<![CDATA[Messages posted by "Giang Hồ Mạng"]]> /hvaonline/posts/listByUser/162832.html JForum - http://www.jforum.net Có thể tracert được địa chỉ MAC không?

WANWULIN wrote:
Em mới năm 1 ĐH nên chưa học gì về chuyên ngành nên hỏi mong mấy anh tận tình chỉ giáo. Em được biết địa chỉ MAC là địa chỉ vật lý của card mạng, và là duy nhất (trừ khi là giả mạo), vậy thì có thể nào tracert nó giống như địa chỉ IP không? và mình có thể định vị nó giống thông qua mấy cái mắc xích giống như địa chỉ IP không? Em đang thắc mắc lắm. Xin cảm ơn. 
Mac hoạt động trên layer 2 trong mô hình OSI. Bạn chỉ trace được nó từ trong LAN.]]>
/hvaonline/posts/preList/45498/280003.html#280003 /hvaonline/posts/preList/45498/280003.html#280003 GMT
Re: Bruteforce trên SMTP, POP, IMAP, FTP Nếu có dùng iptables thì có thể phối hợp -m limit và -m connlimit để ấn định giới hạn trên tầng IP  Do em không đọc kỹ, cám ơn anh rất nhiều :) ]]> /hvaonline/posts/preList/27862/170920.html#170920 /hvaonline/posts/preList/27862/170920.html#170920 GMT Bruteforce trên SMTP, POP, IMAP, FTP

conmale wrote:
Nếu dùng Exim, nên chú trọng vào các giá trị của: smtp_accept_max smtp_accept_max_per_connection smtp_accept_max_per_host smtp_connect_backlog Nếu có dùng iptables thì có thể phối hợp -m limit và -m connlimit để ấn định giới hạn trên tầng IP (để Exim đỡ vất vả). 
Em có điều chỉnh phần này trong iptables nhưng chỉ riêng SSH , vậy đối với các dịch vụ khác như SMTP, POP, IMAP, FTP có thể dùng -m limit và -m connlimit không anh :)

quanta wrote:
Bạn có thể: - đổi port mặc định - ngâm cứu Snort - Dùng /etc/hosts.deny hoặc một vài tools như: Fail2ban, DenyHosts, ... 
Phần này anh có thử qua nhưng không đạt kết quả em , chỉ có điều Snort không dám triển khai vì server này chuyên cung cấp các dịch vụ shared hosting cho các khách hàng do vậy việc triển khai 1 công cụ nào đó cũng cần phải cân nhắc các yếu tố khác :) ]]>
/hvaonline/posts/preList/27862/170907.html#170907 /hvaonline/posts/preList/27862/170907.html#170907 GMT
Bruteforce trên SMTP, POP, IMAP, FTP /hvaonline/posts/preList/27862/170887.html#170887 /hvaonline/posts/preList/27862/170887.html#170887 GMT Re: không thể nâng cấp gtk /hvaonline/posts/preList/27465/168003.html#168003 /hvaonline/posts/preList/27465/168003.html#168003 GMT Re: Address ports được cấp ở tầng nào. /hvaonline/posts/preList/27459/168002.html#168002 /hvaonline/posts/preList/27459/168002.html#168002 GMT Re: Load Balancing, Failover trong ipcop /hvaonline/posts/preList/26270/159458.html#159458 /hvaonline/posts/preList/26270/159458.html#159458 GMT Re: Load Balancing, Failover trong ipcop gián đoạn thông tin Thanks anh]]> /hvaonline/posts/preList/26270/159454.html#159454 /hvaonline/posts/preList/26270/159454.html#159454 GMT Load Balancing, Failover trong ipcop /hvaonline/posts/preList/26270/159450.html#159450 /hvaonline/posts/preList/26270/159450.html#159450 GMT Dùng server Linux làm firewall

conmale wrote:
iptables / netfilter + ( apache || squid ) + tự ngâm kíu --> $0. iptables / netfilter + ( apache || squid ) + conmale tư vấn --> $250 / giờ x 40 = $10000 =)) Nói đùa đó. Trên diễn đàn đã có khối thảo luận tương tự rồi. Tìm xem đi. Được hết. 
10000 đủ để thằng em sắm thêm 3 con vợ :D) Nghèo rớt mồng tơi lấy đâu ra $ á . Có tư vấn miển phí không anh :D

ntdtoss wrote:
pfsense cũng là một lựa chọn tốt www.pfsense.org Cái này dựa trên nền FreeBSD chứ không phải Linux 
Cám ơn bạn về thông tin này :) ]]>
/hvaonline/posts/preList/25781/156290.html#156290 /hvaonline/posts/preList/25781/156290.html#156290 GMT
Dùng server Linux làm firewall /hvaonline/posts/preList/25781/156273.html#156273 /hvaonline/posts/preList/25781/156273.html#156273 GMT Re: Ký sự các vụ DDoS đến HVA - Phần 23

BachDuongTM wrote:
Hi nếu như có file đó rùi, cần chi nữa không ? file config firewall nha ? Thực ra mình kô nghĩ điều đó là cần thiết, vì Mr Commale cũng miêu tả rõ ràng rồi mà. Hơn nữa, sao bạn không thử chơi cờ tưởng nhỉ, hacker là mình thì sẽ DDOS nè, rồi mình sẽ chống thế này nè -:-) -:-) Ask for more hay Deep thinking  
Giang hồ có nói 1 câu thế này “Biết thì nói , không biết thì dựa cột mà nghe đừng phát biểu linh tinh” :) ]]>
/hvaonline/posts/preList/25623/156004.html#156004 /hvaonline/posts/preList/25623/156004.html#156004 GMT
Re: Ký sự các vụ DDoS đến HVA - Phần 23 tcpdump khi bị tấn công đem về nhà phân tích thì quá tốt :) ]]> /hvaonline/posts/preList/25623/155985.html#155985 /hvaonline/posts/preList/25623/155985.html#155985 GMT Re: Làm sao truy tìm dấu vết spammer Về mặt kỹ thuật thì được nhưng về mặt nguyên tắc thì không bởi vì MTA từ những nơi khác gởi mail đến Exim của em tại cổng 25. Nếu em đổi cổng khác, các MTA sẽ không thể gởi mail về hệ thống của em được. Em cho biết lý do tại sao em muốn đổi cổng 25 thành cổng khác được không?  Dạ, do em thấy bị spam nhiều quá cho nên nãy sinh ra "ý tưởng" thay đổi từ cổng 25 sang cổng khác (em nghĩ có thể dùng iptables để wwwect traffic để làm điều này hoặc kiểm tra cấu hình của exim, web application để thay đổi từ cổng 25 sang cổng khác)
Anh mà không biết em là "thằng nào" thì làm sao còn là... anh được? -:-) 
Chắc anh đoán được chữ viết sai chính tả của em mà thôi vì em "quen" viết dấu hỏi thành dấu ngã và ngược lại mà :P ]]>
/hvaonline/posts/preList/25631/155818.html#155818 /hvaonline/posts/preList/25631/155818.html#155818 GMT
Re: Tạo snort rules chống DoS /hvaonline/posts/preList/25542/155670.html#155670 /hvaonline/posts/preList/25542/155670.html#155670 GMT Re: Làm sao truy tìm dấu vết spammer Nếu em không ngại, gởi một đoạn /var/log/maillog cho anh (qua PM). Chỉ chọn khoảng thời gian thấy mail đi vào liên tục để anh xem thử.  Dạ, được . Em sẽ gởi cho anh log của những ngày bị spam và ngày hôm nay không còn nhận được mail từ nobody@system.vn nữa . P/s: Ủa mà sao anh biết em là thằng nào mà chat chit với em vậy anh :D ]]> /hvaonline/posts/preList/25631/155669.html#155669 /hvaonline/posts/preList/25631/155669.html#155669 GMT Re: Làm sao truy tìm dấu vết spammer http://redronin.com/sourcecode/main/id/306 http://redronin.com/sourcecode/main/id/153 Trong exim.conf thì
accept domains = +local_domains endpass message = unknown user verify = recipient accept domains = +relay_domains accept hosts = +relay_hosts accept condition = ${perl{checkrelayhost}{$sender_host_address}} 
và một vài điều chỉnh chức năng khác cũng như trên WHM nhưng em chưa rõ ở phần này
3) Xem kỹ lại "antirelayd daemon" có cho relay thoải mái hay không?  
Khi nào anh rảnh nhờ anh xem giùm em daemon này http://ultrashare.net/hosting/fl/ff8dd76219/antireplayd http://www.upload.coo.vn/download.php?file=96afe8851e32e82934cb0dada9dc597a Hiện giờ qua xem log của exim, thống kê hàng đợi của exim trên console thì từ tối hôm qua đến giờ (cách đây gần 11h) thì hiện tượng spam nobody không còn nữa và hàng đợi email của server chỉ còn khoãng 15 mail hợp lệ . Cám ơn anh rất nhiều]]>
/hvaonline/posts/preList/25631/155586.html#155586 /hvaonline/posts/preList/25631/155586.html#155586 GMT
Re: Làm sao truy tìm dấu vết spammer Return-Path: <> Delivered-To: hosting@system.vn Received: (qmail 32582 invoked by uid 502); 16 Oct 2008 04:00:10 -0000 Received: from 66.71.22.16 by antispam.system.vn (envelope-from <>, uid 92) with qmail-scanner-1.24-st-qms (clamdscan: 0.83/724. iscan: v3.1/v6.810-1005/442/76326. spamassassin: 2.64. perlscan: 1.24-st-qms. Clear:RC:0(66.71.22.16):SA:0(2.8/6.0):. Processed in 21.163351 secs); 16 Oct 2008 04:00:10 -0000 X-Spam-Status: No, hits=2.8 required=6.0 X-Spam-Level: ++ ABC-Antivirus-Mail-From: via antispam.system.vn ABC-Antivirus: 1.24-st-qms (Clear:RC:0(66.71.22.16):SA:0(2.8/6.0):. Processed in 21.163351 secs Process 32507) Received: from unknown (HELO system.vn) (66.71.22.16) by mail.system.vn with SMTP; 16 Oct 2008 03:59:48 -0000 Received: from mailnull by system.vn with local (Exim 4.69) id 1KqK1J-0008C5-9c for nobody@system.vn; Thu, 16 Oct 2008 10:59:29 +0700 X-Failed-Recipients: kmerabet@netscape.net Auto-Submitted: auto-replied From: Mail Delivery System <Mailer-Daemon@system.vn> To: nobody@system.vn Subject: Mail delivery failed: returning message to sender Message-Id: <E1KqK1J-0008C5-9c@system.vn> Date: Thu, 16 Oct 2008 10:59:29 +0700 X-AntiAbuse: This header was added to track abuse, please include it with any abuse report X-AntiAbuse: Primary Hostname - system.vn X-AntiAbuse: Original Domain - system.vn X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12] X-AntiAbuse: Sender Address Domain - X-Source: X-Source-Args: X-Source-Dir:  ]]> /hvaonline/posts/preList/25631/155462.html#155462 /hvaonline/posts/preList/25631/155462.html#155462 GMT Làm sao truy tìm dấu vết spammer # tail -f /var/log/exim_mainlog
2008-10-16 09:42:00 [20656] 1Kphh3-0000Mm-LN => hosting@system.vn (root@system.vn) <nobody@system.vn> F=<> P=<> R=lookuphost T=remote_smtp S=6863 H=mail.system.vn [66.71.22.16]:25 C="250 ok 1224124928 qp 16523" QT=1d15h37m59s DT=48s 2008-10-16 09:50:12 [22107] cwd=/var/spool/exim 7 args: /usr/sbin/exim -t -oem -oi -f <> -E1KpNy0-0003B8-TJ 2008-10-16 09:48:29 [21767] 1KqIua-0005f5-G5 <= <> R=1KpBmk-0005Bo-Pa U=mailnull P=local S=3088 T="Mail delivery failed: returning message to sender" from <> for nobody@system.vn 
Tôi thừ search 1Kphh3-0000Mm-LN để tìm ra người gởi , dùng grep , more để tìm ra 1 account gởi spammer nhưng tôi không tìm ra ai là chủ nhân của nobody@system.vn gởi vào hộp thư hosting@system.vn của tôi . Bình quân 1 ngày có hơn vài ngàn mail spam được gởi đi, server có dùng WHM (control panel) dùng Centos, email server là Exim, tôi dùng SpamAssassin , RBL để ngăn chặn spam . Server này có 15 account chạy trên nó, được thuê lại từ 1 nhà cung cấp dịch vụ internet tại Mỹ, địa chỉ IP, domain tôi có đổi tên vì lý do riêng tư . Nhưng tôi không tìm ra account nào "nghi vấn" spam mail . ]]>
/hvaonline/posts/preList/25631/155450.html#155450 /hvaonline/posts/preList/25631/155450.html#155450 GMT
Re: Thắc mắc về telnet Connection closed by foreign host.  Vậy có thể là do firewall block cổng của telnet . Làm sao tôi có thể "khóa" thông tin khá nhạy cảm này 4.1.21-standard giống như HVA đã làm . :) ]]> /hvaonline/posts/preList/20938/124406.html#124406 /hvaonline/posts/preList/20938/124406.html#124406 GMT Thắc mắc về telnet 4.1.21-standard Thử telnet đến HVA
# telnet hvaonline.net 3306 Trying 219.160.161.58... 
15' sau không thấy xuất hiện thông tin . Vậy cho tôi hỏi HVA sử dụng phương thức gì để "block" telnet trong trường hợp này . Máy chủ dùng Redhat ]]>
/hvaonline/posts/preList/20938/124398.html#124398 /hvaonline/posts/preList/20938/124398.html#124398 GMT