[DIS] Practice #1 :-)

**trihuynh** · 27-06-2003 22:44

Hello, đã lâu mình không quay lại diễn đàn tin học. Hôm nay vào lại room bảo mật thì thấy room không được sôi động lắm, nên mình quyết định bỏ một chút thời gian ra để viết một bài thử thách các cao thủ về bảo mật trong DDTH. Có gì sơ xót xin niệm tình tha thứ.

„

Một trong những công việc mà giới IT Vietnam mơ thích nhất đó là được làm Network Administrator (dịch tạm tạm là ”Quản trị mạng”) cho một công ty nước ngòai. Thông thường chức vụ này lương thì cũng kha khá, má công việc thì lại nhàn nhã. Tuy nhiên, những vị trí như vậy thường rất là hiếm nên chen chân vào rất khó, đặc biệt là đối với công ty nước ngòai vì họ không coi trọng phần ”quen biết”. Khó khăn hơn nữa là đang trong cơn bùng phát các chứng chỉ quốc tề nào là của Microsoft, Cisco, Oracle. Việc cạnh trang ngày càng gay gắt không những về phần kiến thức mà còn về phần bằng cấp.

Trọng, sinh viên mới tốt nghiệp DHBK, đồng thới được chứng nhận là CCIE trẻ nhất ở Vietnam, đã thắng cuộc trong cuộc đua vào vị trí Network Administrator cua ngân hàng AA. Ở tuổi 21, với mức lương 700USD/tháng, Trọng có thể được coi như là một người thành công trước tuổi, và hiễn nhiên, phải đi kèm với một cô bạn gái thật đẹp.

Ngân hàng AA, nơi Trọng làm là một trong những ngân hàng lớn nhất ở thành phố HCM. Tuy nhiên, vì mới vào làm nên Trọng chỉ được giao quản lý một chi nhánh nhỏ có cấu trúc network như sau :

|-----------|
| Internet |---------ROUTER-------FIREWALL---------DMZ AREA: 1 Web Server
|-----------| |
|
FIREWALL----------- Intranet

(Intranet gồm 1 database server sử dụng Oracle 9i và 40 máy cho nhân viên sử dụng Windows XP Service Pack 1)

• Ngày 29 tháng 7 – 9 giờ sáng

Chuông điện thọai reo khi Trong đang chat với bạn gái qua YIM trong phòng làm việc.
”Alô, Trọng thuộc phòng quản trị mạng đây ! Ai ở đầu dây vậy ? ” Trọng cất tiếng hỏi, hơi khó chịu vì bị cắt ngang cuộc nói chuyện với bạn gái.
”Hello, anh Trọng. Em là Thảo ở phòng Customer Service đây. Em vừa mới nhận được than phiền của một khách hàng nói rằng ổng vừa nhận được một email nói rằng credit card của ổng đã bị đánh cắp. Em đã nói chuyện với khách hàng đó và check credit history của ổng thì thấy không có chuyện gì. Tuy nhiên em cho ổng email của anh và đề nghị ổng send cho anh cái email đó. Anh take a look nhé.”
”Được rồi. Anh sẽ kiểm tra cái email đó khi anh nhận được nó. Bye Thảo”
”Okay. Bye bye” Thảo trả lời gọn lỏn.
Trọng gác điện thọai và trong lòng nực cười về Thảo. Trọng tự nhủ không biết Thảo bị gì mà tại sao lúc nào nói chuyện cũng chêm tiếng Anh hết. Chợt Trọng liếc nhìn cái cái cửa sổ YIM trên màn hình máy tính : ”Bye, honey. See you tonight. Npkitty has logged off the service.”

Trọng thở dài...

• Ngày 29 tháng 7 – 11 giờ trưa

Trọng mở cửa sổ Outlook Express lên và check mail. Từ khi nâng cấp hệ thống máy tính công ty từ Windows 98 lên Windows XP, công ty của Trọng quyết định sử dụng Outlook Express là công cụ email chính trong công ty. Thứ nhất là vì Outlook dễ sử dụng, thứ hai là Outlook đi chung với Windows nên công ty không phải chi tiền mua một software khác.

Cửa sổ của Outlook Express hiện lên : ”You have 5 new messages”. ”Hmm, không có nhiều email lắm, như vậy thì mình có thời gian để kiểm tra cái email của cha nội khách
hàng xem đó là cái gì.” Trọng liết sơ qua cái danh sách email mới, chợt Trọng nhìn thấy
một email có chủ đề là (subject) : ”Fwd : Credit Card của mày đã bị đánh cắp !”. Trọng nghĩ thầm ”À, đây chắc chắn là cái email của ông khách đây”. Kích thước của email này là 60KB và có attachment là một file HTML. Là một CCIE, nên hiển nhiên Trọng đã biết đến các dạng virus lây qua email. Các virus lây qua email thường có attachment là một file có phần đuôi (extension) như sau ”.gif.exe”, ”.pif”... để khi người nhận được email xem cái attachment đó thì virus sẽ tự động chạy và lây lan. Tuy nhiên Trọng chưa bao giờ nghe thấy virus có khả năng lây lan bằng phần đưôi là ”.html” Mặc khác máy tính của Trọng và các máy tính khác trong cơ quan đều có sử dụng Norton Antivirus và đã được cập nhập với phiên bản mới nhất nên nếu có virus trong tập tin HTML thì Norton sẽ báo liền. Nghĩ vậy Trọng click vào cái attachment để xem nó là gì, cửa sổ IE hiện lên. Đó là một trang web màu đen với hàng chữ màu vàng thật lớn ngay ở giữa trang : ”TAO LÀ CƠN ÁC MỘNG CỦA MÀY ĐÂY !”

• Ngày 29 tháng 7 – 12 giờ trưa

”Hello, Thảo ở phòng Customer Service đây” Thảo nhấc điện thọai sau tiếng chuông thứ nhất.
”Alô, Trọng đây”
” Hi, anh Trọng. Có chuyện gì vậy anh ? ”
” À, anh đã xem cái email của ông khách rồi. Không có gì đâu, anh nghĩ đó chỉ là một trò đùa của ai đó thôi. Anh cũng định kiểm tra xem cái mail đó từ đâu tới nhưng lại nghĩ rằng việc đó không thuộc trách nhiệm của mình nên thôi. Nếu ông khách ổng có gọi lại hỏi thì nói ổng yên tâm đi, không có chuyện gì đâu. Em hãy khuyên ổng nên sử dụng một số phần mềm chống SPAM để không phải nhận những email như vậy sau này nữa” Trọng nói một hơi và làm ra vẻ như mình vừa mới nghiên cứu rất dữ dội xong.
” OK, Thank anh Trọng. Tối nay anh rảnh không ? Em định mời anh đi ăn cơm với em.” Thảo hỏi giọng tình tứ
” Ồ, tiếc quá tối nay anh bận rồi. Bữa khác nhe, À , tối mai được không ? ”
”OK, tối mai cũng được. Có gì em sẽ gọi anh.” Thảo trả lời.

• Ngày 29 tháng 7 – 8 giờ tối.

Trọng liếc nhìn trộm cô bạn gái mới quen được 2 tháng của mình. Hạnh, có nick Yahoo là npkitty, là sinh viên đại học Mở TP HCM khoa anh văn. Hạnh đồng thời là người mẫu ở nhà văn hóa Thanh Niên trong những lúc cô không phải đến trường. Hạnh có thể nói là dạng con gái mà bất cứ chàng trai nào cũng mơ ước đến : Đẹp, nói chuyện có duyên và khêu gợi. Trọng rất tự hào về Hạnh, lũ bạn đứa nào cũng tấm tắt khen Trọng hay mới quen được một cô bạn gái như thế. Đang mơ màng nhìn người đẹp trong rạp phim. Bỗng điện thọai cầm tay của Trọng run lên trong túi. Trọng kề môi vào tai người đẹp nói nhỏ ”Anh có điện thọai, anh ra ngòai tí xíu. Sẽ quay lại ngay.”
”OK”, Hạnh trả lời gọn lỏn và không quên lườm Trọng một cái.
”Anh sẽ quay lại liền”, Trọng chồm tới cắn nhẹ vào tai người đẹp và đừng dậy tìm đường ra khỏi phòng chiếu bóng.

• Ngày 29 tháng 7 – 8 giờ 10 tối.

”Hùng hả ? có chuyện gì vậy ?” Trọng cất tiếng hỏi Hùng là người quản trị mạng ban đêm. Ngân hàng AA đang phát triển tốt nên mở rộng thời gian phục vụ đến tận 9 giờ đêm. Hùng là người chịu trách nhiệm quản lý hệ thống ca tối. Trọng vốn đã không thích Hùng từ những ngày Hùng mới được nhận vào làm vì Hùng là lọai người lầm lì ít nói và nhìn vào thì ai cũng cho rằng Hùng là một kẻ hay khinh người.
” Web Server của mình bị hack rồi ” – Hùng nói giọng hơi run run
” Cái gì ? Đừng giỡn chứ ? ” – Trọng hỏi giọng bán tín bán nghi
” Web Server của mình bị hack roi ” – Hùng lập lại mộp lần nữa.
”À, mà hồi nảy anh có gởi email cho tôi nói rằng tôi nên thay đổi cái file .htaccess phải không ?” Hùng hỏi Trọng.
”Đâu có ?”
”Tôi cũng nghĩ là sao có chuyện gì kì vậy. Anh hơi đâu mà kêu tôi làm cái chuyện ba láp như thế. Tuy nhiên tui cũng log vào cái web server để kiểm tra và thấy mọi thứ đều tốt và bình thường cả. Nhưng mà tốt nhất anh nên đến đây liền đi”
”Được rồi tui tời liền. Mà hiện giờ anh đã làm gì rồi” Trọng hỏi mà trong đầu cảm thấy lùng bùng
”Tôi không làm được gì. Password để vào Web Server đã bị thay đổi. Mà cái web server thì đặt trong phòng bảo mật trong khi tôi lại không có chìa khóa vào đó. Tôi đã hỏi anh đưa cho tôi chìa khóa mỗi lần anh hết ca làm vậy mà anh không chịu” – Hùng nói giọng trách móc.
Tim đập thình thịch, Trọng hỏi : ”Vậy chứ nếu bây giờ khách hàng vào www.aabank.vn thì sẽ thấy gì ? ”
”Chỉ một dòng chữ : TAO LÀ CƠN ÁC MỘNG CỦA MÀY ĐÂY !”
-----------------------------------

Giả dụ như bạn là Trọng sau khi vào lại cty. Bạn sẽ làm gì để tìm ra nguyên nhân cũng như khắc phục hậu quả ?

Về phần thông tin. Bạn có thể đề nghị Trí cung cấp bằng cách post ở đây.
Vd : Webserver type, vefrsion, log file, email cua ông khách.... Mình sẽ post lại ở đây trả lời cho bạn.

Chúc vui vẻ cuối tuần.

**trihuynh** · 27-06-2003 22:57

Lưu ý mình sẽ không post dữ liệu nếu khong có bạn nào yêu cầu vì mình muốn các bạn thực tập incident handling.

To people who read "Hacker Challange" : Bài tập này không nằm trong đó đâu nên bẹn đừng mất công tìm. Bài này là do mình viết dựa trên một bài tập khác cũng do mình viết bằng tiếng Anh trong cái course Security mình dạy.

TO newbies : Welcome ! Mình hy vọng sẽ làm cho bạn nhức óc một chút vào weekend này.

To expert : Nếu bạn đã tìm được câu trả lời thì xin đừng post sớm quá vì đề các bạn khác tìm hiểu nữa.

Thân,

Trihuynh

**Maxx** · 27-06-2003 23:05

ok hấp dẫn lắm cám ơn a TH, đúng là trong Hacker Challenger ko có ,lâu gòi mới có cảm giác thú vị thế này , để đọc cái đã hihi

**silvercast** · 27-06-2003 23:49

xem kha nang phan tích cua tui ne. Neu dung thi cho 1 trang phao tay nha . hehhee
1 - các đối tượng trong tình huống
Trọng , Hu`ng, Thảo, khách hàng

2 - cấu trúc mạng

|-----------|
| Internet |---------ROUTER-------FIREWALL---------DMZ AREA: 1 Web Server
|-----------| |
|
FIREWALL----------- Intranet
Intranet gồm 1 database server sử dụng Oracle 9i và 40 máy cho nhân viên sử dụng "Windows XP Service Pack 1"
a - cấu trúc mạng yếu , không quản lý được việc phá hoại từ bên trong , recommended ISA server
b - không bao giờ tin tưởng XP để làm server

3 - eMail kì lạ
"60KB và có attachment là một file HTML"
---> virus CÓ khả năng lây lan bằng phần đưôi là ”.html”

4 - những đoạn đối thoại vô lý
”À, mà hồi nảy anh có gởi email cho tôi nói rằng tôi nên thay đổi cái file .htaccess phải không ?”
"Tuy nhiên tui cũng log vào cái web server để kiểm tra và thấy mọi thứ đều tốt và bình thường cả"
”Tôi không làm được gì. Password để vào Web Server đã bị thay đổi. Mà cái web server thì đặt trong phòng bảo mật trong khi tôi lại không có chìa khóa vào đó. "
a - Trọng thực sự ko gửi email, trường hợp trùng hợp do virus hiếm khi xảy ra. yeah, 40% đoán ra được rồi
b - Hùng không có chìa khoá mà vẫn log vô được server ngay trước khi server bị hack. this could be a lie!

5 - dự đoán
a - bị xâm nhập từ bên ngoài 35%
b - bị Hùng phá 55%
c - không biết x-)) 10%
6 - Trọng có lỗi không ?
có , chắc chắn là có. sercurity yếu kém, không biết cách config Apache mà đòi làm CCIE (hehehehe)
7 - khắc phục
với webserver thì mọi việc dễ dàng , nếu có 1 ban code backup. Lý do đơn giản là nó không phải là 1 database server ! Không việc gì phải mệt mỏi cả
8 - lời cuối
chỉ là 1 tình huống giả định, nếu có thực hẵng hay. nếu hạ sách thì cài lại x-) poor Trọng !

**trihuynh** · 28-06-2003 10:28

1. Về cấu trúc mạng thì mình cho rằng hệ thống như vậy không có gì là yếu kém. Intranet là một mạng LAN gồm 1 một Database Server là Oracle 9i và một loạt các máy cho nhân viên sử dụng Windows XP Service Pack 1 nối với nhau bằng Hub. Mình không hiểu là "không nên tin tưởng dùng XP là Server" là có ý gì ? Phải chăng bạn nhầm chữ "Service Pack" ?

ISA được coi như là một sản phẩm Firewall của Microsoft. Mạng của ngân hàng AA đã có 2 firewall rồi nên nếu đặt thêm một firewall nữa thì sẽ hơi thừa.

2. HTML virus hiện tại vẫn chưa được phát hiện nhiều "In the Wide". HTML virus là một tập tin HTML gồm một đọan mã bằng VBscript hay Javascript ở bên trong với mục đích phá hoại. Windows XP sử dụng IE 6.0 đã được MS patch nên việc HTML virus như vậy xảy ra rất là hiếm. Hơn nữa Trọng sử dụng Norton Antivirus Monitor, nên nếu có Virus trong tập tin thì Norton sẽ báo rồi.

3. Đọan đối thoại vô lý ?
- Hùng nói rằng sau khi nhận được email của Trọng Hùng log vào server để check mọi thứ. Tại thời điểm đó, trang web vẫn bình thưòng và vẫn chưa bị thay đổi. Một lúc sau Hùng mới phát hiện ra việc web server bị hack và gọi cho Trọng.

.htaccess là một chức năng rất tiện dụng của Apache (mình không chắc về khả năng của nó trên IIS). Dù chỉ là một tập tin nhỏ nhưng nó có thể cho phép webmaster làm được nhiều việc như redirect, customize 404 error page, directory password direction... Mặc dù .htaccess có một số lỗi về DoS tuy nhiên trong trường hợp này trang web bị thay doi nên chắc chắn .htaccess không phải là lỗ hổng bị tấn công rồi.

6. Trong chương trình CCIE không có phần nào về Apache hết. CCIE là chương trình thuần Cisco Oriented .Thành ra CCIE không có nghĩa là trùm về Apache :-) (Any CCIE here ? Fix me if i am wrong )
-------------------------
Như vậy thì bí mật vẫn chưa được giải tỏa

**silvercast** · 28-06-2003 10:48

nếu vậy thì trường hợp máy của Trọng bị hack càng hiếm xảy ra. Cho rằng là Hùng nhận được email ( maybe fake) từ Trọng đi, thì Hùng cũng là 1 kẻ dại dột , he was trapped !
Co`n phần WinXP thì có lẽ tui đoán nhầm, tui đoán là WebServer OS là XP ! sorry
Dù sao thì nguy cơ vị hack đều xuất phát từ Hùng . Có thể trong thời gian log vô webserver thì Hùng bị theo dõi.
But ít's OK. as I said, just a webserver, not datacenter

. Nothing to worry

**trihuynh** · 28-06-2003 11:00

Oh, sau khi xem kĩ lại bài của mình. Do copy and paste tu MS Word. Mình không để ý là cái map network của chi nhánh ngân hàng AA bị thay đổi. Xin bạn sửa lại cho mình là cái phần " ---FIREWALL--INTRANET " phải dính liền với phần "ROUTER" thanh mot nha'nh kha'c chứ không phải là INTERNET nhu hien tai. Trong practice lần sau mình sẽ dùng VISIO để vẽ như vậy thì những chuyện đáng tiếc thế xẻ không xảy ra nữa.

**Rain** · 28-06-2003 11:01

Chào bạn,

Tôi cần thêm một số thông tin sau, bạn trihuynh có thể post lên được không :

1. Web server type, version ? Cài trên nền HĐH nào, version, service pack, kernel ?

2. Email fwd của ông khách ?

Dự đoán :

1. NAV, hay bất cứ loại antivirus nào, loại patch Outlook nào đều không tuyệt đối, khả năng virus mới, tự viết v.v... gài trong HTML "qua mặt" được ở tình huống trên tuy thấp nhưng vẫn có thể xảy ra.

2. Email Hùng nhận được là giả mạo, có thể đính kèm những đoạn code nguy hiểm, "theo chân" Hùng xâm nhập vào Web server.

3.Trò đùa ác ý của lão Hùng

Thân,
Rain

**$$$** · 28-06-2003 11:24

Ậy đừng nói là file attach html không có virus ...
ngay cả bạn không cần mở file attach chỉ cần xem email thôi. Tôi có thử nghiệm 1 test về lỗi emails, hình như gần 10 email inject đủ loại vuls khác nhau. Mặc dù tôi dùng Lotus notes 5 vẫn bị vướng 1 vul cho phép run lệnh bất kì trên máy của tôi...
-> Việc isolate máy để monitor và admin hệ thống và máy để người quản trị mạng tiếp xúc với các công việc bình thường khác cũng rất quan trọng.

tôi nghĩ nên sử dụng secure id card trước khi access vào monitor hay admin hệ thống thì an toàn hơn. Vì ngay cả máy bạn gặp vấn đề trong khi bạn giao tiếp với bên ngoài hay nội bộ , thì người ta vẫn không thể lợi dụng cái "what you know" như pass để xâm nhập hệ thống chính mà còn phải có cái "what you have" như SID card mà chắc chắn bạn giử gìn cẩn thận rồi ...

**trihuynh** · 28-06-2003 11:34

Webserver : Apache 1.3.27 chậy trên Mandrake Linux 9.0
Firewall setup vao DMZ nhu sau :

# Allow all localhost connections
$fwcmd add allow tcp from me to any out via lo0 setup keep-state
$fwcmd add deny tcp from me to any out via lo0
$fwcmd add allow ip from me to any out via lo0 keep-state

# Allow all connections from my network card that I initiate
$fwcmd add allow tcp from me to any out xmit any setup keep-state
$fwcmd add deny tcp from me to any
$fwcmd add allow ip from me to any out xmit any keep-state

# Everyone on the Internet is allowed to connect to the following
# services on the machine. This example specifically allows connections
# to sshd and a webserver.
$fwcmd add allow tcp from any to me dst-port 80, 443 in recv any setup keep-state

Chủ đề: [DIS] Practice #1 :-)

Hỗ trợ

Rate This Thread

[DIS] Practice #1 :-)

Bookmarks

Bookmarks

Quy định