<![CDATA[Messages posted by "lQ"]]> /hvaonline/posts/listByUser/104669.html JForum - http://www.jforum.net Log Management /hvaonline/posts/preList/38534/237693.html#237693 /hvaonline/posts/preList/38534/237693.html#237693 GMT Log Management /hvaonline/posts/preList/38534/236423.html#236423 /hvaonline/posts/preList/38534/236423.html#236423 GMT Báo tuổi trẻ xài iframe này làm gì?

protectHat wrote:

TQN wrote:
Không chắc, có thể máy của cậu protectHat dính virus thì sao ? 
Em có thử cả với máy win và 1 máy Ubuntu rồi mới hỏi mà anh? Tại vì sợ lỡ như mạng bị dính virus mà nó chèn cái iframe lên đầu trang như vậy mà báo cho bên tuổi trẻ thì phiền nên em mới hỏi mọi người PS: Hôm nay vào lại đúng là đã được gỡ ra 
mình cũng từng gặp tình trạng tương tự như vầy. Có điều nguyên nhân là do 1 máy tính trong cùng mạng của mình bị nhiễm virus dạng ARP poisoning. Tất cả máy tính cùng mạng khi đó đều bị dính iframe khi vào bất kỳ website nào. ]]>
/hvaonline/posts/preList/38335/235903.html#235903 /hvaonline/posts/preList/38335/235903.html#235903 GMT
Distro nào phù hợp để xây dựng Reverse Proxy /hvaonline/posts/preList/38134/234182.html#234182 /hvaonline/posts/preList/38134/234182.html#234182 GMT syslog-ng trên ubuntu chạy mail zimbra

vikjava wrote:
Dear anh, - Em đã restart zimbra rùi, khi có syslog-ng thì trong /var/log/zimbra.log ( MTA,spamfilter...)không có thông tin gì cả. Các log khác của zimbra vẫn bình thường -Các log về sshd, cron,kernel vẫn bình thường. - Trước mắt em chỉ cần thu thập các critical log để phục vụ vu PCI DSS :)  
Như mô tả thì em đã cấu hình syslog-ng đúng 1 phần. :) Em cần test để đảm bảo zimbra lưu đầy đủ log như sau: destination d_everything { file("/var/log/everything.log"); }; log { source(src); destination(d_everything); }; Trong đó src là source đã khai báo unix-dgram("/dev/log"); và file("/proc/kmsg");. Còn lệnh log thì không sử dụng filter. Sau đó restart/reload. Nếu file everything.log có cả nội dung của zimbra.log trước đây, thì nghĩa là zimbra đã *đẩy* log đàng hoàng; và em cấu hình syslog-ng cho zimbra chưa chính xác (syslog-ng chưa chọn đúng chỗ lưu log zimbra). ]]>
/hvaonline/posts/preList/37875/233408.html#233408 /hvaonline/posts/preList/37875/233408.html#233408 GMT
syslog-ng trên ubuntu chạy mail zimbra

lQ wrote:
Theo anh biết thì 1 số service của zimbra ko support syslog mà chỉ lưu file như các log Pop3SSLServer, Pop3Server, btpool0... nên syslog hay syslog-ng đều ko thể nhận được log này. Còn các service khác của zimbra như postfix, amavis thì có hỗ trợ. 
hi, anh mới phát hiện syslog-ng cũng hỗ trợ lưu tập trung các file log độc lập. Cách thức như sau:
source d_log_files { file("/path/to/abc.log follow_freq(2) flags(no-parse)); }; };  
Sau đó có thể dùng destination nào đó phù hợp để lưu tập trung tại 1 thư mục (destination file) hoặc lưu sang server khác (destination udp/tcp).]]>
/hvaonline/posts/preList/37875/233405.html#233405 /hvaonline/posts/preList/37875/233405.html#233405 GMT
syslog-ng trên ubuntu chạy mail zimbra

vikjava wrote:
- So với nhu cầu đổ log về server log, việc cấu hình syslog-ng cho các service của zimbra hơi bị nhiêu khê và gặp nhiều trở ngại. Em đã remove syslog-ng và install lại sysklogd - Hiện nay em muốn lấy các thông tin dưới đây để đổ vể log server, vậy syslog.conf có đáp ứng được hết không anh, cấu hình như thế nào để đáp ứng điều này ah? Successful user login “Accepted password”, “Accepted publickey”,"session opened” Failed user login “authentication failure”, “failed password” User log-off “session closed” User account change or deletion “password changed”,“new user”,“delete user” Sudo actions “sudo: … COMMAND=…” “FAILED su” Service failure “failed” or “failure”  
Em chưa trả lời 02 câu hỏi đầu của anh. Anh thấy cấu hình syslog và syslog-ng (mức cơ bản) cũng khá giống nhau. Syslog làm được gì thì syslog-ng làm được điều đó. Em cho xem nội dung syslog-ng.conf. Đã tập trung log rồi thì tập trung toàn bộ.]]>
/hvaonline/posts/preList/37875/233394.html#233394 /hvaonline/posts/preList/37875/233394.html#233394 GMT
syslog-ng trên ubuntu chạy mail zimbra /hvaonline/posts/preList/37875/233344.html#233344 /hvaonline/posts/preList/37875/233344.html#233344 GMT Security Information and Event Management (SIEM) Implementation /hvaonline/posts/preList/37274/229355.html#229355 /hvaonline/posts/preList/37274/229355.html#229355 GMT Có được user và pass của Router thì làm được những gì? /hvaonline/posts/preList/37129/229229.html#229229 /hvaonline/posts/preList/37129/229229.html#229229 GMT Giám sát an ninh mạng - Bàn về giải pháp chống DDoS

vikjava wrote:
Hi all ! Cho mình hỏi ngoài splunk hay lucene-solr thì có những sản phẩm nào tương tự ? Bao gồm phần mềm thương mại và cả mã nguồn mở 
Anh cũng thử tìm giải pháp mã mở thay thế, ngoài licene-solr mà mrro đề cập thì anh thấy có OSSIM và php-syslog-ng. OSSIM thì anh chưa thử nhưng thấy cũng có người đang dùng. php-syslog-ng thì khá yếu, chỉ để search log mà thôi, ko đủ tính năng để thay thế Splunk. Về các bản thương mai thì anh thấy có ArcSight, LogLogic, RSA enVision, Sawmill... cùng 1 số bản thương mại khác cũng có bản giới hạn miễn phí. Nhưng nếu dữ liệu < 500 MB thì có lẽ dùng Splunk Free Version cho khoẻ. ]]>
/hvaonline/posts/preList/32553/226046.html#226046 /hvaonline/posts/preList/32553/226046.html#226046 GMT
Nhờ tư vấn về bảo mật (DDos - X-Flash) /hvaonline/posts/preList/36593/224823.html#224823 /hvaonline/posts/preList/36593/224823.html#224823 GMT Nhờ tư vấn về bảo mật (DDos - X-Flash) /hvaonline/posts/preList/36593/224818.html#224818 /hvaonline/posts/preList/36593/224818.html#224818 GMT Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS /hvaonline/posts/preList/36468/224394.html#224394 /hvaonline/posts/preList/36468/224394.html#224394 GMT Tìm phần mềm quản lý các dịch vụ trên server? /hvaonline/posts/preList/36414/223948.html#223948 /hvaonline/posts/preList/36414/223948.html#223948 GMT Tìm phần mềm quản lý các dịch vụ trên server?

quanta wrote:
Chào mọi người, Mình đang tìm một cái web-based open source đáp ứng được các nhu cầu: - quản lý các server: IP, phiên bản hệ điều hành, CPU, RAM, ... - quản lý các dịch vụ trên mỗi server: server nào chạy dịch vụ gì, mô tả về các dịch vụ đó, sự phụ thuộc giữa một dịch vụ chạy trên server A với một dịch vụ chạy trên server B, ... - phân quyền cho phép developer thêm các dịch vụ (tự viết) vào và tự động gửi mail cho nhóm sysadmin biết (kiểu như request tracker) Mình đã thử mấy cái như: OCSInventory, otrs, kwoksys, ... nhưng không đáp ứng được yêu cầu. Ai biết cái nào khác chỉ giúp mình với nhé. Cảm ơn. 
hi quanta, yêu cầu 2 và 3 của em rõ ràng là phải nhập liệu bằng tay, không thể dùng tool tự động thu thập được. Cho nên không dùng các công cụ system monitor như Zabbix/Nagios... và đúng là nên dùng request tracker nhưng phải có phần *request/issue/ticket dependencies*. Không rõ công cụ quản lý của em đã có tính năng này hay không? Anh thì thấy Redmine/trac đã có khá lâu rồi. ]]>
/hvaonline/posts/preList/36414/223923.html#223923 /hvaonline/posts/preList/36414/223923.html#223923 GMT
một phương pháp mã hoá tiếng Việt (st) /hvaonline/posts/preList/35671/219522.html#219522 /hvaonline/posts/preList/35671/219522.html#219522 GMT File CSDL Access có chứa code bảo vệ /hvaonline/posts/preList/34418/219239.html#219239 /hvaonline/posts/preList/34418/219239.html#219239 GMT Case study: HVA forum và "risk management"

conmale wrote:
Bà con tham gia xôm tụ quá :P . Vẫn chưa thấy ai đề cập đến khía cạnh "risk" ở chỗ HVA forum vẫn còn tồn tại nhưng lại... chết vì nó chẳng còn giá trị và ích lợi gì cả. Cái risk này có không? và để "mitigate" nó thì cần làm gì? 
Trời!!! Theo em nghĩ đây là risk nghiêm trọng nhất và cần phải ưu tiên số 1. Mitigate thì cần: - Tuân thủ nghiêm chỉnh nội quy diễn đàn và quy định gửi bài. - Hạn chế tối thiểu đăng các thắc mắc đã có trả lời ở diễn đàn hoặc có nhiều hướng dẫn / trả lời trên Internet. Thay vào đó, tích cực đóng góp các bài viết dạng mở rộng một vấn đề hoặc một sản phẩm, giải pháp IT/Security. 02 khoản này cần sự tham gia của tất cả thành viên. Và cần số lượng 'nhân sự' như vầy, thì chi phí (thời gian, chi phí đào tạo hoặc tự đào tạo,...) bỏ ra là không ít, tuỳ khả năng mỗi người. Do đó mình mới khằng dịnh đây là risk nghiêm trọng nhất và ưu tiên cao nhất. Anh conmale gừng già có khác :x.]]>
/hvaonline/posts/preList/35379/217779.html#217779 /hvaonline/posts/preList/35379/217779.html#217779 GMT
Case study: HVA forum và "risk management" /hvaonline/posts/preList/35379/217760.html#217760 /hvaonline/posts/preList/35379/217760.html#217760 GMT Về vấn đề tuyển chọn các moderators 2010

gamma95 wrote:
có ai giải thích được ko? :D 
Nhóc gamma e sợ có nhiều em dùng search engines lão luyện hơn nên có thể dành phần thắng (quán quân). Do đó thủ đoạn của gamma là cắt luôn cái này cho mọi người không dễ gì có trợ giúp.]]>
/hvaonline/posts/preList/35202/216604.html#216604 /hvaonline/posts/preList/35202/216604.html#216604 GMT
Không thể chặn truy cập facebook /hvaonline/posts/preList/34993/215818.html#215818 /hvaonline/posts/preList/34993/215818.html#215818 GMT Không thể chặn truy cập facebook

gamma95 wrote:
nó tunnel qua ssh thì chặn thế nào được ? :D 
công ty anh chỉ cho phép đi ra ngoài theo port 80/8080 và phải là protocol http :D. Cho nên tunnel theo proto ssh ở đây là bị chém liền ;-|.]]>
/hvaonline/posts/preList/34993/215781.html#215781 /hvaonline/posts/preList/34993/215781.html#215781 GMT
Không thể chặn truy cập facebook /hvaonline/posts/preList/34993/215776.html#215776 /hvaonline/posts/preList/34993/215776.html#215776 GMT Giám sát an ninh mạng - Bàn về giải pháp chống DDoS

Abe wrote:
- Từ *đầu vào* là 10.000 IP DDoS, (sau một loạt biện pháp nghiệp vụ), đùng một cái đưa ra ngay chính sách và chạy script để lấy những IP có tần suất là 100 request/s (con số thực sự rất lớn - IMHO - ngay cả trong tâm bão). Nên mình nghĩ là trong quá trình này phải có một loạt các động tác thì mới đạt được kết quả như ý, và con số 100 req/s sẽ phải thay đổi liên tục và liên tục được làm mịn thì mức độ hiệu quả mới thật sự cao. - Như trên mình đã nói, nếu chỉ giải quyết như vậy thì mình nghĩ biểu đồ nó sẽ tương tự như thế này, vì việc làm của mình là offline chứ không phải online và tần suất chạy cronjob (như mrro nói) cũng không dày.
 
Abe đọc chưa kỹ bài đầu tiên của mrro rồi. Trích 1 đoạn:
Về mặt kỹ thuật, chúng tôi đã cài đặt sẵn các biện pháp kiểm soát tự động trên hệ thống giám sát an ninh mạng, nên các chuyên gia của tôi chỉ phải theo dõi vụ tấn công xem có diễn tiến gì bất thường hay không mà không phải thực hiện thêm bất kỳ thao tác nào. ... 
Cái hình đó cũng ... đúng, nhưng chỉ khi mình phải phân tích bằng tay, rồi cập nhật danh sách blocked ip dần dần. Nhưng đúng ra cũng không được 'nhọn nhọn' ;-) kiểu đang tăng lập tức giảm đi 1 chút, mà phải là lên cao và giữ nguyên độ cao, cho đến khi các chuyên gia cập nhật danh sách blocked ip lần đầu thì bắt đầu giảm :D. ]]>
/hvaonline/posts/preList/32553/200789.html#200789 /hvaonline/posts/preList/32553/200789.html#200789 GMT
Giám sát an ninh mạng - Bàn về giải pháp chống DDoS

LeVuHoang wrote:
Thái cho hỏi là syslog/udp, có giải phảp syslog/tcp nào không? Theo như tui hiểu, điều cốt lõi trong mô hình của mrro là log central và analyzer. Analyzer server sẽ tiến hành kết nối vào log central, phân tích, tổng hợp, đưa ra IPs có hơn 100 request/s rồi đưa ngược trở lại vào iptables để ngăn chặn. Những IP này có thể được unblock theo thời gian định trước. Bài giới thiệu của mrro có phần hơi chung chung quá, mrro có thể giới thiệu kỹ hơn về server offline analyze kia không? Cụ thể là, chặn ở tầng network và application như thế nào? Có còn chặn ở tầng nào khác hay không? Ngoài ra, như ý tui đã nói ở phần trước, nếu 1 net cafe vài trăm users đang sử dụng. 1 user DoS site khách hàng, IP của net cafe đó sẽ được đưa vào blocked IP. Vậy tất cả các người dùng khác đều không thể truy cập được?  
syslog-ng cũng đã support syslog/tcp, nhưng bản trên Linux thì có free, còn bản trên Windows thì phải trả phí. Có điều, khi nào cần đến tcp thay cho udp, hay thậm chí khi nào cần đến tcp+ssl, thì tuỳ hiện trạng và nhu cầu của mỗi doanh nghiệp. Cũng nên nhớ một số thiết bị cực kỳ quan trọng như firewalls, IDS/IPS, cũng chỉ support syslog/udp. Nếu đã chọn syslog-ng để thu thập dữ liệu, thì cũng nên chọn agent của nó, đỡ mất công tìm hiểu phần mềm khác cho khoẻ ;-). Đã block trên firewall thì hiển nhiên phải có bước unblock. Nguyên tắc unblock thì cũng có nhiều lựa chọn. VD nếu như ip bị block, trong khoảng 1 tiếng, không truy cập (và hiển nhiên sau đó bị block) nữa thì gỡ khỏi danh sách block ip. Giải pháp nào nếu triển khai, cũng sẽ có hạn chế, thậm chí khi kẻ tấn công biết được nguyên tắc của giải pháp, thì cũng sẽ tận dụng để tránh khỏi bị phát hiện và 'phán xét'. Ngược lại, việc block nhầm vào IP của khách hàng cũng hay là IP chung của khách hàng và của zombies vẫn có thể xảy ra như thường. Đành chịu khó tiếp điện thoại từ Trung tâm dịch vụ khách hàng, để gỡ IP đó khỏi danh sách, hoặc cập nhật vào whitelist. Đơn giản phải ko :)? ]]>
/hvaonline/posts/preList/32553/200750.html#200750 /hvaonline/posts/preList/32553/200750.html#200750 GMT