<![CDATA[Messages posted by "huydd"]]> /hvaonline/posts/listByUser/190772.html JForum - http://www.jforum.net HVANews - Lỗi cực kỳ nghiêm trọng OpenSSL Heartbleed /hvaonline/posts/preList/45560/280251.html#280251 /hvaonline/posts/preList/45560/280251.html#280251 GMT Wireshark khong capture voi mang 3g viettel /hvaonline/posts/preList/41764/260132.html#260132 /hvaonline/posts/preList/41764/260132.html#260132 GMT Có cách nào chống SSL Sniffer phía server không?

conmale wrote:

xuanphongdocco wrote:

myquartz wrote:
kết nối https chỉ có client gà không biết mới dính giả mạo thôi. Trình duyệt sẽ cảnh báo ngay rằng cái certificate đó là không hợp lệ (untrusted), nếu client vẫn nhắm mắt "accept and add exception" thì chết là phải. Cái này chả khác gì việc thằng lừa đảo nó đưa tiền giả cho người bán hàng, máy đếm tiền báo động đây là tiền giả nhưng người bán hàng vẫn cố tình chấp nhận tiền giả và đưa hàng cho nó, rồi lại chửi là "vì dùng tiền nên bị lừa đảo". 
Cái này có nhầm lẫn gì không? Người bị tấn công sẽ sử dụng cetificate xịn -> browser có báo gì đâu. Anh chàng attacker sniff được cái certificate đó rồi tái tạo lại, vậy là browser sẽ thông báo "accept and add exception" cho kẻ tấn công chứ? Xin hãy đóng góp nếu tôi sai. 
Attacker tái tạo lại cái certificate nào? 
Chính xác như bạn myquartz nói. Thường thì các trình duyệt mới sẽ cảnh báo khi có certificate không hợp lệ, nhưng phần lớn người sử dụng rất ít để ý cái cảnh báo này. Hơn nữa một số website chưa có đủ tiền mua cert xịn dùng self sign certificate cũng bị cảnh báo untrusted. Bạn nào dùng IE8 vào địa chỉ https://www.gmail.com/ xem, cũng cảnh báo untrusted vì certificate của google đăng ký cho mail.google.com chứ không phải www.gmail.com . Vài lần như thế này thì phản xạ accept khi có cảnh báo của người dùng cũng là dễ hiểu ]]>
/hvaonline/posts/preList/41699/259833.html#259833 /hvaonline/posts/preList/41699/259833.html#259833 GMT
Microsoft Remote Desktop Protocol CVE-2012-0002 Remote Code Execution /hvaonline/posts/preList/41627/259641.html#259641 /hvaonline/posts/preList/41627/259641.html#259641 GMT xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop /hvaonline/posts/preList/41690/259622.html#259622 /hvaonline/posts/preList/41690/259622.html#259622 GMT Microsoft Remote Desktop Protocol CVE-2012-0002 Remote Code Execution

H3x4 wrote:
Mình có phân tích về bug này và cách để trigger nó lên, đồng thời 1 số hướng tham khảo để biến thành exploit. http://bkitsec.vn/?p=389 PS: hiện tại trên thế giới vẫn chưa có reliable exploit nào, rất nhiều người đang tìm cách khai thác nó nhưng việc đó có vẻ như rất khó!  
Có vẻ như có virus ăn theo lỗi này tự động dò cổng 3389 mở trên Internet và shutdown server cho vui rồi, ví dụ đây này /hvaonline/posts/list/41690.html#259620 Tôi đã thử khai thác với Metasploit (update revision 16005 ngày 22/03/2012 đã có MS12-020 auxiliary/dos/windows/rdp/ms12_020_maxchannelids) và hạ thành công windows 7 và win2k3 cài RDP không bật secure]]>
/hvaonline/posts/preList/41627/259621.html#259621 /hvaonline/posts/preList/41627/259621.html#259621 GMT
xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop

doanpv22 wrote:

xuanphongdocco wrote:
E đang sử dụng phần mềm PRTG để giám sát băng thông, đang dùng Nettool để theo dõi gói tin và đã bắt được khi bị remote. Tuy nhiên mỗi lần bị và em bắt gói tin thì nó có hàng mấy chục địa chỉ IP connect vào PC đấy theo port 3389 cơ, em ko thể chặn xuể đc, e check thì toàn IP bên USA và Ba Lan... Em cũng nghỉ định kiếm cái HUB để cắm vào Gateway để bắt goi tin bằng Wireshark nhưng giờ kô kiếm đc HUB nên đành chịu! Bác có tool nào bắt được chi tiết máy nào kô? và có thể support cho em qua về nó dc kô? huhu Sếp mắng em nhiều quá! Em xin chân thành cảm ơn các bác đã góp ý! 
1. Nếu nhiều gói tin từ ngoài gửi đến 3389 thì bạn chặn cổng đó trên firewall hoặc gateway router. nếu không có firewall thì dùng iptables cũng được 2. Nếu bạn muốn bắt gói tin để inspect thì có thể cấu hình Mornitor port hoặc netflow để xuất bản tin về một máy phân tích và dùng wireshark để xem mà không cần phải dùng hub ]]> /hvaonline/posts/preList/41690/259613.html#259613 /hvaonline/posts/preList/41690/259613.html#259613 GMT Chống tấn công brute force trên dịch vụ dovecot1

simmy wrote:
Có thể tìm hiểu fail2ban tại đường dẫn: http://www.fail2ban.org Mình đã thử dùng fail2ban với asterisk và FTP. Nói chung là dùng khá tốt, kết hợp với email tự động nửa, nên bạn có thể chủ động warning cho bạn khi có ai đó cố gắng brute force vào hệ thống. Đương nhiên, để dùng fail2ban thì bạn phải có quyền cài đặt nó lên server chứa dịch vụ cần kiểm tra. 
Dùng fail2ban hay tất cả các tool theo kiểu scan log rồi đưa ra action đều chiếm dụng memory và cpu cao, đặc biệt là nếu viết script không tốt và file log có kích thước quá lớn chưa được cắt Theo tôi thì bạn chủ topic nên tìm hiểu kỹ hơn về các service mình triển khai để tối ưu cấu hình. Dovecot thì tôi không rõ nhưng ssh có thể giới hạn số lần thử sai qua tham số MaxAuthTries trong /etc/sshd_config Tất nhiên để làm được bạn phải có quyền root trên server]]>
/hvaonline/posts/preList/41693/259612.html#259612 /hvaonline/posts/preList/41693/259612.html#259612 GMT
Có cách nào chống SSL Sniffer phía server không? ai đó login vào hvaonline thậm chí dùng https vẫn có khả năng bị nghe trộm mật khẩu nếu không cẩn thận Dưới đây là thông tin Cert xịn của HVA và Cert giả mạo do ettercap tự tạo ra, các bác tìm thử điểm khác nhau, đâu là hàng chính hãng, đâu là fake nhé :D 1.
2.
]]>
/hvaonline/posts/preList/41699/259610.html#259610 /hvaonline/posts/preList/41699/259610.html#259610 GMT
Nhờ các cao thủ RE giúp em này

TQN wrote:
Bạn huydd đang làm trong lãnh vực nào vậy, xem các topic create và post của bạn, tôi hơi có dấu ? Shellcode này tương đối phức tạp, bạn muốn nắn gân, thử sức anh em phải không ? Sếp bạn là ai, cơ quan nào, tại sao lại có 2 file tiếng Việt này gởi tới đích danh như vậy ? Thời điểm cậu post và up hai con .rtf này lên, tui có nhận được mail này, có liên hệ gì không, muốn thử xem Thằng Cu Anh này có bó tay không phải không ?  
Bác TQN đa nghi quá nhỉ? Chắc với kỹ năng của bác tìm ra huydd làm ở đâu có khó gì vì thông tin về Ip truy nhập hoặc thông tin cá nhân của tôi trên Internet muốn tìm thì chỉ vài phút là ra hết cả anh em vợ con (khéo cả bồ nữa ấy chứ) :) Tôi làm về đào tạo, chuyên môn chính là về mạng nhưng cũng có liên qua đến security chút đỉnh. Các bài viết của bác và các anh trên HVA thường là những ví dụ rất hữu ích cho tôi khi đi dạy. Sếp của tôi trong case này là một giáo sư về viễn thông nhưng lại mù tịt về CNTT hix (vẫn dùng XP với Office 2003 ko patch), cụ sắp về hưu rồi nên lười update công nghệ quá. Làm mất công của anh em nhưng quả thật các bài viết của bác rất hữu ích cho những người muốn nghiên cứu về các kỹ thuật trong RE. Cảm ơn các bác nhiều ]]>
/hvaonline/posts/preList/41599/259608.html#259608 /hvaonline/posts/preList/41599/259608.html#259608 GMT
Nhờ các cao thủ RE giúp em này /hvaonline/posts/preList/41599/259293.html#259293 /hvaonline/posts/preList/41599/259293.html#259293 GMT Cách vượt qua các bài tập trong hackthissite? <input type="submit" value="submit" onclick=javascript:document.cookie='level10_authorized=yes';> ]]> /hvaonline/posts/preList/41544/259077.html#259077 /hvaonline/posts/preList/41544/259077.html#259077 GMT Codes ban IP, chống ddos. cấu hình server.

AkamPro wrote:
........ - Chống DDos dạng nào thì mình không biết chỉ biết là máy bị truy cập quá nhiều làm nghẽn mạch: Ví dụ bị tấn công vào 1 port nào đó trên máy mình ví dụ port 80, 8080, 443,... cỏ thể mở 1 trăm 1 triệu connection vào cái port nào đó lúc đó server không kịp phản hồi lại => cái này chắt gọi là DDos quá. .......  
Nếu mà bạn muốn chống tất cả các loại DoS thì liên hệ với các bạn viết phần mềm trên Cisco Guard DoS, Arbor Peakflow SP, Juniper SSG... Mà ngay cả sale của các bạn này cũng chẳng dám khẳng định là chống DDoS được tuyệt đối Theo như ý mình hiểu thì bạn muốn tìm giải pháp phần mềm để chống tấn công từ chối dịch vụ cho Web Server của bạn thông qua việc chặn IP. Vấn đề này theo mình nhớ đã được thảo luận trong một thớt trước đây trên HVA. Đại khái giải pháp là count connection theo IP trên server và kích hoạt ratelimit hoặc block trên gateway/firewall Bạn tìm lại xem ]]>
/hvaonline/posts/preList/41624/259049.html#259049 /hvaonline/posts/preList/41624/259049.html#259049 GMT
Nhờ các cao thủ RE giúp em này 3737373737373737}}}} và kể từ đoạn này trở về sau thì mã hex gần như giống nhau. Shellcode entry point ở đây chăng các bác? Cái thứ nhất
Cái thứ hai
]]>
/hvaonline/posts/preList/41599/259048.html#259048 /hvaonline/posts/preList/41599/259048.html#259048 GMT
Nhờ các cao thủ RE giúp em này /hvaonline/posts/preList/41599/259005.html#259005 /hvaonline/posts/preList/41599/259005.html#259005 GMT Nhờ các cao thủ RE giúp em này
Có vẻ như hoạt động không giống với CVE-2010-3333 thông thường vì mình cũng đã thử metasploid với CVE này trước đây để test rồi. Xem thông tin trên wireshark thì chỉ biết nó connect đến billgate2012.xicp.net. Phần còn lại nó chơi https thì mình bó tay, không hiểu nó làm gì tiếp Kiểm tra tasklist sau khi mở file trên thì chỉ thấy có phát sinh iexplore.exe với thông số như sau IEXPLORE.EXE 1736 Console 0 1,588 K WINWORD.EXE 1704 Console 0 8,652 K Phán đoán của mình là nó dùng IEXPLORE.EXE để connect đến server qua https nhưng nó gửi trao đổi những gì thì chịu. Chỉ chắc chắn là máy sếp đã dính em này vì mình có cài wireshark lên máy sếp thử thì thấy các bản tin gửi đến billgate2012 rất đều đặn, chỉ kill IEXPLORE.EXE đi mới hết Mình không chuyên về RE và RCE lắm nên đọc qua hex code của mấy file này chẳng hiểu gì, mà hình như nó mã hoá hay sao đó nên cũng không thu được nhiều thông tin như các ví dụ của bác TQN có trình bày. Vậy nhờ các bác RE cao tay ở đây giúp dùm xem mấy em này bản chất nó làm gì, có cài cắm thêm gì vào máy không để mình hỗ trợ sếp trong việc removal Các file này mình tạm upload tại link: removed. Cảm ơn các ACE nhiều conmale edited: remove link đến malware.]]>
/hvaonline/posts/preList/41599/258695.html#258695 /hvaonline/posts/preList/41599/258695.html#258695 GMT
Phần mềm encrypt và pack botnet để qua mặt antivirus software

quanta wrote:

huydd wrote:
... Còn trong lúc trình bày mà học viên có hỏi cách làm thì cũng nên chỉ cho họ link đề vào HAV (để đọc bài của bác conmale rằng không được phổ biến bừa bãi :) ) 

huydd wrote:
... cũng giống như các bác ở HAV và MAIT trước đây có đợt rất hào hứng với vụ demo crack Wifi WEP key để chứng minh dùng wifi không an toàn.  
Mình chỉ kéo áo nhẹ một cái: tên diễn đàn là HVA. 
Sorry bác quanta, đang định sửa thì đã bị bác kéo rồi :) ]]>
/hvaonline/posts/preList/39589/243645.html#243645 /hvaonline/posts/preList/39589/243645.html#243645 GMT
Phần mềm encrypt và pack botnet để qua mặt antivirus software /hvaonline/posts/preList/39589/243640.html#243640 /hvaonline/posts/preList/39589/243640.html#243640 GMT Nhúng exe vào các loại file khác

Mr.SuperCat wrote:
à ừ bạn đọc kỹ lại ở trên đi chỉ hiển thị hình ảnh nếu dùng theo cách đó thôi. còn nếu muốn chèn các file khác thì bạn tìm hiểu phần mềm này http://adf.ly/10Dcd and Link: http://www.mediafire.com/?cmkwyixmxin Patch: http://www.mediafire.com/?2mm5qhnjv21 Kegen: http://www.mediafire.com/?ji4m0ywmm0o 
Bạn Cat phát tán cái này là có phạm quy không nhỉ? Cái file bạn gửi check trên VirusTotal nó cho điểm hơi bị cao: 31/43 http://www.virustotal.com/file-scan/report.html?id=9fb8ebf10f76be2c7de5bde78fc459a8d64603a7908b9349406ac23d0d78195f-1310718940 Theo tôi phản đối người ta thì được nhưng chơi kiểu này không nên tí nào ]]>
/hvaonline/posts/preList/39507/243592.html#243592 /hvaonline/posts/preList/39507/243592.html#243592 GMT
Phần mềm encrypt và pack botnet để qua mặt antivirus software /hvaonline/posts/preList/39589/243589.html#243589 /hvaonline/posts/preList/39589/243589.html#243589 GMT Phần mềm encrypt và pack botnet để qua mặt antivirus software /hvaonline/posts/preList/39589/243575.html#243575 /hvaonline/posts/preList/39589/243575.html#243575 GMT Phần mềm encrypt và pack botnet để qua mặt antivirus software /hvaonline/posts/preList/39589/243554.html#243554 /hvaonline/posts/preList/39589/243554.html#243554 GMT Giúp mình fix lỗi gõ tiếng việt bằng xvnkb trong Slackware 12.1 /hvaonline/posts/preList/23309/192760.html#192760 /hvaonline/posts/preList/23309/192760.html#192760 GMT Giúp mình fix lỗi gõ tiếng việt bằng xvnkb trong Slackware 12.1 /hvaonline/posts/preList/23309/192472.html#192472 /hvaonline/posts/preList/23309/192472.html#192472 GMT Giúp mình fix lỗi gõ tiếng việt bằng xvnkb trong Slackware 12.1 /hvaonline/posts/preList/23309/192418.html#192418 /hvaonline/posts/preList/23309/192418.html#192418 GMT Giúp mình fix lỗi gõ tiếng việt bằng xvnkb trong Slackware 12.1 /hvaonline/posts/preList/23309/192315.html#192315 /hvaonline/posts/preList/23309/192315.html#192315 GMT