banner
 .::Defense::. Ký sự các vụ DDoS đến HVA - Phần 11 Go to original post Author: Hoàng Ngọc Diêu (conmale) - Translator:  - Entry Date: 11/02/2009 17:12:40
Trưa 21/01/2005
Các cuộc tấn công "x-flash" được biên cải sẽ tiếp tục xảy ra với HVA trong tương lai, đó là điều tôi đã ngầm phỏng đoán. Chỉ có điều, nó đã xảy ra muộn hơn tôi nghĩ nhưng nó đã xảy ra.

Trưa nay, lúc ăn trưa, tôi log vào diễn đàn HVA, mọi chuyện vẫn có vẻ bình thường. Không hiểu sao tôi lại quyết định logon HVA server để xem xét qua tình hình server. Điều đầu tiên tôi kiểm tra (theo thói quen) là server load:

# w
load average: 1.32, 2.02, 1.25


Hơi cao hơn bình thường với thời điểm này trong ngày.

Tôi thử "tail" log của web server và hết sức ngạc nhiên (lý thú) khi thấy lác đác những mảng log như sau:
Code:


152.163.101.6 - - [21/Jan/2005:11:35:21 -0400] "POST /forum/ HTTP/1.1" 200 312 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; iebar)"

203.162.177.113 - - [21/Jan/2005:11:35:45 -0400] "POST /forum/ HTTP/1.1" 200 312 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts)"
221.132.58.28 - - [21/Jan/2005:11:36:22 -0400] "POST /forum/ HTTP/1.1" 200 312 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts)"
24.34.4.118 - - [21/Jan/2005:11:36:25 -0400] "POST /forum/ HTTP/1.1" 200 317 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)"



Dạng log này quá quen thuộc với tôi vài tháng trước đây. Tôi lẩm bẩm "rốt cuộc cũng hiện lên lại đây, hơi trễ hơi dự đoán nhưng cũng đã xuất hiện trở lại".

Tôi chạy tcpdump để capture một mớ packets điều tra xem thử chuyện gì xảy ra:

# tcpdump -s0 port 80 -w /tmp/dump-21-01-2005

Sau hai phút, tôi ngưng tcpdump, nén kết quả capture được (để tải về laptop của tôi cho nhanh). Sau khi tải gói nén .gz này về, tôi kiểm tra lại server load một lần nữa rồi logoff (server load vẫn giữ mức 2.+ và tôi phải quay lại làm việc).

Tôi vùi đầu vào mớ công việc ở công ty liên tiếp mấy giờ và quên bẵng gói nén .gz kia, quên bẵng chuyện gì (có thể tiếp tục) xảy ra với HVA. Tôi chuyển qua "Firefox" và thử "refresh" trang forum HVA: hiện có hơn trăm mạng đang ở trên forum. Trang load chậm hơn bình thường (chậm theo cảm giác của tôi).

Tôi dành 15 phút của giờ giải lao chiều (afternoon tea time) để kiểm tra xem gói nén .gz chứa mớ packets được capture hồi trưa này có cái quỷ quái gì trong đó.

Đập ngay vào mắt tôi là đoạn sau:
Code:


POST /forum/ HTTP/1.1

Accept: */*
x-flash-version: 7,0,19,0
Content-Type: application/x-www-form-urlencoded
Content-Length: 712
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts)
Host: 219.207.204.25
Connection: Keep-Alive
Cache-Control: no-cache

total=23&Submit=Submit&attack=1&diachi=http%3A%2F%2Fviemarket%2Ecom%2F&url1=
http%3A%2F%2F219%2E207%2E204%2E25%2Fforum%2F&url2=http%3A%2F%2F219%2
E207%2E204%2E25%2Fforum%2F&url3=http%3A%2F%2F219%2E207%2E204%2E25%2F
forum%2F&option=search&s=&do=login&url=http%3A%2F%2Fvikhoa%2Ecom&agree=1&
password%5Fmd5=&passwordconfirm%5Fmd5=&username=Tintucvietnam&password=
thangcho&passwordconfirm=thangcho&email=admin%40tintucvietnam%2Ecom&emailconfirm=
admin%40tintucvietnam%2Ecom&imagestamp=tintuc&imagehash=47b4a32f7767bfc7b83f8f3e
cf2e8c66&timezoneoffset=8&dst=2&options=&adminemail=1&vb%5Flogin%5Fusername=Hoanghiep
&cookieuser=1&vb%5Flogin%5Fpassword=dumemaykhoa&forcewwwect=1&vb%5Flogin%5Fmd5
password=&%5F%5FOoO%5F%5F=1&1=



Ôi, một biến thái mới!

POST? hiển nhiên là POST vì trên log của web server (ở trên) đã biểu thị chi tiết này rồi. Gì nữa nhỉ?
Content-Length: 712? cha chả, rõ ràng có cải tiến. So với đợt tấn công bằng "POST" cách đây vài tháng, Content-length có giá trị khoảng 2387 bytes hoặc nhiều hơn. Tôi tin chắc kẻ tấn công đã đọc loạt "ký sự" này và đã rút tỉa những chi tiết cốt lõi để ứng dụng cho lần này. Tại sao "Content-length" chỉ còn 712 bytes? Đơn giản là anh chàng muốn tránh tình trạng "Continuation", tránh sự nặng nề của khối lượng payload làm chậm các cú "POST" và quả thật điều này có tác dụng.
Connection: Keep-alive?Cache-control: no-cache? Xét lại phần tôi đã phân tích trước đây về vấn đề dùng proxy server nào đó trên đường đi của gói tin để tấn công HVA nhanh hơn và đỡ tốn tài nguyên cho máy khởi tạo gói tin hơn - một lối chơi "cao tay", tôi e rằng anh chàng đã không tính toán một cách cao tay mà chỉ là một sơ sót vô tình của lần trước. Lần này, cho dù áp đặt trình duyệt (x-flash cho trường hợp này) đòi hỏi "Keep-alive" và "no-cache" nhưng tay này làm ngơ hoặc (không đọc kỹ bài ký sự) với một chi tiết hết sức quan trọng là HVA web server không hề cho "keep-alive" từ dạo ấy. Mỗi request đi vào có payload quá lớn, cần được "chẻ" ra để tiếp tục gởi đi vẫn phải đi qua chu trình tạo thêm socket mới. Bởi thế HVA firewall mới điều tác được giới hạn connection.

Thử "decode" cái mớ bùng nhùng ở trên xem có gì?
Code:


total=23&Submit=Submit&attack=1&diachi=http://viemarket.com/&url1=http://219.207.204.25/forum/&url2=
 http://219.207.204.25/forum/&url3=http://2...=&do=login&url=
 http://vikhoa.com&agree=1&password_md5=&pa...etnam&password=

thangcho&passwordconfirm=thangcho&email=admin@tintucvietnam.com&emailconfirm=admin@tintucvietnam.com&
imagestamp=tintuc&imagehash=47b4a32f7767bfc7b83f8f3ecf2e8c66&timezoneoffset=8&dst=2&options=&adminemail=
1&vb_login_username=Hoanghiep&cookieuser=1&vb_login_password=dumemaykhoa&forcewwwect=1&vb_login_md5password=
&__OoO_


Đọc kỹ đoạn trên có lẽ bạn sẽ đoán được phần nào lứa tuổi và tâm thức của kẻ tấn công HVA. Bạn cũng có thể thấy ViKhoa (nào đó) bị "ghét cay, ghét đắng" và tintucvietnam cũng "bị" lôi vào . Điều đáng nói về mặt kỹ thuật với nhúm thông tin ở trên là: cho dù tay tấn công HVA có biến cải nội dung và tính chất của các cú "POST" lần này (hoặc những lần khác nữa), hắn vẫn không thể không để lại một vài ấn tích đặc biệt nào đó. Các ấn tích này là chìa khoá để snort và firewall làm việc. Tôi sẽ không nêu ra cụ thể các "ấn tích" này ở đây nhưng chỉ gợi ý một cách tổng quát như thế. Nếu tay tấn công HVA tiếp tục đọc ký sự này, hắn có cái để suy nghĩ

15 phút giải lao trôi qua nhanh chóng. Tôi chuẩn bị phải lao vào một cuộc họp kéo dài 2 giờ đồng hồ. Trước khi vào họp, tôi kiểm tra nhanh qua tình hình của HVA server. Ôi chao, server load lên tới 82? Cái khỉ gì đây nhỉ?

Grep thử xem có bao nhiêu cú SYN ngay trong lúc này:

# netstat -nat | grep SYN | wc -l
3879


Tôi choáng váng..... vò trán và lẩm bẩm: "what the?"

Tôi xem lại cấu hình của firewall thì thấy nó quá "cởi mở" . Tôi điều chỉnh ngay cấu hình firewall để tương thích với tính chất hoạt động của web server và tái khởi động firewall. Hai phút sau, server load từ 82 giảm xuống còn khoảng mức 7 đến 8. Truy cập vào diễn đàn HVA còn chậm lắm nhưng tôi phải vào họp rồi. Tối nay, sau bữa ăn tối, tôi phải điều tra kỹ lưỡng xem có chuyện gì xảy ra. Tạm thời các cú "đấm" không thể làm chết nổi HVA server nhưng thành viên truy cập vào sẽ bị chậm thấy rõ nhưng cứ tạm thời là thế. Tôi đành xếp laptop lại và sẽ hình thành vài cái snort signature trên tàu lửa, trên đường đi làm về nếu không còn thời gian để thực hiện chuyện này ngay lập tức.

5 giờ 15 phút chiều 21/1/2005
Tôi vừa họp xong. Trong đầu ngổn ngang các vấn đề cho công việc ở sở. Đã đến lúc ra về nhưng tôi cần lấy thêm vài thông tin trên HVA server để phân tích trong khi ngồi trên tàu lửa về nhà. Tôi login HVA server một lần nữa.

Chà, server load vẫn ở mức 7-8. Grep thử xem có bao nhiêu cú SYN ngay trong tích tắc này:

# netstat -nat | grep SYN | wc -l
389



Chờ 30 giây, tôi chạy lệnh trên lần nữa:

# netstat -nat | grep SYN | wc -l
416


Có gia tăng! Nhưng không đáng kể. Có lẽ số lượng IP đang cùng "đấm" HVA gia tăng ngay lúc này.

Tôi kiểm tra nhanh snort log. Ôi trời, hoàn toàn trống rỗng, snort log không có lấy một cái entry. Thử xem có process nào của snort không:

# ps -ef | grep snort

Bặt vô âm tín. Tôi ngỡ ngàng nhận ra rằng snort đã không hề hoạt động tự khi nào. Chuyện này phải xem lại, ngay lúc này tôi phải khởi động ngay snort để đỡ một số cú đấm một cách tạm thời, tôi hí hoáy thêm vào hai cái signatures mới trong mới rules của snort:

# /etc/init.d/snort start

Ôi chao, snort failed? Xem thử syslog báo cái gì, tôi tail 50 dòng cuối cùng của syslog và thấy ngổn ngang những vấn đề cần phải điều chỉnh lại cho snort. Tôi sực nhớ ra rằng JAL quyết định dùng ngay cái server dùng để chuyển đổi và nâng cấp forum (thành công) làm server mới cho HVA (vì đã gặp quá nhiều trục trặc trong khi chuyển đổi database). Server này không hề chỉnh định gì cụ thể cho snort ngoài phiên bản đã cài theo mặc định. Đúng là một thiếu sót sau khi chuyển đổi server. Thôi rồi, tối nay tôi phải biên dịch lại trọn bộ snort từ nguồn và sắp xếp từ đầu đến cuối.

Tôi xếp laptop lại, phóng nhanh ra cửa cho kịp chuyến tàu.

Các bạn có thể theo dõi tiếp phần 12 tại http://hvaonline.net/hvaonline/posts/list/213.html
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Other posts in the same group:

Ký sự các vụ DDoS đến HVA - Phần 11
Go to top Go to original post  

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|