<![CDATA[Latest posts for the topic "HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến"]]> /hvaonline/posts/list/19.html JForum - http://www.jforum.net HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến HVA News ------------------------------------------------ 06/07/2013 Cập nhật phân tích Code:
Thống kê sơ bộ một cuộc tấn công vào một tờ báo						
Thời lượng sniff	3	s				
Số packets	1,000,000					
Kích thước file sniff	184,642	MB				
(ước tính) Lưu lượng/s	61,547	MB/s	(hoặc)			
	492,376	Mb/s				
Số lượng IP	16,143	Unique IP				
IP VN	2,874	Unique IP	=	18	%	Tổng lượng IP
IP nước ngoài	13,269	Unique IP	=	82	%	Tổng lượng IP
IP Trung Quốc	543	Unique IP	=	3	%	Tổng lượng IP
IP OS	Windows	90%
-------------------------------- Cập nhật ngày 16/07/2013 Bữa nay tạm thời máy chủ C&C ( Command & Control ) của botnet đã ngưng hoạt động, nhưng việc nó có thể active lại là chuyện chắc chắn. Đây chỉ là đoạn dừng trước cơn bão lớn khác, các domain của các C&C server vẫn chưa bị tước bỏ, các mẫu virus vẫn đang cần cộng đồng phụ submit lên các Antivirus toàn cầu Đề nghị các ISP nếu có thể hãy chặn toàn bộ các domain C&C này để ngừa hậu hoạ speak.checknik.com media.bulkweb.org lovenet.contbiz.com Còn người dùng cuối vì sự an toàn cũng nên tải về công cụ của CMC quét và diệt thử trên máy dù có nhiễm hay không http://www3.cmcinfosec.com/Tin-tu-CMC-InfoSec/CMC-InfoSec-cung-cap-cong-cu-diet-ma-doc-doi-tuong-tan-cong-DDoS-bao-mang/1456.epi Những kẻ tấn công đã trở lại nhiều lần, đây không phải là lần đầu, chỉ là lần này chúng manh động hơn, liều lĩnh hơn. Các nạn nhân bị DDoS lần này nên bắt đầu việc chuẩn bị các yếu tố con người, tài nguyên hạ tầng, chuẩn bị cho các đợt tấn công tương lai Tuy nhiên lần này có điều đáng mừng là cộng đồng mạng đã đóng vai trò cực kì nhanh chóng trong việc truy tìm và gửi các mẫu virus cho HVA và các chuyên gia. Có cộng đồng giúp sức, thì những trò bậy bạ như tấn công, DDoS, cài đặt malware sẽ không có chỗ đứng. Xin cám ơn một số thành viên cộng đồng mạng đã giúp sức tìm mẫu virus nhanh nhất có thể như halh, 1visao... Đây mới chỉ là sự bắt đầu... Đôi lời nhắn gửi anh em kỹ thuật của các tờ báo đang bị tấn công: Các anh em chuyên gia của HVA luôn sẵn sàng hỗ trợ anh em trong tình huống bị DDoS nặng nề này hết sức trong khả năng của mình. Nếu cần anh em cứ liên lạc theo địa chỉ thư điện tử: xnohat AT gmail DOT com hoặc liên lạc của bất kỳ anh em nào khác trong HVA mà anh em quen biết. Tôi cũng sẽ forward các mail tôi nhận được cho các anh em khác trong HVA nhằm cùng tìm giải pháp hỗ trợ anh em kỹ thuật của các tờ báo đang bị tấn công]]>
/hvaonline/posts/list/44920.html#277193 /hvaonline/posts/list/44920.html#277193 GMT
HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277195 /hvaonline/posts/list/44920.html#277195 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277196 /hvaonline/posts/list/44920.html#277196 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277197 /hvaonline/posts/list/44920.html#277197 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277198 /hvaonline/posts/list/44920.html#277198 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277199 /hvaonline/posts/list/44920.html#277199 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277200 /hvaonline/posts/list/44920.html#277200 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277207 /hvaonline/posts/list/44920.html#277207 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277208 /hvaonline/posts/list/44920.html#277208 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277212 /hvaonline/posts/list/44920.html#277212 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277227 /hvaonline/posts/list/44920.html#277227 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277237 /hvaonline/posts/list/44920.html#277237 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277238 /hvaonline/posts/list/44920.html#277238 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277243 /hvaonline/posts/list/44920.html#277243 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277244 /hvaonline/posts/list/44920.html#277244 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến đã thay đổi cách tấn công, khác với những lần trước. Chúng định kỳ thời điểm (starting time) và thời hạn (duration) tấn công vào một mục tiêu đã được xác định từ trước (listed). Quá trình tấn công vào một mục tiêu vì vậy lặp đi lặp lai theo một chu kỳ định sẵn (bởi hackers). Trong khoảng thời gian tạm dừng tấn công vào mục tiêu này, mạng bot-zombies chuyển sang tấn công một mục tiêu khác (trong attacked list), rồi sau đó quay lại mục tiêu ban đầu. Do vậy người ngoài khó nhận định là một website nào đó đang bị tấn công DDoS. Họ lại cho rằng hệ thống mạng-webserver-website này đang có trục trặc kỹ thuật (nội bộ) gì đó. Và những người làm bảo mật hay quản trị mạng có thể hiểu nhầm là các cuộc tấn công vào một webserver vừa qua không phải chỉ là của một "tổ chức", mà là của các cá nhân hay nhóm nhỏ nào đó. Vì trên mạng lúc nào cũng xảy ra một vài cuộc tấn công DoS. ("Tổ chức" nói trên có lẽ đang dùng nhiều loại DoS tool (bot), khoảng 3, 4 loại gì đó.) Trong những ngày vừa qua có lẽ HVA webserver cũng bị tấn công DDoS theo kiểu cách như thế. Có lúc truy cập dễ, nhưng nhiều lúc vào rất khó, rất chậm. Post một bài viết ngắn, hay chỉnh sửa vài từ của post, có lúc mất đến 30 phút, hay hơn, nhưng ngay lúc đó lai truy cập rất dễ, nhanh đến các website VN và nước ngoài khác. (Xin anh conmale check lại access-log của Apache trong các webserver-Thank)]]> /hvaonline/posts/list/44920.html#277246 /hvaonline/posts/list/44920.html#277246 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277247 /hvaonline/posts/list/44920.html#277247 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/44920.html#277255 /hvaonline/posts/list/44920.html#277255 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277265 /hvaonline/posts/list/44920.html#277265 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277276 /hvaonline/posts/list/44920.html#277276 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến "Phân tích tính chất vài trận DDoS HVA vừa qua": /hvaonline/posts/list/39641.html để rà soát lại máy (hoặc hệ thống). Cảm ơn mọi người.]]> /hvaonline/posts/list/44920.html#277277 /hvaonline/posts/list/44920.html#277277 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến quanta nhiều. Đố các bạn có bao nhiêu địa chỉ IP liệt kê trong file .txt mà quanta vừa cung cấp trên đây. Trong đó có bao nhiêu static-dynamic IP từ Việt nam, bao nhiêu từ TQ và bao nhiêu từ các nước còn lại? Có tới 4874 IP đang tấn công DDoS vào một mục tiêu đấy! (Dân trí hay Vietnamnet, thanhnien...?), quanta chưa nói ra. (Dùng cách nào để đếm cho chính xác nhỉ? Dùng notepad mở ra là thấy tá hoả tam tinh với những con số dày đặc. Hì hì. Cũng dễ thôi mà!) Như quanta đã đề nghị, xin các bạn check xem có static IP nào là của server do bạn hay do cơ quan bạn quản lý, có dynamic IP nào thuộc DSLAM đang cung cấp dynamic IP cho máy bạn, cơ quan bạn.... Sau đó chúng tôi sẽ nhờ các bạn chung tay giúp một vài việc. Chỉ là để phục vụ cho cộng đồng, đất nước mà thôi. Thank you in advance. ]]> /hvaonline/posts/list/44920.html#277280 /hvaonline/posts/list/44920.html#277280 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

PXMMRF wrote:
Trong đó có bao nhiêu static-dynamic IP từ Việt nam, bao nhiêu từ TQ và bao nhiêu từ các nước còn lại?  
Danh sách trên chỉ toàn các IP từ Việt Nam thôi anh ạ (em đã lọc rồi, không biết có sót cái nào không). Bạn nào không có account hoặc lười login thì có thể download ở đây: http://www.mediafire.com/download/53qug17mhvvzg3d/attacked_newspapers_2013-07-08.txt]]>
/hvaonline/posts/list/44920.html#277282 /hvaonline/posts/list/44920.html#277282 GMT
HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

quanta wrote:

PXMMRF wrote:
Trong đó có bao nhiêu static-dynamic IP từ Việt nam, bao nhiêu từ TQ và bao nhiêu từ các nước còn lại?  
Danh sách trên chỉ toàn các IP từ Việt Nam thôi anh ạ (em đã lọc rồi, không biết có sót cái nào không). Bạn nào không có account hoặc lười login thì có thể download ở đây: http://www.mediafire.com/download/53qug17mhvvzg3d/attacked_newspapers_2013-07-08.txt 
Máy tính em có cài Kaspersky nhưng bình thường em không bật lên vì ngốn RAM quá. Hôm trước thấy Chrome không vào web được + Một số tình trạng bất thường trên máy thì bật lên mới biết máy dính virus ( Conflicker / Kido nổi danh một thời) nhưng không tìm nổi tool diệt ( mặc dù trước đó em đã diệt rất nhiều máy ( bdtools.net ). Vậy em kết luận đã có chủng mới cho loại virus này mà chưa có tool diệt. Sau khi làm lại phần mềm trên máy tính thì giờ đã ổn. Em vẫn không yên tâm máy tính mình có sạch hay không nữa. Nếu có tool nào kiểm tra toàn bộ logs máy cần thiết thì các anh làm bài hướng dẫn giúp em với nhé. Tiện đây bên MMO lại có một một vài web mới kiếm tiền bằng tool chạy trên máy tính, em chưa hiểu nó kiếm tiền kiểu gì nhưng đoán là công cụ DDoS mà dân MMO không biết : Có gì các anh phân tích thử ạ : http://www.mediafire.com/download/8crzrlti8kfvi8m/threadmanagersetup.exe ]]>
/hvaonline/posts/list/44920.html#277283 /hvaonline/posts/list/44920.html#277283 GMT
HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277284 /hvaonline/posts/list/44920.html#277284 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277285 /hvaonline/posts/list/44920.html#277285 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277286 /hvaonline/posts/list/44920.html#277286 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

quanta wrote:

PXMMRF wrote:
Trong đó có bao nhiêu static-dynamic IP từ Việt nam, bao nhiêu từ TQ và bao nhiêu từ các nước còn lại?  
Danh sách trên chỉ toàn các IP từ Việt Nam thôi anh ạ (em đã lọc rồi, không biết có sót cái nào không). Bạn nào không có account hoặc lười login thì có thể download ở đây: http://www.mediafire.com/download/53qug17mhvvzg3d/attacked_newspapers_2013-07-08.txt 
Cám ơn quanta. Thế thì những địa chỉ IP này có của VN hay webserver của nó có đặt tai VN hay không? 1.55.109.82 1.55.150.108 1.53.102.51 1.54.145.227 1.53.9.45 1.53.16.84 ............... Cái webserver (chạy Microsoft-HTTPAPI/2.0) có IP là 14.161.35.19 thì của VN thật (VN sở hữu) nhưng có thật sự đặt (located) ở VN hay không? Hì hì. Có chính xác bao nhiêu IP có tiền tố là 113, bao nhiêu tiền tố là 123, bao nhiêu là 222? (thí dụ tổng số IP có tiền tố 113 -như 113.163.216.171- là 1748 IP) Vấn đề ở đây cũng cần xác định có bao nhiêu webserver-PC mà Vietel quản lý (với tư cách là ISP), bao nhiêu VNPT , FPT... quản lý. Có webserver nào của những cơ quan bảo mật nổi tiếng của VN hay không -Hì hì, như BKIS, VINACERT... chẳng hạn... Quanta có thể upload toàn bộ IP (not yet filtered) lên đươc không? Cám ơn ]]>
/hvaonline/posts/list/44920.html#277288 /hvaonline/posts/list/44920.html#277288 GMT
HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277293 /hvaonline/posts/list/44920.html#277293 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277303 /hvaonline/posts/list/44920.html#277303 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277306 /hvaonline/posts/list/44920.html#277306 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277307 /hvaonline/posts/list/44920.html#277307 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

whisky9x wrote:
Em check ở trang ipligence thì ra kết quả là các ip ở VN mà anh PXMMRF 
Khi kiểm tra location (vị trí địa lý) của một IP bạn nên qua các bước sau (just recommendation): - Xem tiền tố đầu tiên (octet đầu tiên) và thứ hai của IP(v4) xem địa chỉ này thuộc khu vưc, tổ chức hay nước nào quản lý. - Thí dụ hai octet của một đia chỉ IP chứng tỏ IP này thuộc diện VN quản lý, thì xác định xem ISP nào quản lý IP này. (Một ISP thường chỉ được sở hữu một vài địa chỉ lớp B hoặc C. Ví dụ một ISP "X" quản lý dãy IP 113.22.x.x mà địa chỉ IP của bạn là 113.22.85.117, 113.22.45.187, 113.22.210.239 (đây là các IP trong list IP tấn công DDoS vừa qua- theo tài liệu từ quanta) thì IP của bạn do ISP "X" nói trên quản lý.) -Sau đó ta sử dụng các phần mềm chuyên nghiệp để kiểm tra lại location của IP. Các phần mềm này khá đắt (phải trả khoảng 500 -600USD/năm để được update và chỉnh sửa DataBase về location IP của các quốc gia, khu vực, thành phố)- Làm sao để có các soft này: Đó là việc của bạn. - Cuối cùng thì mới tham khảo thêm các website tra cứu miễn phí IP location trên mạng, như website mà bạn đã tra cứu. Nhưng theo tôi không ít trường hợp các website này cho thông tin không chính xác (có lẽ chỉ đúng 50-70%). Ghi chú: Trong bài viết trên cụm từ IP đều được hiểu là IP address (địa chỉ IP), không phải là Internet Protocol]]>
/hvaonline/posts/list/44920.html#277308 /hvaonline/posts/list/44920.html#277308 GMT
HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277320 /hvaonline/posts/list/44920.html#277320 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277336 /hvaonline/posts/list/44920.html#277336 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS Website báo Tuổi Trẻ đang bị tấn công DDoS Thứ Năm, 11/07/2013, 10:26 http://nhipsongso.tuoitre.vn/Nhip-song-so/558597/Website-bao-Tuoi-Tre-dang-bi-tan-cong-DDoS.html TTO - Liên tục những ngày qua, website báo Tuổi Trẻ bị tấn công DDoS rất mạnh gây nghẽn mạng, khiến nhiều bạn đọc khó truy cập. Cụ thể kẻ tấn công sử dụng hình thức Tấn công Từ chối Dịch vụ (Distributed Denial of Service) tạo ra hàng chục triệu lượt yêu cầu truy cập ảo vào các phiên bản của báo Tuổi Trẻ như: Tuổi Trẻ Online (tuoitre.vn), Tuổi Trẻ Mobile (m.tuoitre.vn), Tuổi Trẻ Online tiếng Anh (tuoitrenews.vn) gây ra tình trạng nghẽn mạng trầm trọng. Việc này khiến nhiều bạn đọc có nhu cầu đọc báo thật rất khó truy cập được vào các trang địa chỉ trên. ................................... Hiện tại bạn đọc đã có thể truy cập được vào Tuổi Trẻ Online mặc dù tốc độ vẫn còn khá chập chờn. ........................................ Mong bạn đọc thông cảm và chia sẻ. ĐỨC THIỆN ---------------------------------------------------------------------------------------------------------- Đêm hôm qua và rạng sáng ngày hôm nay (11/7) tôi có truy cập vào trang mạng tuoitre.vn, nhưng đều không được. (xem hình minh hoa dưới đây). Có lẽ cả đêm hôm qua tuoitre.vn đã bị tấn công DDoS và hệ thống webservers của Tuổi trẻ đã crash gần như hoàn toàn. Tôi có dùng một tiện ích để kiểm tra tốc độ truy cập đến tuoitre.vn và vnexpress.net, vietnamnet.vn (để so sánh). Tốc độ truy cập-download (file trên trang chủ) đến tuoitre.vn là bằng 0. Đêm qua hacker "lạ" tạm ngừng tấn công vào vietnamnet.vn. Chúng cũng chưa từng tấn công vnexpress.net (Ghi chú; Tôi dùng Laptop Sony, CPU: i7, 4GB RAM, OS: Windows server 2008 R2 SP1-64bits, USB 3G Viettel)

Kiểm tra tốc độ kết nối Đêm 10/7/2013


Rạng sáng 11/7/2013

]]>
/hvaonline/posts/list/44920.html#277344 /hvaonline/posts/list/44920.html#277344 GMT
HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277347 /hvaonline/posts/list/44920.html#277347 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/44920.html#277354 /hvaonline/posts/list/44920.html#277354 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

conmale wrote:
Trong một chuỗi gói tin được capture chỉ vài giây mà đã lên tới vài trăm Mb, có hơn 14 ngàn IP riêng biệt. Danh sách các IP dùng để tấn công Tuổi Trẻ ở đây. Các bạn download về để xem thử máy mình có bị nhiễm không. Nếu có thì thông báo để anh em lấy mẫu mèo què để phân tích và gởi cho các AV. https://docs.google.com/file/d/0B-JKbAa37-OQNHA3RVF5Q2JSVmc/edit?usp=sharing 
Xem cái list của bác conmale mà thấy kinh hồn. Có tới 14.390 IP. Riêng các IP có octet đầu tiên là 113 đã là 4494 IP. Riêng IP cùng nằm trong một lớp mạng với các (xin nhấn manh "các") webserver của tuoitre, 123.30.x.x cũng tới 23 IP Các ban download file .css này về máy và dùng NotePad++v6.4.1 xem cho có mầu mè, dễ kiểm tra]]>
/hvaonline/posts/list/44920.html#277356 /hvaonline/posts/list/44920.html#277356 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS http://sourceforge.net/projects/notepad-plus/ (Khi cài Notepad++ nhớ chọn thêm feature "Locazation") Địa chỉ down load folder " IP-DDoS-7.2013NEW" tại: http://www.mediafire.com/?e7hs1js35vobb92 Xin các bạn kiểm tra các file có octet đầu tiên trùng với địa chỉ IP của máy tính đang dùng, xem đia chỉ IP máy mình có trùng với một IP trong danh sách không? (Nếu trùng, thì có khả năng máy bạn đã nhiễm mã độc và trở thành một Zombie) Chúng tôi sẽ hướng dẫn tiếp cách tìm ra botnet tấn công DDoS trong máy bạn. Và sau đó các bạn cung cấp thông tin về mã độc này cho HVA để anh em HVA tìm cách khắc phục, như anh conmale đã viết ở trên. ]]> /hvaonline/posts/list/44920.html#277365 /hvaonline/posts/list/44920.html#277365 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277366 /hvaonline/posts/list/44920.html#277366 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

CuteFTP wrote:
đang thắc mắc vụ này to mà ko thấy các đơn vị to to nhảy vào thì tìm được bài báo này. không biết có phải thật không :v http://ictnews.vn/home/Bao-mat/19/Cac-bao-dien-tu-tu-choi-VNCERT-tro-giup-chong-tan-cong-DDoS/110489/index.ict 
"Trong năm 2011, báo điện tử Vietnamnet đã bị tấn công từ chối dịch vụ trong thời gian hơn 1 tháng với sự tham gia của hàng chục ngàn máy tính "ma". Khi đó, bên cạnh sự ứng cứu của các đơn vị đối tác truyền thống như VDC, VTC, Zing, CMC TI, CMC Infosec, AQTech… cũng như một số đơn vị có hạ tầng lớn hơn như FPT Telecom, Bộ TT&TT đã phải thành lập một ban hỗ trợ ứng cứu báo điện tử Vietnamnet với sự tham gia của các đơn vị liên quan để việc ứng cứu được hiệu quả, kịp thời hơn." Không có HVA tham gia giúp vietnamnet đâu nha bà con, đừng ham. Hé hé.]]>
/hvaonline/posts/list/44920.html#277369 /hvaonline/posts/list/44920.html#277369 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/44920.html#277371 /hvaonline/posts/list/44920.html#277371 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

conmale wrote:
Vấn đề là tại sao đánh dân trí, đánh TT và lại đánh vietnamnet? Những tờ này là lề phải và chẳng có cái gì đụng chạm ai cả. Đây là trò chơi gì đây? 
Thế theo bác conmale các báo lề phải và các trang mạng lề trái gần đây có một hai điểm (nội dung) gì giống nhau, dù nói chung chúng có nội dung rất khác nhau? ]]>
/hvaonline/posts/list/44920.html#277374 /hvaonline/posts/list/44920.html#277374 GMT
VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/44920.html#277380 /hvaonline/posts/list/44920.html#277380 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277381 /hvaonline/posts/list/44920.html#277381 GMT VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS /hvaonline/posts/list/44920.html#277383 /hvaonline/posts/list/44920.html#277383 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277384 /hvaonline/posts/list/44920.html#277384 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

ga_cum06 wrote:
Có 1 ip 118.70.xxx.xx là của hàng net. mình đã kiếm chứng 1 hàng và nếu thời gian sẽ mở rộng thêm vài hàng net nữa. Đây là nơi dễ cài cắm botnet nhất của những người có ý đồ. 
Mình nghĩ zombie từ hàng net cũng ko phải là ít đâu vì hầu hết hàng net mình dùng soft lậu, crack, game tùm lum, và người triển khai quán net thường "clone" từ hàng này sang hàng khác nữa. Vói băng thông của quán net thì attack cũng khá mạnh.]]>
/hvaonline/posts/list/44920.html#277385 /hvaonline/posts/list/44920.html#277385 GMT
HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277391 /hvaonline/posts/list/44920.html#277391 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

conmale wrote:

CuteFTP wrote:
đang thắc mắc vụ này to mà ko thấy các đơn vị to to nhảy vào thì tìm được bài báo này. không biết có phải thật không :v http://ictnews.vn/home/Bao-mat/19/Cac-bao-dien-tu-tu-choi-VNCERT-tro-giup-chong-tan-cong-DDoS/110489/index.ict 
"Trong năm 2011, báo điện tử Vietnamnet đã bị tấn công từ chối dịch vụ trong thời gian hơn 1 tháng với sự tham gia của hàng chục ngàn máy tính "ma". Khi đó, bên cạnh sự ứng cứu của các đơn vị đối tác truyền thống như VDC, VTC, Zing, CMC TI, CMC Infosec, AQTech… cũng như một số đơn vị có hạ tầng lớn hơn như FPT Telecom, Bộ TT&TT đã phải thành lập một ban hỗ trợ ứng cứu báo điện tử Vietnamnet với sự tham gia của các đơn vị liên quan để việc ứng cứu được hiệu quả, kịp thời hơn." 
Không có HVA tham gia giúp vietnamnet đâu nha bà con, đừng ham. Hé hé
Tôi xin xác nhận là việc hạn chế từng bước tác hại, tiến tới xoá bỏ hầu hết mạng DDoS tool (botnet) tấn công vào vietnamnet.vn năm 2011 là công của tập thể anh em thành viên HVA hay cơ bản là như vậy. Trong việc này có sự giúp sức nhanh chóng hiệu quả của các công ty Antivirus thế giới với một công ty Antivirus trong nước, đặc biệt nổi bật là Avira (CHLB Đức) Nhưng HVA không nhận được bất cứ lời khen nào, bất cứ lời động viên nào từ nhà nước- ничево нет!-. Hì hì -------------------------------------------------------------------- Thứ bảy, có thời gian rảnh, check thử xem IP của các cơ quan bảo mật tên tuổi, "nổi tiêng" của VN ta, xem có anh nào nằm trong "dead list" (zombies) hay không? 1- VNCERT (vinacert.vn): Cả webserver và các webmail đều không có trong danh sách dead list. Chúc mừng! Hì hì 2- BKAV (bkav.com.vn) Tất cả 15 static IP hiện BKAV đang quản lý không có IP nào trong dead list. Lại xin chúc mừng bác Quảng. Nhưng webmail "mail45.bkav.com.vn" thì dường như create sai (Record A) và "mail47.bkav.com.vn" thì chưa created. 3-.......... ]]>
/hvaonline/posts/list/44920.html#277394 /hvaonline/posts/list/44920.html#277394 GMT
HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến http://www.antibotnet.tk/ Vui lòng share tin này càng rộng càng tốt để góp tay chung sức giúp chúng tôi mau chóng có thể tìm thấy mẫu virus mới của stl nhằm chặn đứng những cuộc tấn công của chúng vào các tờ báo yêu thích mà hàng ngày bạn vẫn đọc xnohat]]> /hvaonline/posts/list/44920.html#277406 /hvaonline/posts/list/44920.html#277406 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277407 /hvaonline/posts/list/44920.html#277407 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277412 /hvaonline/posts/list/44920.html#277412 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến Code:
@echo off
echo ==========================================================================
echo Bat file to Kill con bot dang DDoS cac trang bao mang cua "so ti lon"
echo Code "bay ba cho vui" by ThangCuAnh - HVA
echo Ba con test, modify, bo sung thoa mai - No copyright
echo ==========================================================================

:Repeat
echo.
echo Kill and delete btwdins.exe + btwdins.dll
echo.

sc stop WMPNetworkSvchost
taskkill /F /IM btwdins.exe /T
sc delete WMPNetworkSvchost

dir "%APPDATA%\btwdins.exe" /b /S
del "%APPDATA%\btwdins.exe" /F /S

dir "%APPDATA%\btwdins.dll" /b /S
del "%APPDATA%\btwdins.dll" /F /S

rd  "%APPDATA%\WIDCOMM" /s /q

dir "%COMMONPROGRAMFILES%\btwdins.exe" /b /S
del "%COMMONPROGRAMFILES%\btwdins.exe" /F /S

dir "%COMMONPROGRAMFILES%\btwdins.dll" /b /S
del "%COMMONPROGRAMFILES%\btwdins.dll" /F /S

rd  "%COMMONPROGRAMFILES%\WIDCOMM" /s /q

reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ALG /v Version /f

del "%SystemDrive%\Program Files (x86)\Common Files\btwdins.exe" /F /S
del "%SystemDrive%\Program Files (x86)\Common Files\btwdins.dll" /F /S

echo.
echo Press Ctrl-C to terminate & pause
goto Repeat
Hoặc bà con có thể download file bat này ở đây: http://www.mediafire.com/download/pg4hs72x1ifs7z3 Hướng dẫn sử dụng: down về, chép vào USB, tới bấy cứ máy nào các bạn quản lý, cắm vào, run file killstlbot.cmd đó với quuền Admin. Cho nó repeat khoảng vài lần rồi nhấn Ctrl-C. Xong. Bà con test giùm, nếu có bug sữa giùm luôn :) ]]>
/hvaonline/posts/list/44920.html#277413 /hvaonline/posts/list/44920.html#277413 GMT
HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến 171.245.46.97, mà 171.245 lại nằm trong danh sách rất nhiều, không biết mình có thành zombie không, mình đang xài USB 3G Viettel]]> /hvaonline/posts/list/44920.html#277414 /hvaonline/posts/list/44920.html#277414 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277415 /hvaonline/posts/list/44920.html#277415 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277416 /hvaonline/posts/list/44920.html#277416 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến
Tuổi trẻ không vô được .]]>
/hvaonline/posts/list/44920.html#277418 /hvaonline/posts/list/44920.html#277418 GMT
HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277422 /hvaonline/posts/list/44920.html#277422 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277425 /hvaonline/posts/list/44920.html#277425 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277426 /hvaonline/posts/list/44920.html#277426 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277428 /hvaonline/posts/list/44920.html#277428 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

BlueMM wrote:
IP hiện tại của mình là 171.245.46.97, mà 171.245 lại nằm trong danh sách rất nhiều, không biết mình có thành zombie không, mình đang xài USB 3G Viettel 
Chú ý các địa chỉ IP của mạng 3G (của các USB 3G Viettel, Mobile....) thường là WAN dynamic IP. Vì vậy địa chỉ IP USB 3G của bạn sẽ thay đổi sau mỗi lần nối mạng mới. Do vậy danh sách các IP của mạng 3G trong danh sách "dead list" (zombies) chỉ có giá trị tham khảo. Hì hì. Các máy tính sau một DSLAM cũng chỉ được cung cấp một WAN dynamic IP. Do vậy dưa vào danh sách IP trong "dead list" (zombies) không thể xác định chính xác máy nào nhiểm botnet. Chỉ xác đinh được là: "có một hay một số máy trong nhóm máy sau một DSLAM cụ thể nào đó bị nhiễm mã độc" mà thôi. Việc đối chiếu IP để xác định máy có nhiễm mã độc hay không chỉ chính xác khi máy sử dụng WAN static IP (Địa chỉ IP tĩnh)]]>
/hvaonline/posts/list/44920.html#277429 /hvaonline/posts/list/44920.html#277429 GMT
HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277430 /hvaonline/posts/list/44920.html#277430 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277431 /hvaonline/posts/list/44920.html#277431 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277432 /hvaonline/posts/list/44920.html#277432 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277436 /hvaonline/posts/list/44920.html#277436 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277448 /hvaonline/posts/list/44920.html#277448 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

texudo wrote:
Mình mạo muội hỏi các bác: - Các bác có nghĩ là một số lượng lớn các địa chỉ IP kia đến từ Android, IOS ... smartphone không? Vì hiện nay phần lớn các smartphone ở VN toàn dùng app lậu. 
Thú thật là mình chưa nghĩ tới, mình thích cách suy nghĩ của bạn. Mình rất chú ý tới các comment thuộc dạng "out of the box" ;) ]]>
/hvaonline/posts/list/44920.html#277453 /hvaonline/posts/list/44920.html#277453 GMT
HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

texudo wrote:
Mình mạo muội hỏi các bác: - Các bác có nghĩ là một số lượng lớn các địa chỉ IP kia đến từ Android, IOS ... smartphone không? Vì hiện nay phần lớn các smartphone ở VN toàn dùng app lậu. 
Có, nhưng theo tôi không nhiều. Các Android, IOS ... smartphone thường sử dụng mạng 3G để kết nối Internet. IP của mạng 3G thường có octet đầu tiên là 27, 171... (không hiểu còn có "loại" IP nào khác không nhỉ?) Nhưng trong "dead list" (zombies) gồm hơn 14.000 IP mà anh conmale cung cấp, chỉ có 494 IP có octet đầu là 27 và 515 IP có octet đầu là 171. Như vậy tổng số hai loại IP này chiếm không nhiều.]]>
/hvaonline/posts/list/44920.html#277455 /hvaonline/posts/list/44920.html#277455 GMT
HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277464 /hvaonline/posts/list/44920.html#277464 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

neikel wrote:
16k IP khác nhau là thống kê từ một trong số các tờ báo trên thôi mà. Hơn nữa nếu các bạn bắt được một con bot trong số này và theo dõi quá trình nó hoạt động thì các bạn sẽ phần nào biết được trang nào bị đánh nhiều nhất. Mình không nghĩ các tờ báo trên có cơ sở hạ tầng kém thế. 
Trong 16K IP đấy có bao nhiêu là địa chỉ IP của các công ty, các business center, quán nét...., mỗi công ty, business center thường chỉ có một số địa chỉ IP khi ra ngoài, nhưng trong công ty đấy có hàng trăm thậm chỉ hàng ngàn máy tính kết nối. @PXMMRF: Việc kết nối qua 3G hiện nay rất phổ biến, nhưng khá chậm và tốn tiền :), nên các smartphone thường setup chế độ ưu tiên khi kết nối qua wifi. Mà các smartphone thường được các doanh nhân, nhân viên... ở các office sử dụng, nên họ sẽ ưu tiên kết nối qua mạng wifi của công ty, địa chỉ ip đi ra ngoài sẽ không phải kết nối qua 3G nữa. Vô tình 1 người nhân viên bình thường có thể có 2 "vũ khí bẩn" (PC và Smartphone) để tấn công DDOS.]]>
/hvaonline/posts/list/44920.html#277465 /hvaonline/posts/list/44920.html#277465 GMT
HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

texudo wrote:
@PXMMRF: Việc kết nối qua 3G hiện nay rất phổ biến, nhưng khá chậm và tốn tiền :), nên các smartphone thường setup chế độ ưu tiên khi kết nối qua wifi. Mà các smartphone thường được các doanh nhân, nhân viên... ở các office sử dụng, nên họ sẽ ưu tiên kết nối qua mạng wifi của công ty, địa chỉ ip đi ra ngoài sẽ không phải kết nối qua 3G nữa. Vô tình 1 người nhân viên bình thường có thể có 2 "vũ khí bẩn" (PC và Smartphone) để tấn công DDOS. 
Đúng như vậy, các smartphone, iPad, máy tính bảng... có thể kết nối qua Wi-Fi (bây giờ phải viết là Wi-Fi mới thật chuẩn để khỏi nhầm với TV WhiteSpace-Wifi. Hì hì). Khi đó có các trường hợp sau: - Smartphone... kết nối Wi-Fi qua một AP mà AP ấy kết nối với một Router nhưng Router này chỉ được cung cấp WAN Dynamic IP ( Chú ý là các Smartphone chỉ được cấp PRIVATE dynamic IP). - Smartphone... kết nối Wi-Fi qua một AP mà AP ấy kết nối với một Router mà Router này được cung cấp một WAN Static IP (Đây là trường hợp của các cơ quan lớn, công ty, khách sạn lớn...). Nhưng các Smartphone cũng chỉ được cấp PRIVATE dynamic IP. Tuy nhiên khi kết nối với một webserver (như tuoitre.vn chẳng hạn) thì webserver vẫn chỉ nhận smartphone này với đia chỉ WAN IP tĩnh của router. Do vậy, giả dụ mạng webserver chính của vietnamnet.vn lai lắp thêm một Wireless AP (Access Point) cho nhân viên văn phòng tiện dùng, mà một smartphone của một nhân viên nào đó lại nhiễm botnet như "btwdins.dll" chẳng hạn, thì sẽ xảy ra hiện tượng Vietnamnet DDoS vào Tuổi trẻ, "Quân ta đánh quân mình". Hì hì. Tưởng tượng phong phú thêm, một Smartphone hay một Laptop của một vị Chủ tịch tỉnh hay bí thư Đảng uỷ Tỉnh bị nhiễm botnet, mà Smartphone, Laptop của các vị này đang được ưu tiên dùng mạng Wireless hay ADSL fixed của cơ quan văn phòng tỉnh này hay của webserver chính thức của tỉnh, thì ... sẽ.... cũng như trên mà thôi. Hì hì. ]]>
/hvaonline/posts/list/44920.html#277469 /hvaonline/posts/list/44920.html#277469 GMT
HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277471 /hvaonline/posts/list/44920.html#277471 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277481 /hvaonline/posts/list/44920.html#277481 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277531 /hvaonline/posts/list/44920.html#277531 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277549 /hvaonline/posts/list/44920.html#277549 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277550 /hvaonline/posts/list/44920.html#277550 GMT HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

nangchieucali wrote:
Theo như tìm hiểu thì trong những ngày diễn ra đợt tấn công, báo tuoitre đã chặn hết ip của người dùng từ các isp khác trừ ip của người dùng vnpt là ko chặn.  
Theo mình biết thì việc chặn này chỉ có thực hiện trong 1 khoảng thời gian ngắn ở giai đoạn sau của cuộc tấn công thôi bác]]>
/hvaonline/posts/list/44920.html#277552 /hvaonline/posts/list/44920.html#277552 GMT
HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến

itsitinh wrote:

nangchieucali wrote:
Theo như tìm hiểu thì trong những ngày diễn ra đợt tấn công, báo tuoitre đã chặn hết ip của người dùng từ các isp khác trừ ip của người dùng vnpt là ko chặn.  
Theo mình biết thì việc chặn này chỉ có thực hiện trong 1 khoảng thời gian ngắn ở giai đoạn sau của cuộc tấn công thôi bác 
Ngắn ở giai đoạn sau nhưng băng thông vẫn đạt 8-10 Gbps. nghĩa là bậc hệ thống lên là bị nghẽn liền khi chỉ có người dùng vnpt. theo tôi biết thì khoảng từ ngày 10 đến ngày 15 vẫn còn chặn]]>
/hvaonline/posts/list/44920.html#277554 /hvaonline/posts/list/44920.html#277554 GMT
HVA News - Đang có hàng loạt cuộc tấn công DDoS các tờ báo trực tuyến /hvaonline/posts/list/44920.html#277586 /hvaonline/posts/list/44920.html#277586 GMT