<![CDATA[Latest posts for the topic "VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS"]]> /hvaonline/posts/list/19.html JForum - http://www.jforum.net VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS Tôi mở ra một topic mới liên quan đến việc góp ý cho Vietnamnet trong việc phòng chống DDoS. Chủ đề này để Vietnamnet có thể tham khảo và áp dụng những biện pháp mà họ thấy phù hợp, cũng như hữu ích cho các tổ chức điều hành dịch vụ IT khác. Đây cũng là một trong các tiêu chí, mục đích hoạt động của HVA . Nhân đây tôi cũng xin nhắc các thành viên HVA lưu ý không mở các topic để "hỏi đáp" về một số vấn đề kỹ thuật trong box "Những thảo luận khác" này. Những câu hỏi thông thường hay câu hỏi kỹ thuật cần được post vào các box liên quan vốn sẵn có trong forum. Xin cám ơn ======================== Theo tôi cách tốt nhất đối với Vietnamnet trong việc chống đỡ các cuộc tấn công DDoS thời gian vừa qua và kéo dài đến nay, là có thể thưc hiện các biện pháp sau: 1- Kiểm tra lại topology của toàn bộ hệ thống ( Vietnamnet có trên dưới 10 server sử dụng cho các dịch vụ khác nhau và giữa chúng có những mối liên hệ khá phức tạp) và xây dựng lai một topology hợp lý nhất (optimal). Để làm được việc này Vietnamnet phải chịu khó thống kê trong một thời gian đủ dài và phân loại riêng số lương trung bình các kết nối (của từng loại khách hàng-client) đến từng dịch vụ. 2- Bố trí các server riêng cho từng loại dịch vụ. Có thể bố trí một cụm server (cluster) cho những dịch vụ nhiều ngưởi truy cập. Server riêng hay cụm server riêng ở đây đươc hiểu là có tên miền riêng và static IP riêng. Khắc phục ngay tình trang tất cả mọi ngưởi khi truy cập đến Vietnamnet thì chỉ biết (hay chỉ cần truy cập đến) một domain Vietnamnet.vn mà thôi. Điều đó có nghĩa là loại bớt hay hết các wwwect link (đền các dịch vụ khác) hiện đang đặt nhiều trên (một) webserver "chủ đạo" hiện nay. Tất nhiên điều này có khó khăn là nhất thời các khách hàng, user thời gian đầu chưa thuộc tên domain của webserver dịch vụ mà mình muốn truy cập (thí dụ dịch vụ game, media....) 3- Sử dung kỹ thuật Dynamic domain system (với vài Premium domain) để hỗ trợ cho sự hiện diện cùa Vietnamnet trên mạng (kèm các thông báo cần thiết cho khách hàng) khi các webserver của Vietnamnet bị DDoS nặng nề và hầu như đã dropped. Đây là cách giữ uy tín cho Vietnamnet vì luôn cập nhật thông báo cho khách hàng biết tình hình các webserver của mình đang thế nào (hay đang bị thế nào) Việt nam ta có một điều rất dở là thường không tìm mọi cách thông báo (từng giờ) tình trạng dịch vụ Web của tổ chức, công ty mình đang ra sao. Khách hàng không truy cập đươc website, rất khó chịu vì mù tịt thông tin, không biết lý do gì, tá hoả điện thoại hỏi nhau. Có khi phải bố trí một webserver riêng để làm chỉ mỗi việc này hay một vài việc tương tự. 4- Trang bị thêm các Router mạnh ( connection flowrate cao) và nâng cấp kết cấu hạ tâng mảng Front-end. Chú ý sử dụng các Router có lồng ghép (bên trong) các trình diệt virus và IPS device... 5- Cuối cùng thì nếu có thể mới áp dụng kỹ thuật "Nginx constellation" (Nginx đọc là "engine X"). (Bây giờ ta thấy trên mạng quảng cáo hết các kỹ thuật "đám mây" rồi đến "chùm sao"...Hì hì) Kỹ thuật "Nginx constellation" thưc ra chỉ là kỹ thuật sử dụng các cache proxy server đặt phía trước webserver dịch vụ để giảm tải và phân tải cho webserver chính. Có thể dùng các VM hay VPS (thuê của các ISP khác nhau) làm cache proxy server, cũng như áp dụng kỹ thuật "Round Robin" trong việc phân giải Record A trên hệ thống DNS (của các Cache proxy server nói trên). Tuy nhiên biện pháp này có không ít nhược điểm: tốn tiền thuê VM hay VPS và tốn nhiều thời gian kiểm tra quản lý chúng, hệ thông cache proxy server sẽ dễ trục trặc khi hacker set TTL cho các DDoS packet đủ ngắn, cache proxy server không "phục vụ" user đúng URL mà user muốn xem, khi mà một vài data trên URL đã đươc update (như tôi có dịp đã viết ở một vài post trong HVA forum này) Nhưng việc "cần phải làm ngay" là phải nhanh chóng tìm ra nguồn phân tán DDoS tool (tức là virus) và sau đó là các master điều khiển các zoombies (các máy tính bị nhiễm DDoS virus [DDoS tool] trên mạng). Cần xác định kỹ lại (nhờ CMC infosec) là website đặt ở Đức (.....com) là nguồn phân tán virus (tôi gọi là Virus containing website- VCW) hay là Master hay là cả hai?. Vietnamnet cần tài trợ cho CMC Infosec thiết lập một công cụ quét trên mạng để chủ động phát hiện các máy tính bị nhiễm DDoS tool trên mạng và thông báo cho chủ máy tính diệt trừ chúng, như là cách các nước hiện đại đã làm. Việc này cần có sự hỗ trợ của một số ISP (Viettel, VNPT, FPT...) Chủ động diệt trừ (bằng mọi cách có thể) nguồn phá hoại tạo ra DDoS là cách bảo vệ hệ thống của ta một cách hữu hiệu nhất và triệt để nhất. ]]> /hvaonline/posts/list/37393.html#229978 /hvaonline/posts/list/37393.html#229978 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#229981 /hvaonline/posts/list/37393.html#229981 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/40/37203.html#229823 /hvaonline/posts/list/40/37203.html#229865 Ghi chú: Tôi copy luôn hai bài viết của anh conmale ghi ở trên vào luôn đây cho các bạn dễ đọc. Ấy là chiếu cố một số bạn thường ngai tô (highlight)-copy-dán (paste)- Vì bài viết khá hay, có nhiều điểm đáng tham khảo. PXMMRF ====================== Bài viết của anh conmale ngày 19/01/2011 16:11:37 (+0700) | #50 | 229823 Theo một bài viết đăng trên tờ "Lao Động" ở http://laodong.com.vn/Tin-Tuc/Bat-luc-truoc-quai-thu-DDOS/28847 có đoạn:
Theo thông tin từ báo điện tử này, có ít nhất 300 nghìn địa chỉ mạng (IP) phân bố rải rác khắp nơi và từ tất cả các nhà cung cấp dịch vụ Internet (ISP) ở Việt Nam tấn công vào VietnamNet. Chưa hết, số lượng IP tại mỗi thời điểm tấn công không lặp lại. 
Ở lúc cao điểm, chúng tôi chuyển 1/8 lưu lượng tấn công sang một hệ thống khác nhờ xử lý giúp, nhưng băng thông 2Gbps của hệ thống này lập tức bị nghẽn” – một chuyên gia bảo mật tham gia ứng cứu cùng VietnamNet cho biết (băng thông của VietnamNet được coi là “khủng” cũng mới lên đến 1Gbps – PV). 
Hãy thử tính vài con số xem sao. Cứ cho rằng mỗi packet đập vô thẳng vnn có kích thước tối đa là 1500 bytes và băng thông là 2Gbps thì với băng thông này ngay tại mỗi thời điểm có thể có: 268435456 / 1500 = 178957 gói tin. Bởi vậy, với "ít nhất" 300 ngàn IP cùng dội thì tất nhiên băng thông sẽ hoàn toàn bị bão hoà. Tất nhiên, trên thực tế thì 300 ngàn IP đó gởi trước, gởi sau, gởi gói SYN, gởi gói FIN, gởi gói ACK... thì có giá trị thật sự xê dịch. Cho dù vậy, tối đa băng thông 2Gbps chỉ có thể chịu nổi cùng lắm là 200 ngàn IP đập vô 1 lượt. Có hai vấn đề cần xét đó là băng thông và sức chịu đựng của cơ chế bảo vệ + hệ thống máy chủ. Trước mắt, theo tính toán tổng quát ở trên thì rõ ràng băng thông đã bị hoàn toàn bảo hoà. Để có thể khắc phục tình trạng này, trước tiên phải gia tăng ít nhất gấp 3 lần băng thông, có nghĩa là khoảng 6Gbps. Tuy vậy, việc này chắc chắn sẽ gây "phản ứng phụ" vì lúc này cổng chính mở càng rộng ra thì "lũ" càng tràn vô nhanh. Tiếp theo, cơ chế bảo vệ có những biện pháp cản lọc và triệt tiêu như thế nào? Giả sử nếu các gói tin dùng để DDoS ở đây hoàn toàn hợp lệ và chẳng có dấu hiệu gì đặc thù để cản lọc thì ít nhất vnn phải có một cluster khổng lồ để "giơ lưng chịu đòn". Tuy vậy, nếu xét ở góc độ cấp số khi tình trạng ngập lụt dâng lên cao thì một cluster như thế nào được xem là khả dĩ để đón nhận? Đó là một bài toán được giải quyết từ những thông số thu thập được từ mỗi request đi đến sẽ cần bao nhiêu thời gian, bao nhiêu CPU, bao nhiêu memory và bao nhiêu I/O. Trên thực tế, ngay trong tình trạng "slashdot" (có nghĩa là có số lượng người dùng hoàn toàn hợp lệ) cùng duyệt vnn quá nhiều đi chăng nữa, không thể có tình trạng 300 ngàn IP cùng ập vô 1 lượt bởi vì người dùng bình thường duyệt và đọc. Bởi vậy, request rate (cho mỗi giây hoặc mỗi phút) đi từ mỗi IP rất thấp (ví dụ, không thể có chuyện người đọc bài báo nhanh đến độ cứ mỗi 5 giây đọc hết 1 trang được). Từ logic này mới hình thành ra cái gọi là: packet rate. Packet rate này là thước đo gần như trung thực cho nhu cầu đọc báo của những độc giả (là con người) và những gì đi quá packet rate thì tạm coi là bất hợp lệ. Nếu vậy, giả sử packet rate được xem hợp lý là 5 giây / 1 request (chẳng hạn) và mỗi IP trong 300 ngàn IP có người bấm, có người đọc, có người không bấm trong 10 phút...v...v... thì tính ra 300000 / 5 giây cũng chỉ mới có 60 ngàn IP cùng gởi request 1 lúc. Số còn lại (240 ngàn IP) có thể thuộc dạng zombie và có thể được triệt tiêu. Nói một cách khác, bất cứ IP nào gởi quá 1 packet trong 5 giây và tình trạng này kéo dài liên tục trong 60 giây thì đó chính là "chàng DDoS" chớ không chạy đi đâu được hết. :*- Triệt tiêu như thế nào? Câu trả lời xác thực cho câu hỏi này không dễ vì tuỳ thiết bị, tuỳ hệ thống, tuỳ topology nữa nhưng tựu trung, biện pháp hữu hiệu nhất là cho những packets đi từ những IP được xem là quá "packet rate" ở trên đi thẳng vô /dev/null. Không cản, không xét, không lọc.... vì những thao tác này sẽ hao tổn tài nguyên không nhỏ và sẽ gây trì trệ theo cấp số. Các thiết bị Cisco, PIX, ngay cả trên BSD, Linux đều có thể có nhiều biện pháp tạo hoặc dùng /dev/null để chuyển hướng các packets "vi phạm" kia một cách nhanh chóng và gọn gàng. Nếu botnet "thông minh" đủ để hạ thấp packet rates nhằm len lỏi chui vô chung với những request bình thường và hợp lệ của độc giả thông thường thì tác hại của DDoS không còn nữa mà chỉ dừng lại ở mức "slashdot". Ở cấp độ này thì tất nhiên phải trang bị một hệ thống "khủng" cả băng thông lẫn chuỗi máy chủ thôi. :D ============================ Bài viết của anh conmale ngày 20/01/2011 08:01:03 (+0700) | #57 | 229865 Tối hôm qua tớ ngồi thử nghiệm thêm VNN ở một góc độ khác nhằm phản biện khía cạnh băng thông bị bão hoà thì thấy có vài điểm lý thú sau: - Thử traceroute từ máy của tớ đến vietnamnet.vn thì thấy: Code:
conmale$ traceroute vietnamnet.vn
traceroute: Warning: vietnamnet.vn has multiple addresses; using 117.103.197.249
traceroute to vietnamnet.vn (117.103.197.249), 64 hops max, 52 byte packets
 1  172.16.1.99 (172.16.1.99)  3.256 ms  2.376 ms  2.266 ms
 2  10.64.0.1 (10.64.0.1)  9.551 ms  12.110 ms  8.239 ms
 3  riv3-ge1-2.gw.optusnet.com.au (198.142.192.161)  8.504 ms  7.963 ms  7.733 ms
 4  mas1-ge13-0-0-905.gw.optusnet.com.au (211.29.125.21)  18.982 ms  9.850 ms  11.522 ms
 5  mas3-ge2-0.gw.optusnet.com.au (211.29.125.237)  9.214 ms  9.339 ms  10.057 ms
 6  203.208.192.169 (203.208.192.169)  169.115 ms  179.886 ms  182.649 ms
 7  ge-0-0-0-0.laxow-dr1.ix.singtel.com (203.208.171.65)  178.756 ms
    203.208.149.33 (203.208.149.33)  169.686 ms
    ge-0-0-0-0.laxow-dr1.ix.singtel.com (203.208.171.65)  168.359 ms
 8  xe-0-1-0-0.laxow-dr3.ix.singtel.com (203.208.149.117)  174.514 ms
    203.208.152.202 (203.208.152.202)  614.025 ms
    xe-0-1-0-0.laxow-dr3.ix.singtel.com (203.208.149.117)  175.219 ms
 9  xe-1-0-0-0.hkgcw-cr3.ix.singtel.com (203.208.152.125)  473.260 ms  613.086 ms  616.756 ms
10  203.208.149.2 (203.208.149.2)  184.680 ms
    xe-1-0-0-0.hkgcw-cr3.ix.singtel.com (203.208.152.125)  612.929 ms
    203.208.149.2 (203.208.149.2)  189.302 ms
11  d1-98-230-143-118-on-nets.com (118.143.230.98)  729.025 ms
    203.208.171.130 (203.208.171.130)  614.731 ms  611.874 ms
12  xe-1-0-0-0.hkgcw-cr3.ix.singtel.com (203.208.152.125)  615.272 ms
    user244-0.enet.vn (125.214.0.244)  614.363 ms
    xe-1-0-0-0.hkgcw-cr3.ix.singtel.com (203.208.152.125)  615.712 ms
13  117.103.228.93 (117.103.228.93)  611.763 ms
    203.208.190.82 (203.208.190.82)  528.150 ms
    user244-0.enet.vn (125.214.0.244)  614.636 ms
14  d1-98-230-143-118-on-nets.com (118.143.230.98)  613.326 ms
    117.103.197.249 (117.103.197.249)  612.069 ms
    d1-98-230-143-118-on-nets.com (118.143.230.98)  613.976 ms
Chứng tỏ packets đi xuyên qua các hops không quá chậm. Thử traceroute từ Đức về VN: Code:
[geek@germany ~]$ traceroute vietnamnet.vn
traceroute to vietnamnet.vn (117.103.197.249), 20 hops max, 40 byte packets
1 router144-1.muc1.mivitec.net (91.90.144.1) 2.956 ms
2 62.140.25.41 (62.140.25.41) 0.689 ms
3 ae-11-11.car1.Munich1.Level3.net (4.69.133.253) 173.829 ms
4 ae-4-4.ebr1.Frankfurt1.Level3.net (4.69.134.2) 6.415 ms
5 ae-91-91.csw4.Frankfurt1.Level3.net (4.69.140.14) 17.151 ms
6 ae-72-72.ebr2.Frankfurt1.Level3.net (4.69.140.21) 6.898 ms
7 ae-44-44.ebr2.Washington1.Level3.net (4.69.137.62) 97.086 ms
8 ae-92-92.csw4.Washington1.Level3.net (4.69.134.158) 93.577 ms
9 ae-84-84.ebr4.Washington1.Level3.net (4.69.134.185) 99.814 ms
10 ae-4-4.ebr3.LosAngeles1.Level3.net (4.69.132.81) 159.520 ms
11 ae-4-90.edge3.LosAngeles1.Level3.net (4.69.144.201) 159.757 ms
12 cr1.lax1.us.packetexchange.net (4.71.136.2) 168.744 ms
13 te4-1.cr1.lax1.us.packetexchange.net (69.174.120.141) 177.229 ms
14 218.189.31.25 (218.189.31.25) 160.724 ms
15 218.189.5.138 (218.189.5.138) 160.963 ms
16 d1-1-224-143-118-on-nets.com (118.143.224.1) 314.368 ms
17 218.189.5.39 (218.189.5.39) 322.274 ms
18 d1-98-230-143-118-on-nets.com (118.143.230.98) 374.891 ms
19 user244-0.enet.vn (125.214.0.244) 366.511 ms
20 117.103.228.93 (117.103.228.93) 365.514 ms
thì thấy packets đi xuyên các hops càng nhanh nữa. Thử httpwatch để duyệt vietnamnet.vn thì lại thấy:
13:06:39.771 0.042 380 0 GET null Redirect http://www.vietnamnet.vn/ 13:06:40.278 6.449 427 182 GET 302 Redirect to: http://vietnamnet.vn http://www.vietnamnet.vn/ 13:06:46.732 2.143 458 406 GET 302 Redirect to: /vn/index.html http://vietnamnet.vn/ 13:06:48.882 40.536 436 19 GET 200 text/html http://vietnamnet.vn/vn/index.html 13:07:29.473 0.033 357 (1406) GET (Cache) image/x-icon http://vietnamnet.vn/favicon.ico 
Điều này chứng tỏ: - Cú GET đầu tiên đi đến www.vietnamnet.vn chỉ mất có 0.042 giây thì đầu bên khia nhận request và cho request này wwwect đến vietnamnet.vn. Điều này chứng tỏ băng thông không hề bị nghẽn mà trái lại đường đi vô www.vietnamnet.vn rất nhanh. - Giai đoạn wwwection từ www.vietnamnet.vn đến vietnamnet.vn cho đến khi response về lại trình duyệt của tớ mất 6.449 giây. Chứng tỏ sự trễ nãi này xảy ra ở khoảng "response" (đi ra) chớ không phải nằm ở khoảng "request" (đi vô). - Sau khi wwwect đến vietnamnet.vn request này lại tiếp tục được wwwect đến /vn/index.html (thuộc vietnamnet.vn) và mất thêm 2.143 giây nữa và tệ nhất là chỉ wwwect đến một trang index.html http://vietnamnet.vn/vn/index.html) và response về trình duyệt mất đến 40.536 giây. Qua những biểu hiện trên tớ tin chắc vnn không bị bão hoà băng thông bằng chứng là request đi vô vẫn cực nhanh. Chỉ có response đi ra cực chậm. Nến băng thông bị bão hoà thì ra hay vô cũng đều chậm. Dấu hiệu cho thấy ở đây là dịch vụ web bị nghẽn và không kịp phục vụ người truy cập. Nếu thử "dig" thì thấy vietnamnet.vn có 2 "A" records:
conmale$ dig a vietnamnet.vn ; <<>> DiG 9.6.0-myBuild <<>> a vietnamnet.vn ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7119 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;vietnamnet.vn. IN A ;; ANSWER SECTION: vietnamnet.vn. 3600 IN A 222.255.122.157 vietnamnet.vn. 3600 IN A 117.103.197.249 ;; Query time: 659 msec ;; SERVER: 139.130.4.4#53(139.130.4.4) ;; WHEN: Thu Jan 20 08:45:16 2011 ;; MSG SIZE rcvd: 63 
và www.vietnamnet.vn lại chỉ có 1 "A" record mà thôi:
conmale$ dig a www.vietnamnet.vn ; <<>> DiG 9.6.0-myBuild <<>> a www.vietnamnet.vn ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61465 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.vietnamnet.vn. IN A ;; ANSWER SECTION: www.vietnamnet.vn. 3600 IN A 117.103.197.249 ;; Query time: 499 msec ;; SERVER: 139.130.4.4#53(139.130.4.4) ;; WHEN: Thu Jan 20 08:45:24 2011 ;; MSG SIZE rcvd: 51 
117.103.197.249 thì thuộc VTC (trong mạng vnnnic), còn 222.255.122.157 thì thuộc vinagame (trong mạng vnpt). Xét đoạn httpwatch ở trên thì thấy: - Nếu truy cập với www.vietnamnet.vn (117.103.197.249) thì sẽ được wwwect về vietnamnet.vn (117.103.197.249 và 222.255.122.157) theo dạng DNS round robin. - Nếu thực sự wwwect từ 117.103.197.249 về 222.255.122.157 thì hữu lý (vì cho nó đi qua một mạng khác để share load) nhưng wwwect từ 117.103.197.249 về lại chính 117.103.197.249 thì hơi phí vì dịch vụ web phải tốn thêm tài nguyên để xử lý thêm một cái wwwection. - Nếu truy cập trực tiếp tới vietnamnet.vn (222.255.122.157) thì không xảy ra wwwection từ IP này sang IP khác nữa mà lại có thêm một lần wwwection đến /vn/index.html ngay chính dịch vụ trên vietnamnet.vn, từ context "/" sang context "/vn". Xét về mặt tài nguyên thì dịch vụ web lại tiêu tốn tài nguyên để xử lý thêm một lần wwwection. Có lẽ admin muốn wwwect đến một trang static html để giảm thiểu hao tổn tài nguyên từ những truy cập trực tiếp đến các trang động (dynamic pages) tương tác trực tiếp đến CSDL nhưng thật sự wwwection kiểu này ở tình trạng bị DDoS nặng nề thì không hữu hiệu rồi. Tớ cũng thử "fire off" hơn 1 chục request liên tục trong 1 giây và thấy hệ thống vietnamnet responded y hệt như nhau. Các requests của tớ vẫn đến vietnamnet.vn và vẫn được wwwect y hệt như trên. Điều này chứng tỏ hình như vietnamnet không có cơ chế "packet rating" (hoặc request rating) mà tớ đã đề cập ở bài trước. Nói một cách khác, dường như vietnamnet chìa lưng ra cho DDoS đập thì phải :P . ]]>
/hvaonline/posts/list/37393.html#229986 /hvaonline/posts/list/37393.html#229986 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#230015 /hvaonline/posts/list/37393.html#230015 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

conmale wrote:
Qua những biểu hiện trên tớ tin chắc vnn không bị bão hoà băng thông bằng chứng là request đi vô vẫn cực nhanh. Chỉ có response đi ra cực chậm. Nến băng thông bị bão hoà thì ra hay vô cũng đều chậm. Dấu hiệu cho thấy ở đây là dịch vụ web bị nghẽn và không kịp phục vụ người truy cập.  
Thời điểm bài trên báo Lao động đăng là ngày 12.1, ngày anh conmale kiểm chứng tình trạng bandwidth là ngày 20.1, cho nên việc báo Lao động đăng tình trạng bandwidth bão hòa cũng không có gì là không đúng. Việc wwwect request theo nhận xét của anh conmale là để chuyển sang "trang static html để giảm thiểu hao tổn tài nguyên từ những truy cập trực tiếp đến các trang động...". Liệu còn có thể có mục đích gì khác nữa không?]]>
/hvaonline/posts/list/37393.html#230025 /hvaonline/posts/list/37393.html#230025 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

noobeer wrote:
Việc wwwect request theo nhận xét của anh conmale là để chuyển sang "trang static html để giảm thiểu hao tổn tài nguyên từ những truy cập trực tiếp đến các trang động...". Liệu còn có thể có mục đích gì khác nữa không?  
mình nghĩ việc chuyển hướng này chủ yếu đánh vào điểm yếu của những chú bot, vốn thường ít khi nào triển khai đầy đủ bộ giao thức HTTP cả. ví dụ như trình duyệt của người dùng bình thường thấy 301/302 thì sẽ chuyển hướng sang địa chỉ mà máy chủ gợi ý. còn bot, do không hiểu HTTP, nên sẽ bỏ qua, không chuyển hướng tiếp. ngoài ra mình thấy /vn/index.html còn chuyển sang một trang trung gian, /chkdd.html?vnnd=cookie trong đó cookie là UNIX timestamp và MD5 của một cái gì đó. cái chkdd.html làm một chuyện là cài một cookie tên vnnd với giá trị như trên, rồi chuyển hướng lại sang /vn/index.html. mình đoán thì thủ thuật này cũng là để phân biệt giữa bot và trình duyệt của người dùng bình thường. bot thì không hiểu javascript, nên không cài cookie, còn trình duyệt thì sẽ cài, nên VNN sẽ có dấu hiệu phân biệt giữa chúng ở lần thứ hai chuyển hướng vào lại /vn/index.html (đương nhiên nếu mà trình duyệt của bạn không chạy javascript, thì bạn sẽ không vào được VNN). một điểm lý thú là đoạn mã trong trang chkdd.html vừa nhỏ, vừa lại được "minified", chứng tỏ người thiết kế chúng muốn tiết kiệm bandwidth tối đa trước khi xác định chính xác có phải là bot hay không. nói rõ hơn là thay vì trả về nguyên trang /vn/index.html vài trăm KB, thì trả về chkdd.html 1-2 KB, như thế đường truyền sẽ ổn hơn rất nhiều. không có máy móc sẵn ở đây nên mình không thử crack xem cái MD5 ở trên là gì. mình đoán là cái MD5 là một cái chữ ký được tính dựa trên cái UNIX timestamp và một khoá nào đó. hi hi hi nếu có bạn nào đang ở trong đội của VNN thì mình có lời khuyên là nên dùng HMAC-SHA256, thay vì MD5 như vậy ;-). mình cũng có thử làm 2 thí nghiệm nhỏ: 1. xoá cái cookie đi. kết quả: phải quay lại /chkdd.html. 2. sửa cái cookie. kết quả: sửa phần UNIX timestamp hoặc sửa phần MD5 thì đều phải quay lại /chkdd.html. tóm lại, VNN có kiểm tra xem cookie có đúng là do họ cài hay không, phòng ngừa trường hợp bot nó tự cài cái cookie luôn. đương nhiên bot sẽ làm được nếu nó cứ chuyển hướng mỗi khi nhận được một cái 301/302, nhưng như thế thì phức tạp hơn. bài toán lúc này lại là chi phí, ai phải đầu tư nhiều hơn giữa một bên tấn công và một bên phòng thủ. mình nghĩ VNN đã khôn khéo chỗ này, chi phí để họ cài những thủ thuật kiểm tra ở trên là thấp, do họ có lợi thế họ có thể làm tập trung tại một nơi với các giải pháp có sẵn. ngược lại bọn làm botnet phải sửa mã nguồn, cập nhật hàng loạt cho các con bot. nếu mà bot được thiết kế kém (như CMC nhận xét) thì việc này gần như là không thể. có lẽ đây là tình trạng hiện tại, nên VietnamNet thời điểm này vào rất nhanh. mình tò mò không biết là sau khi phân biệt được đâu là bot, đâu là trình duyệt bình thường, thì VNN sẽ làm gì với những IP đã biết là thuộc botnet? có vẻ như họ không chặn lại triệt để ở những tầng thấp hơn, mà cứ cho đi vào, rồi chỉ chặn lại bằng cơ chế như đã mô tả ở trên. có lẽ là do có quá nhiều IP đi chung qua một vài proxy của các ISP, nên VNN không thể chặn. đây cũng là câu hỏi mà bạn LeVuHoang có đặt ra cho mình trong chủ đề thảo luận về giải pháp chống DDoS mà mình đề nghị. lúc đó mình có nói đại loại là cứ cho đám proxy đi vào, chặn những thằng nằm ngoài proxy thôi, ví dụ như những thằng ở nước ngoài chẳng hạn. -m ]]>
/hvaonline/posts/list/37393.html#230043 /hvaonline/posts/list/37393.html#230043 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS Tớ cũng thử "fire off" hơn 1 chục request liên tục trong 1 giây và thấy hệ thống vietnamnet responded y hệt như nhau. Các requests của tớ vẫn đến vietnamnet.vn và vẫn được wwwect y hệt như trên. Điều này chứng tỏ hình như vietnamnet không có cơ chế "packet rating" (hoặc request rating) mà tớ đã đề cập ở bài trước. Nói một cách khác, dường như vietnamnet chìa lưng ra cho DDoS đập thì phải :P .   Nếu Vietnamnet chặn bằng packet size: khi số bytes đi qua card mạng lớn hơn mức bình thường trong một thời gian xác định mới bắt đầu drop, hoặc với tấn số lớn hơn (để không chặn nhầm những request đi qua cùng proxy) thì hơn chục request của anh chưa đủ điểm để bị chặn, nên suy đoán của anh có phần không đúng lắm :P ]]> /hvaonline/posts/list/37393.html#230052 /hvaonline/posts/list/37393.html#230052 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

mR.Bi wrote:
Tớ cũng thử "fire off" hơn 1 chục request liên tục trong 1 giây và thấy hệ thống vietnamnet responded y hệt như nhau. Các requests của tớ vẫn đến vietnamnet.vn và vẫn được wwwect y hệt như trên. Điều này chứng tỏ hình như vietnamnet không có cơ chế "packet rating" (hoặc request rating) mà tớ đã đề cập ở bài trước. Nói một cách khác, dường như vietnamnet chìa lưng ra cho DDoS đập thì phải :P .  
Nếu Vietnamnet chặn bằng packet size: khi số bytes đi qua card mạng lớn hơn mức bình thường trong một thời gian xác định mới bắt đầu drop, hoặc với tấn số lớn hơn (để không chặn nhầm những request đi qua cùng proxy) thì hơn chục request của anh chưa đủ điểm để bị chặn, nên suy đoán của anh có phần không đúng lắm :P  
Đây là biện pháp nhận diện các packets bất hợp lệ (dùng để DDoS). Tất nhiên vẫn phải chịu đòn trước để xác định cái nào là đồ xịn và cái nào là đồ dỏm. Nếu không sử dụng biện pháp này thì vẫn phải è lưng ra mà chịu đấm mà thôi. Cái này cũng giống như lên đài và chịu để đối thủ ra vài chiêu trước để xác định loại đối thủ này là gì rồi mới có cách kiềm chế vậy thôi. Còn không thì bị dập tơi tả từ đầu đến cuối ;). Nguyên tắc chống DDoS chỉ dựa trên 1 chuyện duy nhất: xác định đặc tính của gói tin để DDoS và khắc chế nó. Nếu không xác định được đặc tính gói tin trên mặt kỹ thuật (dựa vào thông tin của header và payload của gói tin) thì phải xác định cường độ và trường độ của gói tin tấn công. Để xác định được trường độ và cường độ thì phải chịu đưa lưng ra ăn đòn. Thông thường người dùng ở VN truy cập đến site ở VN không đi qua các proxies chính (để ra ngoài) như đến các site ở nước ngoài. Bởi vậy, lượng người bị cản do dùng chung 1 proxy nào đó rất ít. Số người dùng chung các proxies riêng (như ở các công ty) thì đành chịu vì chính các máy ở công ty ấy bị nhiễm). Tuy vậy, nếu sử dụng application layer firewall (7-layers) vẫn có thể xác định và cản được máy nào là máy bị làm zombie, máy nào không bị làm zombie đằng sau 1 proxy. Cách cản trở này kém hữu hiệu hơn vì phải kiểm soát dựa trên session và ở trong tình trạng bị DDoS nặng thì không nên dùng.]]>
/hvaonline/posts/list/37393.html#230056 /hvaonline/posts/list/37393.html#230056 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS mrro ở điểm VNN team đã sáng tạo trong việc cấp và check cookie. Cụ thể ở trường hợp này là áp dụng chuyển hướng sang 1 trang có kích thước đủ nhỏ và thực hiện việc xác thực thông qua cookie. Điều này quả là 1 tên trúng 2 đích: kích thước trang nhỏ gọn (hao tổn ít băng thông, trả về kết quả nhanh, ít tốn kém tài nguyên phục vụ), và vẫn làm được việc kiểm tra xem request là từ máy hay từ người. Đổi lại là phải wwwect vài lần. Tuy nhiên thời gian chờ (cho tới thời điểm này) là chấp nhận được. Mình cũng thấy nginx, và F5-BigIP đã vào cuộc chơi ;-) (Nếu như team VNN ko chơi chiêu obscurity). Anyway, việc phân tải, và áp dụng nhận diện request "độc hại" mức application có lẽ sẽ hiệu quả hơn nữa nếu kết hợp với các kiểu kiểm soát connection ở mức networking (như đề nghị của anh conmale). Mình chưa thấy team VNN triển khai các layer thấp hơn, theo khảo sát của bản thân, hoặc giả các triển khai này còn lỏng lẻo, và dễ dãi. --pr0f]]> /hvaonline/posts/list/37393.html#230059 /hvaonline/posts/list/37393.html#230059 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS Mình cũng thấy nginx, và F5-BigIP đã vào cuộc chơi ;-) (Nếu như team VNN ko chơi chiêu obscurity).   :-) haha, nhìn thế cái này là biết có chơi obscurity hay không Code:
---request end---
HTTP request sent, awaiting response... 
---response begin---
HTTP/1.1 302 Moved Temporarily
Server: nginx
Date: Sat, 22 Jan 2011 04:20:41 GMT
Content-Type: text/html
Content-Length: 154
Location: http://wwwz.vietnamnet.vn/chkdd.html?vnnd=1295670041.f3a853cbca3292cf0ca3db2538203bd8
Connection: close
Server: F5-BigIP
]]>
/hvaonline/posts/list/37393.html#230060 /hvaonline/posts/list/37393.html#230060 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

mrro wrote:
mình đoán là cái MD5 là một cái chữ ký được tính dựa trên cái UNIX timestamp và một khoá nào đó. hi hi hi nếu có bạn nào đang ở trong đội của VNN thì mình có lời khuyên là nên dùng HMAC-SHA256, thay vì MD5 như vậy  
Cứ cho là có thể crack được cái chuỗi MD5 đi, nếu cái khóa bị đổi liên tục thì cookie này có được xem là đủ tốt ko bạn mrro ;-) ]]>
/hvaonline/posts/list/37393.html#230061 /hvaonline/posts/list/37393.html#230061 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS mR.Bi chưa hiểu ý mình rồi. Các thông tin mà bạn nhận được không có gì đảm bảo là chính xác hay đáng tin cậy :). Dẫu vậy, mình cũng hi vọng là Vietnamnet đang làm 1 trong nhiều việc cần thiết là tăng cường tài nguyên hệ thống. Ngoài ra, theo mình nghĩ, nếu chỉ đối phó ở mức Application, có lẽ sẽ khá vất vả nếu như bots có khả năng thay đổi để phù hợp và thích nghi với các phản ứng từ Vietnamnet web servers.]]> /hvaonline/posts/list/37393.html#230083 /hvaonline/posts/list/37393.html#230083 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

nobeer wrote:
Cứ cho là có thể crack được cái chuỗi MD5 đi, nếu cái khóa bị đổi liên tục thì cookie này có được xem là đủ tốt ko bạn mrro  
mình nghĩ một cái cookie có thể xem là tốt khi máy chủ tốn rất ít chi phí để tính toán và kiểm tra cookie. MD5 thì rất nhanh, nên có thể xem là máy chủ chẳng phải tốn CPU bao nhiêu để tính. vấn đề còn lại là bộ nhớ. chẳng hạn như sẽ là không hiệu quả nếu mà mỗi yêu cầu đi vào, máy chủ phải lưu một cái gì đó vào bộ nhớ, rồi dùng cái giá trị đó để kiểm tra xem cookie có hợp lệ hay không. chặng hạn như tạo ra một chuỗi ngẫu nhiên để làm khoá, rồi lưu cái khoá đó vào bộ nhớ. dẫu vậy mình nghĩ các bạn VNN đẩy tất cả thông tin xuống client hết, khi yêu cầu quay lại thì họ dùng chính thông tin mà client gửi tới để kiểm tra, do đó không cần phải lưu vào bộ nhớ gì cả. đây cũng là cách làm hiệu quả nhất trong trường hợp này. một tiêu chí nữa để đánh giá việc thiết kế một cái cookie như trên là khả năng một ai đó phá vỡ cái thiết kế và tự tạo ra cookie hợp lệ. mình không rõ các bạn VNN làm như thế nào, nhưng mà việc sử dụng MD5 làm mình lo ngại. giả sử bình luận "cái khoá bị đổi liên tục" của bạn nobeer là đúng, thì mình càng lo ngại không biết các bạn ấy sử dụng khoá ra sao, và khái niệm khoá mà các bạn đó đang nói đến là gì. hi hi ngồi nghĩ một chút mình chợt thấy có thể cái MD5 đó chỉ đơn giản là kết quả của việc băm một loạt các thuộc tính liên quan đến cái yêu cầu đang được xử lý. ví dụ như nó có thể là MD5 của IP, mấy cái HTTP header, UNIX timestamp, vân vân... cách làm này cũng được, nhưng nó là biểu hiện của security through obscurity. -m PS: có vẻ như có vài người hoặc là đang muốn thể hiện gì đó hoặc là hiểu sai dụng ý của những người đang tham gia chủ đề này. những người có ít thông tin về cách triển khai của VNN như các anh em trong BQT HVA chủ yếu muốn, như lời anh conmale nói, dựa vào các dữ kiện ít ỏi và quan sát khách quan để thử làm một "case study" về cách thức phòng thủ chống lại tấn công DDoS. nếu như bạn biết cách mà VNN làm, thì mời bạn chia sẻ. nếu như bạn không chia sẻ được thì thôi, chứ xin đừng đánh đố lẫn nhau. ]]>
/hvaonline/posts/list/37393.html#230093 /hvaonline/posts/list/37393.html#230093 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#230098 /hvaonline/posts/list/37393.html#230098 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

mrro wrote:
Việc wwwect ngoài ra mình thấy /vn/index.html còn chuyển sang một trang trung gian, /chkdd.html?vnnd=cookie trong đó cookie là UNIX timestamp và MD5 của một cái gì đó. cái chkdd.html làm một chuyện là cài một cookie tên vnnd với giá trị như trên, rồi chuyển hướng lại sang /vn/index.html. có lẽ là do có quá nhiều IP đi chung qua một vài proxy của các ISP, nên VNN không thể chặn. đây cũng là câu hỏi mà bạn LeVuHoang có đặt ra cho mình trong chủ đề thảo luận về giải pháp chống DDoS mà mình đề nghị. lúc đó mình có nói đại loại là cứ cho đám proxy đi vào, chặn những thằng nằm ngoài proxy thôi, ví dụ như những thằng ở nước ngoài chẳng hạn. -m  
Nếu đọc kỹ lại bài cũ, thì khi đó mình đã đề xuất giải pháp cookie để phân biệt giữa người và bot thông qua proxy ;-) . Theo thiển ý riêng của mình thì VNN nên siết lại rule từ tầng network lên tới application mới giảm thiểu thiệt hại đối đa. Tuy nhiên, vì mình chỉ là người quan sát phía ngoài nên cũng chưa nắm hết được thực hư thế nào. Ngoài ra, giải pháp chia tải qua các datacenter khác nhau sử dụng DNS round-robin như trên cũng đáng để học hỏi. 1 case study tốt :D Bà con còn ý kiến nào để "tweak" cho VNN thì xin thảo luận thêm.]]>
/hvaonline/posts/list/37393.html#230103 /hvaonline/posts/list/37393.html#230103 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS http://www.usenix.org/event/lisa07/tech/full_papers/hamilton/hamilton_html/ Thời điểm nóng bỏng máu lửa như thế này mà cứ ngồi phán trên trời như vậy thì... quá vô nghĩa. Mình thích LeVuHoang khi mà đưa ra được một giải pháp khá đơn giản và thực tế như vậy. Tiếp tục thảo luận theo hướng này sẽ có ích hơn vạn lần.]]> /hvaonline/posts/list/37393.html#230119 /hvaonline/posts/list/37393.html#230119 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#230131 /hvaonline/posts/list/37393.html#230131 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

noobeer wrote:
Mình nghĩ nên quay lại mục đích của cookie này, đó là chống DDOS. mrro có thể phân tích xem các giá trị IP và timestamp liệu sẽ giúp ích gì cho việc chống DDoS không?  
hi hi thì trong cái reply ở trên, mình có nói nếu muốn làm cookie chống DDoS thì cụ thể nên làm sao để vừa an toàn vừa tiết kiệm chi phí mà ;-). mình nghĩ một cách làm tốt và đơn giản là (không biết có giống với cách VNN đang làm hay không?):
1. cách thức tạo cookie: * cookie = expired_date || SEPARATOR || signature * signature = HMAC-SHA256(key, auth_data || SEPARATOR || expired_date), trong đó: * key là một chuỗi bí mật, tối thiểu là 16 bytes, không cần phải thay đổi liên tục. chỉ cần giữ kín chuỗi này thì (nhiều hi vọng) không ai có thể làm giả cookie được. * expired_date là thời điểm mà cookie sẽ hết hiệu lực. đưa vào expired_date ở đây để phòng ngừa trường hợp ai đó chép một cái cookie hợp lệ, rồi dùng mãi, dùng mãi. * auth_data chứa thông tin định danh của cái yêu cầu hiện tại, có thể bao gồm IP, User-Agent và các HTTP header khác. đưa vào auth_data ở đây để phòng ngừa trường hợp cookie hợp lệ của một máy bị chép và đem ra sử dụng ở nhiều máy khác nhau. 2. cách thức kiểm tra cookie: * expired_date, signature = cookie.split(SEPARATOR) * trích xuất auth_data từ các thuộc tính của yêu cầu hiện tại. * computed_signature = HMAC-SHA256(key, auth_data || SEPARATOR || expired_date) * so sánh computed_signature và signature, nếu bằng nhau thì thực thi bước tiếp theo, không bằng nhau thì từ chối. chú ý dùng các thuật toán so sánh chuỗi có thời gian tính toán là hằng số, để không "leak" thông tin về computed_signature. * so sánh expired_date với thời gian hiện tại trên máy chủ, nếu expired_date lớn hơn thì chấp nhận yêu cầu, không thì từ chối. chú ý nếu có nhiều máy chủ thì phải đồng bộ thời gian giữa chúng với nhau.  
giải pháp này, như mô tả ở reply trước, tốt vì: * tiết kiệm bộ nhớ, do các máy chủ không cần phải lưu gì vào bộ nhớ cả. * thời gian tính toán nhanh, do HMAC-SHA256 chạy rất nhanh và các thao tác còn lại chỉ là xử lý chuỗi ngắn. * dễ mở rộng, do các máy chủ không cần phải chia sẻ thông tin gì với nhau (shared nothing architecture), nên muốn tăng khả năng chịu tải thì chỉ cần thêm máy chủ mới vào là được. mô hình này rất thích hợp với giải pháp chia tải thông qua round-robin DNS mà VNN đang sử dụng. * an toàn, do không ai có thể làm giả cookie nếu không biết được key. ngoài ra nó còn tránh được vết xe đổ "security through obscurity", vì sự an toàn của giải pháp chỉ phụ thuộc vào key, mà không phụ thuộc vào chi tiết của các thuật toán được sử dụng. -m ]]>
/hvaonline/posts/list/37393.html#230133 /hvaonline/posts/list/37393.html#230133 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

mrro wrote:
an toàn, do không ai có thể làm giả cookie nếu không biết được key. ngoài ra nó còn tránh được vết xe đổ "security through obscurity", vì sự an toàn của giải pháp chỉ phụ thuộc vào key, mà không phụ thuộc vào chi tiết của các thuật toán được sử dụng.  
Theo mình hiểu thì ý của mrro ở đây là dùng MD5 thì sẽ bị phá giải. Tuy nhiên, như đã nói từ trước, nếu key được chèn trong chuỗi trước khi băm MD5 được thay đổi liên tục thì liệu tốc độ giải mã của bên tấn công có đủ nhanh để adapt theo sự thay đổi của phía bị tấn công. Mình đề cập đến việc này vì MD5 là vừa đủ để cân bằng giữa việc an toàn và performance của server thực hiện việc tạo & kiểm tra cookie. Ngoài ra, việc chặn connection per IP và request per connection là bắt buộc trước khi chuyển request vào server tạo & kiểm tra cookie.]]>
/hvaonline/posts/list/37393.html#230137 /hvaonline/posts/list/37393.html#230137 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

lamer wrote:
Qua bao nhiêu bài và chủ đề mà mình vẫn chưa thấy gì gọi là "cụ thể" cả nên ngứa mồm nhảy vào phán nhảm ké. Kiểm tra "topology" là kiểm tra cái gì? Làm ra sao? Xây dựng lại "cái đó" như thế nào? Triển khai, siết lại các layer thấp hơn là cụ thể những layer nào? Làm sao làm? Ai chẳng biết là phải làm cái này cái kia, nhưng bao nhiêu người biết làm ra sao. Đó mới là mấu chốt vấn đề. Xin được tặng (biếu?) luôn chủ đề tài này (và những ai quan tâm đến kiến trúc hệ thống) một bài báo kinh điển với đầy "lời khuyên chung" On Designing and Deploying Internet-Scale Services -- http://www.usenix.org/event/lisa07/tech/full_papers/hamilton/hamilton_html/ Thời điểm nóng bỏng máu lửa như thế này mà cứ ngồi phán trên trời như vậy thì... quá vô nghĩa. Mình thích LeVuHoang khi mà đưa ra được một giải pháp khá đơn giản và thực tế như vậy. Tiếp tục thảo luận theo hướng này sẽ có ích hơn vạn lần. 
Thật sự là ai cũng muốn bắt tay vào xử lý case study rất thực tế và rất khẩn cấp này lão à :D nhưng khổ nỗi Vietnamnet không xì ra bất cứ thông tin kỹ thuật nào ( dù chỉ là một dòng log ) khả dĩ giúp chúng ta có cái nhìn cụ thể về cuộc thất công, họ vẫn đang dùng obscurity để chống đỡ là nhiều, ngay cả anh conmale vẫn đang nghiên cứu dựa trên các thông tin rất ít ỏi mà anh ấy thu thập được một cách hợp pháp. anh em HVA đều nóng lòng muốn giúp đỡ Vietnamnet :) , tớ cá là các bài viết hiện nay của HVA về Vietnamnet đều được một số (hoặc nhiều) thành viên trong nhóm đang chịu trách nhiệm chống đỡ hệ thống của Vietnamnet theo dõi sát sao, nếu các bạn ấy chịu hợp tác hơn thì có lẽ đã có giải pháp cụ thể hơn rồi :D]]>
/hvaonline/posts/list/37393.html#230138 /hvaonline/posts/list/37393.html#230138 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

lamer wrote:
Qua bao nhiêu bài và chủ đề mà mình vẫn chưa thấy gì gọi là "cụ thể" cả nên ngứa mồm nhảy vào phán nhảm ké. Kiểm tra "topology" là kiểm tra cái gì? Làm ra sao? Xây dựng lại "cái đó" như thế nào? Triển khai, siết lại các layer thấp hơn là cụ thể những layer nào? Làm sao làm? Ai chẳng biết là phải làm cái này cái kia, nhưng bao nhiêu người biết làm ra sao. Đó mới là mấu chốt vấn đề. Xin được tặng (biếu?) luôn chủ đề tài này (và những ai quan tâm đến kiến trúc hệ thống) một bài báo kinh điển với đầy "lời khuyên chung" On Designing and Deploying Internet-Scale Services -- http://www.usenix.org/event/lisa07/tech/full_papers/hamilton/hamilton_html/ Thời điểm nóng bỏng máu lửa như thế này mà cứ ngồi phán trên trời như vậy thì... quá vô nghĩa. Mình thích LeVuHoang khi mà đưa ra được một giải pháp khá đơn giản và thực tế như vậy. Tiếp tục thảo luận theo hướng này sẽ có ích hơn vạn lần. 
Làm sao mà "cụ thể" khi mình chẳng nắm được cái gì "cụ thể" của đối tượng cần được khắc phục hở bồ? Những thảo luận ở đây chỉ là những suggestions dựa trên những thông tin khá lờ mờ được đăng trên báo và một số thông tin có thể thu thập được bằng cách thử nghiệm trực tiếp (và hợp lệ) mà thôi. Bởi vậy, dù có muốn "cụ thể" mấy cũng không được bởi vì vietnamnet chưa bao giờ tiết lộ các thông tin kỹ thuật và chưa bao giờ ngỏ lời cần trợ giúp (trong thời điểm nóng bỏng máu lửa) hết.]]>
/hvaonline/posts/list/37393.html#230142 /hvaonline/posts/list/37393.html#230142 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#230143 /hvaonline/posts/list/37393.html#230143 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#230144 /hvaonline/posts/list/37393.html#230144 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS "anh em HVA đều nóng lòng muốn giúp đỡ Vietnamnet", "rất thực tế và rất khẩn cấp", "nếu các bạn ấy chịu hợp tác hơn"....  Các bạn HVA đã ở đâu khi VietnamNet bị tấn công từ ngày 4/1 cho đến tận bây giờ. HVA đã có ngỏ lời giúp đỡ VietnamNet hay chưa? Việc phân tích chi tiết về cách phòng chống của VietnamNet cũng mới có từ ngày 19/1. Bạn có chịu nhúng mũi vào đâu để mà Vietnamnet có thể "xì ra bất cứ thông tin kỹ thuật nào"??? Lại nữa, xnohat bảo không biết tí thông tin kỹ thuật nào từ VietnamNet nhưng lại phán là "họ vẫn đang dùng obscurity để chống đỡ là nhiều", sao bạn dám chắc thế nhỉ? Mình nghĩ với tư cách là một MOD như xnohat thì không nên có kiểu "phán" hay "chém gió" như thế. Mình đọc đâu đó trong diễn đàn này là "VietnamNet phải ngỏ ý nhờ HVA" thì mới được giúp đỡ. Mình không có ý kiến nhiều về việc này, mỗi người/tổ chức có cách làm của họ. Nhưng mình dẫn chứng một trường hợp ngoài đời như thế này: ngoài đường, bạn gặp 1 người bị cướp, và bạn là người đang đứng gần tên cướp nhất. Có lẽ bạn phải chờ người kia lên tiếng nhờ thì bạn mới giúp đỡ nhỉ?!? Đôi khi, những người khác đánh giá 1 con người qua việc họ không làm, chứ không phải việc họ làm ;) ]]> /hvaonline/posts/list/37393.html#230164 /hvaonline/posts/list/37393.html#230164 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#230168 /hvaonline/posts/list/37393.html#230168 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#230173 /hvaonline/posts/list/37393.html#230173 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

noobeer wrote:
Mình không phải là người VNN nhưng đọc cái comment của xnohat thì thấy như sau:
"anh em HVA đều nóng lòng muốn giúp đỡ Vietnamnet", "rất thực tế và rất khẩn cấp", "nếu các bạn ấy chịu hợp tác hơn".... 
Các bạn HVA đã ở đâu khi VietnamNet bị tấn công từ ngày 4/1 cho đến tận bây giờ. HVA đã có ngỏ lời giúp đỡ VietnamNet hay chưa? Việc phân tích chi tiết về cách phòng chống của VietnamNet cũng mới có từ ngày 19/1.  
Ngay topic này và topic trước đây chính là lời ngỏ rất thịnh tình của HVA đối với Vietnamnet

noobeer wrote:
Bạn có chịu nhúng mũi vào đâu để mà Vietnamnet có thể "xì ra bất cứ thông tin kỹ thuật nào"???  
"Nhúng mũi" theo cách nào bây giờ khi mà họ không hề có một sự chủ động nhờ giúp đỡ ? Không lẽ tôi và anh em HVA phải hack vào hệ thống của Vietnamnet và sục xạo trong đó để coi coi họ bị khuyết điểm ở đâu để sửa cho họ . Ngay chỉ khi nghĩ tới điều này thì bồ đã bước một chân vào vi phạm Luật công nghệ thông tin ( năm 2006 của CP nước CHXHCN Việt Nam ), mà Vietnamnet là một cơ quan trực thuộc nhà nước, thì luật là thứ càng phải thượng tôn

noobeer wrote:
Lại nữa, xnohat bảo không biết tí thông tin kỹ thuật nào từ VietnamNet nhưng lại phán là "họ vẫn đang dùng obscurity để chống đỡ là nhiều", sao bạn dám chắc thế nhỉ? Mình nghĩ với tư cách là một MOD như xnohat thì không nên có kiểu "phán" hay "chém gió" như thế.  
Tôi nói Vietnamnet "họ vẫn đang dùng obscurity để chống đỡ là nhiều" là có cơ sở, chính việc kín tiếng ( trong việc nhờ trợ giúp và cung cấp các thông tin cần thiết để trợ giúp họ ) của họ cho đến lúc này cũng chính là sự khẳng định cho kết luận trên của tôi, tôi có thực hiện lại các khảo sát mà anh conmale và mrro đã thực hiện cùng với một số khảo sát của riêng tôi thì thấy họ vẫn đang theo hướng tạo ra 1 cái BlackBox và hy vọng rằng càng kín càng tốt thì kẻ tấn công càng khó tấn công vì không rõ "chiêu" họ ( rất tiếc là bằng nhiều cách khác nhau vẫn xác định được phần nào chiêu của họ). Bồ có lẽ hiểu sai điều tôi nói vì chưa rõ nghĩa của vấn đề "Security through obscurity", trên forum có một topic rất hay cách đây 1 năm đề cập tới vấn đề này

noobeer wrote:
Mình đọc đâu đó trong diễn đàn này là "VietnamNet phải ngỏ ý nhờ HVA" thì mới được giúp đỡ. Mình không có ý kiến nhiều về việc này, mỗi người/tổ chức có cách làm của họ. Nhưng mình dẫn chứng một trường hợp ngoài đời như thế này: ngoài đường, bạn gặp 1 người bị cướp, và bạn là người đang đứng gần tên cướp nhất. Có lẽ bạn phải chờ người kia lên tiếng nhờ thì bạn mới giúp đỡ nhỉ?!? Đôi khi, những người khác đánh giá 1 con người qua việc họ không làm, chứ không phải việc họ làm ;)  
HVA vẫn đang chủ động giúp đỡ Vietnamnet trong giới hạn thông tin ít ỏi mà HVA có, mà minh chứng chính là cái topic này. Bồ nói thì dễ đó, nhưng một khi chính bồ là người làm bảo mật, thì bồ sẽ biết được là người làm bảo mật cần có những dữ liệu tiên quyết nào để hình thành một cái nhìn tổng quan về vấn đề và để đề ra phương pháp, không phải cứ khơi khơi như kiểu "ngoài đường, bạn gặp 1 người bị cướp" vì đây là 2 vấn đề khác nhau, gặp cướp bồ hay bất kì ai đều có thể đập cho nó một cái và giúp người đi đường, vì thứ bồ cần để xử lý tên cướp chỉ là sức, còn ở đây thứ bồ cần đề xử lý tên tấn công lại là dữ liệu cuộc tấn công, thì Vietnamnet không hề công bố Post tôi viết ở trên thực tình là để dành cho các bạn đang đương đầu với cuộc tấn công ở Vietnamnet, thông điệp mà tôi muốn truyền tải là HVA đã và đang luôn sẵn lòng giúp đỡ Vietnamnet nói riêng và các cơ quan tổ chức , cá nhân gặp vấn đề về an ninh mạng nói chung, điều kiện tiên quyết là họ cần tích cực cung cấp các thông tin về cuộc tấn công cho HVA như là một lời chủ động nhờ giúp đỡ vậy, vì chúng tôi không phải thầy bói xem voi mà có thể đưa ra những giải pháp hiệu quả trong tình trạng cực kỳ thiếu thông tin Vài lời hy vọng đã giải đáp được phần nào điều bồ noobeer thắc mắc Tôi cũng chú ý bồ noobeer là , văn hóa giao tiếp trên diễn đàn HVA cũng cần sự từ tốn và tôn trọng lẫn nhau, chú trọng vào chủ đề cần thảo luận thay vì chỉ trích cá nhân. Thân mến,]]>
/hvaonline/posts/list/37393.html#230174 /hvaonline/posts/list/37393.html#230174 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#230175 /hvaonline/posts/list/37393.html#230175 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#230178 /hvaonline/posts/list/37393.html#230178 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#230179 /hvaonline/posts/list/37393.html#230179 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#230188 /hvaonline/posts/list/37393.html#230188 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

noobeer wrote:
Mình không phải là người VNN nhưng đọc cái comment của xnohat thì thấy như sau:
"anh em HVA đều nóng lòng muốn giúp đỡ Vietnamnet", "rất thực tế và rất khẩn cấp", "nếu các bạn ấy chịu hợp tác hơn".... 
Các bạn HVA đã ở đâu khi VietnamNet bị tấn công từ ngày 4/1 cho đến tận bây giờ. HVA đã có ngỏ lời giúp đỡ VietnamNet hay chưa? Việc phân tích chi tiết về cách phòng chống của VietnamNet cũng mới có từ ngày 19/1. Bạn có chịu nhúng mũi vào đâu để mà Vietnamnet có thể "xì ra bất cứ thông tin kỹ thuật nào"??? Lại nữa, xnohat bảo không biết tí thông tin kỹ thuật nào từ VietnamNet nhưng lại phán là "họ vẫn đang dùng obscurity để chống đỡ là nhiều", sao bạn dám chắc thế nhỉ? Mình nghĩ với tư cách là một MOD như xnohat thì không nên có kiểu "phán" hay "chém gió" như thế. Mình đọc đâu đó trong diễn đàn này là "VietnamNet phải ngỏ ý nhờ HVA" thì mới được giúp đỡ. Mình không có ý kiến nhiều về việc này, mỗi người/tổ chức có cách làm của họ. Nhưng mình dẫn chứng một trường hợp ngoài đời như thế này: ngoài đường, bạn gặp 1 người bị cướp, và bạn là người đang đứng gần tên cướp nhất. Có lẽ bạn phải chờ người kia lên tiếng nhờ thì bạn mới giúp đỡ nhỉ?!? Đôi khi, những người khác đánh giá 1 con người qua việc họ không làm, chứ không phải việc họ làm ;)  
Đoạn màu đỏ là một so sánh khập khiễng. vietnamnet là một tờ báo lớn có tiền bạc, điều kiện và được pháp luật bảo vệ. HVA chưa bao giờ dùng chữ "phải" trong câu "phải ngỏ ý nhờ HVA" nhưng thực tế mà nói, nếu HVA không được vietnamnet cho phép mà táy máy thì hoàn toàn phạm luật. Hơn nữa, HVA chỉ là một nhóm thành viên sinh hoạt trên một diễn đàn và hoàn toàn không có tư cách pháp nhân chính thức để có thể làm gì ngoài việc đưa ra một số đề nghị tổng quát. Bản thân tôi đã gởi riêng một e-mail đến toà soạn và ngỏ ý giúp đỡ từ hồi tháng 11 nhưng không hề nhận hồi âm. Bởi vậy, xin đừng chuyển hướng sang chỗ trách móc HVA một cách thiếu công bằng. Chính các thành viên có thiện ý đã đẩy những chủ đề liên quan đến vietnamnet từ chỗ "buôn chuyện" sang chỗ phân tích kỹ thuật. Nếu HVA "vô trách nhiệm" hoặc HVA "chém gió" thì đã để cho các chủ đề phát triển theo hướng "chém gió" rồi. Cho nên, cần nhận xét một cách trung thực và công bằng.]]>
/hvaonline/posts/list/37393.html#230190 /hvaonline/posts/list/37393.html#230190 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#230199 /hvaonline/posts/list/37393.html#230199 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

chandoidibui wrote:
VNN có vẻ giải quyết xong vấn đề rồi, truy cập tốc độ rất tốt...ít ra là cho tới sáng nay 24/1; Giải pháp kiểm tra Cookie xem ra đơn giản mà lại hiệu quả nhỉ. Qua vụ này vỡ ra rất nhiều điều, các anh càng tranh luận, chúng tôi càng biết nhiều hơn.. 
Ủa? nick chandoidibui được nhiều người dùng chung à?]]>
/hvaonline/posts/list/37393.html#230206 /hvaonline/posts/list/37393.html#230206 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

protectHat wrote:
Xin lỗi mọi người vì đi ngoài chủ đề xíu @noobeer: Tôi dám cá 100% là viẹtnamnet sẽ chẳng nhờ ai hết. VNN là một cơ quan nhà nước thì chẳng bao giờ đi nhờ vả một diễn đàn hacker cả. Theo tôi biết thì khi có cuộc tấn công xảy ra, VNN chỉ đưa thông báo cho 1 nơi duy nhất theo đúng thủ tục là Vncert, rồi vncert mới đưa một phần thông tin cho bên này bên nọ (CMC cũng nói là họ chỉ có các thông tin không đầy đủ về cuộc tấn công). HVA không phải là một tổ chức có giấy tờ, chứng nhận ... nên không bao giờ được VNN nhờ cậy cả. Nên chấm dứt chủ đề về chuyện giúp hay không giúp nha. Tốt nhất khi trang của bồ bị ddos thì lên đây nhờ và các mem của hva sẽ giúp bồ, còn nếu bồ có thông tin gì về cuộc tấn thì cứ đưa lên đây hoặc PM với các mod, min. 
HVA đề xuất những hướng giải quyết cho bất cứ ai bị DDoS nhằm giúp họ, theo mục đích tôn chỉ của tổ chức này. Trong thưc tế HVA cũng đã giúp nhiều tổ chức, đơn vị và có kết quả tốt đẹp. Nhưng HVA không muốn công bố chuyện này. Vietnamnet nên nhờ những công ty, đơn vị bảo mật trong nước và nước ngoài góp ý hay xây dựng lại các dự án liên quan đến bảo mật (nhưng không phải và không nhất thiết là HVA). Họ nên làm như vậy hay họ phải làm như vậy. Tại sao? Vì tài sản, thiết bị ... mà Vietnamnet đang quản lý, khai thác thực tế là của đất nước của nhân dân Việt nam, mua được từ tiền đóng thuế và công sức lao đông của nhân dân. Rất nhiều thành viên HVA là người Việt nam, với tư cách là những công dân, họ có thể yêu cầu Vietnamnet phải làm những điều mà họ thấy cần. Đó cũng là trách nhiệm của các công dân về tài sản của đất nước Ngoài ra không thể nói việc của Vietnamnet đã xong, nay hệ thống đã chạy tốt và sẽ luôn tốt trong tương lai, khi mà các hacker sẽ DDoS lại sau một thời gian chúng tạm dừng, tạm nghỉ. Việc sử dụng Javascrip để kiểm tra phân loại cookies của các user và bot mà Vietnamnet thưc hiện vừa qua (một kiểu Input filter) tồn tại khá nhiều nhươc điểm, mà tôi có thời gian sẽ phân tích sâu. Vì vậy không thể nói với cách này Vietnamnet giải quyết được DDoS. Chỉ là vừa qua có thể hacker tạm ngừng DDoS mà thôi. Hoăc có thể Vietnamnet đang có những liện hệ xin hỗ trợ, thử nghiệm với Akima Technology Company (Mỹ). (Tôi có bằng chứng rất rõ ràng từ sự kiện này, đương nhiên từ trên mang và tôi sẽ trình bầy ra cho các bạn biết). Nếu đúng như vậy thì rất hoan nghênh Vietnamnet, các bạn có vẻ đã đi đúng hướng rồi đấy. Be noted: Bạn nào trong HVA mà không phải là người đại diện có thẩm quyền của Vietnamnet thì đừng nhân danh Vietnamnet phát biểu lung tung, nói những điều mà thưc sư Vietnamnet không nói hay không nên nói lúc này.]]>
/hvaonline/posts/list/37393.html#230226 /hvaonline/posts/list/37393.html#230226 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

bolzano_1989 wrote:
Gửi chú PXMMRF, bolzano_1989 muốn hỏi trong hoàn cảnh Việt Nam, nếu các ISP đồng ý hợp tác và đã xác định được các máy tính là bot rồi thì bước tiếp theo, các ISP cần và có thể làm những gì để thông báo và hỗ trợ chủ máy tính diệt trừ virus cùng độ khả thi thực hiện những việc này như thế nào ? Qua tìm hiểu thì bolzano_1989 thấy đã có 1 số ISP nước ngoài tích cực hợp tác trong việc làm sạch các máy trong mạng botnet như Virgin Media (UK), Comcast (USA), không rõ ở Việt Nam thì các ISP sẽ hợp tác đến mức độ nào :) ? 
Cám ơn câu hỏi thông minh và cặn kẽ của bolzano_1989. Để trả lời câu hỏi này tôi cũng đã viết một đoạn trong một bài viết cũng về Vietnamnet, nhưng ở topic khác. Nay xin copy lại:
Không, tôi không có ý quảng cáo cho CMC Infosec. Tôi chỉ đang tìm những khía cạnh, dù là nhỏ nhất, để gợi ý giúp cho Vietnamnet, nếu nó hữu ích. CMC Infosec, như theo thông báo chính thức, đã tỉm ra DDoS tool (virus, bot...) là........ thì tốt nhất nên nhờ các anh ở đấy viết ra một trình phát hiện DDoS tool này trên mạng (chẳng lẽ lại đi nhờ người khác?). Muốn quét hữu hiệu lẽ dĩ nhiên phải nhờ đến sự hỗ trợ của các IPS Việt nam. Ho sẽ dùng công cụ nói trên để quét trên các mạng do họ quản lý. Một công ty bên ngoài, ngay cả CMC, cũng không thể làm tốt việc này. Cần chú ý là ngay trong những năm 2001-2002-2003... một số công ty bảo mật của Mỹ đã có những tool quét mạng để phát hiện ra các DDoS tool, đó là những DDoS tool đầu tiên xuất hiện trên mạng. Họ đã đi xa hơn chúng ta nhiều và suy nghĩ tính toán bài bản 
Bổ sung: Nếu ta dùng Tool quét virus (DDoS tool) từ máy của ta thì ta chỉ quét được trong mạng LAN của ta thôi, chứ rất khó, hay không thể quét các mạng LAN khác (sau một DLAM). Chỉ có ISP mới quét được. Nhưng họ cũng chỉ quét virus một cách hữu hiệu trong các mạng LAN mà họ quản lý mà thôi. Nên phải có nhiều ISP hợp lưc lai. Tuy nhiên khi phát hiện một máy nào đó nhiễm virus thì họ (ISP) cảnh báo, hướng dẫn chủ máy diệt virus, hoăc hay hơn (nhưng tốn công) là thiết lập một website quét virus online và đề nghị chủ máy phối hợp diệt virus. Đến nay tôi không biết rõ cơ chế hoạt động cụ thể của virus mà CMC infosec tìm ra (họ chưa công bố). Qua thưc tế mò mẫm với máy của tôi (hạ firewall, disable On-Access scan trong Antivirus...), truy cập hàng loạt website để mong được nhiễm một DDoS tool (bot , virus), thì tôi có cảm giác con bot này ẩn mình rất khéo, có vẻ như nó inject code vào iexplore.exe và làm cho trình duyệt refresh liên tục khi truy cập đến vietnamnet.vn (như là bạn myquart có nói đúng như vậy ở một post ở trên), đó chính là DoS. Và đó cũng chính là dấu hiệu rõ ràng chứng tỏ các cơ cấu dùng JavaScrip để kiểm tra phân loại cookies giữa user hợp lệ và bot (DDoS tool) của Vietnamnet sử dụng vừa qua là mất tác dung. Nhưng dường như chỉ Win XP (SP2 và SP3) bị nhiễm virus mà thôi, còn Win 2K3 thì không. Ngoài ra dường như virus không nhiễm vào firefox.exe. Nếu như vậy thì quét trên mang để phát hiện DDoS tool (virus) này cũng không dễ đâu. Thân ]]>
/hvaonline/posts/list/37393.html#230233 /hvaonline/posts/list/37393.html#230233 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS __CAPTCHA__ để làm gì vậy? Ý mình đơn giản là khi thấy bot nó thông minh như người thì dựng captcha lên (recaptcha) chẳng hạn. Sau đó thằng nào pass đc thì coi như là người đi. Thằng nào cứ đứng mãi ở cái trang captcha mà ko đi đâu đc thì hoặc là nó là bot, hoặc là nó mù chữ :D, điếc ...etc Sau đó đếm cái IP và số URL nó get và có response hợp lệ mà tính chuyện cho IP nó vô blacklist hay white list. Ý em đơn giản vậy thôi]]> /hvaonline/posts/list/37393.html#230240 /hvaonline/posts/list/37393.html#230240 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

gamma95 wrote:
cho mình hỏi là người ta phát minh ra __CAPTCHA__ để làm gì vậy? Ý mình đơn giản là khi thấy bot nó thông minh như người thì dựng captcha lên (recaptcha) chẳng hạn. Sau đó thằng nào pass đc thì coi như là người đi. Thằng nào cứ đứng mãi ở cái trang captcha mà ko đi đâu đc thì hoặc là nó là bot, hoặc là nó mù chữ :D, điếc ...etc Sau đó đếm cái IP và số URL nó get và có response hợp lệ mà tính chuyện cho IP nó vô blacklist hay white list. Ý em đơn giản vậy thôi 
Rõ là thằng "bot" thì không biết chữ rồi. Mà nó dù có biết chữ đi chăng nữa, "Robot bot" chẳng hạn, thì cũng chưa kịp đánh xong 5, 6 chữ, thì thằng bot sau đã đến giành đánh captcha rồi. Cứ cuống cả lên, sao mà đánh kịp. Hì hì. Đến mình mắt sáng, học hành tử tế, mà có khi phải đánh vài lần nó mới cho vào. Đánh CAPTCHA mà cứ như là "Đánh đố" ấy. Đề xuất của gamma95 quả là hay và bất ngờ ================= Nhân đây, nói về Topology của mạng các server của Vietnamnet, thì tôi đã có một recommendation mang tính tham khảo, trong bài viết mở đầu topic này. Tôi nghĩ viết như thế là quá đủ. Vì tôi nghĩ các anh ở Vietnamnet cũng là những người có trình độ khá cao, họ hiểu rõ ý tôi là gì. Vấn đề chỉ còn là họ có đồng ý với gợi ý của tôi hay không mà thôi Nhưng vì có bạn muốn phải viết nó cụ thể ra cơ, mới được. Thì chiều lòng các bạn ấy, tôi viết thêm đôi điều. Xin các anh ở Vietnamnet bỏ qua, đừng cho là tôi chê các anh trình độ yếu, nên phải viết cụ thể ra như thế này: - Điều đơn giản nhất là xin các anh ở Vietnamnet tham khảo sơ đồ mạng bố trí các server của lão Assange (Wikileaks) như dưới đây và cải tiến cho phù hợp với Vietnamnet. Như các anh đã thấy, dù chỉ đăng tải một nôi dung website, nhưng Assange đã sử dụng rất nhiều domain có tiền tố giống nhau (wikileaks) nhưng hậu tố khác nhau. Một domain hosting trong nhiều server và các server thì bố trí ở các nước khác nhau, trong các dãy IP khác nhau. Assange cũng rất khôn ngoan trong việc sử dụng nhiều namesevers khác nhau, đặt ở các nước khác nhau để phân giải các domain nói trên. Chúng ta thử hình dung xem nếu hacker muốn tấn công DDoS vào website Wikileaks của Assange để làm website này sụp đổ, thì chúng phải chia ra bao nhiêu mũi hay hướng tân công đây? 3 hướng, 6 hướng hay 10 hướng, hay hơn...? Và chúng (hacker) có làm được không? Assange không có nhiều tiền. Tiền của bác này chỉ là nhận tài trợ. Chắc chắn là Vietnamnet có khả năng tài chính cao hơn. - Có dịp bất ngờ đàm đạo chơi với nhau (ấy tôi không yêu cầu đâu nhé), có khi chúng tôi còn trao đổi thêm với các anh Vietnamnet vài vấn đề cụ thể khác. Thí dụ topology điển hình của CISCO trong việc phòng chống DDoS áp dụng cho các công ty vừa và lớn, chịu được 1.000.000 gói tin/sec hay về Akima Technology chẳng hạn. Nhưng có khi các anh cũng biết rồi? SƠ ĐỒ MẠNG CÁC SERVER CỦA WIKILEAKS
(Topology mạng các webserver của WIKILEAKS này là do tôi khảo sát thực tế trên mạng rồi vẽ ra. Không phải sao chép lại của bất cứ bài viết nào trên mạng. Xin trả lời một số bạn như vậy.) ]]>
/hvaonline/posts/list/37393.html#230243 /hvaonline/posts/list/37393.html#230243 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#230250 /hvaonline/posts/list/37393.html#230250 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

PXMMRF wrote:
Đến nay tôi không biết rõ cơ chế hoạt động cụ thể của virus mà CMC infosec tìm ra (họ chưa công bố). Qua thưc tế mò mẫm với máy của tôi (hạ firewall, disable On-Access scan trong Antivirus...), truy cập hàng loạt website để mong được nhiễm một DDoS tool (bot , virus), thì tôi có cảm giác con bot này ẩn mình rất khéo, có vẻ như nó inject code vào iexplore.exe và làm cho trình duyệt refresh liên tục khi truy cập đến vietnamnet.vn (như là bạn myquart có nói đúng như vậy ở một post ở trên), đó chính là DoS. Và đó cũng chính là dấu hiệu rõ ràng chứng tỏ các cơ cấu dùng JavaScrip để kiểm tra phân loại cookies giữa user hợp lệ và bot (DDoS tool) của Vietnamnet sử dụng vừa qua là mất tác dung. Nhưng dường như chỉ Win XP (SP2 và SP3) bị nhiễm virus mà thôi, còn Win 2K3 thì không. Ngoài ra dường như virus không nhiễm vào firefox.exe. Nếu như vậy thì quét trên mang để phát hiện DDoS tool (virus) này cũng không dễ đâu.  
Theo bolzano_1989 biết thì phiên bản virus trên không phức tạp đến vậy (dll injection, process memory injection) mà virus dùng process riêng của chúng để tấn công. bolzano_1989 nghe nói là hiện đã có mạng botnet mới, hiện chưa rõ về phiên bản virus này.]]>
/hvaonline/posts/list/37393.html#230257 /hvaonline/posts/list/37393.html#230257 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

gamma95 wrote:
Ở đây em ko nói đến khía cạnh dùng captcha luôn, mà captcha chỉ dựng lên để "lấy mẫu" khi thấy tần số request lên cao 
Cách này tớ thấy khá khả thi, Google cũng dùng cách này khi có một lượng truy cập lớn bất thường từ một IP tới nó, hồi trước các kết nối đi ra từ ISP Việt Nam hay dùng Proxy chung dẫn đến Google nó chặn lại hoài và xuất ra cái Capcha bắt gõ. Vietnamnet là trang tin phục vụ trong nước là chính, mà kết nối trong nước ít khi xuyên qua một Proxy chung nên có lẽ phương pháp này sẽ không gây phiền cho người dùng bình thường Một điều tớ thấy lạ ở cuộc tấn công này, mạng botnet với lượng bot lên tới tầm 30-40000 IP mỗi đợt tấn công ( có thể nhiều hơn con số này rất nhiều ) này có vẻ không phải do người Việt xây dựng ( và lũ bot cũng có thể nằm ở hải ngoại luôn ), muốn xác thực chắc chỉ có nhờ anh em nào bên CMC đã chọt đám log của cuộc tấn công xác nhận thì mới đánh giá được :)]]>
/hvaonline/posts/list/37393.html#230274 /hvaonline/posts/list/37393.html#230274 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS -- Mình chưa rõ nếu dùng captcha thì attacker phải tốn bao nhiêu resource để break nhưng có ai tính giùm mình xem việc tính toán để generate captcha mất bao nhiêu thời gian không?   -Độ khó của Captcha & thời gian Generate Captcha còn tuỳ thuộc vào giải thuật của captcha nữa chứ nhỉ. -Theo mình nếu truy cập nhiều quá có thể để một thông báo bằng text thông thường vừa nhẹ vừa nhanh, nếu vẫn tiếp tục truy cập nhiều quá thì để trang trắng hoặc chặn IP]]> /hvaonline/posts/list/37393.html#230984 /hvaonline/posts/list/37393.html#230984 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

ManhQuan9x wrote:
-- Mình chưa rõ nếu dùng captcha thì attacker phải tốn bao nhiêu resource để break nhưng có ai tính giùm mình xem việc tính toán để generate captcha mất bao nhiêu thời gian không?  
-Độ khó của Captcha & thời gian Generate Captcha còn tuỳ thuộc vào giải thuật của captcha nữa chứ nhỉ. -Theo mình nếu truy cập nhiều quá có thể để một thông báo bằng text thông thường vừa nhẹ vừa nhanh, nếu vẫn tiếp tục truy cập nhiều quá thì để trang trắng hoặc chặn IP 
Báo VNN không thể hiển thị text rồi dừng ở đó hoặc trang trắng được bạn. Còn ra trang text rồi wwwect về trang chủ thì cũng đã implement luôn rồi. Giải pháp chặn IP cũng được áp dụng, mình chỉ bàn về 1 số giải pháp khác thôi.]]>
/hvaonline/posts/list/37393.html#230985 /hvaonline/posts/list/37393.html#230985 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS Báo VNN không thể hiển thị text rồi dừng ở đó hoặc trang trắng được bạn...... ...mình chỉ bàn về 1 số giải pháp khác thôi  -Ý mình là cái phần trang trắng đấy có thể để ghi ấn F5 để tải lại trang hay click lại vào link để vào lại trang hoặc độ bao nhiêu thời gian thì tự chuyển trang thì nó cũng tương tự captcha mà, để tránh máy chủ web phải xử lí dữ liệu thôi, IP + Hash có thể để chuyển về theo phiên làm việc, còn nếu truy cập quá nhiều ( là ở dạng truy cập lạ mà bình thường dùng không thể đạt được như vậy ) thì ta có thể để thông báo text và cho dừng luôn tại đó, dùng biện pháp chặn phiên làm việc tại máy chủ web, còn hơn nữa thì đã có các thiết bị khác rồi. ( hết ý kiến rồi =.=" )]]> /hvaonline/posts/list/37393.html#230986 /hvaonline/posts/list/37393.html#230986 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

ManhQuan9x wrote:
Báo VNN không thể hiển thị text rồi dừng ở đó hoặc trang trắng được bạn...... ...mình chỉ bàn về 1 số giải pháp khác thôi 
-Ý mình là cái phần trang trắng đấy có thể để ghi ấn F5 để tải lại trang hay click lại vào link để vào lại trang hoặc độ bao nhiêu thời gian thì tự chuyển trang 
Những cách này chỉ nên dành cho những forum giải trí chứ thực sự không thể sử dụng cho một tờ báo điện tử như VNN.]]>
/hvaonline/posts/list/37393.html#230993 /hvaonline/posts/list/37393.html#230993 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

LeVuHoang wrote:
Tuy nhiên, Mr Hùng cho rằng captcha có thể vượt qua được đồng thời tốn resource để xử lý captcha. Attacker có thể tấn công vào trang check captcha để tiêu tốn resource. Ngoài ra nếu dùng recaptcha thì phải mất thời gian request lên Google ---> tốn tài nguyên. -- Mình chưa rõ nếu dùng captcha thì attacker phải tốn bao nhiêu resource để break nhưng có ai tính giùm mình xem việc tính toán để generate captcha mất bao nhiêu thời gian không?  
Theo tớ biết, thì captcha là một ảnh và để render một ảnh dĩ nhiên phải tốn thời gian và tài nguyên hơn là response lại một trang HTML rồi, nhưng mẩu ảnh này rất nhỏ nên thời gian render không lâu ( suy ra tài nguyên để render cũng không quá nhiều ) tớ làm một thử nghiệm nhỏ với PHP + GD image , xuất ra một ảnh mất 0.00023400000000007 microseconds , ảnh render trên một server load cao , sử dụng CPU Intel Xeon w5590 , RAM 3GB Mặt khác họ không nhất thiết phải render image trên chính server họ, hiện nay có dịch vụ reCAPTCHA của Google, miễn phí mà hiệu quả cao, khả năng vượt qua reCAPTCHA này khá thấp Các kĩ thuật vượt captcha hiện nay khá thủ công chủ yếu là dạng hybrid sử dụng máy tấn công nhưng dùng con người trong việc nhập captcha, kĩ thuật như nhận dạng chữ ( OCR ) hiện nay vẫn còn hạn chế trước các captcha phức tạp cỡ reCAPTCHA đọc ở đây thông tin về cách Google tạo reCAPTCHA: http://www.google.com/recaptcha/security và đây: http://www.google.com/recaptcha/digitizing]]>
/hvaonline/posts/list/37393.html#231004 /hvaonline/posts/list/37393.html#231004 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#231052 /hvaonline/posts/list/37393.html#231052 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#231054 /hvaonline/posts/list/37393.html#231054 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS thực tế đã vượt qua) cái landing page, dữ liệu trả về (bao gồm cả text, images, javascript...) dù đã cache sẽ hơn bao nhiêu lần? Thôi mình tính cho luôn nè, cái html source là khoảng 156KB. Còn gmail captcha khoảng 4KB, cho thêm vài ba cái form submit khoảng 6KB. Như vậy, so với dữ liệu trả về client, 1 giải pháp là khoảng 156KB, 1 giải pháp khoảng 6KB, mR.Bi chọn giải pháp 156KB? Chưa kể, nếu cái IP đó được cấp cookie từ lần đầu, những người đọc VNN hợp pháp (chiếm số lượng cũng đáng kể) sẽ không cần phải sinh captcha nữa. Như mình hiểu ý của anh conmale là sau khi sai captcha bao nhiêu lần thì sẽ block cái IP đó lại trong 1 thời gian. mR.Bi thấy sao ;;) Trở về cái netstat. mR.Bi gen captcha thì sợ tốn CPU mà netstat thì lại không quan tâm.
Mình không rõ bạn xnohat làm thế nào, chứ nếu là mình thì kết quả lấy được từ netstat đã được sort đủ để nhìn bẳng mắt rồi (như mình nói ở reply trước). Và với cái kết quả đó thì với người biết lập trình + có đầu óc thì chả việc gì phải duyệt 50000 dòng cả, chỉ duyệt tới con số cụ thể nào đó thôi chứ. Hơn nữa, cũng chả việc gì phải load 50000 dòng một lúc, sao không load từng dòng từ đầu tới cuối cho nó nhanh? Ngay khi duyệt dòng đầu xong thì IP tấn công nhiều nhất đã bị DROP rồi, resource dư dả đáng kể.  
Thời gian chạy netstat với 500.000 connections sẽ mất khoảng bao lâu? Tiếp theo, sort 500.000 dòng mất tiếp bao lâu? Chắc mR.Bi chưa bao giờ gặp trường hợp netstat 1 phút mà chưa xong phải không :> ? Sau khi sort, phải dùng tiếp các lệnh khác để lọc những dòng trùng lặp đi, parse nội dung, quả là 1 công việc tốn rất nhiều resource. Để mR.Bi có thể hình dung, hãy thử 1 ví dụ sau: Tạo 1 database plaintext chức 1 hãy IP, kích cỡ khoảng 10GB. Xong dùng lệnh "grep x.x.x.x data.txt" để xem nó chạy trong bao lâu và tốn bao nhiêu CPU nha.]]>
/hvaonline/posts/list/37393.html#231065 /hvaonline/posts/list/37393.html#231065 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#231066 /hvaonline/posts/list/37393.html#231066 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS Và với cái kết quả đó thì với người biết lập trình + có đầu óc thì chả việc gì phải duyệt 50000 dòng cả, chỉ duyệt tới con số cụ thể nào đó thôi chứ. Hơn nữa, cũng chả việc gì phải load 50000 dòng một lúc, sao không load từng dòng từ đầu tới cuối cho nó nhanh? Ngay khi duyệt dòng đầu xong thì IP tấn công nhiều nhất đã bị DROP rồi, resource dư dả đáng kể.   Đây là lối tiếp cận "small sampling" để tạo hiệu suất trong việc thu thập kết quả. Tuy nhiên, "sample" càng nhỏ thì độ chính xác càng thấp và dù có nhanh về mặt hiệu suất đi chăng nữa cũng không thoả mãn tính xác thực. Trong hoàn cảnh bị vài chục ngàn đến vài trăm ngàn IP dội mà chỉ load một số dòng log nào đó để lấy sample thì bị sót quá nhiều và con số "bị sót" này có thể dễ dàng "dập" nạn nhân tê liệt nhanh chóng. Nếu lấy từng dòng và DROP thì "false positive" quá cao vì không có gì để xác thực rằng IP ấy vi phạm hết. Ít ra phải đếm và xác nhận rằng IP đó thật sự gởi n SYNs trong n SECONDs thì hoạ may. Xét về mặt kỹ thuật, netstat chỉ lấy thông tin các sockets hiện đang có mặt ngay tại một thời điểm cụ thể nào đó với "state" nào đó và nếu chạy netstat cho tình trạng hiện có 10 ngàn SYN (chẳng hạn) thì thời gian hoàn tất có lẽ mất ít nhất phải vài chục giây (đó là chưa kể nếu hệ thống đang trì trệ thật sự thì có thể mấy nhiều phút, thậm chí không thể lấy kết quả về được). Trong khoảng thời gian chờ đợi để lấy kết quả netstat cho đến thời gian thực thi một công cụ nào đó để cản lọc thì có thể đã có hàng chục ngàn, thậm chí hàng trăm ngàn SYN đã tràn vô ngập ngụa rồi. Ở tình trạng này, người đối phó luôn luôn phải chạy theo sau và ứng phó "bằng tay" (đó là chưa kể những sai số và "chém lầm"). Trong hoàn cảnh bị DDoS, thời gian và tài nguyên có sẵn cực kỳ quý giá. Bởi vậy, kernel cần được optimise tối đa để giảm thiểu tình trạng "socket lingering" nhằm triệt tiêu càng nhanh càng tối để "vắt" và cứu từng chút tài nguyên. Những cơ chế và tác động trên application layer càng ít càng tốt (đó là lý do tại sao phải cứu web service và CSDL khỏi bị đánh trực tiếp) và nếu tầng này có bị đánh thì cũng ráng gồng lưng chịu để thu thập thông tin gởi ngay cho phần cứu ứng (firewall chẳng hạn) ra tay ngay lặp tức. nginx rất bền và rất hữu hiệu trong việc cản lọc những requests vượt quá số "thresholds" nào đó. Tuy nhiên, cho đến nay chưa có biện pháp "out of the box" nào giúp nginx tương tác với mới phần cứu ứng (như firewall) để thực hiện cản lọc trên tầng IP. Muốn áp dụng nginx có lẽ phải hack source của nginx để tìm cách bắt nó phải làm gì đó hơn là gì "deny" mỗi request đi quá threshold. Bởi vậy, chọn lựa cá nhân tớ là dùng Apache với "worker" MPM và cơ chế "variables" của mod_security thế hệ 2.x để thực hiện công việc tạo blacklist năng động giúp cho iptables bên dưới ra tay. Tiện hơn nữa là module "recent" của netfilter tự động delegate và thêm bớt các IP vi phạm (hoặc hết vi phạm) một cách hữu hiệu ngay tại kernel (chớ không phải ở user space). Đây là điểm tối quan trọng trong việc nhanh chóng xử lý.]]> /hvaonline/posts/list/37393.html#231068 /hvaonline/posts/list/37393.html#231068 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#231075 /hvaonline/posts/list/37393.html#231075 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#231106 /hvaonline/posts/list/37393.html#231106 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#231144 /hvaonline/posts/list/37393.html#231144 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS không biết sao mà thằng Vietnamnet bị tấn công liên tục vậy không biết nữa, đội ngũ kỹ thuật không khắc phục được hay sao thế nhỉ. Sáng nay vào đọc lại thấy Tuần Việt Nam bị tấn công. Thông báo: Tuần Việt Nam bị tin tặc tấn công Cập nhật lúc 15/02/2011 04:00:00 PM (GMT+7) 8h45 sáng nay (15/2), chuyên trang Tuần Việt Nam thuộc Báo VietNamNet bị tin tặc tấn công. Cùng một thời điểm hàng trăm tin bài đã bị tin tặc thay thế bằng láthư mạo danh tập thể đảng viên VietNamNet bôi nhọ lãnh đạo báo. Sau khi bị hacker tấn công 10 phút, Tuần Việt Nam đã được tách khỏi Internet để khắc phục.
Đến 14h30 chiều 15/2, Tuần Việt Nam đã trở lại hoạt động bình thường. Đề nghị bạn đọc khi truy cập Tuần Việt Nam http://tuanvietnam.vietnamnet.vn hãy bấm phím Ctrl F5 để đọc tin bài mới. Trong vòng 4 tháng qua, VietNamNet đã hứng chịu 5 cuộc tấn công, trong đó có những cuộc tấn công D-Dos với quy mô chưa từng có. Chúng tôi đang nỗ lực cao nhất để tiếp tục phục vụ quý độc giả. Xin tỏ lòng tri ân những tình cảm bạn đọc dành cho VietNamNet và kính mong bạn đọc thông cảm, tiếp tục đồng hành cùng VietNamNet. Trân trọng, VietNamNet ]]>
/hvaonline/posts/list/37393.html#231156 /hvaonline/posts/list/37393.html#231156 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

canh_nguyen wrote:
Anh LeVuHoang: Landing page là trang nào thế ạ :D 
Landing page? Ở đây Landing là: Land (mảnh đất, vùng đất...) + ing. Landing nghĩa là đáp xuống , hạ xuống , đi đến một vùng đất, mảnh đất nào đó. Máy bay hạ cánh là máy bay landing. Còn trong công nghệ web thì landing page được hiểu là page hay URL đầu tiên mà các người truy cập web (visitor) được dẫn đến khi họ nhấp vào một link nào đó. Trong trường hợp vietnamnet.vn thì quá trình sẽ là: Khi người truy cập nhấp vào domain vietnamnet.vn, thay vì họ sẽ đươc dẫn đến trang chủ (trang mở đầu- có dung lượng download về máy người truy cập là khoảng 2.56 MB- không phải là khoảng 156 KB đâu nhé LeVuHoang ạ), như thường lệ, thì họ lại được dẫn đến 1 trang-URL mới tạo, có đia chỉ thí dụ là: http://vietnamnet.vn/chkdd.html?vnnd=1297836801.11b2975ef912f5070da474aa6f58a8df (số và chữ của đuôi thay đổi tại mỗi lần truy cập) Trang mới tạo nói trên chính là landing page. Trong (source code) trang mới tạo này có nhúng một JavaScript (text JS) làm nhiệm vụ kiểm tra cookies của các browser của các user. Như thế đấy. Các bạn có muốn "xem kỹ" JavaScript này không?]]>
/hvaonline/posts/list/37393.html#231177 /hvaonline/posts/list/37393.html#231177 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#231327 /hvaonline/posts/list/37393.html#231327 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

PXMMRF wrote:

canh_nguyen wrote:
Anh LeVuHoang: Landing page là trang nào thế ạ :D 
Landing page? Ở đây Landing là: Land (mảnh đất, vùng đất...) + ing. Landing nghĩa là đáp xuống , hạ xuống , đi đến một vùng đất, mảnh đất nào đó. Máy bay hạ cánh là máy bay landing. Còn trong công nghệ web thì landing page được hiểu là page hay URL đầu tiên mà các người truy cập web (visitor) được dẫn đến khi họ nhấp vào một link nào đó. Trong trường hợp vietnamnet.vn thì quá trình sẽ là: Khi người truy cập nhấp vào domain vietnamnet.vn, thay vì họ sẽ đươc dẫn đến trang chủ (trang mở đầu- có dung lượng download về máy người truy cập là khoảng 2.56 MB- không phải là khoảng 156 KB đâu nhé LeVuHoang ạ), như thường lệ, thì họ lại được dẫn đến 1 trang-URL mới tạo, có đia chỉ thí dụ là: http://vietnamnet.vn/chkdd.html?vnnd=1297836801.11b2975ef912f5070da474aa6f58a8df (số và chữ của đuôi thay đổi tại mỗi lần truy cập) Trang mới tạo nói trên chính là landing page. Trong (source code) trang mới tạo này có nhúng một JavaScript (text JS) làm nhiệm vụ kiểm tra cookies của các browser của các user. Như thế đấy. Các bạn có muốn "xem kỹ" JavaScript này không? 
Cảm ơn anh trả lời, em hiểu cái định nghĩa landing page, cái em thắc mắc là anh LVH nói chung chung chưa rõ được landing page là trang home (index.html) của VNN hay là cái trang cấp phát cookie(chkdd.html) nên em mới hỏi lại vì dung lượng trang chkdd.html có 726bytes thôi :D . Còn dung lượng từ index.html thì không thể có con số chính xác bởi nó phụ thuộc nhiều thứ. Anh rảnh thì phân tích cái Js code ở trang chkdd.html cho em với nhé -:|- ]]>
/hvaonline/posts/list/37393.html#231344 /hvaonline/posts/list/37393.html#231344 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

PXMMRF wrote:

canh_nguyen wrote:
Anh LeVuHoang: Landing page là trang nào thế ạ :D 
Landing page? Ở đây Landing là: Land (mảnh đất, vùng đất...) + ing. Landing nghĩa là đáp xuống , hạ xuống , đi đến một vùng đất, mảnh đất nào đó. Máy bay hạ cánh là máy bay landing. Còn trong công nghệ web thì landing page được hiểu là page hay URL đầu tiên mà các người truy cập web (visitor) được dẫn đến khi họ nhấp vào một link nào đó. Trong trường hợp vietnamnet.vn thì quá trình sẽ là: Khi người truy cập nhấp vào domain vietnamnet.vn, thay vì họ sẽ đươc dẫn đến trang chủ (trang mở đầu- có dung lượng download về máy người truy cập là khoảng 2.56 MB- không phải là khoảng 156 KB đâu nhé LeVuHoang ạ), như thường lệ, thì họ lại được dẫn đến 1 trang-URL mới tạo, có đia chỉ thí dụ là: http://vietnamnet.vn/chkdd.html?vnnd=1297836801.11b2975ef912f5070da474aa6f58a8df (số và chữ của đuôi thay đổi tại mỗi lần truy cập) Trang mới tạo nói trên chính là landing page. Trong (source code) trang mới tạo này có nhúng một JavaScript (text JS) làm nhiệm vụ kiểm tra cookies của các browser của các user. Như thế đấy. Các bạn có muốn "xem kỹ" JavaScript này không? 
Mình rất muốn, bác PXMMRF có thể cho mình tham khảo được không. Về mặt tông quan nó không có tác dụng lớn. nhưng với Webmaster nó có giá trị rất lớn. Rất mong nhận được phản hồi từ PXMMRF ]]>
/hvaonline/posts/list/37393.html#231494 /hvaonline/posts/list/37393.html#231494 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS An error occurred. Sorry, the page you are looking for is currently unavailable. Please try again later. If you are the system administrator of this resource then you should check the error log for details. Faithfully yours, nginx.  ]]> /hvaonline/posts/list/37393.html#277190 /hvaonline/posts/list/37393.html#277190 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

quanta wrote:
Có vẻ Vietnamnet lại đang bị DDoS:
An error occurred. Sorry, the page you are looking for is currently unavailable. Please try again later. If you are the system administrator of this resource then you should check the error log for details. Faithfully yours, nginx. 
 
Đúng như quanta đã viết. Những ngày gần đây, đặc biệt là ngày 5/7/2013 (thứ Sáu) nhiều báo mạng của nhà nước đã bị tấn công Từ chối dịch vụ (DDoS) nặng nề. Nhiều báo mạng không truy cập được hay truy cập rất chậm. Báo mạng ITCnews (Cơ quan chủ quản: Bộ Thông tin và Truyền thông) hôm nay 6/7/2013 (thứ Bẩy) đã đăng tải bài viết có tiêu đề:"Hàng loạt báo điện tử lớn đang bị tấn công DDoS ?", tại link: http://ictnews.vn/home/Bao-mat/19/Hang-loat-bao-dien-tu-lon-dang-bi-tan-cong-DDoS/110465/index.ict. Bài viết nhận định:
"Ngày hôm qua 4/7, trên các trang diễn đàn và mạng xã hội như Facebook đã lan truyền thông tin về việc các trang báo điện tử lớn như Dantri, Vietnamnet, Tuổi Trẻ… đang bị tấn công từ chối dịch vụ với cường độ lớn khiến người dùng khó truy cập. Đến chiều ngày 5/7, khi phóng viên ICTnews truy cập vào trang web Dantri và Tuổi Trẻ thì đều gặp thông báo "Service Unavailable". Còn Vietnamnet thì việc tải trang web rất chậm và phải rất khó khăn thì mới có thể truy cập thành công. Trao đổi với phóng viên ICTnews, đại diện các báo Vietnamnet, Dantri và Tuổi Trẻ cho biết, họ đang tiến hành tìm hiểu nguyên nhân sự việc và sẽ sớm thông báo trong thời gian tới. Tuy nhiên, một số chuyên gia an ninh mạng cho rằng, có nhiều dấu hiệu cho thấy, đang có một cuộc tấn công từ chối dịch vụ nhắm vào các báo điện tử lớn ở Việt Nam. Một nguồn tin riêng của ICTnews cho biết, lượng truy cập báo điện tử Dantri vào ban ngày gấp khoảng 40 lần và ban đêm lên tới 100 lần so với những ngày trước đó. .........." 
Thưc tế hôm qua tôi có theo dõi sự kiện này. Ngoài báo Dân trí, Tuổi trẻ, Vietnamnet còn có báo Thanh niên cũng bị tấn công DDoS nghiêm trọng. Có thể có thêm một vài tờ báo mạng lớn khác nữa cũng bị tấn công. Riêng báo mạng thanhnien ngoài việc bị tấn công DDoS còn có một dấu hiệu đáng ngại nữa, mà tôi sẽ nói dưới đây. Sáng hôm qua, 5/7/2013, rất khó truy cập đến trang chủ (trang mở đầu) cùa vietnamnet.vn. Có lúc một trang thông báo về "An error occurred" hiện ra, như hình chụp dưới đây. Thông báo này cho biết trình tham gia quản lý website là NGINX mà vietnamnet cài đặt trong webserver và nó được sử dụng như một "cache proxy server", bị lỗi. Lỗi này có thể xác định trong nội dung của file "error log" của trình này (NGINX). Khi click vào hyper link "error log" trên thông báo, thì trình duyệt của người truy cập được dẫn đến một trang website của chủ nhân viết phần mềm NGINX (người Nga-Russian), như hình minh hoạ dưới đây.

Còn về trang mạng báo thanhnien, ngoài việc không thể truy cập đến trang chủ (không một chi tiết nào của trang chủ hiện ra trên màn hình), như hình chụp dưới đây, thì trình SiteAdvisor của McAfee (cài đặt trong máy của tôi-PXMMRF) báo là trang chủ của thanhnien nhiễm mã độc, như các hình minh hoa dưới đây. Tôi đã kiểm tra rất nhiều link ("sống") trên trang chủ của thanhnien để tìm ra link nào dẫn đến một website bên ngoài đang cài mã độc, nhưng chưa tìm ra, vì có quá nhiều link "sống" trên trang chủ thanhnien, không thể kiểm tra hết được. Đây là điều báo mạng thanhnien cần rút kinh nghiệm là không nên có quá nhiều link (sống) trên trang chủ . Ngoài ra khi người truy cập nhấp vào một link trên trang chủ mà link này dẫn trình duyệt của người truy câp đến một website bên ngoài (mà thanh nien không quản lý), thì phải cho hiện lên một thông báo trên màn hình máy người truy cập với nội dung đại khái là "Xin lưu ý là bạn đang dời trang thanhnien.com.vn để truy cập đến một website bên ngoài, không do thanhnien.com.vn quản lý". Điều này các báo mạng lớn của các nước tiên tiến đều đã áp dụng. (Tuy nhiên vào giờ này, khi truy cập vào thanhnien.com.vn, McAfee SiteAdvisor không còn báo là có mã độc nữa. Như vậy trang chủ đã sạch [clean].)

Sơ bộ chúng tôi có một vài nhận định sau: - Việc tấn công đồng loạt cùng lúc vào nhiều trang mạng lớn đều của nhà nước phải do một tổ chức làm, sử dụng mạng bot, zombies khá lớn. - Có khả năng nhóm SLT lại "tái xuất giang hồ" hay không? và họ đang sử dụng các DDoS tool (mã độc) mới và các mạng bot mới được thiết lập? ]]>
/hvaonline/posts/list/37393.html#277229 /hvaonline/posts/list/37393.html#277229 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS
http://www.mediafire.com/download/7969q832q4geny6/WIDCOMM.zip em đang tính cài lại máy này. ]]>
/hvaonline/posts/list/37393.html#277305 /hvaonline/posts/list/37393.html#277305 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS http://www.mediafire.com/download/7969q832q4geny6/WIDCOMM.zip mà bạn 1visao cung cấp có 3 file: btwdins.dll 448 KB btwdins 44KB data.dat 1 KB Trong đó btwdins là file thưc thi (.exe) là một application File btwdins.dll là một application extension. Có thể khi bị kích hoạt, thì file btwdins sẽ kích hoạt btwdins.dll, nạp mã độc lên bộ nhớ và các directotry định trước (cần phải tiếp tục kiểm tra để khẳng định điều này đúng không?). File btwdins.dll qua mặt được rất nhiều antivirus, nhưng vẫn bị Kaspersky và ClamAV phát hiện. Kaspersky phát hiện đây là Trojan "Backdoor.Win32.Cbot.pfe" (xem hình minh hoạ). btwdns thì không có vấn đề gì Những kết nối trên máy của 1visao ở post trên chứng tỏ đây là một DDoS tool (bot) đang tấn công trên mạng vào dantri, vietnamnet, tuoitre... (sẽ tiếp tục kiểm tra kỹ hơn). TQN em đang ở đâu, vào disassembling con btwdins.dll này giúp cho. Cám ơn
]]>
/hvaonline/posts/list/37393.html#277310 /hvaonline/posts/list/37393.html#277310 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277315 /hvaonline/posts/list/37393.html#277315 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277316 /hvaonline/posts/list/37393.html#277316 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277317 /hvaonline/posts/list/37393.html#277317 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277318 /hvaonline/posts/list/37393.html#277318 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277319 /hvaonline/posts/list/37393.html#277319 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS Backdoor.Win32.Cbot.pfe" , một trong các DDoS tool (botnet) mà hacker "lạ" đang sử dụng để tấn công vào các trang mang lớn của nhà nước ta: Vietnamnet, Tuổi trẻ, Dân trí, Thanh niên..., là một biến thể (variant) của dòng Trojan "Backdoor.Win32.Cbot.x", như Backdoor.Win32.Cbot.k. Trojan loại này được cài lén vào máy nạn nhân để hacker có thể kết nối từ xa và điều khiển máy của nạn nhân. Hacker có thể chỉ thị cho Trojan tấn công DoS vào một mục tiêu theo chỉ định của hacker, đồng thời theo chỉ thị của hacker trojan có thể nhận, gửi, kích hoạt, xoá một số file của máy tính, cũng như gửi cho hacker file ghi lai diển biến trong máy tính (log file) và các thông tin riêng tư của người quản lý máy. Đây không phải là loại Trojan mới. Các biến thể khác của nó đã bị nhiều trình Antivirus trên TG phát hiện và diệt từ cuối năm 2011. Tuy nhiên biến thể "Backdoor.Win32.Cbot.pfe" được hacker cải tiến, nên nhất thời qua mặt được hầu hết các trình Antivirus, trong đó có các phần mềm diệt virus nổi tiếng như Avira, McAfee, Norton, Bitdefender, AVG... Tập thể anh em HVA đang cố gắng phân tích "cấu trúc" của Trojan và tìm ra các master webserver của hacker đang điều khiển từ xa Trojan (địa chỉ IP, tên miền, vị trí, hệ điều hành, trình quản lý web...), để góp phần ngăn chặn hiệu quả việc tấn công DDoS trên mạng hiện nay. (To : 1visao. Bạn cố nhớ lai xem vì sao, khi nào và từ đâu bạn có file WIDCOMM trong máy của ban? Gần đây bạn có download một soft. hay một tiện ích nào trên mạng không? Xin ban cố nhớ và cung cấp thông tin. Cám ơn)]]> /hvaonline/posts/list/37393.html#277335 /hvaonline/posts/list/37393.html#277335 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

ITOOLS http://www.mediafire.com/download/ik4x9rcb2k3wk7b/iTools.zip Unikey http://www.mediafire.com/download/ofcb8fd9eaefi3y/UniKey_4.0.8.zip Unikey em có xài tiện ích CheckUnikeySTLVirus-32bit.exe của anh TQN thì thấy có liên quan tới STL , nhưng ko dám chắc đó là biến thể mới hay không. Nhờ mọi người phân tích giùm. ]]>
/hvaonline/posts/list/37393.html#277393 /hvaonline/posts/list/37393.html#277393 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277400 /hvaonline/posts/list/37393.html#277400 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277410 /hvaonline/posts/list/37393.html#277410 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

halh wrote:
Mình cung cấp thêm thông tin về mẫu mới khác với mẫu bác PXMMRF đã đưa. đây là file bị dính. http://www.mediafire.com/?yj4zbhn528zlve1,f0jess00xhan4nj đây là file capture gói tin trong thời gian ngắn. http://www.mediafire.com/?yj4zbhn528zlve1,f0jess00xhan4nj và có vẻ như IP 91.109.24.149 là một trong những IP đứng sau  
Cám ơn bồ halh, đoạn sniff của bồ cực kỳ có giá trị. Nó giúp rất nhiều trong việc hiểu cách thực hiện DDoS lần này của chúng]]>
/hvaonline/posts/list/37393.html#277435 /hvaonline/posts/list/37393.html#277435 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

TQN wrote:
Bạn 1visao và bạn halh có thể zip tất cả các file trong thư mục Windows\Prefetch của máy bị dính btwdins.exe và btwdins.dll lên giúp anh em HVA được không. Phân tích các prefetch files có thể tìm ra nguồn gốc lây nhiễm con bot này. 
http://www.mediafire.com/download/yr8qdi0pyslplnv/Prefetch.zip của Anh TQN]]>
/hvaonline/posts/list/37393.html#277437 /hvaonline/posts/list/37393.html#277437 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS Một vài thông tin hữu ích liên quan đến file WIDCOMM (WIDCOMM.zip) và các file btwdins.dll (448 KB), btwdns.exe (44KB). 1-Trước hết về WIDCOMM. Đây là tên của một công ty đi tiên phong trong lĩnh vưc "Wireless Internet and Data Communication", đặc biệt là công nghệ "Bluetooth". Công ty có trụ sở tại 9645 Scranton Road, Suite 205, San Diego, CA 92121, United States (Mỹ). Như ta đã biết "Bluetooth" là một chuẩn toàn cầu áp dụng trong việc kết nôi vô tuyến giữa hai cơ cấu (devices) của hai máy tính. Giống như kết nối theo giao thưc IP (Internet Protocol)-TCP, trong kết nối theo chuẩn Bluetooth, sẽ có một cơ cấu (trên một máy) đóng vai trò "client" và cơ cấu kia (trên máy kia) sẽ đóng vai trò "server". Tuy nhiên bất cứ device nào (trên một trong 2 máy) đều có thể đóng vai trò clinet hay server. Device nào gửi yêu cầu (request) trước, thì nó sẽ đóng vai trò client, còn device nhận yêu cầu sẽ được coi là server. Điều này không giống như trong giao thưc IP-TCP. Vào những năm 2000-2001 công ty WIDCOMM đã cung cấp cho khách hàng một phần mềm "BTW software", hỗ trợ cho Bluetooth (kèm theo driver), tên file lấy là WIDCOMM.zip. BTW là tên một giải pháp "tích hợp khép kín" ("seamless intergration") trong công nghệ Bluetooth, do WIDCOMM sáng chế. Vì vậy trong "BTW sofware" có một số file có tên mở đầu bằng "btw". Trong các năm sau này, công ty Broadcom, sử dụng công nghệ của WIDCOMM, cung cấp thêm các version cải tiến (software+driver) cho Bluetooth, nhưng không dùng tên file là WIDCOMM nữa. Máy tính của các hãng nổi tiếng như Dell, HP, Lenovo... thường sử dụng các device Bluetooth do công ty Broadcom cung cấp, sử dụng BTW software. Khi cài trong máy tính, sofware này tạo các file có 3 từ đầu là "btw" tại thư muc Program Files (WinXP) như: btwdins.exe (358KB), btmcrcam.dll, btw_ci.dll, btwiacam.dll và btWmpPlugIn.dll (không hề có file nào có tên là btwdins.dll ở tất cả các version của BTW software) 2-Về các file btwdins.dll (448 KB), btwdins.exe (44KB). Hacker đã tạo ra một file giả mạo file btwdins.exe (358KB)nguyên thuỷ bằng một file mới cũng có tên là btwdins.exe (nhưng dung lượng chỉ là 44KB) và tạo ra một file mới, chứa mã độc là: btwdins.dll. Chúng đưa thêm những file này vào một BTW software-driver nào đó để người sử dụng Bluetooth download trên mạng về máy mình và cài đặt. Có thể hacker đặt tên cho software-driver này là WIDCOMM (WIDCOMM.zip) trên mạng. Chắc chắn có một mối liên hệ giữa file btwdins.exe (44KB) và btwdins.dll. Nhưng thử nghiệm trên thưc tế các file này (do bạn 1visao mới cung cấp) trên máy thử nghiệm ta lại thấy chúng không gây lây nhiễm mã độc vào máy và không tạo ra bất cứ kết nối Internet nào. Disassembling bằng IDA Pro(Free) và IDA Pro 6.1 cũng thấy có lẽ như vậy. Vậy thì: - Có phải là sau khi btwdins.exe (44KB) được kích hoạt (bằng user hay từ 1 soft. bên ngoài download từ mạng) và sau đó nó kích hoạt tiếp và "cải tạo" btwdins.dll, thì btwdins.exe sẽ tự xoá các một số thành phần của nó để trở thành "vô hại" hay không? - Có phải là sau này btwdins.exe lại sẽ được "làm mới" khi máy zombie kết nối với mạng và một software hay script nào đó sẽ inject malicious code vào btwdins.exe để "cải tử hoàn sinh" nó hay không? - Hay có một scenario nào khác? -------------------------------- To: 1 visao: - File Unikey 4.0.8 mà bạn cung cấp theo tôi là vô hại (clean) - File iTools.exe thì quả có nhiều vấn đề. Đây là một file thưc thi trung gian để khởi phát một quá trình download nhiều software về máy, không chỉ iTools, mà có cả QTrax (music player) và 1-delta searching engine.... Trong quá trình download, máy của ta kết nối với hàng loạt webserver đặt tai TQ. -Cuối cùng trong post đầu tiên của bạn trong box này, xin bạn cho biết tên service nào đã tạo kết nối với Tuổi trẻ, Dân trí. Chỉ thấy các kết nối, nhưng chưa thấy tên service, process tạo kết nối thông qua trình duyệt. Xin bạn cho thêm thông tin. Thanks ]]> /hvaonline/posts/list/37393.html#277452 /hvaonline/posts/list/37393.html#277452 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS CPU Stack Address Value ASCII Comments 00DAE888 |00AF4FE0 àO¯. ; UNICODE "80" 00DAE88C |00DAE8F8 øèÚ. 00DAE890 \1000A1AC ¬¡. ; RETURN from WS2_32.getaddrinfo to btwdins_dll.1000A1AC 00DAE894 /00DAE94C LéÚ. ; ASCII "media.bulkweb.org" 00DAE898 |00DAFD50 PýÚ. ; ASCII "80" 00DAE89C |00DAE8B4 ´èÚ. 00DAE8A0 |00DAE924 $éÚ. 00DAE8A4 |89144D4F OM‰ 00DAE8A8 |0016E868 hè. ; ASCII "http://media.bulkweb.org/search.thn" CPU Stack Address Value ASCII Comments 00DAFE7C \1001794B Ky ; RETURN from btwdins_dll.1000F8B0 to btwdins_dll.1001794B 00DAFE80 /0016E5D0 Ðå. ; ASCII "http://media.bulkweb.org/search.thn" 00DAFE84 |0016EA28 (ê. ; ASCII "GET /search.thn HTTP/1.1 Host: media.bulkweb.org User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.3.13) Gecko/20101203 Firefox/3.6.13 " ... 00DAFE98 |00CA20F0 ð Ê. ; ASCII "http://media.bulkweb.org/search.thn" ... 00DAFEB8 |0016E6C0 Àæ. ; ASCII "http://media.bulkweb.org/view.thn" 00DAFEBC |0016E760 `ç. ; ASCII "http://lovenet.contbiz.com/view.thn" 00DAFEC0 |0016E7B0 °ç. ; ASCII "GET {PATH} HTTP/1.1 Host: {HOST} User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.3.13) Gecko/20101203 Firefox/3.6.13 " 00DAFEC4 |0016E710 ç. ; ASCII "http://speak.checknik.com/view.thn" 00DAFEC8 |0016E620 æ. ; ASCII "http://speak.checknik.com/search.thn" 00DAFECC |0016E5D0 Ðå. ; ASCII "http://media.bulkweb.org/search.thn" 00DAFED0 |0016E670 pæ. ; ASCII "http://lovenet.contbiz.com/search.thn" ... 00DAFEF4 |0016EB28 (ë. ; ASCII "GET /view.thn HTTP/1.1 Host: media.bulkweb.org User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.3.13) Gecko/20101203 Firefox/3.6.13 " 00DAFEF8 |0016E7B0 °ç. ; ASCII "GET {PATH} HTTP/1.1 Host: {HOST} User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.3.13) Gecko/20101203 Firefox/3.6.13 " 00DAFEFC |0016E7B0 °ç. ; ASCII "GET {PATH} HTTP/1.1 Host: {HOST} User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.3.13) Gecko/20101203 Firefox/3.6.13 " 00DAFF00 |0016EA28 (ê. ; ASCII "GET /search.thn HTTP/1.1 Host: media.bulkweb.org User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.3.13) Gecko/20101203 Firefox/3.6.13 " 00DAFF04 |0016E7B0 °ç. ; ASCII "GET {PATH} HTTP/1.1 Host: {HOST} User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.3.13) Gecko/20101203 Firefox/3.6.13 " 00DAFF08 |0016E7B0 °ç. ; ASCII "GET {PATH} HTTP/1.1 Host: {HOST} User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.3.13) Gecko/20101203 Firefox/3.6.13 " 00DAFF0C |0016E5D0 Ðå. ; ASCII "http://media.bulkweb.org/search.thn" 00DAFF10 |0016E620 æ. ; ASCII "http://speak.checknik.com/search.thn" 00DAFF14 |0016E670 pæ. ; ASCII "http://lovenet.contbiz.com/search.thn" 00DAFF18 |0016E6C0 Àæ. ; ASCII "http://media.bulkweb.org/view.thn" 00DAFF1C |0016E710 ç. ; ASCII "http://speak.checknik.com/view.thn" 00DAFF20 |0016E760 `ç. ; ASCII "http://lovenet.contbiz.com/view.thn" CPU Disasm Address Hex dump Command Comments 1000A1A5 52 PUSH EDX 1000A1A6 FF15 E8910410 CALL DWORD PTR [<&WS2_32.getaddrinfo>]  Nhưng bây giờ nó đã không còn gì nữa rồi, có lẽ đã được tắt. tìm google về các host trên cũng chẳng thấy thông tin gì. Cái quan trọng bây giờ là tìm ra File nào đã create 2 file (btwdins.exe và btwdins.dll) thằng đó mới là thằng kích hoạt đám "mèo què" này. Nhưng làm sao để có được nó thì quả thật là không thể với những thông tin chúng ta có được. File btwdins.exe nó chỉ có nhiệm vụ load file btwdins.dll, nếu không có thì nó exit, nếu Load ok nó sẽ CreateThread mới và run trên hệ thống, File btwdins.exe không có hàm nào để kết nối ra ngoài.]]> /hvaonline/posts/list/37393.html#277458 /hvaonline/posts/list/37393.html#277458 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS http://lovenet.contbiz.com/search.thn http://lovenet.contbiz.com/view.thn http://media.bulkweb.org/search.thn http://media.bulkweb.org/view.thn http://speak.checknik.com/search.thn http://speak.checknik.com/view.thn  

quygia128 wrote:
Nhưng bây giờ nó đã không còn gì nữa rồi, có lẽ đã được tắt.  
`http://speak.checknik.com/search.thn` vẫn còn đấy bạn: http://www.mediafire.com/download/r93ry0lu4c7axjo/search.thn
HTTP/1.1 200 OK Server: Abyss Date: Mon, 15 Jul 2013 13:43:42 GMT Content-Type: application/octet-stream Content-Length: 406 Last-Modified: Mon, 15 Jul 2013 07:45:18 GMT Connection: keep-alive Accept-Ranges: bytes 
- Web server lạ gớm - File này mới được modified sáng nay để bắt đầu một chiến dịch mới

quygia128 wrote:
tìm google về các host trên cũng chẳng thấy thông tin gì.  
.
$ whois $(dig +short speak.checknik.com) % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '91.109.24.0 - 91.109.31.255' % Abuse contact for '91.109.24.0 - 91.109.31.255' is 'abuse@leaseweb.de' inetnum: 91.109.24.0 - 91.109.31.255 netname: NETDIRECT-NET descr: Leaseweb Germany GmbH (previously netdirekt e. K.) country: DE admin-c: LSWG-RIPE tech-c: LSWG-RIPE status: ASSIGNED PA mnt-by: NETDIRECT-MNT mnt-lower: NETDIRECT-MNT mnt-routes: NETDIRECT-MNT source: RIPE # Filtered person: RIPE Mann address: Kleyerstrasse 79 / Tor 13 address: 60326 Frankfurt am Main address: Germany phone: +49 69 90556880 fax-no: +49 69 9055688-22 abuse-mailbox: abuse@leaseweb.de nic-hdl: LSWG-RIPE mnt-by: OCOM-MNT source: RIPE # Filtered % Information related to '91.109.16.0/20AS16265' route: 91.109.16.0/20 descr: ORG-nA8-RIPE origin: AS16265 org: ORG-nA8-RIPE mnt-by: NETDIRECT-MNT source: RIPE # Filtered organisation: ORG-nA8-RIPE org-name: Leaseweb Germany GmbH org-type: LIR address: Leaseweb Germany GmbH Kleyer Strasse 79 / Tor 13 60326 Frankfurt Germany phone: +496990556880 fax-no: +4969905568822 mnt-ref: NETDIRECT-MNT mnt-ref: RIPE-NCC-HM-MNT mnt-by: RIPE-NCC-HM-MNT admin-c: LSWG-RIPE admin-c: GJ907-RIPE admin-c: SPW1-RIPE abuse-c: LWGA-RIPE source: RIPE # Filtered % This query was served by the RIPE Database Query Service version 1.66.3 (WHOIS3) 
]]>
/hvaonline/posts/list/37393.html#277461 /hvaonline/posts/list/37393.html#277461 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277463 /hvaonline/posts/list/37393.html#277463 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277467 /hvaonline/posts/list/37393.html#277467 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS Sao tôi đã "hex dump" main memory tập tin btwdins.dll một lần mà không ra thông tin này nhỉ? Hì hì) Tôi đang check thẳng (không ngại ngần gì nữa) vào các webserver mà bạn quygia128 đã tìm ra. Thông tin sẽ thông báo cho các bạn. To 1visao: Em đã cung cấp thông tin quan trọng rồi đó: service kích hoạt các kết nối tấn công vào các trang mạng Tuổi trẻ, Vietnamnet và Dân trí chính là "btwdins.exe"- 44kB (không phải một service khác mà btwdins.exe tạo ra)! Vấn đề hiện nay chưa rõ là: Tại sao file thưc thi "btwdins.exe" mà 1 visao uploaded lên mediafire.com, khi download về máy (cùng với btwdins.dll), để thử nghiệm, lại không "phát huy tác dụng" gì cả, dù được kích hoạt bằng mọi cách. Nó đã bị thay đổi khi nào? Có phải khi process "btwdins.exe" bị 1visao kill (ngừng) hay không? Bằng cách nào nó sẽ được "tái sinh" sau này?...vân vân. ]]> /hvaonline/posts/list/37393.html#277473 /hvaonline/posts/list/37393.html#277473 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277478 /hvaonline/posts/list/37393.html#277478 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

quanta wrote:
http://lovenet.contbiz.com/search.thn http://lovenet.contbiz.com/view.thn http://media.bulkweb.org/search.thn http://media.bulkweb.org/view.thn http://speak.checknik.com/search.thn http://speak.checknik.com/view.thn  

quygia128 wrote:
Nhưng bây giờ nó đã không còn gì nữa rồi, có lẽ đã được tắt.  
`http://speak.checknik.com/search.thn` vẫn còn đấy bạn: http://www.mediafire.com/download/r93ry0lu4c7axjo/search.thn ....................... - Web server lạ gớm - File này mới được modified sáng nay để bắt đầu một chiến dịch mới

quygia128 wrote:
tìm google về các host trên cũng chẳng thấy thông tin gì.  
.............................  
1- Đúng như quanta đã viết, webserver http://speak.checknik.com hiện vẫn online, đến giờ này. Tuy nhiên từ sáng nay nó đã "tắt' kết nối tại cổng 80-HTTP. Do vậy ta không thể dùng trình duyệt để truy cập đến trang này, như là ta đã làm được như vậy trong ngày 15/7/2013 (Thứ Hai). Có lẽ hacker đã nhanh chóng phản ứng sau bài viết của các bạn quygia128, quanta, xnohat, đặc biệt là quigia128. Tuy nhiên webserver này lại đang mở cổng 21 FTP, nhưng lại không cho Anonymous login! Điều gì đang xẩy ra? Rõ ràng là 他们 (các cậu ấy) đang lúng túng tìm cách để Master servers (có bạn gọi là C&C) kết nối được với các zombies và update dữ liệu chứa trong các botnet, trong khi đã phải đóng cổng 80. Tuy nhiên để các botnet "biết đường" kết nối đến cổng 21 của Master servers thì lại phải update dữ liệu cho chúng. Nghĩa là có lúc vẫn phải mở cửa 80-HTTP đủ dài để cho hầu hết botnet trong rất nhiều zombies được "chỉnh huấn" (update). Rối rắm. Có vẻ hacker bị phá sản về chiến thuật (chiến thuật thôi nhé. Hì hì). Webserver "speak.checknik.com", có IP tĩnh là 91.109.24.149 và đặt tai CHLB Đức. 2- Webserver lạ (mà không lạ) vì các lý do sau. - Webserver có một IP tĩnh, là một server dùng riêng (dedicated), nhưng website chỉ có 1-2 files dung lượng nhỏ xíu. chúng chỉ chứa dữ liệu update cho các botnet trong các zombies. Không có trang chủ, trang mở đầu, hình ảnh gì hết. - Webserver này được UP đến một server khác có tên miền là checknik.com nhưng cheknik.com lại không được created (với record A) và lai có tới 5 nameserver (máy chủ phân giải tên miền) hỗ trợ phân giải tên miền này (ns1.he.net, ns2.he.net, ns3.he.net, ns4.he.net, ns5.he.net). Có 4 trong 5 máy chủ tên miền nói trên có đia chỉ IP tĩnh hỗ trợ cả IPv4 và IPv6, đặt ở các lớp mạng khác nhau. Kết cấu hạ tầng mang này làm ta liên tưởng đến kết cấu mạng của NSA trong chương trình PRISM vừa qua hay sao ấy. Hì hì. 3- Thật hay khi quanta biết đươc thông tin trong file search.thn. Hacker thường phải cập nhật thông tin trong file nói trên thường xuyên, kể cả khi đóng port 80 và mở port 21 FTP

xnohat wrote:
Hiện giờ theo Dynamic Analysis thì có 3 C&C server speak.checknik.com ( còn sống ) 13/5/2013 media.bulkweb.org ( đã tắt ) đăng ký ngày 13/5/2013 lovenet.contbiz.com ( đã tắt ) đăng ký ngày 18/5/2013 Cả 3 đều dùng clouddns , đặc biệt thằng checknik.com đang dùng thêm he.net DNS1: ns1.cloudns.net DNS2: ns2.cloudns.net DNS3: ns2.he.net DNS4: ns3.he.net DNS5: ns4.he.net Thuộc Hurrican Electric http://he.net/about_us.html công ty này có tiền sử chứa chấp mạng botnet Andromeda của đám hacker Nga :v 
1-Cả 3 C&C đều được up về webserver có tên miền chính là checknik.com, bulkweb.org, contbiz.com. Các webserver này không được created với record A, nhưng được phân giải bởi 5 nameserver, như đã nói ở trên. 2-media.bulkweb.org và lovenet.contbiz.com hiện đã bị ngưng hoạt đông (hacker tắt), đúng như xnohat đã viết. Có thể (có thể thôi nhé) media.bulkweb.org thì "phụ trách' vietnamnet, còn lovenet.contbiz.com thì cho Dân trí, hết Dân trí thì có thể là đến Đất Việt (vẫn là có thể thôi nhé). 3. HURRICANE Electric là công ty quản lý Autonomous system (AS 6939) và Route, nhưng ISP của các webserver của hacker là Fremon, CA, USA. 4- Cái đáng lo nhất là hacker, muốn tấn công vào báo mạng VN lần này, lại thuê hacker Nga làm. Như tôi đã viết trong một hai bài viết trước đây trong forum HVA này là: có dấu hiệu đáng tin là STL đã từng hay đang hợp tác với một nhóm hacker rất nổi tiếng của Nga, trụ sở cũ tại Saint Peterbourg. Nếu lại đúng là nhóm này thì tôi xin ngả mũ khâm phục họ. ]]>
/hvaonline/posts/list/37393.html#277479 /hvaonline/posts/list/37393.html#277479 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

TQN wrote:
Do nó Sleep (ngủ) tới gần chục phúc đó anh PXM. 2 1visao: còn file btwdins.exe.cfg trong file zip, tại sao bạn xoá đi vậy ? Trong thư mục Widcomm đó có 3 file: .exe, .dll, .cfg. Bạn đã zip hết thư mục đó lại, sau đó bạn lại xoá file .cfg đi. Bạn đang làm ở cơ quan nào thế ? Bạn dùng tcpview và msconfig để xem, kết luận btwdins.* (lúc 12g trưa) là mèo què, sau đó bạn chạy 7zip để nén lại vào lúc 3g chiều (ngày 12/07). Sau đó bạn xoá file .cfg đi ? Chi vậy ? 
Em nó quên thôi, trong bối cảnh khẩn trương tìm hiểu, khảo sát vừa phải lo post bài lên HVA, ai mà chẳng quên. Tôi cũng có lúc viết nhầm giữa btwdins.exe với btwdns.exe đấy. Mà TQN hỏi cứ như là an ninh ấy nhỉ! 1visao có công đầu trong việc đưa ra mối nghi ngờ đấy (Tôi chỉ là người xác định file btwdins.dll là mã độc, botnet trong file WIDCOMM.zip mà thôi). Hì hì. Xin TQN upload lai file WIDCOMM.zip đầy đủ lên Medifire. Cám ơn TQN. (Be noted: Quanta đừng sử dụng tiện ích "code", vì dễ gây vỡ page frame của trang, rất khó đọc trang. Nên dùng "quote". Vừa rồi mình có "chỉnh lại" bài viết của quanta đấy. Nhưng bây giờ...lại bị vỡ trang mất rồi)]]>
/hvaonline/posts/list/37393.html#277485 /hvaonline/posts/list/37393.html#277485 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277487 /hvaonline/posts/list/37393.html#277487 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

TQN wrote:
File đó em cũng down về từ 1visao mà, phân tích prefetch file cậu ta gởi mới thấy còn file .cfg nữa mà cậu ta xoá đi. 
Ờ đúng rồi File btwdins.exe trong máy của người bạn 1visao nằm tại thư mục \PROGRAM FILES\COMMON FILES\WIDCOMM\BTWDINS.EXE (ổ D). File btwdins.dll cũng nằm trong chính thư mục này.OS: WINXP. File BTWDINS.EXE được kích hoạt lần cuối vào ngày 13/7/2013 2:42:22 PM (giờ set trên máy người bạn). BTWDINS.EXE vừa qua đã được kích hoạt nhiều lần Chắc chắn 100% là BTWDINS.EXE đã kích hoạt btwdins.dll để load mã độc lên bộ nhớ, sau khi BTWDINS.EXE vừa được kích hoạt. Tuy nhiên sau khi bị kích hoạt, BTWDINS.EXE còn kích hoạt rất nhiều file .dll khác nữa trong máy, không chỉ btwdins.dll (như usp10.dl, shlwapi.dll, comctl32.dll, rpcrt4.dll vân vân, có tới khoảng 18 .dll file) Không rõ ngoài btwdins.dll, còn có file .dll "lạ" nào khác tham gia vào quá trình nhiễm mã độc vào máy không nhỉ? Chắc cần thời gian ngâm cứu thêm]]>
/hvaonline/posts/list/37393.html#277490 /hvaonline/posts/list/37393.html#277490 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277491 /hvaonline/posts/list/37393.html#277491 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277503 /hvaonline/posts/list/37393.html#277503 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

n2tforever wrote:
search.thn (của mod quanta post bên trên) sau khi decode: http://www.mediafire.com/?ct0rwtss4u3vc4f 
Post lên đây luôn để các bạn đọc, khỏi mất công
GET /Chinh-tri-Xa-hoi/Phap-luat HTTP/1.1\r\nHost: tuoitre.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nReferer: http://tuoitre.vn/Chinh-tri-Xa-hoi\r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://tuoitre.vn/Chinh-tri-Xa-hoi/Phap-luat ......... GET / HTTP/1.1\r\nHost: dantri.com.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://dantri.com.vn ................... GET / HTTP/1.1\r\nHost: vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://vietnamnet.vn 
Comments 1-Phiên bàn file thn này có đôi điểm khác với phiên bản ngày 13/7, thí dụ không tấn công trực tiếp vào m.tuoitre.vn (trang chuyen cho ĐT di đông)... 2-Không có một cá nhân nào đủ tiền bạc, thời gian thiết lập ba hệ thống webserver-server hoành tráng (thưc tế còn nhiều hơn) để chỉ chứa 1-2 file nhỏ xíu (dung lương khoảng 1KB), dù để tấn công DDoS. Đây phải là của 1 tổ chức, có chiến lược thu thập thông tin-tấn công mạng lâu dài. ]]>
/hvaonline/posts/list/37393.html#277506 /hvaonline/posts/list/37393.html#277506 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

TQN wrote:
File đó em cũng down về từ 1visao mà, phân tích prefetch file cậu ta gởi mới thấy còn file .cfg nữa mà cậu ta xoá đi. 
Lúc em gửi mẫu đầu tiên cho anh TQN là ngày 9/7/2013 , với file WIDCOMM.zip ko có file .cfg , em nhớ rất chính xác , em đã nén toàn bộ lúc đó chứ không có xóa. Anh TQN để ý thấy anh download về giải nén các file mẫu đầu tiên ghi ngày 5/7/2013 . Rồi em quay lại sau đó , thì thấy đã xuất hiện thêm file .cfg. em đã nén lại file WIDCOMM.zip khác , file nó nằm ở đây , em mới up lên http://www.mediafire.com/download/tm4cbp67tfbbttx/WIDCOMM%28da_chinh%29.zip anh giải nén ra thấy các file ngày tháng nó ghi ngày 10/7/2013 .
]]>
/hvaonline/posts/list/37393.html#277507 /hvaonline/posts/list/37393.html#277507 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

n2tforever wrote:
search.thn sau khi decode: http://www.mediafire.com/?ct0rwtss4u3vc4f 
n2tforever có thể viết một bài phân tích cho mình học hỏi thêm với được không? Cảm ơn.]]>
/hvaonline/posts/list/37393.html#277513 /hvaonline/posts/list/37393.html#277513 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS
Máy chủ “đánh” báo điện tử tạm thời bị vô hiệu hóa 16/07/2013 | 15:30:00 http://www.vietnamplus.vn/Home/May-chu-danh-bao-dien-tu-tam-thoi-bi-vo-hieu-hoa/20137/206949.vnplus
Anh Nguyễn Hồng Phúc, một thành viên diễn đàn bảo mật HVA Online cho biết, sáng 16/7 máy chủ điều khiển mạng máy tính ma (botnet) tấn công một số báo điện tử ở Việt Nam như Dân trí, Tuổi trẻ, VietNamNet đã tạm thời bị vô hiệu hóa. Đây là nỗ lực của diễn đàn HVA Online và cộng đồng mạng trong việc trợ giúp các trang báo điện tử Việt Nam trước cuộc tấn công lớn của tin tặc bằng hình thức DDoS trong suốt hai tuần qua. Anh Phúc cho hay, khi biết các báo bị tấn công, HVA Online đã thực hiện việc theo dõi cuộc tấn công này bằng nhiều cách, trong đó có việc cung cấp một công cụ kiểm tra khả năng bị lây nhiễm mã độc tấn công DdoS. Qua đó, người dùng có thể kiểm tra xem máy tính của mình có đang trở thành thành viên của mạng máy tính ma hay không thông qua www.antibotnet.tk. Nếu công cụ thông báo máy “Có nguy cơ bị nhiễm” cùng với dấu hiệu máy tính đang truy cập mạng chậm và trong vòng 10 ngày qua chưa khởi động lại modem thì nhiều khả năng máy tính của người dùng đã nằm trong mạng máy tính ma lớn nhất Việt Nam. Trong trường hợp này, HVA Online đề nghị người dùng liên lạc về địa chỉ hvaddosresponseteam@gmail.com để được hướng dẫn cách lấy mẫu virus cũng như gỡ bỏ. Độc giả có thể tự kiểm tra xem máy tính của mình có nằm trong mạng máy tính ma hay không theo hướng dẫn của HVA Online. (Ảnh: Vietnam+)
Vẫn theo anh Phúc, chính nhờ sự tích cực tham gia hỗ trợ của cộng đồng mạng mà HVA Online đã truy tìm ra mẫu virus, thực hiện phân tích mẫu thu thập được để truy tìm các máy chủ điều khiển tấn công các báo mạng trong thời gian qua. Và, HVA Online đã tìm được một số máy chủ phát lệnh tấn công được đặt tại Công ty Lease Web GmbH của Đức. “Chúng tôi đã thông báo cho các nhà cung cấp dịch vụ về việc hosting của họ đang lưu trữ các máy chủ kiểm soát mạng máy tính ma ở Việt Nam. Đến sáng 16/7, các máy chủ ấy đã tạm thời bị vô hiệu hóa,” anh Phúc nói. Tuy nhiên, vị chuyên gia này cho biết “cũng chưa xác định được nhà cung cấp dịch vụ vô hiệu hóa máy chủ, hay chính hacker làm việc này.” Theo quan sát của phóng viên Vietnam+, hiện việc truy cập vào các báo điện tử đã khá dễ dàng. Tuy nhiên, việc hacker có quay trở lại tấn công vẫn là một nguy cơ thường trực. HVA Online và cộng đồng mạng sẽ tiếp tục gửi mẫu virus đã thu thập được cho các đơn vị chống virus toàn cầu để thực hiện những bước cuối cùng trong việc tiêu diệt mạng máy tính ma này.
 
]]> /hvaonline/posts/list/37393.html#277524 /hvaonline/posts/list/37393.html#277524 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

PXMMRF wrote:
Vietnam Plus 
Vietnam Plus là trang tin chính thống chủ đạo của Vietnam News Agency mà ]]>
/hvaonline/posts/list/37393.html#277526 /hvaonline/posts/list/37393.html#277526 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277529 /hvaonline/posts/list/37393.html#277529 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

quanta wrote:

n2tforever wrote:
search.thn sau khi decode: http://www.mediafire.com/?ct0rwtss4u3vc4f 
n2tforever có thể viết một bài phân tích cho mình học hỏi thêm với được không? Cảm ơn. 
Thế các bạn có ý kiến gì về những dòng ký tự này? Các bạn có biết nó từ đâu không? Có điều gì không ổn phải không?
咴ꣾঐ尰爢焼죂Ꭓ潻蛎ᠬ暺䵇䮁雧็�დ꜕卩ֻ䮴़–孈㿲ﰊ譯텎̼台ホ㯯䋥ሻ돋ኲ꺪粗溵첢ㅶ蜻遧褖⢆ǎ⣓䟬带압腊緎⍷䮣︄佭弙辖ଝ풔茞푮䶨蹙ട誰ሱ胁䠷㎲ƨ岘ቒꉾꪘ銕࿆蘾훖嫇돉뇤툽☜푃芨饩톕피컾욏ࢠ걐喛䢇Оਫ਼ꗦ飘�⏠쮧씙᫗꭪惏ᦼ粲凨Ⴭ⸭⯤�տ៰ⴍ≫膢灗㻼ꛮ螘ཫ䤮툣暛P析櫗Ⳛ椚皡�ᑆ쓢埇튙潅⻺鳳幺眳즙⾷驭팾好愻ꇽ딀㻂鮰七鄑䞑껻ࡅꐤ驡珣♵❮⪘萁讲诶⎣瞺纭ᄈ䜤噔႕㽄㼑퐰㙄࿕쑫渿䰩 
Trong những dòng ký tự trên đây có nhiều (rất nhiều là khác) chữ Hoa (Chinese) rõ ràng, như 好, 七 vân vân]]>
/hvaonline/posts/list/37393.html#277532 /hvaonline/posts/list/37393.html#277532 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

quygia128 wrote:
@n2tforever: lão có thể nói rõ file "search.thn" được đặt ở đâu(khi download thành công) trong hệ thống không ? Mình cũng đặt BreakPoint ở các hàm OpenFile, CreateFile... ngồi chờ rất lâu (sau đó patch thời gian của hàm Sleep thành 1000 ms để khỏi phải chờ đợi nó ngủ) nhưng không thấy nó load fie lên để Decrypt ^^. Mong lão chia sẽ chút về vấn đề này (Nó Encrypt bằng gì ?) Cảm ơn lão trước. File .cfg là một PE file, tối nay ngồi nghiên cứu em nó :) 
Hi lão search.thm này được tải về từ web server và nạp trực tiếp vào một buffer trong memory để xử lý chứ không tạo thành file. lão dựng một webserver giả rồi add một bản ghi ip - domain vào file host để lừa nó kết nối đến . sau đó đặt bp ở hàm read của ws2_32 rồi lần theo thôi. sơ qua thì dữ liệu trong search.thn này được nó encrypt 2 lần. Đầu tiên khi nhận được search.thn nó sẽ dùng 1 thuật toán để decrypt lần 1 (dùng plugin scan thì là rc4 hay blowfish gì đó) được 1 khối dữ liệu có 2 byte đầu là 0x1F 0x8B cộng với những string tìm được trong dll => được compress bằng zlib, trace tiếp sẽ tới đoạn decode lần 2 để ra clean text. Thực ra đầu tiên tìm ra cái clean này chủ yếu do may chứ k có kĩ thuật gì cả, mình search string trong dll thì thấy có mấy cái mặt "^_^" , "@_@" , ">_<" ngộ quá nên đặt bp thử ai dè chúng luôn cái hàm tách tring token (mấy cái mặt kia là separator =]] ) nên tóm được cái clean text luôn :) P/S: cái file cfg kia cùng checksum với btwdins.exe nó là một thôi ]]>
/hvaonline/posts/list/37393.html#277534 /hvaonline/posts/list/37393.html#277534 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

PXMMRF wrote:

quanta wrote:

n2tforever wrote:
search.thn sau khi decode: http://www.mediafire.com/?ct0rwtss4u3vc4f 
n2tforever có thể viết một bài phân tích cho mình học hỏi thêm với được không? Cảm ơn. 
Thế các bạn có ý kiến gì về những dòng ký tự này? Các bạn có biết nó từ đâu không? Có điều gì không ổn phải không?
咴ꣾঐ尰爢焼죂Ꭓ潻蛎ᠬ暺䵇䮁雧็�დ꜕卩ֻ䮴़–孈㿲ﰊ譯텎̼台ホ㯯䋥ሻ돋ኲ꺪粗溵첢ㅶ蜻遧褖⢆ǎ⣓䟬带압腊緎⍷䮣︄佭弙辖ଝ풔茞푮䶨蹙ട誰ሱ胁䠷㎲ƨ岘ቒꉾꪘ銕࿆蘾훖嫇돉뇤툽☜푃芨饩톕피컾욏ࢠ걐喛䢇Оਫ਼ꗦ飘�⏠쮧씙᫗꭪惏ᦼ粲凨Ⴭ⸭⯤�տ៰ⴍ≫膢灗㻼ꛮ螘ཫ䤮툣暛P析櫗Ⳛ椚皡�ᑆ쓢埇튙潅⻺鳳幺眳즙⾷驭팾好愻ꇽ딀㻂鮰七鄑䞑껻ࡅꐤ驡珣♵❮⪘萁讲诶⎣瞺纭ᄈ䜤噔႕㽄㼑퐰㙄࿕쑫渿䰩 
Trong những dòng ký tự trên đây có nhiều (rất nhiều là khác) chữ Hoa (Chinese) rõ ràng, như 好, 七 vân vân 
Hình như đoạn text này là do bác mở search.thn ở chế độ unicode. Ý bác là file này là một file thuần text hay sao ạ ? :)]]>
/hvaonline/posts/list/37393.html#277535 /hvaonline/posts/list/37393.html#277535 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277536 /hvaonline/posts/list/37393.html#277536 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277538 /hvaonline/posts/list/37393.html#277538 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277540 /hvaonline/posts/list/37393.html#277540 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

n2tforever wrote:

quygia128 wrote:
@n2tforever: lão có thể nói rõ file "search.thn" được đặt ở đâu(khi download thành công) trong hệ thống không ? Mình cũng đặt BreakPoint ở các hàm OpenFile, CreateFile... ngồi chờ rất lâu (sau đó patch thời gian của hàm Sleep thành 1000 ms để khỏi phải chờ đợi nó ngủ) nhưng không thấy nó load fie lên để Decrypt ^^. Mong lão chia sẽ chút về vấn đề này (Nó Encrypt bằng gì ?) Cảm ơn lão trước. File .cfg là một PE file, tối nay ngồi nghiên cứu em nó :) 
Hi lão search.thm này được tải về từ web server và nạp trực tiếp vào một buffer trong memory để xử lý chứ không tạo thành file. lão dựng một webserver giả rồi add một bản ghi ip - domain vào file host để lừa nó kết nối đến . sau đó đặt bp ở hàm read của ws2_32 rồi lần theo thôi. sơ qua thì dữ liệu trong search.thn này được nó encrypt 2 lần. Đầu tiên khi nhận được search.thn nó sẽ dùng 1 thuật toán để decrypt lần 1 (dùng plugin scan thì là rc4 hay blowfish gì đó) được 1 khối dữ liệu có 2 byte đầu là 0x1F 0x8B cộng với những string tìm được trong dll => được compress bằng zlib, trace tiếp sẽ tới đoạn decode lần 2 để ra clean text. Thực ra đầu tiên tìm ra cái clean này chủ yếu do may chứ k có kĩ thuật gì cả, mình search string trong dll thì thấy có mấy cái mặt "^_^" , "@_@" , ">_<" ngộ quá nên đặt bp thử ai dè chúng luôn cái hàm tách tring token (mấy cái mặt kia là separator =]] ) nên tóm được cái clean text luôn :) P/S: cái file cfg kia cùng checksum với btwdins.exe nó là một thôi  
Yep. Chính xác. cái lần giải mã thứ 2 là gzip deflate. Lần thứ 1 mình đoán là một kiểu mã hoá dòng, vì không thìm thấy hằng số nào trong đó cả. Hàm encrypt thứ nhất mình thấy có 2 chỗ đáng nghi. 1 là giải mã file config, 2 là cập nhật. Trước ghi gọi hàm encrypt thứ nhất, có 2 hàm khác để init đầu buffer đầu ra. Không rõ bạn có lưu ý hàm __tzset bị sai không??]]>
/hvaonline/posts/list/37393.html#277544 /hvaonline/posts/list/37393.html#277544 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

n2tforever wrote:
Hình như đoạn text này là do bác mở search.thn ở chế độ unicode. Ý bác là file này là một file thuần text hay sao ạ ? :) 
Không phải ý tôi nói search.thn là một file thuần text đâu! Thuần text mà như thế này thì chính tôi cũng chả hiểu nó nói gì, nửa là thằng botnet. Hì hì. Tôi có ý khác. Tôi đánh giá rất cao quá trình decode nôi dung file search của n2tforever. Nhưng cũng có đôi điểm cần hỏi thêm cho rõ, chính xác là "cho biết" thì đúng hơn. Tuy nhiên tôi đang "quần" với 3 cái master server chết tiệt và cả với "btwdins.exe". Tôi có nhiều câu hỏi và ý kiến mới, to be shortly posted.]]>
/hvaonline/posts/list/37393.html#277547 /hvaonline/posts/list/37393.html#277547 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

acoustics89 wrote:

n2tforever wrote:

quygia128 wrote:
@n2tforever: lão có thể nói rõ file "search.thn" được đặt ở đâu(khi download thành công) trong hệ thống không ? Mình cũng đặt BreakPoint ở các hàm OpenFile, CreateFile... ngồi chờ rất lâu (sau đó patch thời gian của hàm Sleep thành 1000 ms để khỏi phải chờ đợi nó ngủ) nhưng không thấy nó load fie lên để Decrypt ^^. Mong lão chia sẽ chút về vấn đề này (Nó Encrypt bằng gì ?) Cảm ơn lão trước. File .cfg là một PE file, tối nay ngồi nghiên cứu em nó :) 
Hi lão search.thm này được tải về từ web server và nạp trực tiếp vào một buffer trong memory để xử lý chứ không tạo thành file. lão dựng một webserver giả rồi add một bản ghi ip - domain vào file host để lừa nó kết nối đến . sau đó đặt bp ở hàm read của ws2_32 rồi lần theo thôi. sơ qua thì dữ liệu trong search.thn này được nó encrypt 2 lần. Đầu tiên khi nhận được search.thn nó sẽ dùng 1 thuật toán để decrypt lần 1 (dùng plugin scan thì là rc4 hay blowfish gì đó) được 1 khối dữ liệu có 2 byte đầu là 0x1F 0x8B cộng với những string tìm được trong dll => được compress bằng zlib, trace tiếp sẽ tới đoạn decode lần 2 để ra clean text. Thực ra đầu tiên tìm ra cái clean này chủ yếu do may chứ k có kĩ thuật gì cả, mình search string trong dll thì thấy có mấy cái mặt "^_^" , "@_@" , ">_<" ngộ quá nên đặt bp thử ai dè chúng luôn cái hàm tách tring token (mấy cái mặt kia là separator =]] ) nên tóm được cái clean text luôn :) P/S: cái file cfg kia cùng checksum với btwdins.exe nó là một thôi  
Yep. Chính xác. cái lần giải mã thứ 2 là gzip deflate. Lần thứ 1 mình đoán là một kiểu mã hoá dòng, vì không thìm thấy hằng số nào trong đó cả. Hàm encrypt thứ nhất mình thấy có 2 chỗ đáng nghi. 1 là giải mã file config, 2 là cập nhật. Trước ghi gọi hàm encrypt thứ nhất, có 2 hàm khác để init đầu buffer đầu ra. Không rõ bạn có lưu ý hàm __tzset bị sai không?? 
Nội dung các file này là một số lẻ các byte (không phải là các block 16 hoặc 32 byte hoặc hơn) nên bước 1 là mã hoá dòng (stream cipher). Tìm qua các strings trong dll thì nhiều khả năng là Salsa20 (high speed stream cipher - tác giả là Bruce Schneider :P). Mấy tay này làm khá bài bản: compress first then encrypt]]>
/hvaonline/posts/list/37393.html#277557 /hvaonline/posts/list/37393.html#277557 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277568 /hvaonline/posts/list/37393.html#277568 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

1visao wrote:
Hình ảnh trong bài post đầu tiên em capture được là ảnh chụp lúc máy bị nhiễm virus gửi request liên tục đến máy proxy bên em để truy cập tới 3 trang báo .( Máy này trước đó xài gateway trực tiếp kết nối internet qua modem ADSL , do mạng chậm nên họ nhờ em kiểm tra giùm ) Em thấy "lạ" nên em xin remote vào máy bên đó , chạy tiện ích TCPview thì thấy btwdins.exe liên tục gửi truy vấn tới các trang báo em nghi ngờ là mẫu virus STL , nên mới tìm đến thư mục và nén WIDCOMM.zip gửi lên nhờ mọi người bên HVA phân tích. Còn về nguồn lây nhiễm mấy hôm nay em cũng thử copy các tiện ích, phần mềm lấy từ máy đó về và lây nhiễm mọi cách vào máy ảo nhưng vẫn ko tìm được nguồn. :( Hôm qua em đã cập nhật AV , và xài tools của anh TQN kill con bot này cho máy đó rồi , nên không thể cung cấp gì thêm cho anh PXMMRF được nữa. 
Em vẫn còn có thể và nên cung cấp cho anh vài thông tin cần thiết khác. Hì hì. Trong máy người bạn em cài một chương trình quản lý, dọn dep máy tính PCHEALTH phải không? (Không rõ là PCHEALTH Chẹck , PCHEALTH Advisor hay PCHEALTH Optimizer...?). Nhờ em upload lên Mediafire toàn bộ các Files trong folder "PCHEALTH" tại directory D:\WINDOWS\PCHEALTH (Nhớ là ở /Windows chứ không phải /Program Files nhé!). Tối thiểu cũng upload lên Mediafire file "MSCONFIG.EXE" trong thư mục D:\WINDOWS\PCHEALTH\HELPCTR\BINARIES\MSCONFIG.EXE D là tên ổ đĩa trong máy người bạn em. Em cũng hỏi thêm người bạn là họ đã download PCHEALTH từ đâu, lúc nào...?. Xin cám ơn. (Như em đã biết, ta đã phát hiện được btwdins.exe và btwdins.dll là các thành phần chính trong DDoS tool tấn công vào vietnamnet.vn, tuoitre.vn, dantri.com.vn.... btwdins.dll load lên memory các đia chỉ Internet (như vietnamnet.vn...) để service btwdins.exe thực thị các kết nối mạng, tấn công DDoS. Chúng ta dự đoán btwdins.exe kích hoạt btwdins.dll. Nhưng điều ta chưa rõ là cái gì kích hoạt (và có thể inject code vào) btwdins.exe để nó có thể active. Tôi đã đưa các file btwdins.exe, btwdins.dll và cả btwdins.exe.cfg vào máy thử nghiệm để kích hoạt quá trình nhiễm độc vào máy và tấn công DDoS, nhưng không có kết quả, không thấy gì). Nghiên cứu kỹ file "Prefech" mà 1visao cung cấp, tôi thấy dường như có một mối liên hệ "tương tác" giữa file MSCONFIG.EXE trong PCHEALTH nói trên với btwdins.exe. Có thể MSCONFIG.EXE đã bị nhiễm độc hay là file giả mạo? btwdins.exe cũng liên hệ với 1 file có tên NTOSBOOT-B00DFAAD.pf. Nhưng tôi không ưu tiên chú ý file thứ hai này. to TQN: Mình đã nhắc bạn ....upload lên mang file mDNSResponder.exe. Đây chắc là DDoS tool tấn công vào vietnamnet.vn, tuoitre.vn thứ hai, sau btwdins.exe. ]]>
/hvaonline/posts/list/37393.html#277581 /hvaonline/posts/list/37393.html#277581 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277585 /hvaonline/posts/list/37393.html#277585 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277613 /hvaonline/posts/list/37393.html#277613 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277627 /hvaonline/posts/list/37393.html#277627 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277629 /hvaonline/posts/list/37393.html#277629 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277631 /hvaonline/posts/list/37393.html#277631 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS mDNSResponder.exe. Tôi đã đề nghị bạn tncong88 cung cấp file mDNSResponder.exe trong máy của bạn đó để anh em HVA phân tích, tìm cách khắc phục. Nhưng rất tiếc cho đến nay bạn tncong88 vẫn chưa trả lời. Tôi post lại bài viết của tôi ngày 20/7/2013 trả lời bài viết của bạn tncong88 (post ngày 19/7/2013). Mong bạn tncong88 trả lời sớm. Xin cám ơn!

tncong88 on July 19, 2013 wrote:
Chào mọi người. Máy mình xài win 8 pro, Avast. Dạo gần đây khi vào mạng khá chập chờn. Bật Avast thìlúc vào được lúc lại ko. Tắt Avast thì vào bình thuòng nhưng modem lúc nào cũng nhấp nháy như đang up hay down dữ liệu gì đó mặc dù đã tắt hết các trình duyệt, các torrent... Mình dùng lệnh netstat để xem thì thấy thế này, xem link: Code:
http://pastebin.com/vqFSH66q
Mình ko biết về mạng nên mọi người cho hỏi là máy mình có kết nối gì lạ không ? Mình đã check ở http://www.antibotnet.tk thì báo là máy an toàn. Mong mọi người giúp đỡ. 
Service mDNSResponder.exe là một service trong phần mềm Bonjour (Bonjour service).Bonjour luôn được cài kèm theo phần mềm iTunes. Khi chưa bị nhiễm độc, hay không phải là phần mềm giả tạo, mDNSResponder.exe có dung lượng khoảng 382 KB và có nhiệm thu thập các thông tin về người sử dung iTunes (Registration, Trình duyệt, OS, DNS IP... vân vân). Nó chỉ kết nối đến các máy chủ của công ty quản lý iTunes, nhưng không thường xuyên, không kết nối với trang mạng, server khác như vietnamnet.vn, các server của VDC... mDNSResponder.exe trong máy bạn đã nhiễm độc hay là một file giả mạo. Xin bạn upload cho chúng tôi File này hay toàn bộ thư mục trong folder Bonjour trong máy của bạn. Xin bạn vào box "Những thảo luận khác ", topic "VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS" post bài và xin post lai vào đó bài trên của bạn. ]]>
/hvaonline/posts/list/37393.html#277645 /hvaonline/posts/list/37393.html#277645 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS mDNSResponder.exe. Active connections: http://pastebin.com/UnLri1ev Process đang chạy: http://pastebin.com/epw9hRRZ Thư mục Bonjour bao gồm file mDNSResponder.exe: http://www.mediafire.com/download/r5umw2frb2tc7s4/Bonjour.rar Không biết có giúp đc gì ae ko nhưng thôi cứ post vậy ^^ Thanks !]]> /hvaonline/posts/list/37393.html#277651 /hvaonline/posts/list/37393.html#277651 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277658 /hvaonline/posts/list/37393.html#277658 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS http://www.mediafire.com/?spx4gjjs16nd15b 
Process Name là Unknown nên mình ko biết đó là ứng dụng nào, service nào cả. Mở Network Monitor lên thì thấy chỉ có 2 cái đang kết nối vào mạng là Chrome và Microsoft Windows Search Indexer, nếu tắt Chrome đi thì chỉ còn cái này kết nối vào mạng và modem vẫn nhấp nháy ầm ầm, liệu có phải nó đã nhiễm vào file hệ thống này rồi ko ?

Đã quét full máy bằng KIS 2013 nhưng chỉ phát hiện được mDNSResponder.exe và nó đã xoá rồi, nhưng tình trạng kết nối liên tục ra ngoài vẫn tiếp diễn. Mong anh em giúp đỡ.
]]>
/hvaonline/posts/list/37393.html#277676 /hvaonline/posts/list/37393.html#277676 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277678 /hvaonline/posts/list/37393.html#277678 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277680 /hvaonline/posts/list/37393.html#277680 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS http://www.mediafire.com/download/qatdwiebekilfnk/Microsoft.zip http://www.mediafire.com/download/gp5pd8dibmopadt/windowssearchengine.zip  Mình đã vào Control Panel tắt chức năng Windows Search và tắt cả service Winsearch nữa, và các kết nối ra bên ngoài đã hết. Không biết tiếp theo sẽ là gì đây. Mình ko rành về máy tính nên xin nói rõ là tình trạng xảy ra giống như mình đang upload một file gì đó ra bên ngoài vậy đó, thấy max tốc độ upload của đường truyền luôn.]]> /hvaonline/posts/list/37393.html#277684 /hvaonline/posts/list/37393.html#277684 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS SearchIndexer.exe được gọi (description) là "Microsoft Windows Search Indexer" SearchIndexer quản lý danh mục các file trong hệ thống Windows, cần cho việc tìm file trong hệthống. SearchIndexer.exe chỉ có trong Windows 7 (all versions) và các OS mới hơn. Dường như SearchIndexer.exe chưa có trong WIN XP (các SP) và các OS cũ hơn, theo tìm hiểu của tôi (PXMMRF-HVA). Trong Windows 7, SearchIndexer.exe có dung lượng 417 KB (Size on disk: 420KB). SearchIndexer.exe nằm tại thư mục: \Windows\System32\SearchIndexer.exe. (xem hình minh hoạ) Trong cấu hình mặc định (default) của Windows thì System (quyền hệ thống) và Administrators (quyền của các Admin) chỉ giới hạn ở "Read" và "Read&excute" đối với service này. Chỉ có TrustedInstaller mới có quyền "Full control" (nghĩa là cơ bản không ai có quyền "Full control"). Vì vậy hacker khó có thể gây nhiễm độc cho service SearchIndexer.exe, mà có thể chỉ giả mao file. File (service) SearchIndexer.exe giả mạo phải nằm ở một thư mục khác với thư mục của service nguyên thuỷ,"chính chủ" ( \Windows\System32\SearchIndexer.exe) và phải có dung lượng thay đổi (chính xác là MD5-SHA256... thay đổi). Xin bạn tncong88 upload lên file-folder SearchIndexer.exe trong máy bạn lên mang. chắc chắn đây là file SearchIndexer.exe giả mạo.
]]>
/hvaonline/posts/list/37393.html#277685 /hvaonline/posts/list/37393.html#277685 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS
Liệu có phải đây là lý do máy em bị nhiễm ?]]>
/hvaonline/posts/list/37393.html#277687 /hvaonline/posts/list/37393.html#277687 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277689 /hvaonline/posts/list/37393.html#277689 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

tncong88 wrote:
to n2tforever: Mình vào thư mục backup của KIS nhưng ko có gì cả. Có lẽ mình đã chọn KIS xoá hết rồi hay sao đó. Đây là các thư mục có chứa file searchindexer.exe mà mình tìm được trong máy: Một nằm tại C:\Program Files\Common Files\Microsoft và một loạt khác nằm tại C:\Windows\WinSxS
http://www.mediafire.com/download/qatdwiebekilfnk/Microsoft.zip http://www.mediafire.com/download/gp5pd8dibmopadt/windowssearchengine.zip 
Mình đã vào Control Panel tắt chức năng Windows Search và tắt cả service Winsearch nữa, và các kết nối ra bên ngoài đã hết. Không biết tiếp theo sẽ là gì đây. Mình ko rành về máy tính nên xin nói rõ là tình trạng xảy ra giống như mình đang upload một file gì đó ra bên ngoài vậy đó, thấy max tốc độ upload của đường truyền luôn. 
File "SearchFolder.dll" nằm tai thư mục "C:\Program Files\Common Files\Microsoft " mà bạn tncong88 vừa upload lên mediafire.com là một Trojan (DLOADER.Troạn), theo xác định của công ty DrWeb (DrWeb là một công ty Antivirus của Nga). Tuy nhiên nó cũng đã qua mặt được hầu hết Antivirus khác kể cả Kaspersky và Avira. Xem hình minh hoạ.
Tôi dự đoán rằng SerchFolder.dll sẽ load lên memory của máy nhiễm độc các link kết nối đến vietnamnet.vn, tuoitre.vn.... Tuy nhiên việc disassembling file này sẽ được anh TQN và quygia128... làm rõ thêm. File SearchIndexer.exe (giả mạoSearchIndexer.exe nguyên thuỷ của Windows ) sơ bộ chưa thấy có vấn đề gì (liên hệ với SearchFolder.dll), nhưng thực tế chính nó lại là service thưc thi các kết nối tấn công DDoS trên mạng vào vietnamnet.vn, tuoitre.vn.... . "Cặp đôi hoàn hảo" SearchIndexer.exe-SearchFolder.dll có vẻ đang đóng vai trò như "cặp đôi" btwdins.exe-btwdins.dll. Hì hì ]]>
/hvaonline/posts/list/37393.html#277691 /hvaonline/posts/list/37393.html#277691 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277692 /hvaonline/posts/list/37393.html#277692 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS http://segment.bbf7.org/mouse.cur 000A04C8 http://sys.packtimes.info/mouse.cur 000A0508 http://mirror.originalcity.net/mouse.cur 000A0558 http://segment.bbf7.org/busy.cur 000A0598 http://sys.packtimes.info/busy.cur 000A05D8 http://mirror.originalcity.net/busy.cur 000A0618 http://segment.bbf7.org/hands.cur 000A0658 http://sys.packtimes.info/hands.cur 000A0698 http://mirror.originalcity.net/hands.cur bổ xung: 000A1F88 http://lasted.detailsupp.org/mouse.cur 000A0868 http://assign.presge.net/mouse.cur User Agent: Code:
Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20130328 Firefox/19.0
]]>
/hvaonline/posts/list/37393.html#277693 /hvaonline/posts/list/37393.html#277693 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

n2tforever wrote:
000A0488 http://segment.bbf7.org/mouse.cur 000A04C8 http://sys.packtimes.info/mouse.cur 000A0508 http://mirror.originalcity.net/mouse.cur 000A0558 http://segment.bbf7.org/busy.cur 000A0598 http://sys.packtimes.info/busy.cur 000A05D8 http://mirror.originalcity.net/busy.cur 000A0618 http://segment.bbf7.org/hands.cur 000A0658 http://sys.packtimes.info/hands.cur 000A0698 http://mirror.originalcity.net/hands.cur User Agent: Code:
Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20130328 Firefox/19.0
 
Sao nó nhiều Master servers (C&C) thế nhỉ? Kinh! ]]>
/hvaonline/posts/list/37393.html#277697 /hvaonline/posts/list/37393.html#277697 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS http://segment.bbf7.org mà thôi. Đây là link download file mouse.cur (15KB) Và đây là "hình ảnh" của file "xem" bằng Notepad-unicode. Dày đặc chữ Tầu, nhưng trong đó là những hiden codes (Nhờ n2tforever decode).
]]>
/hvaonline/posts/list/37393.html#277700 /hvaonline/posts/list/37393.html#277700 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS http://www.mediafire.com/?oho7o70dgcc0opu trong này có lẫn cả đoạn javascript này, không biết các đại ca đihj làm gì :-ss Code:
function getCookie()
{
    	var str = window.location.href;
	var n1 = str.indexOf("ip=");
	var missing_you = false;
	if (n1 > 0)
	{
		n1 = n1 + 3;
		str = str.substring(n1);
		var n2 = str.indexOf("&");
		if (n2 > 0)
		{
			str = str.substring(0, n2);
			if (str.length > 0)
			{
				missing_you = true;
			}
		}
	}
	if (false == missing_you)
	{
		str = "127.0.0.1";
	}
	str = str + "dontmesswithus@1";
	document.write("vietnamnet=" + calcMD5(str));
}
]]>
/hvaonline/posts/list/37393.html#277702 /hvaonline/posts/list/37393.html#277702 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS n2tforever đã decoded ra rất dài, nếu in ra có lẽ phải khoảng trên dưới 20 trang giấy khổ A4. Tôi đã lược đi rất nhiều chi tiết để post lên đây những nội dung chính, giúp các bạn tiện theo dõi, kèm theo vài nhận xét.: 1- Hackers vẫn tập trung tấn công vào 3 mục tiêu quan trọng là: vietnamet.vn, dantri.com.vn, tuoitre.vn, trong đó "nặng nề nhất" là vietnamnet.vn 2. Hackers sử dụng các User Agents phù hợp với các HĐH Windows từ Win2000 đến Win server 2012 (từ Win NT 5.0 đến Win NT 6.2) cài trên các Desktop và Laptop, sử dụng nhiều loại trình duyệt. Chúng cũng sử dụng các User Agents phù hợp với các iPod, iPhone, để tấn công vào các trang mạng chuyên dùng cho Smart phone, như "m.dantri.com.vn" 3-Chúng cũng bắt đầu tấn công vào các trang mạng chuyên về kinh tế, như http://vef.vn (Diễn đàn kinh tế Việt nam, thuộc Vietnamnet). 4-Chúng tấn công cả vào trang" Landing page" của vietnamnet.vn (trang này có embedded một text JavaScript, để kiểm tra cookie của user- xem thêm ở trang 3 của chính topic này). (Cá nhân tôi thấy rằng việc đưa vào một landing page kèm JavaScript là không cần thiết trong việc chống DDoS. Tuy nhiên so với tuoitre.vn thì hệ thống của vietnamnet.vn gần đây lại vững vàng hơn- ít khi bị crashed kéo dài-. Nhưng đó lại từ một lý do-yếu tố khác, mà dường như gần đây các anh ở vietnamnet có tiếp thu 1 phần góp ý của tôi, đăng tải trong chính topic này. Sắp tới tôi sẽ có một bài viết liên quan đến vấn đề nêu trên) -------------------------------------------------
GET / HTTP/1.1\r\nHost: vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://vietnamnet.vn <begin>Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1468.0 Safari/537.36 Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1467.0 Safari/537.36 Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1464.0 Safari/537.36 Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36 Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36 Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36<end> ............................................................................... GET / HTTP/1.1\r\nHost: m.vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate\r\nAccept-Language: en-US,en;q=0.8 http://m.vietnamnet.vn GET / HTTP/1.1\r\nHost: vef.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://vef.vn GET / HTTP/1.1\r\nHost: dantri.com.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://dantri.com.vn GET /s.c/phap-luat.htm HTTP/1.1\r\nHost: s.dantri.com.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nReferer: http://dantri.com.vn/\r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://s.dantri.com.vn /s.c/phap-luat.htm GET / HTTP/1.1\r\nHost: m.dantri.com.vn\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nConnection: keep-alive http://m.dantri.com.vn <begin>Mozilla/5.0 (iPod; U; CPU iPhone OS 4_3_3 like Mac OS X; ja-jp) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8J2 Safari/6533.18.5 Mozilla/5.0 (iPod; U; CPU iPhone OS 4_3_1 like Mac OS X; zh-cn) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8G4 Safari/6533.18.5 Mozilla/5.0 (iPod; U; CPU iPhone OS 4_2_1 like Mac OS X; he-il) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148 Safari/6533.18.5 Mozilla/5.0 (iPhone; U; ru; CPU iPhone OS 4_2_1 like Mac OS X; ru) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148a Safari/6533.18.5 Mozilla/5.0 (iPhone; U; ru; CPU iPhone OS 4_2_1 like Mac OS X; fr) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148a Safari/6533.18.5 Mozilla/5.0 (iPhone; U; fr; CPU iPhone OS 4_2_1 like Mac OS X; fr) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148a Safari/6533.18.5 Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_3_1 like Mac OS X; zh-tw) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8G4 Safari/6533.18.5 Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_3 like Mac OS X; pl-pl) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8F190 Safari/6533.18.5 Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_3 like Mac OS X; fr-fr) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8F190 Safari/6533.18.5 Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_3 like Mac OS X; en-gb) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8F190 Safari/6533.18.5 Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_2_1 like Mac OS X; ru-ru) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148 Safari/6533.18.5 Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_2_1 like Mac OS X; nb-no) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148a Safari/6533.18.5<end> GET / HTTP/1.1\r\nHost: thethao.vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://thethao.vietnamnet.vn <begin>Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1468.0 Safari/537.36 Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1467.0 Safari/537.36 Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1464.0 Safari/537.36 Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36 Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36 Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36<end> GET / HTTP/1.1\r\nHost: tuanvietnam.vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://tuanvietnam.vietnamnet.vn GET / HTTP/1.1\r\nHost: vef.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://vef.vn GET / HTTP/1.1\r\nHost: clip.vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://clip.vietnamnet.vn GET / HTTP/1.1\r\nHost: tuoitre.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://tuoitre.vn GET /mvietnamnet2013/js/scriptv1-0-10.js HTTP/1.1\r\nHost: res.vietnamnet.vn\r\nUser-Agent: \r\nAccept: */*\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nReferer: http://m.vietnamnet.vn/ http://res.vietnamnet.vn /mvietnamnet2013/js/scriptv1-0-10.js GET /mvietnamnet2013/js/scriptv1-0-10.js HTTP/1.1\r\nHost: res.vietnamnet.vn\r\nUser-Agent: \r\nAccept: */*\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nReferer: http://m.vietnamnet.vn/\r\nReferer: {JAV} http://res.vietnamnet.vn /mvietnamnet2013/js/scriptv1-0-10.js GET /mvietnamnet2013/css/style-v1-0-9.css HTTP/1.1\r\nHost: res.vietnamnet.vn\r\nUser-Agent: \r\nAccept: text/css,*/*;q=0.1\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nReferer: http://m.vietnamnet.vn/\r\nConnection: keep-alive http://res.vietnamnet.vn /mvietnamnet2013/css/style-v1-0-9.css 
]]>
/hvaonline/posts/list/37393.html#277708 /hvaonline/posts/list/37393.html#277708 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS
[/URL] ]]>
/hvaonline/posts/list/37393.html#277719 /hvaonline/posts/list/37393.html#277719 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277721 /hvaonline/posts/list/37393.html#277721 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277722 /hvaonline/posts/list/37393.html#277722 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS Code:
https://app.box.com/s/w6wmozoqkauyd6ovb63p
Bạn kéo thả file và tools để lấy mã hash, nếu nó trùng nhau thì bạn chỉ lấy 1 file duy nhất thôi. @PXMMRF: với thắc mắc của anh em xin nói 1 chút xíu về cách hoạt động của mấy chú này:
1. Nó sẽ load file dll lên, nếu thành công thì tiến hành bước 2. 2. Nó sẽ ngủ với thời gian : 341746 ms vì vậy nếu không kiên nhẫn sẽ không thấy được việc nó làm trên hệ thông (ta nên đặt breakpoint tại hàm Sleep và patch thời gian để khỏi chờ đợi lâu) 3. Get file từ C&C server (ta có thể đặt file này trên localhost thay cho server thật, add domainname mà ta đã tìm được trong quá trình debug vào file host và trỏ về địa chỉ 127.0.0.1 để nó load file này lên memory (có thể đặt breakpoint ở hàm "recv" để xem qua trình decrypt)) 4. Loop và CreateThread - CloseThread lien tục, quá trình này loop theo thời gian là 100ms 5.mỗi lần loop sẽ gửi truy vấn đến các mục tiêu ở port 80 thông qua hàm "getaddrinfo" trong WS2_32.dll của Windows, vì vậy ta Breatepoint ở 2 hàm : Sleep và getaddrinfo (trong module .dll) để xem quá trình này.  
]]>
/hvaonline/posts/list/37393.html#277724 /hvaonline/posts/list/37393.html#277724 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS
[/URL] @quygia128: mình đã kéo thả như bạn nói nhưng nó toàn báo thế này: [URL=http://s28.photobucket.com/user/chanhtrungnct/media/2013-07-24_214448_zpsed4dfe3c.png.html]
[/URL] ]]>
/hvaonline/posts/list/37393.html#277725 /hvaonline/posts/list/37393.html#277725 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277726 /hvaonline/posts/list/37393.html#277726 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277727 /hvaonline/posts/list/37393.html#277727 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277732 /hvaonline/posts/list/37393.html#277732 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277735 /hvaonline/posts/list/37393.html#277735 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS 5 Master server mới phát hiện gần đây (cho đến nay HVA đã phát hiện 8 Master server mà hackers sử dụng để điều khiển các cuộc tấn công DDoS vào vietnamnet.vn, tuoitre.vn, dantri.com.vn) 1- segment.bbf7.org Resolved (computer name-host name): 69-78-229-91.deltahost.com.ua Địa chỉ IP tĩnh :91.229.78.69 Nơi đặt server: Ukraina Tình trạng: mở cổng 80, nhưng không upload bất cứ file nào (như mouse.cur, busy.cur, hand.cur) lên website. Truy cập rất khó. 2- mirror.originalcity.net Resolved (computer name-host name): unallocated.barefruit.co.uk Địa chỉ IP tĩnh : 92.242.132.13 Nơi đặt server: Anh quốc Tình trạng: mở cổng 80, đã bị VDC chặn link truy cập và wwwect đến một website của VDC 3- Các (3) Master server còn lại: inactive (hacker tắt server) sys.packtimes.info, lasted.detailsupp.org, assign.presge.net (update time 10.45 AM July 25, 2013) ---------------------------------------------------------------------------

quigia128 wrote:
1. Nó sẽ load file dll lên, nếu thành công thì tiến hành bước 2. 2. Nó sẽ ngủ với thời gian : 341746 ms vì vậy nếu không kiên nhẫn sẽ không thấy được việc nó làm trên hệ thông (ta nên đặt breakpoint tại hàm Sleep và patch thời gian để khỏi chờ đợi lâu) 3. Get file từ C&C server (ta có thể đặt file này trên localhost thay cho server thật, add domainname mà ta đã tìm được trong quá trình debug vào file host và trỏ về địa chỉ 127.0.0.1 để nó load file này lên memory (có thể đặt breakpoint ở hàm "recv" để xem qua trình decrypt)) 4. Loop và CreateThread - CloseThread lien tục, quá trình này loop theo thời gian là 100ms 5.mỗi lần loop sẽ gửi truy vấn đến các mục tiêu ở port 80 thông qua hàm "getaddrinfo" trong WS2_32.dll của Windows, vì vậy ta Breatepoint ở 2 hàm : Sleep và getaddrinfo (trong module .dll) để xem quá trình này.  
Cảm ơn quigia128 đã chia sẻ thông tin thú vị. Rồi mỉnh sẽ bình luận chi tiết về việc này. Trước mắt thì theo mình ngủ trong 341746 ms (khoảng 5-6 phút) thì chỉ là "chợp mắt" thôi. Hì hì. Còn máy thử nghiệm của mình nó thức suốt đêm, suốt ngày nữa và được "uống" nhiều thứ thuốc tăng lưc cơ! Nó cũng được theo dõi từng phút, giây mọi diễn biến bằng nhiều phương tiện độc đáo đấy (thí dụ: hay hơn và độc đáo hơn WireShark 1.10.0). Còn rất nhiều điểm khác cần trao đổi thêm với quigia128. Phân tích của quigia128 là đúng, hay, nhưng lại chua đủ chi tiết cần thiết. Again thank. ---------------------------------------------- to: tncong88. Trước hết xin cảm ơn bạn về những thông tin quý mà bạn đã cung cấp cho HVA. Xin bạn upload lên mediafire.com file "Prefetch" trong máy của bạn. Với Win 7, file này nằm ở thư mục /Windows/Prefetch. File này lưu lai nhiều thông tin về diễn biến của các service trong máy, liên quan đến service "SearchIndexer.exe" và cả "mDNSResponder.exe" (trong folder Bonjour-nằm tại Program Files/Common Files/ trước đây)... File này không bị Antivirus xoá và có dung lượng khá lớn, cỡ vài chục MB hay hơn, gồm nhiều files. Về "Prefetch" tôi xin post lại một đoạn trong tin nhắn gửi cho bạn 1visao mấy ngày trước để tncong88 tham khảo.

PXMMRF trong tin nhan 20-7-2013 gui 1visao wrote:
1visao thân, Xin lỗi vì sáng nay bận họp, nên không trả lời ngay. Về thư mục PCHEALTH trong máy người bạn tại thư muc Windows/.. là mình có 1 sự lầm lẫn. Máy mình có cài thử PC HEALTH Optimizer (để kiểm tra) và không hiểu tại sao PC HEALTH Optimizer lại ịnject được code vào file Prefech (của máy người bạn),mà 1visao upload lên mang. Thật lạ. Việc phát hiện ra btwdins.exe và btwdins.dll là một thành quả quan trọng, nhưng thưc ra ta chỉ mới nắm được phần "ngọn". Nếu có một malicious soft. nào đó đươc download về máy nạn nhân và chính cái soft. này sẽ create (tạo ra) các file btwdins.* nói trên, thì nó mới là "gốc". Và cái "gốc" này có thể rename (đổi tên) các file nó sẽ tạo ra. Như vậy phần mềm scan btwdins.exe và btwdins.dll của CMC InfoSec sẽ tiêu, mất tác dụng. Kiểm tra kỹ lại thì mình thấy btwdins.exe tương tác với hai (có thể nhiều hơn) file nghi ngờ nằm tai thư mục: C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.5512_X-WW_35D4CE83\COMCTL32.DLL và: C:\Windows\WINDOWSSHELL.MANIFEST File COMCTL32.DLL trong "WINSXS" (thường được gọi là "DLL Hell" [Địa ngục file DLL]) là file chính thức của Windows, nhưng không hiểu nó có bị nhiễm độc không?. 1visao kiểm tra với virustotal.com dùm. File WINDOWSSHELL.MANIFEST (MANIFEST format) thường có chuyện, vì nó liên quan đến "Activation Contexts", 1visao cũng kiểm tra luôn (với virustotal.com).  
Xin tncong88nhớ gửi File "Prefetch" nhé. ]]>
/hvaonline/posts/list/37393.html#277742 /hvaonline/posts/list/37393.html#277742 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS Code:
http://www.mediafire.com/download/i36ca4jtu6v7ptk/Prefetch.zip
]]>
/hvaonline/posts/list/37393.html#277746 /hvaonline/posts/list/37393.html#277746 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS
Hiện giờ máy em vẫn chưa cài đặt KIS để check và diệt, mong BQT xem cho em thử coi em có bị nhiễm không ạ, các file SearchFolder và Searchindexer em còn giữ.]]>
/hvaonline/posts/list/37393.html#277748 /hvaonline/posts/list/37393.html#277748 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277749 /hvaonline/posts/list/37393.html#277749 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

TQN wrote:
Bạn down lại file killstlbot.cmd đi, nó cũng kill thêm một con nữa. File SearchIndexer.exe và các dll chính hãng của MS trong thư mực WinSxS thì khi mở = notepad sẽ không có chữ MZ đầu tiên. Các file đó là sạch.  
em mới download cái file Killstlbot.cmd từ facebook của anh đó. mà mấy cái file SearchIndexer.exe của em, em không mở bằng Notepad được anh ơi.]]>
/hvaonline/posts/list/37393.html#277750 /hvaonline/posts/list/37393.html#277750 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277751 /hvaonline/posts/list/37393.html#277751 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

tncong88 wrote:
Toàn bộ file trong thư mục Prefetch em đã đóng gói vào rồi đây : Code:
http://www.mediafire.com/download/i36ca4jtu6v7ptk/Prefetch.zip
 
Cám ơn bạn rất nhiều. Đây là một câu hỏi rất ngắn, xin bạn trả lời ngay giúp cho, vì quá trình ngâm cứu mới chỉ bắt đầu: "Bạn kiểm tra xem tại thư mục C:\WINDOWS\TEMP\1489AFE4.TMP có còn file 1489AFE4.TMP này hay không?(đây là file thưc thi .exe đấy). Ngày created 25/7/2013 (hôm nay) Ngày modified 23/7/2013 Dung lượng khoảng 18 KB" Khi file tạm này chạy nó sẽ kích hoạt và load lên memory 2 file SearchIndexer.exe và SearchFolder.dll 2 File này đều ở thư mục C:\PROGRAM FILES\COMMON FILES\MICROSOFT\ Ghi chú: Trong máy bạn vẫn có File SearchIndexer.exe nguyên thuỷ, chính chủ, tại thư mục C:\WINDOWS\ phải không? Xin trả lời sớm và tôi xin ngâm cứu tiếp. Many thanks. ]]>
/hvaonline/posts/list/37393.html#277752 /hvaonline/posts/list/37393.html#277752 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS
File SearchIndexer.exe hiện không còn tồn tại trong C:\WINDOWS\ nữa, không biết có phải do em đã tắt Windows Search Indexer trong Control Panel và service hay không? ]]>
/hvaonline/posts/list/37393.html#277756 /hvaonline/posts/list/37393.html#277756 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS Code:
https://app.box.com/s/tfa3fccd90oke5wj30zr
Lại nhờ vả bạn tncong88 up hộ lên các file: "1489AFE4.TMP" và "TUNEUPSYSTEMSTATUSCHECK.EXE" để nghiên cửu xem đúng nó không nhé. Bạn xem trong vùng cách ly xem còn không, chứ theo hình ảnh thì rất có thể là chính nó. Đã đính chính và thêm màu cho dễ nhìn. BR, quygia128]]>
/hvaonline/posts/list/37393.html#277761 /hvaonline/posts/list/37393.html#277761 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS Code:
http://www.mediafire.com/download/5o5lemr8lc2r4x7/1489AFE4.zip
Em đã thử tìm TUNEIPSYSTEMSTATUSCHECK.EXE và TUNEUPSYSTEMSTATUSCHECK.EXE nhưng không có file này. Hôm qua, em có chạy KIS quét full máy và phát hiện một số file có tên TUNEUP....
]]>
/hvaonline/posts/list/37393.html#277762 /hvaonline/posts/list/37393.html#277762 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

tncong88 wrote:
Đây là file 1489AFE4.TMP Code:
http://www.mediafire.com/download/5o5lemr8lc2r4x7/1489AFE4.zip
Em đã thử tìm TUNEIPSYSTEMSTATUSCHECK.EXE và TUNEUPSYSTEMSTATUSCHECK.EXE nhưng không có file này. Hôm qua, em có chạy KIS quét full máy và phát hiện một số file có tên TUNEUP....  
Tắt KIS. Dùng Recuva lấy lại mấy cái file bị xoá đó rồi up lên là được ý mà. Cái này nhỏ nhẹ, tìm lại mấy file nhỏ bị xoá nhanh mà cũng dễ dùng: http://www.piriform.com/recuva]]>
/hvaonline/posts/list/37393.html#277763 /hvaonline/posts/list/37393.html#277763 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS


]]>
/hvaonline/posts/list/37393.html#277765 /hvaonline/posts/list/37393.html#277765 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277768 /hvaonline/posts/list/37393.html#277768 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS Code:
http://www.mediafire.com/download/6g68sb6arl12j61/TuneUp.xxx.zip
Chúng nằm ở các thư mục như hình bên dưới nha anh, em copy vào chung 1 thư mục để nén, có 2 file cùng tên nhưng nằm ở 2 thư mục khác nhau nên khi chuyển vào em thêm số 1 vào tên file.
]]>
/hvaonline/posts/list/37393.html#277769 /hvaonline/posts/list/37393.html#277769 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277776 /hvaonline/posts/list/37393.html#277776 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277794 /hvaonline/posts/list/37393.html#277794 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277799 /hvaonline/posts/list/37393.html#277799 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS 1489AFE4.TMP nằm tại thư mục C:\WINDOWS\TEMP\1489AFE4.TMP (trong máy của tncong88) đã create và kích hoạt hai file-service SEARCHINDEXER.EXESEARCHFOLDER.DLL, cùng nằm tại thư mục C:\PROGRAM FILES\COMMON FILES\MICROSOFT\. File-service SEARCHFOLDER.DLL đã load các dữ liệu tấn công DDoS lên memory (mục tiêu tấn công [tuoitre.vn, vietnamnet.vn...], User Agents...) để file-service SEARCHINDEXER.EXE thưc thi việc tấn công DDoS trên mạng. Câu hỏi đặt ra là file-service nào create và kích hoạt file-service tạm 1489AFE4.TMP nói trên? Đó chính là file-service TUNEUPSYSTEMSTATUSCHECK.EXE. File này nằm tại thư mục C:\WINDOWS\TEMP\TUNEUPSYSTEMSTATUSCHECK.EXE, cùng thư mục với 1489AFE4.TMP. File này có dung lượng khoảng 6KB trên máy của tncong88 (dung lượng có thể thay đổi theo thời gian). Chú ý là TUNEUPSYSTEMSTATUSCHECK.EXE tạo ra và kích hoạt 1489AFE4.TMP, rồi 1489AFE4.TMP lại tạo ra và kích hoạt SEARCHINDEXER.EXE và SEARCHFOLDER.DLL, đồng thời SEARCHINDEXER.EXE cũng lại kích hoạt SEARCHFOLDER.DLL( thêm) Vậy thì file-service TUNEUPSYSTEMSTATUSCHECK.EXE ở đâu và được cái gì tạo ra? TUNEUPSYSTEMSTATUSCHECK.EXE là một service-file trong phần mềm "TuneUp Utilities' do công ty "TuneUp Software" ( www.tune-up.com) cung cấp. Tên file này nếu được viết tách ra từng từ, thì tự nó đã giải thích chức năng và công dụng của file: TuneUp System Status Check. "TuneUp Utilities" có nhiều version, như 9.0.2000.15- năm 2010, 12.0.3600.104-năm 2012, 13.0.3020.7 -năm 2013.... Trong TuneUp (nguyên bản) thì TUNEUPSYSTEMSTATUSCHECK.EXE nằm ở thư mục \PROGRAMFILES\TuneUp Utilities 201x và có dung lượng khác nhau tuỳ theo version, thí dụ trong TuneUp Utilities 2010, version 9.0.2000.15, file có dung lượng là khoảng 316KB Những file TUNEUPSYSTEMSTATUSCHECK.EXE giả mạo sẽ có dung lượng khác biệt và nằm ở các thư mục khác với thư mục (mặc định) nói trên. Thí dụ trong máy của tncong88, file này nằm ở C:\WINDOWS\TEMP\TUNEUPSYSTEMSTATUSCHECK.EXE. Trên mạng hiện nay có những website cho download miễn phí TuneUp Utilities 2013, version 13.0.3020.7 kèm theo crack hay serial No., như http://thuthuat.chiplove.biz/tag/TuneUp-Utilities/ hay http://www.pkgames.net/2013/04/free-download-tuneup-utilities-2013.html .. với số lần download được ghi nhận là rất nhiều(trên dưới 50.000 lần). Có nhiều khả năng TUNEUPSYSTEMSTATUSCHECK.EXE giả mạo được cài cắm vào trong các software này. Chúng ta cần trở lại trường hợp của "cặp đôi" mDNSResponder.exe - mdnsNSP.dll(?) kể cả cặp đôi btwdins.exe-btwdins.dll để áp dụng cách phân tích trên và cố tìm ra ngọn nguồn của sự kiện. Rất tiếc files mDNSResponder.exe - mdnsNSP.dll(?) trong folder-phần mềm "Bonjour" (giả mạo) trên máy tncong88 đã bị xoá mất rồi! ]]> /hvaonline/posts/list/37393.html#277800 /hvaonline/posts/list/37393.html#277800 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

TQN wrote:
Bạn down lại file killstlbot.cmd đi, nó cũng kill thêm một con nữa. File SearchIndexer.exe và các dll chính hãng của MS trong thư mực WinSxS thì khi mở = notepad sẽ không có chữ MZ đầu tiên. Các file đó là sạch.  
Hi TQN, file của trên máy của em có chữ MZ đầu tiên. Em phải xử lý như thế nào vậy anh? IP của em không có trong danh sách trên trang http://www.antibotnet.tk/]]>
/hvaonline/posts/list/37393.html#277801 /hvaonline/posts/list/37393.html#277801 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS Code:
https://mega.co.nz/#!pJcGDACK!Q8alPmiMM3AuKpM5RJU65HPqrHUDdKjafjOtVl1-2ac
Theo như anh PXMMRF nói thì những file này chỉ tạo ra khi cài TuneUp Utilities đúng không ạ? Nhưng em nhớ là em chưa từng cài phần mềm này vào trong máy, vậy nó từ đâu tạo ra ?]]>
/hvaonline/posts/list/37393.html#277802 /hvaonline/posts/list/37393.html#277802 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277803 /hvaonline/posts/list/37393.html#277803 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

tncong88 wrote:
Em xin gửi lại file TuneUp nếu việc này vẫn còn cần thiết cho các anh "nghiên cứu khoa học" :D Code:
https://mega.co.nz/#!pJcGDACK!Q8alPmiMM3AuKpM5RJU65HPqrHUDdKjafjOtVl1-2ac
Theo như anh PXMMRF nói thì những file này chỉ tạo ra khi cài TuneUp Utilities đúng không ạ? Nhưng em nhớ là em chưa từng cài phần mềm này vào trong máy, vậy nó từ đâu tạo ra ? 
Cám ơn tncong88 đã upload file. File cũ bị blocked vì mediafire.com phát hiện là bên trong có virus. Lần sau em zip, đặt password là xong (nhưng đừng quên thông báp pass.) Về nguyên tắc file TUNEUPSYSTEMSTATUSCHECK.EXE giả mạo có thể được cài cắm vào bất cứ phần mềm độc hai nào, downloaded trên mạng. Tuy nhiên nếu cài vào TuneUp Utilities thì sẽ ít bị người dùng nghi ngờ vì trong TuneUp Utilities cũng có một service TUNEUPSYSTEMSTATUSCHECK.EXE chính chủ.(như em đã vừa tỏ ra nghi ngờ đấy thôi!) Tôi vùa download trên mạng TuneUp Utilities, để thử kiểm tra xem sao. tncong88, em thử kiểm tra lại cái IDM 6.x (+ crack) hình như mới được em download về và cài đặt trong máy xem thế nào?. Hì hì. ]]>
/hvaonline/posts/list/37393.html#277806 /hvaonline/posts/list/37393.html#277806 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277810 /hvaonline/posts/list/37393.html#277810 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS Một tình tiết vui vui trong buổi hôi đàm giữa Chủ tịch Trương tấn Sang và Tổng thống Obama tại Nhà Trắng, theo tường thuật của báo "The New York Times" mới đây. Xin được dịch thoát cho lọn nghĩa: "Vượt qua những thủ tục đã qui định tại phòng lễ tân Nhà Trắng, đã có một giây phút ứng khẩu bất ngờ. Khi người phiên dịch chính thức của buổi hội đàm nói rằng Tổng thống Obama "đã nhận lời mời của Chủ tịch Trương tấn Sang sang thăm Việt nam", Chủ tịch Trương tấn Sang đã chỉnh lại lời dịch: Ngài Obama nói rằng ông ấy "đã cam kết làm hết sức mình để đến Việt nam" Nguyên văn: "Despite the formality of the Oval Office setting, there were unscripted moments. When the official interpreter said Mr. Obama had accepted Mr. Sang’s invitation to visit Vietnam, Mr. Sang corrected him, saying Mr. Obama had pledged to “try his best” to get there." Xem tại: http://www.nytimes.com/2013/07/26/world/asia/obama-and-vietnams-leader-pledge-deeper-ties.html?pagewanted=all&_r=0 Hì hì. ]]> /hvaonline/posts/list/37393.html#277819 /hvaonline/posts/list/37393.html#277819 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/37393.html#277821 /hvaonline/posts/list/37393.html#277821 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

TQN wrote:
Bạn down lại file killstlbot.cmd đi, nó cũng kill thêm một con nữa. File SearchIndexer.exe và các dll chính hãng của MS trong thư mực WinSxS thì khi mở = notepad sẽ không có chữ MZ đầu tiên. Các file đó là sạch.  
Các file SearchIndexer.exe trong WinSxS của em khi edit bằng Notepad thì thấy có MZ ở đầu. Liệu có gì không ổn không anh? Kể cả file SearchFolder.dll cũng vậy.]]>
/hvaonline/posts/list/37393.html#277824 /hvaonline/posts/list/37393.html#277824 GMT