó, ráng lên nha.
|
|
|
mrro wrote:
@LeVuHoang: đúng vậy. đọc được bất kỳ file nào nằm trong trong thư mục gốc của ứng dụng ASP.NET. Có thể chôm file cấu hình hoặc file mã nguồn.
@vikjava: mấy cái workaround và cách phát hiện tấn công của MS đưa ra đều không có tác dụng. Cách phòng chống duy nhất bây giờ là liên hệ với mình , hoặc là chờ patch chính thức của MS.
-m
mrro có thể cung cấp cách thức, tool và các thông tin liên quan cho 2 ý trên không?
|
|
|
Mình thắc mắc là lỗi này có thể lấy được nội dung file bất kỳ hay không? Nhờ mrro giải thích.
|
|
|
me 2, lolz
|
|
|
Great, waiting for your video.
|
|
|
Theo suy đoán riêng của tôi thì con trojan trên máy anh conmale không liên quan đến cuộc attack lần này. Vì attacker không thể biết anh conmale sẽ xài máy nào để cài vào từ trước được. Tôi nghiêng về phía lỗi của registra.
Ngoài ra, nếu tài khoản quản lý domain HVAOnline.net bị mất, *có thể* kéo theo các domain khác mất theo, không phải chỉ HVAOnline.net
|
|
|
conmale wrote:
Registra không chịu giải thích chuyện gì xảy ra. Họ chỉ chặn "transfer" và đổi pasword đăng nhập vào "control panel". Ở phía tôi, tôi khám phá ra máy mình bị trojan .
Ặc ặc
|
|
|
Theo như tình hình sơ bộ bác conmale đưa ra, domain HVAOnline.net đang bị chuyển đi 1 cách bất hợp pháp: /hvaonline/posts/list/35606.html
- 9:23 AM
Ping HVAOnline (Google DNS):
Code:
C:\Users\LeVuHoang>ping www.hvaonline.net
Pinging www.hvaonline.net [74.63.219.12] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 74.63.219.12:
Packets: Sent = 3, Received = 0, Lost = 3 (100% loss),
Các DNS Server khác
Code:
Ping 207.182.138.245
[www.hvaonline.net]
Round trip time to 207.182.138.245: 58 ms
Round trip time to 207.182.138.245: 52 ms
Round trip time to 207.182.138.245: 45 ms
Round trip time to 207.182.138.245: 38 ms
Code:
PING hvaonline.net (207.182.138.245) 56(84) bytes of data.
64 bytes from f5.8a.b6.static.xlhost.com (207.182.138.245): icmp_seq=1 ttl=49 time=75.8 ms
64 bytes from f5.8a.b6.static.xlhost.com (207.182.138.245): icmp_seq=2 ttl=49 time=75.7 ms
64 bytes from f5.8a.b6.static.xlhost.com (207.182.138.245): icmp_seq=3 ttl=49 time=76.2 ms
64 bytes from f5.8a.b6.static.xlhost.com (207.182.138.245): icmp_seq=4 ttl=49 time=76.3 ms
--- hvaonline.net ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3014ms
rtt min/avg/max/mdev = 75.752/76.042/76.355/0.384 ms
Domain HVAOnline.net trỏ về 207.182.138.245 với nội dung sau:
Whois HVAOnline.net
Code:
Domain Name: hvaonline.net
Creation Date: 17-Aug-2003
Expiration Date: 17-Aug-2011
Status: REGISTRAR-LOCK
Registrant ID: 134553
Registrant Name: Dieu Hoang
Registrant Organization: Dieu Hoang
Registrant Street 1: 37 Hodgkinson Crescent
Registrant Street 2:
Registrant Street 3:
Registrant City: Panania
Registrant State/Province: NSW
Registrant Postal Code: 2213
Registrant Country: au
Registrant Phone: +61.97852247
Registrant FAX:
Registrant Email:
Admin Name: Dieu Hoang
Admin Organization: Dieu Hoang
Admin Street 1: 37 Hodgkinson Crescent
Admin Street 2:
Admin Street 3:
Admin City: Panania
Admin State/Province: NSW
Admin Postal Code: 2213
Admin Country:
Admin Phone: +61.97852247
Admin FAX:
Admin Email:
Tech Name: Dieu Hoang
Tech Organization: Dieu Hoang
Tech Street 1: 37 Hodgkinson Crescent
Tech Street 2:
Tech Street 3:
Tech City: Panania
Tech State/Province: NSW
Tech Postal Code: 2213
Tech Country:
Tech Phone: +61.97852247
Tech FAX:
Tech Email:
Name Server 1: ns2.hvaonline.net
Name Server 2: ns2.afraid.org
Sẽ tiếp tục update tiếp tình hình, hy vọng bác conmale chia sẽ kinh nghiệm về case này cho mọi người học hỏi và rút kinh nghiệm.
|
|
|
Khi đọc được tin này trên VnExpress, tôi thật sự rất ấn tượng với những gì BKIS đang cố gắng. Tuy hơi không khiêm tốn, không submit cho các OS khác hoặc bị fail nhưng dù sao bước đầu vẫn đáng khích lệ. Chúc mừng BKAV team
|
|
|
Tổ chức kiểm định phần mềm Virus Bulletin vừa chứng nhận Bkav của Việt Nam đạt chứng chỉ VB100.
Để đạt chứng chỉ VB100, phần mềm diệt virus tham gia kiểm định phải phát hiện 100% các virus trong tập mẫu. Tập mẫu virus được hội đồng các chuyên gia thu thập trên toàn cầu, chúng được xác định là những virus nguy hiểm có mức độ lây lan rộng.
John Hawes, Giám đốc Bộ phận kiểm định của Virus Bulletin, nhận xét: “Tôi đánh giá cao khả năng duy trì tính ổn định trong suốt quá trình kiểm định của Bkav”.
Theo ông Vũ Ngọc Sơn, Giám đốc Bộ phận nghiên cứu của Bkav, đầu năm nay Bkav đã 2 lần gửi phiên bản cũ Bkav Home 2009 đi kiểm định, tuy nhiên đều không thành công. Sau khi ra mắt bản Bkav 2010 sử dụng công nghệ điện toán đám mây, những cải tiến về công nghệ và tập mẫu nhận diện lớn hơn hẳn các phiên bản cũ (lên đến 6,4 triệu mẫu virus) đã giúp Bkav vượt qua bài kiểm định của Virus Bulletin.
Kỳ kiểm định này có 54 phần mềm diệt virus hàng đầu thế giới tham gia, có tới hơn 1/3 số sản phẩm không thể vượt qua để đạt chứng chỉ.
Chứng chỉ VB100 lần đầu tiên được giới thiệu vào năm 1998. Nhiều năm qua, Virus Bulletin đã thực hiện kiểm định độc lập các phần mềm diệt virus trên toàn cầu. Kiểm định của Virus Bulletin được công nhận rộng rãi trong ngành công nghiệp phần mềm. Các bài test tập trung vào khả năng nhận diện tập mẫu virus, tốc độ quét, cũng như khả năng chống nhận diện nhầm của các phần mềm diệt virus.
M.H.
http://vnexpress.net/GL/Vi-tinh/Hacker-Virus/2010/08/3BA1F4E4/
|
|
|
Check thử ebanking.dongabank.com.vn được 88đ tụi SSLLab báo thế này:
This server is vulnerable to MITM attacks because it supports renegotiation (more info here http://blog.ivanristic.com/2009/11/not-just-csrf-ssl-authentication-gap-used-for-credentials-theft.html).
Hình như anh conmale chỉnh gì đó về phần ssl này nên khi login HVA sử dụng ssl thì nhận lỗi: (Error code: ssl_error_rx_unexpected_new_session_ticket)
|
|
|
Cả 2 trường hợp Squid dùng cert của nó hay "lột" ssl ra như ssltrip người dùng chỉ cần chú ý 1 chút đều có thể nhận thấy 1 cách dễ dàng.
|
|
|
PoC - BIOS rootkit:
http://www.securityfocus.com/news/11372
http://www.antirootkit.com/blog/2006/01/27/researchers-say-rootkits-are-headed-for-bios/
MBR rootkit:
http://www2.gmer.net/mbr/
|
|
|
Vậy còn câu hỏi thứ 2 là trong thực tế, ngoài cracking CAPTCHA, JFS view state thì padding oracle attack này có thể xảy ra ở đâu nữa khiến độ nguy hiểm cao hơn?
|
|
|
Hôm nay nghe thuyết trình của mrro, mới đầu tui có thắc mắc là nếu 7zip sử dụng AES algorithm, như vậy theo lý thuyết không biết key sẽ có thể giải mã được. Nhưng sau khi nghĩ lại thì thấy Padding Oracle không áp dụng được trường hợp này vì đầu vào cần để cái Oracle machine đó giải mã file bao phải gồm 2 yếu tố: encrypted data và user key. Như vậy khác với trường hợp của mrro đưa ra là cái Oracle machine nó có key để decrypt content đó và attacker chỉ submit encrypted text thôi.
Không biết như thế có đúng không, mrro giải đáp giúp?
Ngoài cracking captcha, view state JFS và asp.net, trong thực tế loại tấn công padding oracle này có thể xảy ra ở đâu nữa, nơi mà xuất hiện cấu trúc server lưu giữ key để decrypt và attacker cần biết nội dung plaintext của encrypted content đó? Nói 1 cách ngắn gọn là trong thực tiễn, loại tấn công Padding Oracle này có ứng dụng nào nguy hiểm hơn crack captcha và decrypt JFS view state?
Thank you
|
|