CHS - PTTH Le Quy Don - Long An - ****ed by Godzilla
có phải thực sự site bị **** thiệt không ?
Không phải . Thật ra máy tính của tôi đang bị TroJan mà ngay cả khi tôi dùng KarperSky InterNet Security 6.0 cũng không phát hiện ra .
Máy tính đang bị lấy dữ liệu 1 cách nghiêm trọng .
Nó đột nhập vào C:\WINDOWS\system32 hình thành tập tin : runxpro.exe
chiếm luôn quyền khởi động của hệ thống /
Chết thật cơ chứ , ai có biện pháp nào giải quyết tình trạng nào , xin cao thủ ra tay .
Ngày 15/01/2007, kikicoco phát hiện lỗi rất nghiêm trọng của server windows Nhân Hòa, đã liên hệ admin xử lý.
Lỗi này cho phép **** toàn bộ các site trên máy chủ ngoài ra còn có nhiều thông tin khác.
Lần trước tôi cũng đã phát hiện lỗi loacl FTP của các server Nhân Hòa (lỗi này cho phép toàn quyền FTP đối với các site trên cùng server) --> đã liên hệ và đã fix xong.
Server tôi thử nghiệm có 1212 site + subsite.
Có thể xem ở bài "Local **** và cách phòng tránh"
Lỗi hôm nay, chờ khi fix xong tôi sẽ miêu tả chi tiết cách khai thác cũng như cách fix để các bạn được rõ.
<== trích lời từ vnsercurity.com [Đăng nhập để xem liên kết. ]
không biết chính xác không nữa ? Theo ý trên thì do server chứ không phải tại website đâu! Hình như server đang fix lại thì phải.
* Trước tiên cho em gởi lời chúc sức khỏe đến anh Nguyễn Tử Quảng và toàn bộ cán bộ của báo Thanh Niên. Mong anh Quảng cho em biết những phương pháp cơ bản để bảo vệ cũng như là ngăn ngừa ****er tấn công vào website. Và nếu website đã bị ****er tấn công thì cách khắc phục như thế nào? Anh Quảng có thể giới thiệu cho em một vài tài liệu hay và hữu ích(sách, ebook hay website cũng được) về an ninh mạng, bảo mật website, ... bằng tiếng Việt được không ạ? (Trần Hưng, 22 tuổi, Nam, Quảng Nam, Sinh viên)
- Ông Nguyễn Tử Quảng - Giám đốc Trung tâm An ninh mạng BKIS: Cảm ơn bạn, chúc bạn và các bạn đọc của Báo Thanh Niên một năm mới sức khoẻ và hạnh phúc!
Để phòng chống ****er thì trước tiên, về phía những người chịu trách nhiệm quản lý website, ngay từ khi xây dựng hệ thống đã phải dành một phần quan trọng cho thiết kế đảm bảo an ninh mạng cả về hạ tầng (phần cứng) và ứng dụng (phần mềm). Yêu cầu các nhà cung cấp phần mềm (website) phải đảm bảo viết code an toàn trong khi xây dựng phần mềm. Rà soát toàn bộ hệ thống, update các bản sửa lỗi trước khi đưa hệ thống vào vận hành.
Nên có chuyên gia tư vấn khi xây dựng hệ thống. Nếu cơ quan bạn là đơn vị rất quan trọng thì nên áp dụng hệ thống ISO27001 - bộ tiêu chuẩn về quản lý an toàn thông tin.
Trong quá trình vận hành, việc cập nhật những bản vá và rà soát phát hiện các lỗ hổng phải trở thành công việc thường xuyên. Theo dõi thông tin trên các trang web an ninh mạng để xem các phần mềm trên website của mình sử dụng có bị lỗi hay không? Nếu có cần cập nhật ngay bản sửa lỗi.
[Đăng nhập để xem liên kết. ] [Đăng nhập để xem liên kết. ] [Đăng nhập để xem liên kết. ] [Đăng nhập để xem liên kết. ]
Nếu có điều kiện thì nên có một Admin chuyên về các vấn đề an ninh cho website.
Khi bị ****er tấn công, các biện pháp sau cần phải thực hiện khẩn trương: Nhanh chóng khoanh vùng hệ thống bị ảnh hưởng (sử dụng monitor, logfile...), tạm thời ngắt ra khỏi hệ thống. Sau đó khôi phục và tìm nguyên nhân. Nếu sự việc phức tạp thì cần liên hệ với các chuyên gia của các tổ chức cứu hộ máy tính (ví dụ BKIS, VNCERT). Nếu sự việc nghiêm trọng hơn, cần giữ lại mọi chứng cứ và trình báo với cơ quan Công an (C15) để tìm thủ phạm. Bạn cũng có thể báo điều đó cho BKIS, chúng tôi sẽ hỗ trợ bạn khắc phục sự cố cũng như cùng các cơ quan công an truy tìm thủ phạm.
Trích : [Đăng nhập để xem liên kết. ]
- Bạn có thể gọi điện tới Trung tâm An ninh mạng BKIS theo số 1900585850, để nhận được sự trợ giúp của chúng tôi. Nếu hiện tượng đó thực sự do virus gây ra, tôi tin chắc rằng chúng tôi sẽ xử lý được. Chúng tôi chưa "bó tay" với bất kỳ virus máy tính nào xuất hiện ở Việt Nam ;-).
__________________
Hãy là những điểm tựa cho nhau ! Anh ngã xuống, Ai sẽ đứng lên ?Ai sẽ truyền lửa cho tôi ?Ai thôi thúc tôi? Hãy truyền lửa cho nhau ! Anh ơi !Vòng xoay nào cho rubic?Lửa ở đâu rồi ?
thay đổi nội dung bởi: MarsNIIT, 20-01-2007 lúc 12:25 PM.
Máy của Kiến bị nhiễm virus rồi. Kiến có thể kiểm tra trên máy của Kiến trong thư mục gốc ở đĩa C. Có hai tập tin:MS32DLL.dll.vbs và autorun.inf đây là hai tập tin ẩn. Kiến có thể vào My Computer > Folder Options > Views và chọn "Show hidden files and folders" sau đó nhấn Apply thì Kiến sẽ nhìn thấy hai tập tin này. Ngoài ra MS32DLL.dll.vbs này còn một bản copy đặt tại C:\Windows. Triệu chứng mà virus này phá thì có hai:
+Kiến không thể doubleclick để mở ổ C từ Mycomputer.
+Dòng chữ ****ed by Godzilla xuất hiện trên thanh tiêu đề của IE
Cách khắc phục như sau:
+Mở Task Manager và tắt các process có tên wscript.exe
+Xoá các tập tin C:\MS32DLL.dll.vbs, C:\autorun.inf, C:\Windows\MS32DLL.dll.vbs
+Run > msconfig> Startup tab và disable cái dòng nào có chữ MS32DLL.dll.vbs
+Mở Regedit tại HKEY_USERS\S-1-5-21-790525478-1563985344-725345543-1003\Software\Microsoft\Internet Explorer\Main giá trị của "WindowTitle" là "****ed by Godzilla" Kiến có thể sửa lại thành cái gì tuỳ thích. CÓ thể để tên cô người yêu ở đây chẳng sao!
+Khởi động lại máy là Okie
__________________ Necessity is the mother of in(ter)vention.
Speak softly & carry a big stick. My Technical Blog
Đúng như anh myanh nhận xét , mấy của em bị MS32DLL.dll.vbs làm đảo lộn mọi thứ .
Nhưng em cũng hơi sợ sợ , nếu xóa tập tin trên thìu liệu có ảnh hường đến quá trình khởi động win , còn nữa khi tắt máy thì win phài tắt đi tập tin : runxpro.exe ( virus ) máy mới chịu ,
làm cách nào để xóa tập tin này .
MS32DLL.dll.vbs em kiến ko có ....
Giúp em gấp gấp , thanks anh myhanh .
thay đổi nội dung bởi: MarsNIIT, 20-01-2007 lúc 08:59 AM.
Cái runxpro.exe là cái gì anh chưa biết nên không thể giúp em được. Còn tập tin MS32DLL.dll.vbs em cứ an tâm xóa đi. Nội dung nó làm gì em có thể mở ra đọc vì nó viết bằng VBScript mà.
__________________ Necessity is the mother of in(ter)vention.
Speak softly & carry a big stick. My Technical Blog
Bạn có thể gọi điện tới Trung tâm An ninh mạng BKIS theo số 1900585850, để nhận được sự trợ giúp của chúng tôi. Nếu hiện tượng đó thực sự do virus gây ra, tôi tin chắc rằng chúng tôi sẽ xử lý được. Chúng tôi chưa "bó tay" với bất kỳ virus máy tính nào xuất hiện ở Việt Nam
Chúng tôi chưa "bó tay" với bất kỳ virus máy tính nào xuất hiện ở Việt Nam nhưng với điều kiện nó cũng xuất hiện ở thế giới rồi và người ta đã biết cách diệt nó và chỉ cho tui biết cái signature của con virus này. Còn trường hợp Virus nội thì tôi hay hơn nha vì hầu hết Virus nội viết bằng VBSript nên tui biết cả code mà nên xử lý dễ lắm. Mọi người an tâm nha
Bác Quảng nhà ta hay quá ta!:69:
__________________ Necessity is the mother of in(ter)vention.
Speak softly & carry a big stick. My Technical Blog
thay đổi nội dung bởi: myhanh, 20-01-2007 lúc 12:05 PM.
ai muốn nuôi virus thì em khuyên nên dùng BKAV, tại nó có chức năng thống kê số virus mình đang nuôi và sẽ luôn báo xem virus đó còn sống hông, hay vô tình bị giết rồi :lol:
Từ chuyện máy tính của em bị virus, anh nghĩ em nên cẩn thận trong quá trình duyệt net. Nếu không cẩn thận thì sẽ ảnh hưởng đến website mà em đang quản trị. Mặc dù khả năng này ít khi xảy ra. Em nên đề phòng những trường hợp như thêm module vào website, nâng cấp website. Anh không biết em download những phiên bản này ở đâu vì nếu chúng nguồn gốc không rõ ràng thì có thể những module này đã bị cài những đoạn mã độc thì rất nguy hiểm cho forum. Vì vậy em nên xem xét kỹ lưỡng trước khi thêm hay thay đổi một tính năng cho website.
__________________
...Từ độ mang gươm đi mở cõi.
Trời Nam thương nhớ đất Thăng Long...
ai muốn nuôi virus thì em khuyên nên dùng BKAV, tại nó có chức năng thống kê số virus mình đang nuôi và sẽ luôn báo xem virus đó còn sống hông, hay vô tình bị giết rồi :lol:
Hồi xưa, những năm 90 của thế kỹ trước tôi thường dùng D2 và BKAV để diệt vi rút. Tôi nhớ hồi đó tôi hay cầm đĩa mêm ra vi tính Sài Gòn ngay góc đường NKKN-Lê Lợi để chép miễn phí ấy mà. Thế nhưng đã gần 10 năm nay tôi không còn dùng nó nữa vì không tin tưởng cho lắm!
cái này tùy vào cái gu của mỗi người chăng?
các administrator, nhất là cái admin của diễn đàn kiểu IBF hay VBB thường rất thích khái niệm gọi là "**** mod", đó là các chức năng bổ sung thêm cho bản blank source. Như ở trang lqd-longan em nhìn sơ thì có một vài add-on như chức năng thanks nè, chức năng media anh kiến add vào quá trời thử. chức năng thống kê top10, Similar Threads, giấu direct link với khác ... các chức năng đó nếu được cung cấp chính thức ở trang vbulletion.org (phải có tài khoản bằng licensed xịn mới được) và được nhiều người view + download dùng và feedback tốt thì mới yên tâm mà dùng chứ nói thực ra có một vài add-on bị lỗi, từ nặng tới nhẹ. Nhiều khi còn bị cả SQl injunc... bởi nói chung tùy vào tính chất của forum (học tập or giải trí or media ...) mà chỉ nên dùng một vài add-on thích hợp. Ngay cả việc thêm nhiều add-on cũng dẫn đến tăng số queries lên làm giảm đi tốc độ load trang web.
Còn về BKAV thì cái đó theo hiểu biết ít ỏi của em thôi, em mới tập tành review mấy cái soft antivirus một khỏang thời gian ngắn gần đây, thực sự thì về bản chất họat động thì em cũng không nắm rõ, tại cái này không phải là open source, open project nên em không có dịp xem code, chỉ nghe anh kia (tên Tuấn là học trò ở BKHN của thầy Quảng) nói sơ sơ. Review thêm ở vài trang forum IT khác thì hầu như chẳng ai ưa gì BKAV, với mấy con gaixinh của VN hồi đó thì tay mơ người ta mới dùng BKAV vì hầu như chẳng có soft AV nào diệt được (cả Kaspersky, Norton, Bit...) nhưng thực ra chỉ với vài cái click chuột, vài dòng lênh là đủ cho mấy con virus đó đi die, đã có mấy bài hướng dẫn cách diệt đó rồi. Nói chung em vẫn chưa thể đưa ra được đánh giá của bản thân vì em chưa nắm rõ về nó, câu mà em nói là em rút từ nhiều trang mà em review