banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Flood Apache Webserver.  XML
  [Question]   Re: Flood Apache Webserver. 04/02/2008 06:10:39 (+0700) | #61 | 113446
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Ọc . No . Mình không nói gì về HVA cả . Ý mình nói là người phá mình có kiến thức IT nhiều , và cũng là thành viên của diễn đàn HVA . Ý mình nói về sự trùng hợp . Chứ có trách móc gì phía HVA đâu bạn . Xin lỗi vì mình nói không chính xác . Phải là một người tham gia diễn đàn HVA. Hic . Giờ vẫn đang bị . Tất cả các ý tưởng đều đã được triển khai nhưng ko si nhê smilie Giờ mình tính làm cách nào đó giới hạn lại kết nối giữa MSSQL SV và Apache Sv . Để nếu có bị flood thì Apache SV die , không ảnh hưởng gì đến MSSQL SV cả . Nhưng google mãi không thấy thông tin gì smilie
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 04/02/2008 06:45:27 (+0700) | #62 | 113447
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Phân tích lại 2 đoạn sniff của bồ, tôi thấy vài chi tiết quan trọng sau:

1) Bồ bị Syn Flood từ các IP ở VN, chủ yếu là từ Vietel network. Nếu bồ dùng firewall, nên giới hạn số lượng SYN được phép trong 1 giây là 2 hoặc 3 là tối đa.

2) Trong suốt 2 đoạn sniff ngắn ngủi, có chưa đến 10 IP request đến server của bồ nhưng đã có:
- vài chục duplicated ACK đi từ các public IP. Tình trạng này xảy ra do router của bồ trả lời cái gì đó không hợp lệ hoặc packets bị lost khi router của bồ gởi packets đi đến clients.

- vài trăm malform packets từ 192.168.1.3 đến 192.168.1.5. Đây là tình trạng rất tệ bởi vì nếu 2 servers trong cùng 1 LAN, dùng chung 1 switch mà bị tình trạng này thì network card của một trong hai server này có vấn đề hoặc cable có vấn đề hoặc switch có vấn đề. Không thể gọi là bình thường được. Đây là dấu hiệu của sự trì trệ trong quá trình chuyển gởi thông tin.

- gần một ngàn response packets đi từ 192.168.1.3 đến 192.168.1.5. Đây là cái yếu của việc không dùng database connection pool mà dùng direct query như trên. Nếu website hoạt động bình thường và chỉ có 1 số lượng người nào đó truy cập thì ok. Tuy nhiên, nếu bị flood thì các response packets này sẽ gia tăng theo cấp số và mỗi lần như thế, apache phải tạo connection (socket) đến mssql --> cực kỳ trì trệ.

3) Có dấu hiệu của x-flash. Những dấu hiệu này có biến thái khá mới lạ và chúng chỉ nhằm vào các file có kích thước lớn trên site của bồ. Các files này thường là các flash mà bồ đính trên site của mình. Nếu dùng mod_security, bồ nên cho dòng sau vào httpd.conf:

SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400"


Ngoài ra, MTU của bồ như thế là ok rồi. Không cần phải chỉnh thấp hơn. Tôi nghĩ rằng nếu bồ chạy apache trên Linux có lẽ bồ sẽ không bị tệ hại như thế. Nếu bồ điều chỉnh lại cơ chế truy vấn đến mssql thì site của bồ sẽ bền hơn.

Một lời cuối: bất cứ ai cũng có thể đăng ký nick tại HVA và trở thành member của HVA. Khi họ sinh hoạt trên diễn đàn này, họ cần thực hiện đúng với luật chơi chung của HVA. Tuy nhiên, những gì họ làm bên ngoài diễn đàn HVA, HVA hoàn toàn không chịu trách nhiệm. Bản thân tôi có thể khuyến dụ ai đó là member của HVA ngưng phá phách bồ. Tuy vậy, cá nhân ấy có đồng ý hay không là chuyện ngoài khả năng của tôi. Xin nhớ rằng, HVA không có chủ trương phá hoại. Những gì xảy ra bên ngoài khuôn khổ diễn đàn HVA thì không có gì liên quan đến HVA cả.

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 04/02/2008 07:17:41 (+0700) | #63 | 113453
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

levinthan wrote:
Bác PXMMRF phân tích cực kì chính xác . Hiện bác khó vào được trang http://ta1.myvnc.com vì mình liên tục bị flood , và hay tắt service nên bác bị timeout. Còn cái NO-IP . Cái này chỉ là DNS thôi . Khi đã qua nó rồi thì nó kết nối đến IP thật . Rất nhanh. Còn như ý của bác nói thì , hịc . Hồi trước em làm 1 line , người chơi đông gấp 2 lần giờ còn không vấn đề gì . Giờ còn có 1/2 players , mà 2 line , mà vẫn bị sập . Web ta1.myvnc.com public lên trianglemu.com nên ổng biết , ổng xem mà flood nên không ổn định . Đây là link web phụ đây : http://taw.myvnc.com/wb . Bác xem xem sao . ( mà giờ ổng đang đọc cũng ko biết chừng ) Đây cũng là Webserver appserv đặt trong LAN nhưng có default gateway khác với game. Không dám public cái link đó lên trianglemu.com luôn. Chỉ có vài chục người gamer quen biết . Họ vào địa chỉ đó chẳng bị gì cả.Em có 2 line ADSL , đã thử dùng 1 line chạy riêng cho Webserver , 1 line chạy riêng cho Game, nhưng khi line Web bị flood , vẫn ảnh hưởng đến Game vì web có kết nối MSSQL đến game trong mạng lan. Em tính đưa cái web lên host của servage cho nó host . chạy mssql connect tới mssql server của em . mà nó ko support MSSQL connect , chỉ có MYSQL thôi . So banana <= câu này lychailon nói trong vài trang web mà ổng học tiếng Anh. 


"Nó" nói "So banana" là ý nó nói hệ thống của bạn là "như củ chuối" phải không? Hì hì. Bạn nói lại với nó là "Cười người hôm trước, hôm sau người cười", là "Câu sao không lo cái tiệm net của cậu đi, cứ đi phá người khác"; "Cạnh tranh là phải nâng cao chất lượng phục vụ, chất lượng trang web, chứ đâu đi làm chuyện tầm bậy, hạ đẳng như vậy"; "Có giỏi thì thử tấn công vào HVA webserver xem sao?"...vân vân.

Theo tôi bạn cứ duy trì như sắp xếp hiện nay của bạn. Nếu cần thì sử dụng MySQL của Webserver của công ty hosting. Tạm bố trí "trianglemu.com" có thể hoạt động một cách độc lập. Website-webserver ta1.myvnc.com chỉ làm nhiệm vụ giới thiệu, quảng cáo, tổng kết... gì đó. Trên đó có những link, chỉ khi click vào thì mới dẫn trình duyệt của user đi đến trang "trianglemu.com". Không nên tạo một mối liên hệ "phụ thuộc" dưới hình thức truyền dẫn dữ liệu giữa trianglemu.com và ta1.myvnc.com.

Bạn chú ý là khi một user truy cập đến một website, thí dụ ta1.myvnc.com thì trình duyệt phải hoàn tất hai giai đoạn: phân giải tên miền thành đia chỉ IP với 4 "octets" và truy cập đến webserver có IP trên. Chỉ một giai đoạn bị châm hay trục trặc là quá trình truy cập đến website bị thất bại. Khi một hacker khởi sự tấn công vào website thì hai giai đoạn nói trên cũng phải lần lượt hoàn tất. Nếu hệ thống DNS bị sụp đổ hay bị chậm khi phân giải các gói tin tấn công thì đưong nhiên việc truy cập đến website từ các user khác sẽ không được hay bị chậm lại.

Nếu bạn đã có hai nguồn ADSL thuê bao thì tốt nhất là bạn nên mua một Advanced security router và nối cả hai nguồn ADSL này vào router. Router sẽ cân bằng tải giữa hai nguồn ADSL, cũng như một cái sẽ đứng ra đảm nhân hoàn toàn việc nhận truyền các traffic, khi cái kia bị đứt mach. Trên router này có một firewall khá mạnh và có các cơ cấu quét virus online (quét virus ngay trên các nguồn dữ liệu vào ra), cơ cấu IDS, IPS.... Firewall tích hợp trên Advanced security router này có một cơ chế phòng, chống, hay hạn chế DoS. Cơ chế này mới xem qua thấy nó kỳ cục, buồn cười. Nhưng nghĩ kỹ lại và qua thực tế dùng thì thấy quả là quá thông minh, hình như không thể thông minh hơn, trên hiện trạng thiết bị tầm cỡ ấy. Tôi không kinh doanh net gì cả, chỉ ngâm cứu mạng và bảo mật chơi thôi, mà còn mua được một Advanced security router đấy. (giá cũng không có gì là cao, nếu biết chọn loại phù hợp mà mua)

Sau "chạy rà kỹ" router này bạn có thể lắp webserver như ta1.myvnc.com. Lúc đó có lẽ bạn không còn sợ các DoS thông thường như vừa qua. Chắc chỉ các DDoS quá mạnh thì còn có thể có những trục trặc tạm thời nào đó. Vì DDoS rất mạnh thì những hệ thống hiện đại, tầm cỡ trên TG còn phải chịu thua cơ mà.

Sau khi đã "rà trơn" hệ thống với router mới, có kinh nghiệm, thì bạn có thể lắp một game server sau router, cùng với webserver, tất nhiên phải port forwarding cho game server một cổng khác trên ADSL modem.



The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 04/02/2008 08:29:38 (+0700) | #64 | 113457
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

conmale wrote:
Phân tích lại 2 đoạn sniff của bồ, tôi thấy vài chi tiết quan trọng sau:

............................
- vài trăm malform packets từ 192.168.1.3 đến 192.168.1.5. Đây là tình trạng rất tệ bởi vì nếu 2 servers trong cùng 1 LAN, dùng chung 1 switch mà bị tình trạng này thì network card của một trong hai server này có vấn đề hoặc cable có vấn đề hoặc switch có vấn đề. Không thể gọi là bình thường được. Đây là dấu hiệu của sự trì trệ trong quá trình chuyển gởi thông tin.
.......................................
- gần một ngàn response packets đi từ 192.168.1.3 đến 192.168.1.5. Đây là cái yếu của việc không dùng database connection pool mà dùng direct query như trên. Nếu website hoạt động bình thường và chỉ có 1 số lượng người nào đó truy cập thì ok. Tuy nhiên, nếu bị flood thì các response packets này sẽ gia tăng theo cấp số và mỗi lần như thế, apache phải tạo connection (socket) đến mssql --> cực kỳ trì trệ.

Thân mến. 

Hì hì. Anh conmale đã phân tích kỹ thêm khi decode các gói tin sniff. Rất tiếc, tôi không thể download các file sniff này. Hinh như nó đã bị delete rồi?

Ngoài ra, khi check website "trianglemu.com" tôi thấy hiện tượng có khá nhiều "Script Error". Đó là hiện tựong có nhiều "incorrect request" (những truy vấn sai sót) từ nguồn gửi (ở đây chính là webserver
ta1.myvnc.com hay cũng có thể từ users nếu như lúc trước đây-lúc có sự số và bạn sniff các gói tin- bạn cho phép user có thể truy cập trực tiếp vào website " trianglemu.com"
), từ đó gây ra các lỗi (Script error) trên website "trianglemu.com".

Như vậy nhận xét trên đây của anh conmale trên đây là hoàn toàn chính xác
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 04/02/2008 11:27:59 (+0700) | #65 | 113469
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Mừng quá . Quá mừng . Mình rất vui khi được hai bạn nhiệt tình giúp đỡ như vậy .Chiều nay buồn lắm , tính buông xuôi rồi , buồn , đi ngủ một giấc , giờ dậy thấy được hai bạn giúp như vậy . Hi .

Bồ bị Syn Flood từ các IP ở VN, chủ yếu là từ Vietel network. Nếu bồ dùng firewall, nên giới hạn số lượng SYN được phép trong 1 giây là 2 hoặc 3 là tối đa. 


Cực kì chính xác . Mình đã nắm được vài cái IP . Cứ hễ mở service là IP đó nhảy vào ào ào . Toàn là 123.xx... 125.xx... Hiện tại cái ISA thấy nó ... ấy ấy quá . Mấy cái rule nó tạo thì OK . Chống được khá nhiều thứ ngoài luồng. Nhưng cũng phải tạo vài cái rule nhỏ để nó không chận với vài phần mềm của client nữa. Chức năng Limit Flood Configuration gì đó , mình thử config tới lui nhưng vẫn không chận được. Giờ máy Webserver có COMODO FIREWALL. Mình sẽ nghiên cứu và tìm thêm firewall khác hữu hiệu hơn. Chỉ cần có đầu mới
giới hạn số lượng SYN được phép trong 1 giây là 2 hoặc 3 là tối đa. 
là rất vui . là có hi vọng tiếp rồi smilie

- vài trăm malform packets từ 192.168.1.3 đến 192.168.1.5. Đây là tình trạng rất tệ bởi vì nếu 2 servers trong cùng 1 LAN, dùng chung 1 switch mà bị tình trạng này thì network card của một trong hai server này có vấn đề hoặc cable có vấn đề hoặc switch có vấn đề. Không thể gọi là bình thường được. Đây là dấu hiệu của sự trì trệ trong quá trình chuyển gởi thông tin.  

Cái này , ngày mai mình sẽ thay cái switch , toàn bộ dây và các card mạng lại .
. Đây là cái yếu của việc không dùng database connection pool mà dùng direct query như trên. 


Mình không biết về database connection pool , cảm ơn bạn đã chỉ , tí nữa sẽ nghiên cứu nó là gì.
SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400"  

Mình vừa thêm vào , hi vọng nó có hiệu quả.

"Nó" nói "So banana" là ý nó nói hệ thống của bạn là "như củ chuối" phải không? Hì hì. Bạn nói lại với nó là "Cười người hôm trước, hôm sau người cười", là "Câu sao không lo cái tiệm net của cậu đi, cứ đi phá người khác"; "Cạnh tranh là phải nâng cao chất lượng phục vụ, chất lượng trang web, chứ đâu đi làm chuyện tầm bậy, hạ đẳng như vậy"; "Có giỏi thì thử tấn công vào HVA webserver xem sao?"...vân vân.  

Hic. gần 2 tháng trước .Lúc đầu ổng bảo là game của em có lỗi , ổng bảo ổng sẽ chỉ ra lỗi với điều kiện gì đó , đại loại như là để im account của đó của ổng , cho ổng items trong game dù các gamers khác trong game rất bất bình vì tự nhiên có 1 superman trên trời rơi xuống . Thế là em nghiên cứu và sửa được lỗi , block acc của ổng , dù không cần ổng chỉ như thế nào nữa. Thế là ổng quay qua bảo em làm thế là quá tay , rồi chửi em , rồi bảo em .. " lo mà canh chừng hacker". Thế là từ sáng hôm sau cho đến nay , ngày nào cũng bị flood.

Theo tôi bạn cứ duy trì như sắp xếp hiện nay của bạn. Nếu cần thì sử dụng MySQL của Webserver của công ty hosting. Tạm bố trí "trianglemu.com" có thể hoạt động một cách độc lập. Website-webserver ta1.myvnc.com chỉ làm nhiệm vụ giới thiệu, quảng cáo, tổng kết... gì đó. Trên đó có những link, chỉ khi click vào thì mới dẫn trình duyệt của user đi đến trang "trianglemu.com". Không nên tạo một mối liên hệ "phụ thuộc" dưới hình thức truyền dẫn dữ liệu giữa trianglemu.com và ta1.myvnc.com.  


Hic . Hình như bạn hiểu nhầm . Cái trianglemu.com nó chẳng có gì cả , chỉ là vài cái trang index quảng cáo , dẫn đến website chính mà mình host . Mình mua host ,domain trianglemu.com của servage.net để có 1 cái domain cố định , upload cái CLIENT cho gamer download về , và 1 cái forum cho gamer tiện trao đổi . Chứ nó không hỗ trợ MSSQL , không thể đưa cái web chính lên đó được . mà cái web này rất quan trọng . Người mới vào chơi phải vào đó để tao tài khoản , và rất nhiều vấn đề khác nữa , không thể thiếu được.
Nếu hệ thống DNS bị sụp đổ hay bị chậm khi phân giải các gói tin tấn công thì đưong nhiên việc truy cập đến website từ các user khác sẽ không được hay bị chậm lại.  


Cái này đúng quan trọng thật nhưng hiện nay , chỉ cần webserver không làm ảnh hưởng đến gameserver thì em mừng lắm rồi. Mục đích ổng flood là cho người chơi không vào được game , khiến em phải tắt web , mà game mà không có web thì 1 thời gian sớm cũng sẽ die . Người chơi mới không có vì không tạo được tài khoản , người chơi cũ thì cũng ra đi luôn vì ... so banana , muonline mà không có web smilie.
Advanced security router 

Mình vừa nghiên cứu cái này vào trưa nay , cũng tính thử nhưng sợ kinh nghiệm không có , không biết tổ chức cho tốt nữa. Cho mình hỏi ké thì bạn thấy hiệu nào , loại nào thì có giá bình dân mà chất lượng ok , có thể sử dụng tốt cho mô hình mạng của mình hiện nay không , vì google thì thấy có quá nhiều loại , các cửa hàng của VN thì 100% là tụi nó cũng chẳng biết cái nào ngon , à không , phải là cái nào cũng ngon mới đúng . Cái này thật sự không biết thật . Nếu bạn biết thì chỉ giúp nhé . Chứ mình nhìn vào đây thì hoa cả mắt http://www.tic.vn/vi/thongtinbaogiachitiet.asp?idbaogia=91

Rất cảm ơn hai bạn đã nhiệt tình giúp đỡ mình . Tối nay sẽ lại thức sáng đêm để nghiên cứu tiếp . Gần 2 tháng nay , ngày nào cũng ngủ có 3 4 tiếng smilie
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 04/02/2008 11:37:46 (+0700) | #66 | 113470
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Có người bảo mình
Code:
* Open php.ini
* Find safe_mode = off and change it to safe_mode = on
* Do same thing with safe_mode_gid = off
* Restart appserv


Cũng đã thử , hi vọng có kết quả .
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 04/02/2008 12:54:06 (+0700) | #67 | 113476
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

levinthan wrote:

Hic . Hình như bạn hiểu nhầm . Cái trianglemu.com nó chẳng có gì cả , chỉ là vài cái trang index quảng cáo , dẫn đến website chính mà mình host . Mình mua host ,domain trianglemu.com của servage.net để có 1 cái domain cố định , upload cái CLIENT cho gamer download về , và 1 cái forum cho gamer tiện trao đổi . Chứ nó không hỗ trợ MSSQL , không thể đưa cái web chính lên đó được . mà cái web này rất quan trọng . Người mới vào chơi phải vào đó để tao tài khoản , và rất nhiều vấn đề khác nữa , không thể thiếu được.
 


Ờ, cái webserver đang hosting trianglemu.com chạy trên nền linux, cài Apache 1.3.x, PHP 5.2.3, nhưng nó chỉ mở cổng 80 TCP và không hề cài MySQL.
Tuy nhiên servage.net có một Datacenter khổng lồ, có tới 1000 MySQL. Vì các server của nó đều chạy trên nền Linux nên nó không hỗ trợ Ms SQL, như SQL 2000 hay 2005 chẳng hạn.
Sao bạn không chuyển sang dùng MySQL, để website trianglemu.com có thể chạy độc lập, có đủ tính năng cần thiết mong muốn, như tôi đề nghị?. (Hay bạn chưa quen Linux lắm). Cũng như sao bạn không tìm một công ty web hosting khác có các webserver chạy trên nền Windows và có hỗ trợ Ms SQL để hosting trianglemu.com?

Những thứ trong http://www.tic.vn/vi/thongtinbaogiachitiet.asp?idbaogia=91 đa phần là của Cisco, nên giá rất mắc.
Vả lại cũng không có cái nào phù hợp với yêu cầu của bạn. Có dịp tôi sẽ cho bạn xem cái tôi đang dùng, khá rẽ. Chỉ bằng giá một Desktop loại tốt thôi. Còn nếu dùng cái xịn nhất thì cũng chỉ trên dưới 15 triệu đồng thôi.

À quên, trong hệ thống của bạn nếu hardware (như NIC, switch...) hư hỏng, trục trặc, thì thường chỉ gây ra hiện tượng gián đoạn việc truyền các gói tin thôi, ít khi có hiện tượng gây ra, tạo ra các gói tin hay request malformatted. Theo tôi nên xem kỹ các service và việc config. hệ thống, cũng như ảnh hưởng của việc hacker tấn công vào hệ thống.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 04/02/2008 13:16:01 (+0700) | #68 | 113479
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Hi . Nhìn bảng giá trong đó mà chóng mặt . Nếu được bạn cho mình biết hiệu , model của cái router của bạn nhé . Và giá của nó luôn smilie .Mình cũng muốn dùng MYSQL nhưng thiết kế của MUServer không cho phép nên cũng không dùng LINUX được. Và bắt buộc SQL Server phải là mình host . Cái mình cần là PHP của Apache Server có support php_mssql thôi smilie Mà dạo quanh vài hosting thấy không có . Mà mình vẫn thích mình host luôn cái web smilie Toàn quyền kiểm soát dù là không biết kiếm soát ^^

Hiện mình đang nghiên cứu giới hạn số lượng SYN được phép trong 1 giây là 2 hoặc 3 là tối đa như comale nói và nghiên cứu database connection pool , phải thử một đống các giải pháp rồi mới chợp mắt , đợi đợt tấn công tiếp theo vào lúc 8g sáng mai. Cứ tối nào cũng thử vài thứ rồi hi vọng , 8g dậy là thấy hi vọng tan biến vì màn hình là con số ReceiveQueue tăng ào ào.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 04/02/2008 13:22:32 (+0700) | #69 | 113480
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
À quên, trong hệ thống của bạn nếu hardware (như NIC, switch...) hư hỏng, trục trặc, thì thường chỉ gây ra hiện tượng gián đoạn việc truyền các gói tin thôi, ít khi có hiện tượng gây ra, tạo ra các gói tin hay request malformatted. Theo tôi nên xem kỹ các service và việc config. hệ thống, cũng như ảnh hưởng của việc hacker tấn công vào hệ thống.  


Vâng . Mình sẽ xem xét kĩ lại xem sao . Cảm ơn bạn đã nhắc nhở.

Có đọc một số bài về iptables hay quá , mà chỉ triển khai được trên LINUX smilie
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 04/02/2008 14:45:49 (+0700) | #70 | 113489
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Hic . Trường hợp khẩn cấp . Không biết hắn đang giở trò gì với mình đây . Huhu. Bác nào mà nhìn log này mà bảo " không ai tấn công em " nữa thì thì em đập đầu vào tường mất thôi .
xem giúp em đi.
http://stukyo.com/access.rar
Dường như hắn ta đang SCAN gì đó .

Đoạn đầu của error.log, thấy có rất nhiều request đến stageb.swf . Còn có cả đống request gì

[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\\ HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../..%c0%af../winnt35/system32/cmd.exe HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../..%c0%af../winnt351/system32/cmd.exe HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../..%c0%af../wint/system32/cmd.exe HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../cmd.exe HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../cmd.exe?/c+dir HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../cmd1.exe HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../cmd1.exe?/c+dir HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../sensepost.exe HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../sensepost.exe?/c+dir HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c1%1c..%c1%1c../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c1%9c..%c1%9c../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c1%af..%c1%af../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file
[Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] File does not exist: C:/xampp/htdocs/..\xd0\xaf
[Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] File does not exist: C:/xampp/htdocs/..\xd1\x9c
[Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%e0%80%af..%e0%80%af../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file
[Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%f0%80%80%af..%f0%80%80%af../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file
[Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%f8%80%80%80%af..%f8%80%80%80%af../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file
[Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%fc%80%80%80%80%af..%fc%80%80%80%80%af../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file
[Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] Invalid URI in request GET /..\\%e0\\%80\\%af../..\\%e0\\%80\\%af../..\\%e0\\%80\\%af../winnt/system32/cmd.exe\\?/c\\+dir+c: HTTP/1.0


Hiện tại , em đang giới hạn maxthreads lại 100 . Nên log báo hết threads , có nên mở tiếp không các bác ?
Kinh quá . Xem hộ em với.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 04/02/2008 15:00:13 (+0700) | #71 | 113493
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Hiện tại mình đã block IP đó bằng .htaccess . Nhưng hắn vẫn đang tiếp tục thăm dò . Mấy bác xem giùm xem kiểu tấn công của hắn là kiểu gì và có thể có nguy hại gì không ? Mình có nên chuẩn bị bảo mật gì cho trước mắt không? Hic 117.6.127.180. Lại là IP từ VIETTEL.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 04/02/2008 15:10:35 (+0700) | #72 | 113495
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Em block IP rồi . Hắn vẫn request tiếp dù bị denied .
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/_vti_log
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/_vti_script
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/_vti_shm
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/_vti_txt
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/a
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/abc
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/about
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/acart
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/acceso
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/access
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/access-log
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/access.log
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/accesslog
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server
configuration: C:/xampp/htdocs/accesswatch
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/acciones
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/account
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/accounting
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/accounts
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/achievo
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/active
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/activex
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/ad
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/address
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/adm
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/admentor
[Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/admin
[Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/admin.html
[Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/administration
[Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/administrator
[Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/admins
[Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/adminuser
[Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/ads 


[Mon Feb 04 01:11:49 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../../winnt/repair/sam._ HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../../winnt/win.ini HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../autoexec.bat HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../boot.ini HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../config.sys HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../etc/hosts HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../etc/passwd HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../etc/shadow HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../autoexec.bat HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../boot.ini HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../conf/Eserv.ini HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../etc/passwd HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../scandisk.log HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../winnt/repair/sam HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../winnt/repair/sam._ HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../winnt/win.ini HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../boot.ini HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../config.sys HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../etc/passwd HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../hosts HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../passwd HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../shadow HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../template/shared/indexTemplate.xml HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../windows/repair/sam._ HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../windows/user.dat HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../windows/win.ini HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../windows\\win.ini HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../winnt/win.ini HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../..\\ HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../boot.ini HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../config/html/cnf_gi.htm HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../examples//WEB-INF/../../../../../ HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../scandisk.log HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../ssd.ini HTTP/1.0 
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 04/02/2008 15:35:30 (+0700) | #73 | 113497
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Hic . Từ forum VBB của mình nhận được rất nhiều mail gửi về . Hắn đánh luôn cả diễn đàn trên host trianglemu.com ( http://trianglemu.com/diendan )

The following message was sent to you via the Diễn Đàn TriAngle MU Contact Us form by 1.<ptxscan-demo@MTAuMC4wLjQ.com>
Referring Page: http://www.trianglemu.com/PTtpnvsrbybm.htm
IP Address: 116.118.40.235
User Name: Khách
User ID: 0
 

Google thông tin về ptxscan thì toàn là ba cái ngôn ngữ gì đâu ko smilie
Trên host trianglemu.com không có file này PTtpnvsrbybm.htm.Hiện mình đã bắt verify image khi send feedback cho vbb forum . Hi vọng ko bị về forum nữa . Còn apache thì sao nhỉ smilie
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 04/02/2008 19:49:30 (+0700) | #74 | 113499
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Hì hì! Xem trên log mà thấy như vậy, hay phải thấy như vậy mới đúng là bị "tấn công" toàn diện, mọi kẽ hở. Còn như nội dung event log của bạn đưa ra trong các post đầu tiên, thì ai đã quen xem log (thí dụ xem log trên máy của mình sau khi tự mình tấn công DoS đủ loai vào chính máy mình để kiểm tra bảo mật và khả năng chịu đựng của hệ thống) sẽ không thể nói, rất khó nói là máy bạn đã bị tấn công, hay ít nhất là bị tấn công qua cổng 80.

Ngoài ra thì những cái gì có chữ PX thì chắc là của lão PX chứ còn gì nữa? Thôi rỡn chút cho vui. Đó là vì tôi đã check khá kỹ hệ thống của bạn, cả ta1.myvnc.com và trianglemu.com, chủ yếu để tìm ra những vulnerability liên quan đến khả năng hệ thống dễ bị overflow hay bị ngưng trệ khi bị một hacker tấn công DoS vào hệ thống, thông qua cổng 80 hay bất cứ cổng nào đang mở trên hệ thống. Tôi không dùng Proxy khi check bảo mật, tôi thuê bao dịch vụ ADSL của Viettel và VDC, 2 nguồn.

Hiện nay tôi chưa tìm ra được một vulnerability như vậy, nên tôi đã, đang nghiêng về khả năng là những trục trặc vừa qua trên hệ thống chủ yếu là từ nguyên nhân: sự hạn chế của tên miền năng động loại secondary class, hạn chế từ nhà cung cấp dịch vụ Dynamic DNS, từ ISP, mạng của VN...và cả việc incorrect config. (cấu hình chưa đúng ) hệ thống. Tôi không tin là một hacker đã gây cho bạn những trục trặc như vậy. Nếu có một hacker tấn công vào bạn, nó chỉ "góp phần" nhỏ làm hệ thống trục trặc mà thôi.

Còn những lỗi khác sau này có dịp rảnh rang tôi sẽ nói cho bạn. Cũng như tôi sẽ nói rõ về Advanced security router, cho bạn xem tận mắt nó đang hoạt động và bạn sẽ thấy có thích nó hay không? Đầu tư một số tiền vào đó mà sau này bạn không thích, thì lại oán là lão PX xui dại.

Note:À quên, đã thông báo là sẽ check rồi, mà có lúc bạn lại block IP lại thì hỏng to. Lần sau tôi "thay"WAN IP đấy. Hề hề. Chỉ rỡn cho vui thôi.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 04/02/2008 21:03:28 (+0700) | #75 | 113501
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Hic . thế mà làm đau tim quá trời . 5 g sáng ngủ . 7g sáng dậy ngay để xem xem tình hình ra sao rồi. smilie Bác có nhiều tools hay ghê . Mà flooder đâu có check kĩ như bác , nó vào http://www.trianglemu.com để xem link của mục Quản lý tài khoản hiện tại ( phải cho mọi người biết để tạo tài khoản , ...) thì sẽ thấy là http://ta1.myvnc.com/tamu/ <- cứ đánh thẳng vào nó luôn thôi. Hic . Thôi em nằm , vừa nằm vừa canh tiếp . mở cái Magnifier , đưa chuột vào chữ RecvQ , phóng to ra xem số . Bình thường chỉ có 0 , 1 , 2 . Lâu lâu mở mắt thấy vài trăm , vài ngàn là biết.... tắt apache thôi.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 04/02/2008 23:50:15 (+0700) | #76 | 113505
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Hic. Vẫn đang bị flood smilie
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 05/02/2008 02:47:36 (+0700) | #77 | 113511
prof
Moderator

Joined: 23/11/2004 01:08:55
Messages: 205
Offline
[Profile] [PM]

levinthan wrote:
Hic. Vẫn đang bị flood smilie 

Hello levinthan,

Tôi cũng là người theo dõi khá sát tình trạng của bạn trong mấy ngày gần đây. Rất tiếc, các pcap files đã được xoá (theo khuyến cáo của anh conmale) nên tôi cũng ko thể biết chính xác những gì đã được gửi tới web server của bạn. Theo phỏng đoán của tôi, bên cạnh việc hiệu chỉnh apache theo sự trợ giúp của anh conmale, có lẽ bạn cần hiệu chỉnh thêm một chút các tham số liên quan tới phần TCP/IP của Windows mà Web server đang chạy trên nó, từ đó hi vọng giảm thiểu tình trạng SYN flood(!). Bạn có thể sử dụng công cụ http://www.sniff-em.com/hardenit.shtml. Lưu ý: do hệ thống hiện tại của bạn đang bị tấn công, nên tốt nhất bạn lựa chọn các giá trị tùy chọn thắt chặt nhất, sau đó nới lỏng dần từng tham số rồi xem phản ứng của hệ thống ra sao khi sử dụng công cụ trên.

Ngoài ra, theo gợi ý của bác PXMMRF, nếu có thể bạn cũng nên cân nhắc khả năng tăng cường phần hardware cho hệ thống. Nếu bạn đã có 2 ADSL lines, bạn có thể tham khảo sản phẩm Draytek Security Router hỗ trợ out-bound load balancing trên 2 WAN interfaces. Chi phí cho Router này cũng tầm trên dưới 10 tr VNĐ.

Hi vọng chút góp ý phần nào giúp được bạn vượt qua được đợt khó khăn này.

Thân mến.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 05/02/2008 02:57:24 (+0700) | #78 | 113512
seraphpl
Member

[Minus]    0    [Plus]
Joined: 04/12/2006 19:52:12
Messages: 97
Location: xxx
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]
Chào bạn, theo những gì bạn đã nói thì mình có 1 ý thủ công
Bạn nói khi tắt Apache thì games chạy bình thường, mình nghĩ vậy là nó không dos trực tiếp vào servergame. Mình xin đưa ra vài câu hỏi để suy nghĩ
Trong lúc bị dos
-Bạn có thử đưa web tĩnh lên.
-Bạn có thử bỏ tất cả các dịch vụ như reset, xóa mật khẩu,đổi giới tính, chuyển tiền, shop,.... rồi sau đó thêm từng dịch vụ 1 vào, rồi xem trạng thái hệ thống thế nào....
Nếu sau khi thêm vào 1 dịch vụ mà thấy bất ổn thì mới bắt đầu soi cái dịch vụ đó.
Mong là khả quan hơn ,



levinthan wrote:

Hic. Vẫn đang bị flood smilie
 


cười cái nào smilie
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 05/02/2008 03:54:16 (+0700) | #79 | 113520
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Hi . Lại có người giúp nữa rồi. Vui quá . Mình đã giới hạn các thông số của apache server ( timeout , MaxKeepAliveRequests , keelalivetimeout ,ThreadsPerChild ,MaxRequestsPerChild, ThreadLimit ) nhưng vẫn không khắc phục được. Mình có đọc một số bài viết giới hạn lại TCP/IP trong windows bằng cách chỉnh sửa registry . Để mình thử cái đó xem sao .Có phải cái này không nhỉ
Open your registry and find the key below.

Create a new DWORD value called "SynAttackProtect" and set it to either 0, 1 or 2 based on the table below.

This value causes Transmission Control Protocol (TCP) to adjust retransmission of SYN-ACKS. When you configure this value, the connection responses time out more quickly in the event of a SYN attack (a type of denial of service attack).

* 0 (default) - typical protection against SYN attacks
* 1 - better protection against SYN attacks that uses the advanced values below.
* 2 (recommended) - best protection against SYN attacks. This value adds additional delays to connection indications, and TCP connection requests quickly timeout when a SYN attack is in progress.

Optional Advanced Values

For extra control you can create these additional DWORD values in the same key for each of the items below. They are not required for SynAttackProtect to be effective.

* TcpMaxHalfOpen - default value is "100"
* TcpMaxHalfOpenRetried - default value is "80"
* TcpMaxPortsExhausted - default value is "5"
* TcpMaxConnectResponseRetransmissions - default value is "3"  

Mình đã up lại đoạn sniff trong quá trình bình thường và bị flood , bạn nào rảnh có thể xem giúp mình nhé http://stukyo.com/flood.rar
Mình sẽ tham khảo một số router xem sao . Có lẽ giá cao thật nhưng nếu nó lọc được 1 ít flood thì cũng cam .
http://www.draytek.com.vn/category.aspx?cat=2
Ở đây có vài cái router support load balancing . Nhưng quan trọng nhất là về mặt security , cái nào cũng là " best security , anti ddos, flood " . cái dlink 520t của mình cũng quảng cáo như vậy smilie
Hiện mình đang ngắm 2 cái là Vigor2910 Dual WAN Security Router ( 170+ $ ) và Vigor2950 Dual WAN Security Router (460+ $). Không biết cái nào phù hợp hơn nhỉ .
Chào bạn, theo những gì bạn đã nói thì mình có 1 ý thủ công
Bạn nói khi tắt Apache thì games chạy bình thường, mình nghĩ vậy là nó không dos trực tiếp vào servergame.  


Chính xác là flood vào webserver qua port 80 , mình đã thử change port , thậm chí change port của apache qua port khác , isa listen port 80 rồi chuyển qua đúng port cho apache mà vẫn không si nhê. Vì cái web của mình chẳng có gì . 90% là kết nối , lưu , xuất dữ liệu từ mssql . news cung lấy từ mssql ra , chỉ còn 2 chức năng must have là reg account , change password , user control thôi . bỏ mấy cái tính năng này ra , không kết nối đến mssql nữa thì ... là web trắng rồi smilie Cảm ơn các bạn đã giúp đỡ. Sự thật là không vui nổi . Trước giờ thảnh thơii lắm . Có nhiều thời gian , còn giờ cứ phải ngồi trên máy suốt luôn , ngày ngày đêm đêm mà canh stop service apache khi bị flood , tìm cách khắc phục .
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 05/02/2008 04:21:13 (+0700) | #80 | 113522
seraphpl
Member

[Minus]    0    [Plus]
Joined: 04/12/2006 19:52:12
Messages: 97
Location: xxx
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]
Bạn dùng 2 line riêng, 1 cho web, 1 cho server (servergame)
Ms sql bạn để trên máy web hay máy server?
Web liên hệ với server qua trao đổi dữ liệu với sql
Không biết bạn thiết kế theo mô hình nào
1) Web + MS sql <--------------> servergame
2) Web <--------> MS sql <-----> servergame
3) Web <--------------> MS sql + servergame
(Từng cụm là từng máy, 2 màu thể hiện 2 line khác nhau)
Nó dos web mà ảnh hưởng tới server thì mình nghĩ là trong phần dịch vụ của web, nếu không thì chỉ có web có vấn đề thôi, đằng này server cũng "hưởng" theo. smilie
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 05/02/2008 04:25:45 (+0700) | #81 | 113523
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]

seraphpl wrote:
Bạn dùng 2 line riêng, 1 cho web, 1 cho server (servergame)
Ms sql bạn để trên máy web hay máy server?
Web liên hệ với server qua trao đổi dữ liệu với sql
Không biết bạn thiết kế theo mô hình nào
1) Web + MS sql <--------------> servergame
2) Web <--------> MS sql <-----> servergame
3) Web <--------------> MS sql + servergame
(Từng cụm là từng máy, 2 màu thể hiện 2 line khác nhau)
Nó dos web mà ảnh hưởng tới server thì mình nghĩ là trong phần dịch vụ của web, nếu không thì chỉ có web có vấn đề thôi, đằng này server cũng "hưởng" theo. smilie  


Nó đấy , là nó đấy , vấn đề mà mình đau đầu , không hiểu nổi . Cả 3 phương án trên mình đều đã thử hết . Và cả 3 phương án đều bị flood tè le . Biết là bị tấn công . Biết là bị tấn công từ web . Mà không biết là how'd they do that smilie
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 05/02/2008 06:05:45 (+0700) | #82 | 113533
[Avatar]
vivashadow
Member

[Minus]    0    [Plus]
Joined: 08/01/2008 12:36:49
Messages: 95
Offline
[Profile] [PM]
Mình cũng đọc qua hết kí sự và hiểu tình trạng của bạn. Chỉ mong bạn nên coi đây là một cơ hội để nâng cao skill defending cho mình. Dù kết quả ra sao bạn cũng học được rất nhiều phải kô?

Mình không biết sâu và có kinh nghiệm gì về hosting và networking security, nhưng qua theo dõi mình có rút ra vài điều trên phương diện logic, biết đâu ngáp phải ruồi smilie

Theo mình hiểu thì khả năng là flooder tìm ra 1 url hợp lệ mà task ứng với url này yêu cầu một khối lượng lớn resource của dbserver. Hiện tại chưa thể ngăn chặn từ gốc bằng firewall vì chưa nắm rõ pthức tcông nhưng để tạm thời hạn chế và khoanh vùng, mình xin đưa ra 1 số gợi ý nhắm vào phần truy cập của web lên DB.
1.Disable lần lượt hoặc (nhị phân) các thao tác của user hoặc guest theo thứ tự giảm dần độ "nặng" của thao tác lên DB, và theo dõi thay đổi áp lực flood.
2. Xem lại các module thống kê xem có cái nào yêu cầu dữ liệu reatime hoặc đáp ứng request tức thời không, mặt khác tăng thời gian tái cập nhật dữ liệu asyn của các module stats, bỏ các auto refresh.
3. Một hướng nữa là bạn tạm thời dừng server game và mở log của DB để theo dõi những access từ web, bật log của một số table chủ yếu như user info,... để phát hiện access hay update tập trung những bản nào từ đó lần ra module hay link mà flooder đang dùng để attack.
Xin bạn hãy coi đây là 1 thử thách hơn là tai họa!
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 05/02/2008 06:17:55 (+0700) | #83 | 113534
[Avatar]
vivashadow
Member

[Minus]    0    [Plus]
Joined: 08/01/2008 12:36:49
Messages: 95
Offline
[Profile] [PM]
Bổ sung: (kô sửa bài trên dc)
4. Tạo một db user khác để dùng cho web php, và thắt chặt quyền và balance cho nó, phần nào sẽ đỡ cho user dành cho game server
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 05/02/2008 06:47:46 (+0700) | #84 | 113536
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]

vivashadow wrote:
Bổ sung: (kô sửa bài trên dc)
4. Tạo một db user khác để dùng cho web php, và thắt chặt quyền và balance cho nó, phần nào sẽ đỡ cho user dành cho game server 


Wao . Ý kiến này hay quá . Quả là chưa thử , chưa nghĩ tới . Cảm ơn bạn nhiều
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 05/02/2008 08:29:11 (+0700) | #85 | 113540
prof
Moderator

Joined: 23/11/2004 01:08:55
Messages: 205
Offline
[Profile] [PM]

levinthan wrote:
Hi . Lại có người giúp nữa rồi. Vui quá . Mình đã giới hạn các thông số của apache server ( timeout , MaxKeepAliveRequests , keelalivetimeout ,ThreadsPerChild ,MaxRequestsPerChild, ThreadLimit ) nhưng vẫn không khắc phục được. Mình có đọc một số bài viết giới hạn lại TCP/IP trong windows bằng cách chỉnh sửa registry . Để mình thử cái đó xem sao .Có phải cái này không nhỉ
Open your registry and find the key below.

Create a new DWORD value called "SynAttackProtect" and set it to either 0, 1 or 2 based on the table below.

This value causes Transmission Control Protocol (TCP) to adjust retransmission of SYN-ACKS. When you configure this value, the connection responses time out more quickly in the event of a SYN attack (a type of denial of service attack).

* 0 (default) - typical protection against SYN attacks
* 1 - better protection against SYN attacks that uses the advanced values below.
* 2 (recommended) - best protection against SYN attacks. This value adds additional delays to connection indications, and TCP connection requests quickly timeout when a SYN attack is in progress.

Optional Advanced Values

For extra control you can create these additional DWORD values in the same key for each of the items below. They are not required for SynAttackProtect to be effective.

* TcpMaxHalfOpen - default value is "100"
* TcpMaxHalfOpenRetried - default value is "80"
* TcpMaxPortsExhausted - default value is "5"
* TcpMaxConnectResponseRetransmissions - default value is "3"  

Mình đã up lại đoạn sniff trong quá trình bình thường và bị flood , bạn nào rảnh có thể xem giúp mình nhé http://stukyo.com/flood.rar
...
 

Thông tin về bài viết đó chưa đủ. Tôi đã để link của công cụ mà tôi giới thiệu cho bạn trong chữ "này" rồi mà. Cụ thể là ở đây: http://www.sniff-em.com/hardenit.shtml. Bạn tải về và thắt chặt thêm cho phần TCP/IP trên Web server của mình.

...
Bạn có thể sử dụng công cụ này. Lưu ý: do hệ thống hiện tại của bạn đang bị tấn công, nên tốt nhất bạn lựa chọn các giá trị tùy chọn thắt chặt nhất, sau đó nới lỏng dần từng tham số rồi xem phản ứng của hệ thống ra sao khi sử dụng công cụ trên.
 


Mình sẽ tham khảo một số router xem sao . Có lẽ giá cao thật nhưng nếu nó lọc được 1 ít flood thì cũng cam .
http://www.draytek.com.vn/category.aspx?cat=2
Ở đây có vài cái router support load balancing . Nhưng quan trọng nhất là về mặt security , cái nào cũng là " best security , anti ddos, flood " . cái dlink 520t của mình cũng quảng cáo như vậy smilie
Hiện mình đang ngắm 2 cái là Vigor2910 Dual WAN Security Router ( 170+ $ ) và Vigor2950 Dual WAN Security Router (460+ $). Không biết cái nào phù hợp hơn nhỉ .
...
 

Bạn nên tự cân nhắc xem thiết bị nào phù hợp với túi tiền và nhu cầu của mình. Tớ sẽ ngâm cứu đoạn sniff mà bạn cung cấp xem có manh mối gì không. Hi vọng có thể giúp được bạn điều gì đó.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 05/02/2008 12:21:08 (+0700) | #86 | 113554
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]

Thông tin về bài viết đó chưa đủ. Tôi đã để link của công cụ mà tôi giới thiệu cho bạn trong chữ "này" rồi mà. Cụ thể là ở đây: http://www.sniff-em.com/hardenit.shtml. Bạn tải về và thắt chặt thêm cho phần TCP/IP trên Web server của mình.  

Xin lỗi , mình đọc không kĩ nên tưởng đó là phần mềm sniff.
Tạo một db user khác để dùng cho web php, và thắt chặt quyền và balance cho nó, phần nào sẽ đỡ cho user dành cho game server  

Cách này đã thất bại luôn rồi. HIc.
Tớ sẽ ngâm cứu đoạn sniff mà bạn cung cấp xem có manh mối gì không. Hi vọng có thể giúp được bạn điều gì đó. 
Cảm ơn bạn rất nhiều. Đã thiết lập Harden-It rồi . Sáng mai mình sẽ có kết quả smilie
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 05/02/2008 20:43:26 (+0700) | #87 | 113569
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

seraphpl wrote:
Bạn dùng 2 line riêng, 1 cho web, 1 cho server (servergame)
Ms sql bạn để trên máy web hay máy server?
Web liên hệ với server qua trao đổi dữ liệu với sql
Không biết bạn thiết kế theo mô hình nào
1) Web + MS sql <--------------> servergame
2) Web <--------> MS sql <-----> servergame
3) Web <--------------> MS sql + servergame
(Từng cụm là từng máy, 2 màu thể hiện 2 line khác nhau)
Nó dos web mà ảnh hưởng tới server thì mình nghĩ là trong phần dịch vụ của web, nếu không thì chỉ có web có vấn đề thôi, đằng này server cũng "hưởng" theo. smilie  


Suy nghĩ, hay chính xác hơn là cách đặt vấn đề, như bạn seraphp trên đây là khoa học, hợp lý.

Khi một hệ thống có nhiều thiết bị, thưc hiện các nhiệm vụ, chức năng khác nhau, thì vấn đề quan trọng nhất là phải thiết lập một sơ đồ bố trí (topology) hợp lý trên mạng. Một sơ dồ hợp lý sẽ giảm thiểu các trục trặc cho hệ thống khi hoạt động, cũng như hạn chế tối đa số lượng và tác hại của các cuộc tấn công từ bên ngoài, trong đó có tấn công DoS.
Từ sơ đồ mạng đã vạch ra, căn cứ yêu cầu, nhiệm vụ của hệ thống (thí dụ public web, xây dựng gameonline, forum, tạo file server... vân vân), ta mới chọn thiết bị phù hợp, kể cả các thiết bị mạng.

Vì vậy chúng ta không nên:
- Làm ngược lại, nghĩa là "nhảy thẳng vào thiết bị", không hề suy nghĩ đến một sơ đồ mạng hợp lý. Khi có trục trặc thì loay hoay sửa chữa, cấu hình (config.), harden lại thiết bị...mà không hề nghĩ đến sơ đồ hệ thống. Vì có thể sơ đồ hệ thống hiện hữu đã có những sai sót cơ bản. Khi một chiếc máy bay mới thiết kế gặp trục trặc thì việc khắc phục trước hết là việc của Tổng công trình sư, không phải là việc một hay hai kỹ sư cơ khí, điện, thấy máy bay hư hỏng bèn nhảy bổ vào sửa chữa lung tung.

- Kỹ thuật mạng (trong đó có thiết bị mạng) hiện phát triển mạnh, có thể nói là như vũ bão. Có rất nhiều kỹ thuật mới cũng như thiết bị mới có khả năng hoàn thành đồng thời nhiều nhiệm vụ phức tạp, mà trước đây phải nhiều thiết bị mới làm đựoc. Vì vậy chúng ta không nên suy nghĩ và thực hiện một việc, công trình theo cách mà chúng ta đã học thời học sinh, sinh viên, hay theo các kiến thức cũ kỹ trước đây.

Trở lại vấn đề của bạn levinthan thì theo tôi trước hết bạn phải tìm ra một optimal topology (sơ đồ tối ưu) cho hệ thống của bạn. Sau đó tìm các thiết bị mới (nếu thấy rất cần và có...tiền), rồi lắp hệ thống theo sơ đồ và chạy thử, kiểm tra hệ thống khi bị tấn công, như vừa rồi.

Hiện nay có vẻ bạn đang "rối"? Tôi hình dung tâp tin httpd.conf trong Apache (vốn dài hơn 10 trang A4 khi in ra) có lẽ đã dày đặc các dòng sửa chữa, bổ sung, mà chắc bạn cũng không nhớ hết. Giống như, thôi thì khi mắc trọng bệnh, ai mách thuốc gì, bèn uống thuốc đó ngay. Thành ra cơ thể là kho chứa thuốc.

Trong một hệ thống Public web, có nhiều service, thì web server (đây ý nói là trình quản lý web như Apache, IIS...) luôn là khâu yếu nhất, dễ tổn thương nhất và nó lại nằm ở lớp cuối cùng, sâu nhất trong mô hình hệ thống (lớp Application). Vì vậy cố gắng không thể để, hay hạn chế các gói tin "tấn công" vào đến đó. Cần cố gằng loại nó từ vòng ngoài. Trước một cuộc tấn công DoS hay DDoS mạnh, viêc config. lại Apache, thí dụ config. trong httpd.conf, là không cần thiết, mất công. Nó chỉ có tác dụng phòng thâm nhập dùng các exploit code.

Ngoài ra tôi thấy bạn phải canh chừng để tắt Apache khi bị tấn công-mất công quá. Song đó là việc cần làm, vì như tôi đã nói, Apache dễ bị tổn thương. Nhưng có một cơ cấu trong firewall của các security router, như Draytek router, làm nhiệm vụ ấy một cách tự động và thông minh, theo chỉ định lúc đầu của ta.

-
-
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 06/02/2008 04:26:33 (+0700) | #88 | 113590
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Bạn nói rất có lý . Mình không phải không suy nghĩ khi giải quyết . Mình đã thử tổ chức lại mô hình mạng cho hợp lý , thử đủ giải pháp bằng phần mềm để phòng chống nhưng vẫn không có tác dụng. Có lẽ giải pháp mua 1 security router hiện nay là bắt buộc rồi . Gần tết nên kinh phí hơi hạn hẹp . Mình tính mua Draytek Vigor2910 . Có chức năng Load Balancing <- Cái này không quan trọng cho lắm vì mình cần chức năng security để chống ddos và flood , liệu nó có khả năng không nhỉ. thấy quảng cáo thì có nhưng chắc chỉ những người đã sử dụng mới biết . Mấy bạn cho mình ý kiến nhé .
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 06/02/2008 09:02:57 (+0700) | #89 | 113622
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Một số người khuyên mình nên triển khai kiểu khi bị đánh thì sẽ tự forward sang 1 máy khác để máy đó chịu , không ảnh hưởng đến máy chính . Các bạn cho mình hỏi đây là triển khai kiểu gì và thiết bị cần thiết là gì được không ?
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 08/02/2008 17:44:16 (+0700) | #90 | 113904
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Hôm nay , log access của mình liên tục nhận được thông báo này , từ IP đó , với nội dung cố định đó . Cho mình hỏi đây là gì vậy mấy bạn ? ....

58.186.167.115 - - [08/Feb/2008:03:29:46 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18692
58.186.167.115 - - [08/Feb/2008:03:29:46 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18692 "-" "Microsoft URL Control - 6.00.8862"
58.186.167.115 - - [08/Feb/2008:03:29:58 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693
58.186.167.115 - - [08/Feb/2008:03:29:58 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 "-" "Microsoft URL Control - 6.00.8862"
58.186.167.115 - - [08/Feb/2008:03:30:10 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693
58.186.167.115 - - [08/Feb/2008:03:30:10 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 "-" "Microsoft URL Control - 6.00.8862"
58.186.167.115 - - [08/Feb/2008:03:30:16 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693
58.186.167.115 - - [08/Feb/2008:03:30:16 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 "-" "Microsoft URL Control - 6.00.8862"
58.186.167.115 - - [08/Feb/2008:03:30:23 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693
58.186.167.115 - - [08/Feb/2008:03:30:23 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 "-" "Microsoft URL Control - 6.00.8862"
58.186.167.115 - - [08/Feb/2008:03:30:29 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693
58.186.167.115 - - [08/Feb/2008:03:30:29 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 "-" "Microsoft URL Control - 6.00.8862" 
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|