Bài học trị giá 7 triệu :)) [Archive]

View Full Version : Bài học trị giá 7 triệu :))

SYMOS

01-09-2011, 12:50

Bài học kinh nghiệm do sai sót trong quá trình triển khai website Auto Exchange

- Tối qua mình có nhận được điện thoại của bác không rõ là ai báo lỗi trên website mình và sms mình tự đưa ra cái giá gần 7tr cho việc fix hết lỗi và bảo kê cho mình kinh doanh trên mạng. Bác này cũng giang hồ xã hội đen.

- Thông báo với bác lỗi LR callback bác tạo ra hash và hash2 với số tiền chuyển 0.01 USD để rùi bác bác truyền lại tham số cho site mình và lấy của mình gần 7tr. Bác nói là tiền công đã lấy và yêu cầu mình liên hệ fix hết lỗi. Bác cũng có tình người và nhân ái lắm :blink:

Bác nhận mình là nhóm Hacker TNT và offer việc bảo kê cho mình với hệ thống Botnet mạnh nhất VN, sẵn sàng giúp mình hạ những trang khác cạnh tranh khác trong vòng 5 phút. Xin thưa với bác là mình ko cần dùng đến dịch vụ hại người khác như thế. Không biết trình độ bác đến đâu mà mạnh miệng như thế. Tuổi của bác hiện thời chắc chuẩn bi vào Đại Học, chúc bác học được cách làm người đừng làm hại và gây ảnh hưởng tài sản người khác . Đã ra làm thì phải chịu rủi ro tốt xấu lẫn lộn trên mạng. Phe cánh thì tồn tại không phe cánh thì tự bơi. Nếu mình không dùng dịch vụ bảo kê của bác và tự fix lỗi thì liệu rằng bác có trả lại tiền đã ck vào VCB không. Điều đó chỉ có thể là điều kỳ diệu

- Tiện đây với ai dùng LR cho Opencart nên đổi tên Function callback trong status url thành tên khác khó đoán và kiểm tra kỹ tham số post back có phải từ IP LR hay không trước khi tiến hành thực hiện giao dịch và đặc biệt đừng lấy tham số lr_amnt để tạo hash nên lấy từ total của đơn hàng. Đây cũng có cái giá phải trả cho việc Auto Exchange.

- Tất cả các gateway khác mình đã test kĩ nhưng vẫn còn sót lại lỗi LR trên. Lỗi thì đầy ra trên mạng, vô tình hay cố ý thành tầm ngấm của bác, bản thân của bác làm web cũng biết không thể tránh hết được 100% lỗi, hạn chế đến đâu hay đến đó trong kiến thức của người làm web.

- P/S bác đừng cố tỏ ra nguy hiểm. Đã tự nhận là hacker mà lại để nhiu thông tin thì coi chừng lại bị tóm cổ như vụ án cướp tiệm vàng. Mình sẽ public thông tin lên mạng xem tốc độ lan truyền như thế nào để mọi người tránh bị lừa đảo. Còn những người quen biết bác có thể cũng sẽ bị ảnh hưởng. Nếu bác cảm thấy 7tr để đổi uy tín của bác thì mình lời to.

- Dưới đây là thông tin của liên hệ và mình thu thập được :

Lưu Ngọc Hoàng
Năm sinh: 28/07/1993 (???)
Địa chỉ hiện tại : Bình Thạnh, HCM

VCB 0561003884508 (VCB Đà Lạt)
LR: U5753519
Phone: 01662179291
YM: leocaycau1

(Hiện đang làm admin / quản trị hopcho.vn hoặc raoban24h.com, trước đây là trang ekt.vn, vmo.vn)

Sinh viên Đại Học Mở 2011 - Kinh Tế Học
24371 - Lưu Ngọc Hoàng - D1 - 5,5 / 1,50 / 4,25 - 402
MSSV: ............

* Thông tin liên quan:

- Địa chỉ:
Địa chỉ: 14 Trần Phú, Phường 2 , Đà Lạt, Lâm Đồng (Bưu điện Trần Phú)

NGUYỄN LƯƠNG DŨNG
Địa chỉ: 3/2 Cô Giang, P.9, TP.Đà Lạt, Lâm Đồng
ĐT: 063-3811402

TRẦN THỊ XUYẾN
Địa chỉ: 80 Trạng Trình, Đà Lạt, Lâm Đồng
ĐT: 063-3811050

Lưu Xuân Trung (???)
Địa chỉ:..

- Một số trang web liên quan đến hopcho.vn:

http://raoban24h.com
http://raovatlamdong.vn
http://muabanvungtau.vn
http://zenkyzeus.net
http://muangay.biz
http://sukienkhuyenmai.com
http://vipraovat.com
http://www.chocaocap.com

(Được đánh giấu bằng sự đầu tư của 2 tập đoàn lớn là Crown Limited Australia và Sausage Software Hopcho.vn được các chuyên gia nhận định sẽ trở thành hệ thống thương mại điện tử theo mô hình diễn đàn có quy mô và phát triển tại Việt Nam).

http://sieumua.com/showthread.php?t=384341

- Bạn bè:

+ Ngô Quang Đăng
VCB 0561003868746 (VCB Đà Lạt)
+ Vietduong19
+ duynhan07
+ li_thong_89
+ ...

- Hình ảnh:
....

- Proof

http://www.asieuthi.com/proof/IMG_0405.PNG
Bác gọi cho mình trong lúc mình đang xem Long Ruồi :) Đời trớ trêu, làm mình xem không an lòng :mad:

http://www.asieuthi.com/proof/email.jpg
Về nhà nhận được cái email

http://www.asieuthi.com/proof/IMG_0406.PNG

http://www.asieuthi.com/proof/IMG_0407.PNG

http://www.asieuthi.com/proof/IMG_0408.PNG

http://www.asieuthi.com/proof/IMG_0409.PNG

http://www.asieuthi.com/proof/IMG_0410.PNG

http://www.asieuthi.com/proof/IMG_0411.PNG
Sau đó là sms, sự kiên nhẫn của bác có giới hạn liên tục tạo áp lực cho mình phải sử dụng dịch vụ của bác à.

http://www.asieuthi.com/proof/order.jpg
Tổng thiệt hại bác gây ra là 4 thẻ Viettel 500.000 , và 5.161.300 VND

http://www.asieuthi.com/proof/order-504.jpg
Thông tin bác để lại cho mình

http://www.asieuthi.com/proof/order-508.jpg

http://www.asieuthi.com/proof/order-509.jpg

http://www.asieuthi.com/proof/order-510.jpg
Mọi thứ đã quá muộn cho việc auto chuyển khoản.

Hi vọng site hopcho.vn của bác sống thọ khi có sự đầu tư 2 tập đoàn lớn, nhưng so với những gì bác làm thì chẳng còn gì là uy tín. Hiếu thắng, thích chứng tỏ, và cho mình hơn mọi người. Cứ như vậy bác sẽ thành công sớm thôi :cool:

Chúc bác xứng tầm với 2 tập đoàn lớn :emlaugh:

Tình cảnh của bác đáng thương thì cũng nên sống sao để từ người lớn hơn từ con. Nếu truy cứu trách nhiệm hình sự thì bác chiếm đoạt trên 2 triệu là đủ bị đi tù rùi nha bác.

Nếu bác có ghé qua vô tình đọc được topic này thì cũng nên để lại đôi lời chia buồn với mình.

Thanks bác.

--------------------------------
Thanks các bác, đôi lời chia sẻ kinh nghiệm mình gặp phải.

Update tình hình mới:

mình sẽ cập nhập thêm thông tin liên quan về bác leocaycau1. Mình đã hết lời nhưng vẫn ko thấy thành ý thì thôi vậy bác cứ giữ lấy để đổi lại uy tín của bác. Chúc vui.

choao.net

01-09-2011, 13:07

Chia buồn với bác,ko biết bg ai là quản lý của hopcho.vn chứ rõ ràng cái bác hôm up cái mvmall lên đó test dùm mình : shop.hopcho.vn,hnay vào thử phát thì ko còn :D

tourdulich

01-09-2011, 13:25

Thế này thì ảo quá nhỉ/ chia buồn với bác chủ.

thankiemvdk

01-09-2011, 13:30

ái chờ ..vụ này hay nhỉ?

rubyriver

01-09-2011, 13:57

lại vụ hot nữa đây , nhưng chắc phải nghe ha bên mới dám nhận xét

trungbatigol

01-09-2011, 14:16

thế khác nào ăn cướp không hả các bác? Báo cánh sát thôi cho nó đi tù.

tmdthanam

01-09-2011, 14:38

Liệu có phải PR không ah? Tuy nhiên nhìn lại thì 2 người đều giỏi

hula.com.vn

01-09-2011, 18:04

Không biết nói sao với đồng hương !

seaurchin

01-09-2011, 18:16

Nên kiện nó được rồi đấy! :)

vq_duy

01-09-2011, 18:35

TNT ==> cái tên nghe đã nguy hiểm rồi, đau lòng cho bác chủ

mrdinh

01-09-2011, 19:22

Thành thật chia buồn với bác, một cảnh tỉnh về vấn đề bảo mật cho anh em coder.
Thanks!

loading ...

01-09-2011, 20:29

bác viết đơn kiện nó đi, chả có nhẽ để nó cướp không như thế

chocobo11

01-09-2011, 20:33

ko ngờ admin vmo lại tệ đến thế trước cũng từng tham gia forum này tưỡng admin uy tín lắm chứ h lòi ra vụ này

disable_GA

01-09-2011, 21:16

Khuyên bạn nên dùng phương thức xml theo api của LR để xác nhận , cách này là bảo mật nhất !

thesaint

02-09-2011, 17:43

Em nó bữa nay chắc cũng mới nhập học trường DH Mở khoa CNTT.
Trên 2trieu thì khởi kiện được rồi.
Call 113 hoặc thuê vp luật giúp đỡ khởi kiện là OK.

http://diendan.tinhocmo.net/showthread.php?tid=11917
Ngựa non háu đá. Sắp tới chắc QH sẽ sửa đổi luật để xử mấy đại ca trong tuổi vị thành niên (có thể giọt nước tràn ly là vụ cướp tiệm vàng)

ga2011

03-09-2011, 00:21

Haiz, kiếm tiền kiểu này, chẳng tốt đẹp gì. Tại sao lại có những bạn trẻ thích "chứng tỏ mình" bằng những cách như: drop database, tống tiền hay bảo kê website thế này ???

bvnguyen

03-09-2011, 02:37

Thằng này ở gần chỗ mình :) chắc nó cũng chả sống đc bao nhiu đâu

dafa

03-09-2011, 08:07

bài học như thế có quá đắt không ?

Hoanggiangcafe

03-09-2011, 08:23

gặp cao thủ rồi ....

lefuong

03-09-2011, 09:00

up chia buồn cùng bác

SYMOS

03-09-2011, 10:32

liveislife

03-09-2011, 12:04

hic bạn này giỏi quá, khi nào mình mới giỏi bằng được bạn này đây :((

ymtupdate

03-09-2011, 20:10

Thanks các bác, đôi lời chia sẻ kinh nghiệm mình gặp phải.

Update tình hình hôm qua, bác Leo đã liên hệ mình và trao đổi một vài vấn đề. Bác cũng góp ý về lỗi SQL Injection, mình sẽ test lại. Dù sau thì bác Leo cũng chưa lấy hết tiền mình trong tk ngân hàng khác. Thanks bác về những góp ý.
Bác Leo có thành ý gửi trả số tiền trên. Mình có hẹn là sau lễ thì chuyển khoản lại mình số tiền trên.
Xem tình hình mình sẽ sửa lại bài không phải để chỉ trích ai, chỉ để trao đổi vài kinh nghiệm quí giá trong quá trình triển khai web mình.

Có thể bạn sai rồi! LR SCI không có lỗi, lỗi là do SQL Injection để nó lấy $SECURE_KEY của LR SCI sau đó giả mạo server để tạo $lr_encrypted xác thực.

$str = "$lr_paidto:$lr_paidby:$lr_store:$lr_amnt:$lr_trans fer:$lr_currency:$SECURE_KEY";
$lr_encrypted = strtoupper (hash('sha256', $str));

Tôi chưa thấy chi tiết code giao dịch LR và VCB của bạn nên chỉ suy đoán như vậy.

start20007

03-09-2011, 20:38

lắm trò lừa đảo. Thật là...

PhimEzFun

04-09-2011, 20:34

Lại thích giống anh "LUYỆN" à

SYMOS

05-09-2011, 19:41

Thanks bác,

- SCI không có lỗi, chỉ là mình đã không check các biến postback từ LR có hợp lệ hay không. Check IP, check biến total đã thanh toán đơn hàng...
- Còn việc biết đc $SECURE_KEY để giả hash string thì mình đã thay đổi tên function cho khó đoán để nhận postback từ LR. Nếu không biết tên function thì không postback lại cho mình đc.
- Mình cũng đã đổi lại hết các bước kiểm tra postback từ LR theo thứ tự IP, total và không lưu $SECURE_KEY trong DB.

vutn_inet

05-09-2011, 19:45

hic hic, lúc sau hết hiểu nổi luôn, trình em còn kém quá

choao.net

06-09-2011, 00:24

Code và data của hopcho.vn đây này : www.chocaocap.com

hotbig

06-09-2011, 16:34

tội nghiệp, còn mình thì bị đồng nghiệp lừa " BUồn tâm sự anh em cho vui, chuyện là thế này, a nọ, đồng nghiệp cũ của mình, làm code bên 1 cty xây dựng, nhận 2 từ khóa này, hợp đồng là 7 triệu, thỏa thuận đoàng hoàng, nếu 3 tháng seo không lên thì phải bồi thường hợp đồng , 3 tháng anh nào seo không lên, có nhờ mình, thì tình anh em đồng nghiệp cũ nhờ mình là sẽ trả xứng đáng, hết hạn hợp đồng, người này chuyển qua cho mình, tình ae mình đã làm, và nữa tháng, 2 từ khóa này lên top, nhung.....a bạn này chẳng chi cho mình 1 xu, gọi đt không nghe máy, online để ẩn, chán thiệt, mất tình cảm thật, không đáng đồng tiền, a e coi chú ý nha, đồng nghiệp là phải xòng phẳng hợp đồng, đừng bao giờ bị lừa như mình! "

trongdoitam.net

06-09-2011, 22:31

vụ này khá hay nhỉ? cảm ơn bạn

Cunker

08-09-2011, 08:22

Cảm ơn bạn này rất hữu ích

Thiên Lợi

08-09-2011, 11:06

up..............................

huuan17

08-09-2011, 13:50

oh thế là 1 hình thức lừa đảo à ?

good_pear

08-09-2011, 14:03

xin chia buồn cho bác chủ topic .

thedung118

08-09-2011, 14:12

thằng chó này là admin của hopcho.vn đây mà, thật nhục mặt nó cũng có học thức mà làm cái trờ ko học thức vậy :(

honata

09-09-2011, 09:27

7 triệu 1 bài đối với người giỏi như bác chủ top thì hơi mắc nhưng chưa chắc đã quá mắc với người khác.

Fix hết lỗi lấy 7 triệu cũng bõ công người ta, khuyến khích ngành bảo mật có chỗ phát triển.

Nói chung là các bác đều giỏi.

SYMOS

10-09-2011, 22:24

Thanks các bác,
Tình hình mình nhận được refer hơn 4000 request từ link vnw.cc,

Bác nào có account vnw.cc vào xem hộ mình các topic này đại ý là đang bàn luận về vấn đề gì mà refer đến site mình hoặc là ai đó đang scan site giả refer.

http://vnw.cc/forum/showthread.php?p=532318
http://vnw.cc/forum/showthread.php?p=532187
http://vnw.cc/forum/showthread.php?p=532088
http://vnw.cc/forum/showthread.php?p=532250
http://vnw.cc/forum/showthread.php?p=532127
http://vnw.cc/forum/showthread.php?p=532112
http://vnw.cc/forum/showthread.php?p=532101
http://vnw.cc/forum/showthread.php?t=97593
http://vnw.cc/forum/showthread.php?p=532154
http://vnw.cc/forum/showthread.php?p=532094
http://vnw.cc/forum/showthread.php?p=532298
http://vnw.cc/forum/showthread.php?p=532185
http://vnw.cc/forum/showthread.php?p=532180
http://vnw.cc/forum/showthread.php?p=532145
http://vnw.cc/forum/showthread.php?p=532148
http://vnw.cc/forum/showthread.php?p=532281

ken.k0olz

10-09-2011, 22:41

chia buồn cùng bạn . theo mình bạn nên báo công an đi vì có số tài khoản của nó mà mấy thằng lừa đảo cho nó vào nhà đá hết đi. site bác là site nào thế e mới tham gia ddth nên k biết

thinhduc.com

11-09-2011, 19:06

Em cũng thấy run run :-ss

motlanroithoi

12-09-2011, 09:33

Haiz, kiếm tiền kiểu này, chẳng tốt đẹp gì. Tại sao lại có những bạn trẻ thích "chứng tỏ mình" bằng những cách như: drop database, tống tiền hay bảo kê website thế này ???

giờ lại còn có xã hội đen online nữa :( khiếp quá :(

motlanroithoi

12-09-2011, 09:36

Nói chung là kẻ gian thì nhiều, kiếm tiền bằng đủ mọi cách, mấy trò hack đó ko khó với những người được đào tạo bài bản rồi. Nếu muốn tìm hiểu cũng nhanh mà, những đứa học chưa hết 12 còn làm được, tiếng anh gà, thì sao chúng mình ko học được. Chỉ có điều là phá hoại thì tệ quá, giỏi thì đi tấn công các server Tàu đi

đúng rồi, khôn ngoan đá đáp người ngoài - gà cùng một mẹ chớ hoài đá nhau :D

dienlanhcn

12-09-2011, 15:25

Giá đắt đỏ wa nhỉ? chia buồn cùng bác chủ topic.

SYMOS

13-10-2011, 01:23

Cập nhập thêm thông tin liên quan về bác leocaycau1. Mình đã hết lời nhưng vẫn ko thấy thành ý thì thôi vậy bác cứ giữ lấy để đổi lại uy tín của bác. Chúc vui.

:nuke::nuke::nuke:

newbabi

13-10-2011, 03:49

thiệt là xl quá đi cu ạh

sunglasses

13-10-2011, 09:25

Vụ nầy để công an giai quyết là được rồi

hoanghiep287

13-10-2011, 09:35

Mấy anh này phải cho vào tù bóc lịch mới sợ ah' cứ nhởn nhơ bên ngoài toàn hại người khác ko ah'

vietlockerz.com

13-10-2011, 09:58

kinh toàn các cao thủ võ lâm
Nhưng thực tình không nghĩ là leocaycau1 ,chắc ai mượn danh hay leocaycau1 cố tính cho mượn danh

wto.vman

13-10-2011, 11:25

Bài học đắt giá ^!^ Rút kinh nghiệm lần sau.
Chắc phải nhờ nguoi quen hay ai đó giỏi giúp đỡ mình ...

duy.le

13-10-2011, 15:04

ai da,thiện tai thiện tai...quay đầu là bờ ko bao giờ muộn.bao nhiêu cao thủ hành sự ko đúng đạo đều phải quay đầu hướng thiện vì nhận ra chân lí sống.ko có đạo thì sống sao được dù tài giỏi đến đâu.vài lời chân thành cùng các bạn

hoangdechuavo

13-10-2011, 15:24

Cứ trình báo công an lên ca thì có rúm người lại chứ oai với ai nữa

__________________________________________________ _____________________
Tổng đài lắp mạng fpt Wellcome fpt-hn(.)net
Hotline : 0904.86.86.60

AlexDDT

13-10-2011, 15:27

Bây giờ mấy nhóc cao đẳng, dân lập IT là phát triển rất mạnh kĩ năng bảo kê internet, mình cũng là nạn nhân 1 lần. Không mất gì nhưng mất thời gian và bực mình.

anhthuus1982

14-10-2011, 22:32

Các cao thủ gặp nhau , mình được mở rộng tầm mắt , chia buồn với chủ thớt

le hung88

14-10-2011, 22:40

Thấy mà ghê quá,sao có nhiều người giỏi mà làm toàn những việc ác quá vậy?

tabvn

14-10-2011, 23:02

jinonguyen

16-10-2011, 10:07

SYMOS

16-10-2011, 22:33

http://www.asieuthi.com/proof/IMG_0405.PNG
Cái Iphone của bạn báo là No SIM trên status (xem hình ảnh tin nhắn). thì làm sao mà nhận được tin nhắn và gửi tin nhắn ? bạn tự tạo sờ cẳng đan à ?

Bác này lại đi bắt bẻ cái tên nhà mạng kế bên cột sống mình thế :dontgetit cái này để cho vui mắt thôi mà, dùng Fake carrier hay Fake Operator là thay được thôi.

@jinonguyen : bác này thật là tinh tế nhưng mà iphone làm gì có 2 sim.

jinonguyen

19-10-2011, 10:03

@jinonguyen : bác này thật là tinh tế nhưng mà iphone làm gì có 2 sim.

:D thường những cái khác nó thế, còn iphone thì chưa xài

langtuvinhlinh19

19-10-2011, 10:28

Chia buồn cùng bác nhé

tabvn

22-10-2011, 20:35

Không thấy 2 sim kia à, cái con mắt @@ 1 sim có sóng, sim còn lại là nosim

bạn mua Ở đâu Iphone có 2 Sim thế, bày giúp mình cách cài 2 SIm như bạn với . Bạn tự face luôn cả tin nhắn à :) LOL

Em Chán Gà

23-10-2011, 01:13

bạn mua Ở đâu Iphone có 2 Sim thế, bày giúp mình cách cài 2 SIm như bạn với . Bạn tự face luôn cả tin nhắn à :) LOL
Chưa thấy hả bạn!
Liên hệ anh Hồ Cẩm Đào nhé, ban đầu mình nhìn thấy nó, tưởng đâu ... mới có ai dè ( cách đây cà năm rồi)