banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Đọc log như thế nào để tìm ra trang chứa XFlash ?  XML
  [Question]   Đọc log như thế nào để tìm ra trang chứa XFlash ? 24/12/2006 11:46:22 (+0700) | #1 | 32460
belenba
Member

[Minus]    0    [Plus]
Joined: 23/12/2006 23:40:54
Messages: 22
Offline
[Profile] [PM]
xin các anh chỉ em, em phải đọc log nào để tìm ra trang chứa cái Flash đang DoS em ?
Không biết có phải sniffpacket không các anh ?
Em thấy các log access của Cpanel đều chỉ hiện IP của người bị dính XFlash khi truy cập trang chứa XFlash thui, em ko bít làm sao tìm ra nơi đặt nó, và tìm ra trang đó rồi thì làm sao tìm ra cái nào là Xflash ?

Xflash khác với khi DoS bằng tool chỗ nào ạ ?

Mong các anh giúp em, trang web của em bị DoS sắp chết rồi :cry:
[Up] [Print Copy]
  [Question]   Re:Đọc log như thế nào để tìm ra trang chứa XFlash ? 24/12/2006 23:16:17 (+0700) | #2 | 32516
[Avatar]
nora
Elite Member

[Minus]    0    [Plus]
Joined: 20/09/2006 00:08:43
Messages: 360
Location: UK
Offline
[Profile] [PM]
Tôi chẳng hiểu Xflash và cái flash tôi đã từng dùng có phải là 1, nhưng những phiên bạn Flash cũ tôi có dùng qua.

cơ chế hoạt động của đoạn flash mà tình cờ tôi decode được là sau khi cài đặt vào một remote website với số lượng truy cập lớn, miếng flash này request tới website victim, và hàng chục ngàn request như vậy một lúc tới website của victim dẫn tới quá tải website.

tôi nghĩ nếu bạn là server admin thì bạn chẳng hỏi như vậy, chính vì vậy tôi ko đi sâu vào nhận biết các packet từ bên ngoài, và nếu bạn là sẻver admin thì bạn nên tìm bác conmale smilie) lão già này rành nhất cái vụ này (chẳng biết còn vụ config ...woman lão có rành vậy ko smilie ) tùy theo lòng hảo tâm của conmale thui he he.

còn bạn là webadmin thì theo tôi bạn nên cài một log, như một log php chẳng hạn để tìm ra referer, sau đó bạn xem referer từ đâu tới nhiều nhất thì có lẽ trang đó có cài đoạn flash kia.
sau ki tìm ra rùi, bạn nên download hết các flash của trang đó về bẳng cách view source rùi tìm các file flash.

sau khi có các file flash rùi bạn thử decode chúng xem sao
để decode flash thì sothink.com (trương trình sothink decompiler) là số 1.

bạn có thể dùng bản trial, nếu ko bạn có thể tìm bản crack hoặc keygen

nếu bí quá bạn cứ send cho tôi hoặc post lên đây mọi người sẽ decode cho bạn, ngoài kia nhiều cao thủ dấu mặt lắm smilie

ok đó là những gì tôi biết và đúc kết, hy vọng bạn sẽ tìm được lời giải đáp và những kinh nghiệm sâu hơn.
nora
[Up] [Print Copy]
  [Question]   Re:Đọc log như thế nào để tìm ra trang chứa XFlash ? 25/12/2006 05:29:00 (+0700) | #3 | 32570
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

nora wrote:


tôi nghĩ nếu bạn là server admin thì bạn chẳng hỏi như vậy, chính vì vậy tôi ko đi sâu vào nhận biết các packet từ bên ngoài, và nếu bạn là sẻver admin thì bạn nên tìm bác conmale smilie) lão già này rành nhất cái vụ này (chẳng biết còn vụ config ...woman lão có rành vậy ko smilie ) tùy theo lòng hảo tâm của conmale thui he he.
 

Hè... méo mó nghề nghiệp hả :lolsmilie Config woman thì phức tạp lắm, đến già sắp xuống lỗ cũng còn phải học dài dài.

nora wrote:

còn bạn là webadmin thì theo tôi bạn nên cài một log, như một log php chẳng hạn để tìm ra referer, sau đó bạn xem referer từ đâu tới nhiều nhất thì có lẽ trang đó có cài đoạn flash kia.
sau ki tìm ra rùi, bạn nên download hết các flash của trang đó về bẳng cách view source rùi tìm các file flash.
 

Check referer không chính xác đâu. Nếu x-flash được gắn trong iframe và trình duyệt của "zombie" gởi request thẳng đến nạn nhân thì hoàn toàn không có giá trị referer trên header.

Cách hữu hiệu nhất là xem log để tìm "pattern" nào gởi request đến web server nhiều nhất và bất thường nhất. Từ đó mới hình thành một cơ chế cản lọc.

1) trên tầng IP, tìm cách giới hạn số request theo mỗi giây.
2) trên tầng application (apache), dùng một công cụ cản lọc như mod_security để buộc các request bất thường bị denied.
3) cũng trên phần application, có thể dùng một phương buộc user thực thi hoặc gõ vào code xác thực thế nào đó trước khi cho phép vào trang web chính. Nếu không, các request đụng tới việc truy vấn database quá nhiều sẽ làm server xụm.

Good luck.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Đọc log như thế nào để tìm ra trang chứa XFlash ? 25/12/2006 12:21:48 (+0700) | #4 | 32640
belenba
Member

[Minus]    0    [Plus]
Joined: 23/12/2006 23:40:54
Messages: 22
Offline
[Profile] [PM]
Hic anh conmale ơi, pattern nào giờ.
Vì XFlash chạy trên máy của Zombie vậy nên tên tấn công đâu có tham gia, chỉ có zombie chạy rồi tung packet vô máy chủ của em, chặn thì em nghiên cứu kĩ rồi nhưng không biết tìm ra kẻ chủ mưu vì theo Tôn Tử diệt cỏ phải diệt tận gốc.
Nếu anh có ví dụ nào rõ ràng về cách xác định tên chủ mưu trong mớ log IP hỗn độn thì anh chỉ em với. Em chắc là cũng có nhiều người đang lo như em.
[Up] [Print Copy]
  [Question]   Re: Đọc log như thế nào để tìm ra trang chứa XFlash ? 25/12/2006 15:06:54 (+0700) | #5 | 32663
[Avatar]
nhatminh1209
Member

[Minus]    0    [Plus]
Joined: 25/01/2005 08:55:11
Messages: 102
Offline
[Profile] [PM]

belenba wrote:
Hic anh conmale ơi, pattern nào giờ.
Vì XFlash chạy trên máy của Zombie vậy nên tên tấn công đâu có tham gia, chỉ có zombie chạy rồi tung packet vô máy chủ của em, chặn thì em nghiên cứu kĩ rồi nhưng không biết tìm ra kẻ chủ mưu vì theo Tôn Tử diệt cỏ phải diệt tận gốc.
Nếu anh có ví dụ nào rõ ràng về cách xác định tên chủ mưu trong mớ log IP hỗn độn thì anh chỉ em với. Em chắc là cũng có nhiều người đang lo như em. 

Em nghĩ trước tiên bác phải xác định được cái nguồn đặt xflash đã. Sau đó, khi xác định được nguồn đặt xflash rồi, bác thử liên lạc với admin server đặt trang web đó xem họ có log được server mở "kết nối lạ" với cái IP nào không?
Bác nóng quá hỏng việc smilie
[Up] [Print Copy]
  [Question]   Re: Đọc log như thế nào để tìm ra trang chứa XFlash ? 26/12/2006 23:28:30 (+0700) | #6 | 32869
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Thì đó, mình vướng chỗ này, làm sao tìm ra được site chứa xflash smilie( chờ anh conmale và mấy anh trên này giúp vì các anh ấy có nhiều kinh nghiệm "bị" tấn công nhưng hic lâu wé!
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Đọc log như thế nào để tìm ra trang chứa XFlash ? 26/12/2006 23:57:23 (+0700) | #7 | 32880
JAL
Administrator

Joined: 21/12/2001 08:20:25
Messages: 342
Offline
[Profile] [PM]
bởi vì mỗi 1 server bị tấn công, có thể site đặc mã lệnh flash sẽ khác nhau nên không thể nói rằng chờ hva dos rồi tìm ra, công bố cho bạn, không có nghĩa rằng cùng 1 nơi đó tấn công đến server của bạn.
nếu bạn là chủ server có quyền cao nhất có thể dùng sniffit (search sẽ ra) chạy cả trên os nix và win. Để xem các packets đi qua và lần tìm ra từ log-> suy ra nơi nào tấn công?
Như mấy hôm nay nó dos hva thì từ đây http://www.freewebtown.com/tintucvn/ddosbx.swf

đây là 1 đoạn log nhỏ nhỏ
Accept: */*
Referer: http://www.freewebtown.com/tintucvn/ddosbx.swf
x-flash-version: 9,0,16,0
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www.hvaonline.net
Connection: Keep-Alive

@ÂE:ûe--(0%)
ŠòM6GET /?anz223572257zna HTTP/1.0
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www.hvaonline.net
Via: 1.1 proxy2.wlink.com.np:3128 (squid/2.5.STABLE11)
X-Forwarded-For: 202.79.35.5
Cache-Control: max-age=259200
Connection: keep-alive

[Up] [Print Copy]
  [Question]   Đọc log như thế nào để tìm ra trang chứa XFlash ? 27/12/2006 00:33:10 (+0700) | #8 | 32888
[Avatar]
nhatminh1209
Member

[Minus]    0    [Plus]
Joined: 25/01/2005 08:55:11
Messages: 102
Offline
[Profile] [PM]
Oài, em cứ vào trang bác JAL giới thiệu là con virus kia nó lại nhẩy vào máy em (nhưng cũng hay) và nó DoS hva ngay lập tức
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|