Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 03-02-2010, 11:52 AM   #1
hoctinhoc
Guest
 
Trả Lời: n/a
Nhìn lại lịch sử 1 cuộc tấn công DDOS lớn nhất việt nam
Nhìn lại lịch sử 1 cuộc tấn công DDOS lớn nhất việt nam



Đây là lần đầu tiên một Hacker bị bắt vì hành vi tấn công DDos tại Việt Nam. Hành động tấn công từ chối dịch vụ DDos đã làm ảnh hưởng nghiêm trọng tới nền thương mại điện tử còn đang trong những bước phát triển đầu tiên ở Việt Nam.
Sự việc tìm ra và bắt được thủ phạm tấn công DDos lần đầu tiên như thế này sẽ giúp cho các doanh nghiệp thương mại điện tử yên tâm kinh doanh.


Quá trình diễn biến sự việc:

Chủ nhật ngày 12/3/2006 website thương mại điện tử VietCo.com bị tấn công từ chối dịch vụ DDos, làm cho không thể hoạt động được, nhân viên công ty phải nghỉ việc.

Buổi tối cùng ngày anh Phùng Minh Bảo - giám đốc công ty Việt Cơ liên lạc tới Trung tâm An ninh mạng BKIS nhờ trợ giúp.

8 giờ tối thứ hai ngày 13/3/2006 Trung tâm An ninh mạng BKIS lấy được file Log (nhật ký trên máy chủ) từ website của VietCo do anh Bảo cung cấp. Sau khi phân tích logfile thấy rằng đây không phải là tấn công Xflash như đã từng xảy ra ở Việt Nam trước đây.

Sau 4 ngày điều tra chúng tôi đã tìm ra cơ chế của cuộc tấn công, tìm ra thủ phạm và các thông tin liên quan. Kẻ tấn công tên là Nguyễn Thành C, tức DantruongX thuộc nhóm Haker Bé yêu, một Hacker “nổi đình nổi đám” từ nhiều năm nay. Trước đây bọn này chuyên đi tấn công các website của các Hacker khác, nhưng có dấu hiệu cho thấy chúng đang rút vào hoạt động bí mật và có động cơ kiếm tiền bất chính.

Các thông tin trên được cung cấp cho đơn vị chống tội phạm công nghệ cao thuộc Cục cảnh sát điều tra tội phạm kinh tế và chức vụ Bộ Công An (C15). Sau hơn 1 tháng điều tra tiếp theo, Cơ quan an ninh đã khẳng định chính xác Nguyễn Thành C là thủ phạm, tên này còn dính líu tới 1 vụ việc vi phạm khác liên quan tới đường dây làm giả thẻ ATM. Nguyễn Thành C đã bị bắt vào sáng 28/4/2006, đến chiều cùng ngày hắn đã khai nhận tội.

Nguyễn Thành C và đồng bọn đã xây dựng được 1 hệ thống mạng máy tính ma (BOTNET), tức là đã chiếm được quyền điều khiển của rất nhiều máy tính nối mạng ở Việt Nam mà chủ nhân cũng không hay biết. Những máy tính này sẽ được chúng điều khiển từ xa để tấn công vào bất kỳ website nào chúng muốn. Trong hơn 1 tháng qua, theo quan sát của chúng tôi, chúng thay đổi các mục tiêu tấn công hàng ngày, đó có thể là các website thương mại, đôi khi là 1 website của 1 trường phổ thông.


Cách thức chiếm quyền để tạo BOTNET và tấn công DDos

1. Trước tiên chúng dụ người sử dụng vào trang web sex www.giacm....com, khi vào trang web này máy tính sẽ bị cài đặt một Trojan (con ngựa thành tơ roa - một dạng chương trình máy tính “nằm vùng” trên máy để chờ thời cơ sẽ thực hiện công việc phá hoại). Chúng tôi tạm đặt tên cho Trojan này là Netinfo. Như vậy máy tính này đã bị hacker kiểm soát mà chủ nhân không hề hay biết, trở thành 1 công cụ giúp chúng đi tấn công các website. Có rất nhiều máy tính đã bị chiếm quyền điều khiển như vậy ở Việt Nam, tạo thành mạng BOTNET.

2. Mỗi khi máy tính nhiễm Netinfo nối mạng Internet, Trojan này sẽ kết nối tới một địa chỉ định trước trên Internet là www.geocities.jp/blsbhost để lấy về các lệnh tấn công trong một file văn bản có tên là blvb.txt.

3. Nội dung File blvb.txt nói trên như sau:





File này quy định các thông tin: Cần tấn công website nào? tấn công với tần xuất như thế nào… Như vậy khi cần tấn công website nào thì Hacker chỉ việc sửa đổi nội dung file blvb.txt là lập tức tất cả các máy tính bị chiếm điều khiển sẽ đồng loạt tấn công ồ ạt vào mục tiêu và website mục tiêu đó khó có thể chống đỡ nổi, dẫn đến không thể cung cấp dịch vụ được nữa (bị từ chối dịch vụ - DDos).


Sơ đồ phát tán và tấn công DDOS trong vụ này

- Như vậy, tổng kết lại có thể thấy sơ đồ phát tán và tấn công DDOS trong vụ này như sau:









Kết thúc và lời xin lỗi từ thủ phạm

Bài viết về cách chống DDoS x-flash của Dantruongx

Tâm Sự Của Nguyễn Thành Công (DanTruongX) Và Một số phương pháp phòng chống tấn công từ chối dịch vụ từ xFlash

Trước khi thực hiện bài viết này lời đầu tiên tôi muốn gửi lời xin lỗi của tôi tới công ty Việt Cơ và những khách hàng. Em rất hối hận về nhửng sự việc mà em đã làm, chỉ vì những hành động nông nổi, hiếu thắng của em đã gây ảnh hưởng xấu tới môi trường thương mại điện tử Việt . Em rất mong có một sự tha thứ từ mọi người , để em có thể làm lại từ đầu, bắt đầu cho một cuộc sống mới tốt đẹp hơn, có ích hơn. Và em mong rằng em sẽ có một cơ hội để hướng thiện và đóng góp một phần cho sự phát triển công nghệ thông tin ở Việt .


Và sau đây tôi muốn đưa ra một số phương pháp, phòng chống và hạn chế nhửng tác hại do DDoS từ xFlash gây nên.


Trong quá nghiên cứu của tôi. Đầu tiên vào khoảng năm 2002 trong quá trình ngiên cứu về tin học, nhóm bé yêu chúng tôi có phát hiện được nhửng lổ hổng bảo mật của IE và Flash, những ứng dụng từ mã lập trình Action Script trong Macromedia Flash. Từ những lỗi đó nhanh chóng được nhóm bé yêu chúng tôi ứng dụng với những mục đích trẻ con hiếu thằng, thích thể hiện mình.


Và từ nhửng hành động nông nổi đã giúp chúng tôi nhanh chóng có được tiếng tăm trong giới "Giang Hồ Mạng" mà không biết rằng đó là một hành động sai trái gây nguy hiểm tới tình hình Thương mại điện tử ở Việt Nam sau này và giờ đây tôi thực sự hối hận.

Tuy nhiên từ khi nhóm bé yêu phát hiện lổi và thể hiện mình nhưng chúng tôi vẩn có một mục đích tôn chỉ là không bao giờ được phép tấn công hay hack vào những hệ thống mạng của chính phủ, tên miền hay máy chủ được đặt tại Việt .

Và nhận ra những việc làm sai trái của mình. giờ đây tôi muốn mang một số kiến thức về hạn chế phòng tránh từ tác hại của DDoS do xFlash gây nên:

- Nếu bạn dùng Server Linux có sử dụng CPanel khi phát hiện ra có DDoS nếu bạn có quyền root ngay lập tức bạn hãy Suppend Site đang bị tấn công và cài Password tạm thời lên sau khi thao tác xong phần cài password cho folder hoặc site bị tấn công thì bạn có thể Unsuppend để tiếp tục theo dõi.

Tạo một file .htaccess đặt vào thư mục hoặc site đang bị Flood như sau:



.htaccess
****************************
AuthUserFile /forum/.htpasswd
AuthGroupFile /dev/null
AuthName "Password Protected Area"
AuthType Basic
****************************
và tạo một file .htpasswd
****************************
@domain::@dGdK8ZQg/FjU
****************************
user và pass ở trên là : @domain:



Trên đây chỉ là ví dụ bạn có thể vào http://google.com và Search với từ khóa .htaccess Generator để tự tạo password theo ý muốn.

Bạn nên để password có ký tự @ phía trước và dấu : phía sau vì WinXP đã fix lổi cho nhập Password dạng URL http://userass@domain.com/, nếu có @ và : thì Attacker sẽ không thể vượt qua bằng cách nhập trực tiếp User và Pass bằng URL.

Sau đó công việc của bạn phải làm là lên một cấu hình Firewall phù hợp cho site của bạn.




.htaccess
************************************************** ******
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?tenmienbitancong.com [NC]
RewriteRule \.(php|html|asp)$ http://sitefirewall.com [NC,R,L]
************************************************** ******



Với dòng Mod Rewrite trên bạn có thể chống tới 95% tác hại của DDoS gây nên từ xFlash nó ngăn cản cho bạn được sự nguy hại từ việc tuy cập tự động của xFlash đến site của bạn.

Giải thích: trên máy chủ của bạn chạy mã lập trình của PHP, ASP, HTML khi một Attacker tấn công vào site bạn cụ thể ví vụ như tấn công vào http://tenmienbitancong.com/ nó sẽ đọc file index.php lúc này Mod Rewrite sẽ hoạt động và Foward về http://sitefirewall.com sau đó từ http://sitefirewall.com bạn đặt một đoạn mã như sau:
Vao Web Site

Nếu là khách truy cập thật thì họ sẽ Click vào "Vao Web SIte" để được truy cập vào site. còn nếu vào "hiden xFlash" và nó sẽ không vào được. Bạn có thể nghiên cứu 1 số kiểu ModRewrite Kết hợp với mã nguốn trên site của bạn để config site của bạn chống xFlash tốt hơn.

Với 2 cách trên bạn có thể yên tâm là site của bạn sẽ vượt qua được xFlash. Còn về phương pháp phòng thì duy nhất chỉ có 1 phương pháp : truy cập vào địa chỉ
http://macromedia.com/shockwave/down...h&promoid=BIOW và nâng cấp lên phiên bản "FLASH PLAYER" mới nhất bạn sẽ hoàn toàn yên tâm là bạn sẽ không còn bị là một Client hidden cho DDoS của xFlash. Và việc nâng cấp này là hoàn toàn miễn phí.


Và nhân tiện đây tôi muốn gửi tới một lời khuyên cho nhửng người hiện đang là Attacker và đang có ý định làm Attacker nên suy nghĩ một cách chính chắn hơn đừng vì những mâu thuẩn cá nhân hoặc vì danh tiếng mà nông nổi hành động thiếu suy nghĩ như tôi mà danh dự và tương lai của bạn có thể sẽ bị đánh mất, tôi mong muốn các bạn hacker ở Việt Nam nên có những hành động hướng thiện để có một tương lai tốt đẹp và có ích cho cuộc sống, hãy làm những việc có ích để đóng góp vào sự phát triển của nền tin học Việt Nam và trong công việc các bạn hãy tập trung làm việc và kiếm tiền từ chính công sức và trí tuệ của các bạn.


Tổng hợp từ: Bkav, DantruongX...


Chúc các bạn vui vẽ!!.....



  Trả lời ngay kèm theo trích dẫn này
Gửi trả lời



Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 08:25 PM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.