[Hacking] Truy tìm dấu vết kẻ tấn công từ chối dịch vụ DOS 
Xin các bác thông cảm vì mang chuyện nhà em ra nói, nhưng có lẽ đây cũng là kinh nghiệm về đối phó và phản công các tay tấn công từ chối dịch vụ. Trường hợp này gọi là gì nhỉ, có vẻ không phải DDoS nhưng tôi tạm gọi như vậy và có nhiều chỗ không đúng, ai biết chỉ giùm.
Nhiều thành viên vào VBF và tỏ ra khá thất vọng vì diễn đàn thường xuyên bị firewall, nhưng diễn đàn làm vậy cũng chỉ vì mục đích tránh những cuộc tấn công DDOS không mời mà đến của một số kẻ giấu mặt. Đúng đúng như dự tính trước của VBF chuyện tấn công DDOS sớm muộn cũng xẩy ra đơn giản vì VBF cũng như các diễn đàn khác, VBF là diễn đàn trung lập và không hề có ý khiêu khích một diễn đàn nào khác nhưng cũng nằm trong tầm ngắm của 1 số kẻ không mời mà đến này.
Cũng như mọi lần kiểm tra host, lần này thấy có sự khác biệt rất lớn,đơn giản là kiểm tra file log trên host. Chuyện gì xẩy ra thế này 1GB log file, không thể tin được, admin h2p quyết định tìm ra nguyên nhân dẫn đến sự việc này. Anh h2p cùng backdoor tiếp tục phân tích ,sau một thời gian phân tích file log, vì file này có dung lượng quá lớn lên phải dùng chương trình split chia là 500 file để phân tích:
Vào thử một vài link trong hàng trăm link ghi trong log thấy có một sự trùng hợp: Trong bài viết hoặc chữ ký của thành viên các trang đó đều có nhiều hình bị mất và được thể hiện bằng chữ X màu đỏ. Nhấn chuột phải, chọn properties thì thấy tất cả đều nằm trên photo.dangquang.com.vn
Ví dụ 1: http://a920032006.forumup.org/viewtopic.php?t=129&mforum=a920032006 các bạn nhìn xuống cái anh có dấu X sau chữ kí của thành viên Zun trên diễn đàn này ,các bạn chuột phải vào file ảnh có dấu X này và chọn properties sẽ thấy đường dẫn file ảnh này đến chính là trang: http://photo.dangquang.com.vn
Ví dụ 2: http://www.truongton.net/forum/showthread.php?t=26792 nhấn View source thấy :
Hàng mấy chục dòng như vậy. Vào thử một cái http://photo.dangquang.com.vn/data/dangquang_6426.gif nhấn Enter để coi hình thì nó chuyển tới trang http://vnbrain.net/suspended.page
Tất cả mọi link đến http://photo.dangquang.com.vn đều chuyển đến http://vnbrain.net/suspended.page (Trang này là trang Error 404 báo lỗi file không tồn tại trên vnbrain.net có thể tùy biến nội dung)
Như vậy kẻ tấn công dùng câu lệnh nào để tấn công? loay hoay mãi cũng tìm ra: http://search.yahoo.com/search?p=vnbrain.net&fr=FP-tab-web-t500&toggle=1&cop=&ei=UTF-8
Kết quả: http://vnbrain.net/?page=xahoi&id=w3sxahoiw3sdoisongw3snctdws3ws36w3sws33w... với link phát động tấn công là http://photo.dangquang.com.vn và tấn công vào trang chủ http://vnbrain.net chứ không phải forum vì forum.vnbrain.net đã firewall
Nếu bạn dùng chương trình firefox hoặc netscape truy cập vào thử trên trang http://photo.dangquang.com.vn và nhìn xuống Status bar sẽ thấy: http://findhoney.net/1.jpg sau khi load một lúc sẽ chuyển đến Suppended Page hoặc hiện ra thông báo: http://findhoney.net/2.jpg
Vậy là chính xác đây là một cuộc tấn công DDOS có chủ ý rùi ,tiếp tục phân tích file log chúng ta nhận thấy liên tiếp các site diễn đàn lớn của việt nam bị lợi dụng tiếp tay cho cuộc tấn công DDOS đánh thẳng vào VBF:
Trên 100 trang nhưng mình xin liệt kê 1số trang trên, như vậy cách thức tấn công chung của kẻ chủ mưu này là nhằm vào các diễn đàn và website có nhiều thành viên truy cập, gắn file ảnh vào bài viết hoặc vào chữ ký, cùng hướng đến website phát động tấn công http://photo.dangquang.com.vn và nhằm thẳng vào mục tiêu là diễn đàn của chúng ta, như vậy chính http://photo.dangquang.com.vn là nguyên nhân,mình đang liên hệ với admin để xác minh xem chính admin của site này làm việc này hay là đã bị điều khiển bởi kẻ tấn công VBF
Tiếp tục đi phân tích file log và lần này vào đường link này: http://www.truongton.net/forum/showthread.php?t=26792
View source có đến hàng vài chục đường link đến file ảnh có đính kèm mà nhằm thẳng VBF tấn công
Làm phép tính phân tích chút nhé, giả sử trên trang này có 40 file ảnh, nếu cùng 1 ngày có 1000 người truy cập, mỗi người coi 10 trang vào thì ta sẽ có 40 x 1000 x 10 = 40000 request đến VBF và nếu cùng lúc đó có 100 site bị lợi dụng như site này thì số yêu cầu sẽ là 100 x 40000 = 400000 request đến VBF. Số lượng thực tế có thể lớn hơn nhiều
Kết luận: Nơi phát động tấn công VBF chính là http://photo.dangquang.com.vn có thể là admin hoặc có kẻ lợi dụng website này. Mọi việc đang được điều tra, nếu thực sự admin trang này chơi mình thì quá đơn giản để phản công. Thay trang suppended (Error 404) thành đoạn mã tấn công ngược lại dangquang.com.vn khi VBF bị tấn công bao nhiêu request thì dangquang.com.vn cũng nhận một số lượng tương ứng, cái này gọi là Dùng sức địch đánh địch.
Cách khác là báo cáo với cơ quan chức năng để tóm cổ thủ phạm, khi đó chắc chắn tên miền dangquang.com.vn sẽ bị thu hồi.
Việc tấn công vẫn đang tiếp tục, admin đang tìm cách khắc phục. Have fun, diễn đàn vẫn hoạt động tốt nhưng chậm.
Hi vọng bài viết này như một kinh nghiệm về phòng thủ và phản công.
Bài viết của tác giả hack2prison từ hvaonline.net
Xem tại đây: http://www.hvaonline.net/hvaonline/jforum.hva?module=posts&action=print&post_id=16810&start=0
Nhiều thành viên vào VBF và tỏ ra khá thất vọng vì diễn đàn thường xuyên bị firewall, nhưng diễn đàn làm vậy cũng chỉ vì mục đích tránh những cuộc tấn công DDOS không mời mà đến của một số kẻ giấu mặt. Đúng đúng như dự tính trước của VBF chuyện tấn công DDOS sớm muộn cũng xẩy ra đơn giản vì VBF cũng như các diễn đàn khác, VBF là diễn đàn trung lập và không hề có ý khiêu khích một diễn đàn nào khác nhưng cũng nằm trong tầm ngắm của 1 số kẻ không mời mà đến này.
Cũng như mọi lần kiểm tra host, lần này thấy có sự khác biệt rất lớn,đơn giản là kiểm tra file log trên host. Chuyện gì xẩy ra thế này 1GB log file, không thể tin được, admin h2p quyết định tìm ra nguyên nhân dẫn đến sự việc này. Anh h2p cùng backdoor tiếp tục phân tích ,sau một thời gian phân tích file log, vì file này có dung lượng quá lớn lên phải dùng chương trình split chia là 500 file để phân tích:
Trích dẫn
...
85.224.67.214 - - [16/Aug/2006:20:03:23 -0400] "GET /suspended.page/ HTTP/1.1" 404 221 "http://www.timvui.com/modules.php?name=Forums&file=viewtopic&t=133902" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
85.224.67.214 - - [16/Aug/2006:20:06:25 -0400] "GET /suspended.page/ HTTP/1.1" 404 221 "http://www.timvui.com/modules.php?name=Forums&file=viewtopic&t=134964" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
203.160.1.42 - - [16/Aug/2006:21:02:25 -0400] "GET /suspended.page/ HTTP/1.1" 404 221 "http://trieuhoang.com/forum/index.php?showtopic=6&st=40" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
...
85.224.67.214 - - [16/Aug/2006:20:03:23 -0400] "GET /suspended.page/ HTTP/1.1" 404 221 "http://www.timvui.com/modules.php?name=Forums&file=viewtopic&t=133902" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
85.224.67.214 - - [16/Aug/2006:20:06:25 -0400] "GET /suspended.page/ HTTP/1.1" 404 221 "http://www.timvui.com/modules.php?name=Forums&file=viewtopic&t=134964" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
203.160.1.42 - - [16/Aug/2006:21:02:25 -0400] "GET /suspended.page/ HTTP/1.1" 404 221 "http://trieuhoang.com/forum/index.php?showtopic=6&st=40" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
...
Vào thử một vài link trong hàng trăm link ghi trong log thấy có một sự trùng hợp: Trong bài viết hoặc chữ ký của thành viên các trang đó đều có nhiều hình bị mất và được thể hiện bằng chữ X màu đỏ. Nhấn chuột phải, chọn properties thì thấy tất cả đều nằm trên photo.dangquang.com.vn
Ví dụ 1: http://a920032006.forumup.org/viewtopic.php?t=129&mforum=a920032006 các bạn nhìn xuống cái anh có dấu X sau chữ kí của thành viên Zun trên diễn đàn này ,các bạn chuột phải vào file ảnh có dấu X này và chọn properties sẽ thấy đường dẫn file ảnh này đến chính là trang: http://photo.dangquang.com.vn
Ví dụ 2: http://www.truongton.net/forum/showthread.php?t=26792 nhấn View source thấy :
Trích dẫn
...
...
...
Hàng mấy chục dòng như vậy. Vào thử một cái http://photo.dangquang.com.vn/data/dangquang_6426.gif nhấn Enter để coi hình thì nó chuyển tới trang http://vnbrain.net/suspended.page
Tất cả mọi link đến http://photo.dangquang.com.vn đều chuyển đến http://vnbrain.net/suspended.page (Trang này là trang Error 404 báo lỗi file không tồn tại trên vnbrain.net có thể tùy biến nội dung)
Như vậy kẻ tấn công dùng câu lệnh nào để tấn công? loay hoay mãi cũng tìm ra: http://search.yahoo.com/search?p=vnbrain.net&fr=FP-tab-web-t500&toggle=1&cop=&ei=UTF-8
Kết quả: http://vnbrain.net/?page=xahoi&id=w3sxahoiw3sdoisongw3snctdws3ws36w3sws33w... với link phát động tấn công là http://photo.dangquang.com.vn và tấn công vào trang chủ http://vnbrain.net chứ không phải forum vì forum.vnbrain.net đã firewall
Nếu bạn dùng chương trình firefox hoặc netscape truy cập vào thử trên trang http://photo.dangquang.com.vn và nhìn xuống Status bar sẽ thấy: http://findhoney.net/1.jpg sau khi load một lúc sẽ chuyển đến Suppended Page hoặc hiện ra thông báo: http://findhoney.net/2.jpg
Vậy là chính xác đây là một cuộc tấn công DDOS có chủ ý rùi ,tiếp tục phân tích file log chúng ta nhận thấy liên tiếp các site diễn đàn lớn của việt nam bị lợi dụng tiếp tay cho cuộc tấn công DDOS đánh thẳng vào VBF:
Trích dẫn
http://giotnuoc.com/khocnhe/index.php?s=&showtopic=27847&st=36
http://vietonline.biz/forum/index.php?showtopic=912
http://giaitrivmm.com/forum/showthread.php?t=1210
http://diendanlequydon.com/viewtopic.php?t=19819
http://teen9x.ilovephim.net/showthread.php?t=21484
http://diendan.vtc.vn/tm.aspx?m=105999
http://quay24h.com/diendan/showthread.php?t=2212
http://vncis.com/k48cb/index.php?showtopic=184
http://teenvipbg.com/f/showthread.php?t=5138
http://www.bacbaphi.com.vn/entertainment/showthread.php?t=123057
http://dienanh.net/forums/showthread.php?t=1869
http://www.loitraitim.com/forum/forum_posts.asp?TID=47336
http://cuasotinhoc.com/index.php?showtopic=7131&st=0
......
http://vietonline.biz/forum/index.php?showtopic=912
http://giaitrivmm.com/forum/showthread.php?t=1210
http://diendanlequydon.com/viewtopic.php?t=19819
http://teen9x.ilovephim.net/showthread.php?t=21484
http://diendan.vtc.vn/tm.aspx?m=105999
http://quay24h.com/diendan/showthread.php?t=2212
http://vncis.com/k48cb/index.php?showtopic=184
http://teenvipbg.com/f/showthread.php?t=5138
http://www.bacbaphi.com.vn/entertainment/showthread.php?t=123057
http://dienanh.net/forums/showthread.php?t=1869
http://www.loitraitim.com/forum/forum_posts.asp?TID=47336
http://cuasotinhoc.com/index.php?showtopic=7131&st=0
......
Trên 100 trang nhưng mình xin liệt kê 1số trang trên, như vậy cách thức tấn công chung của kẻ chủ mưu này là nhằm vào các diễn đàn và website có nhiều thành viên truy cập, gắn file ảnh vào bài viết hoặc vào chữ ký, cùng hướng đến website phát động tấn công http://photo.dangquang.com.vn và nhằm thẳng vào mục tiêu là diễn đàn của chúng ta, như vậy chính http://photo.dangquang.com.vn là nguyên nhân,mình đang liên hệ với admin để xác minh xem chính admin của site này làm việc này hay là đã bị điều khiển bởi kẻ tấn công VBF
Tiếp tục đi phân tích file log và lần này vào đường link này: http://www.truongton.net/forum/showthread.php?t=26792
View source có đến hàng vài chục đường link đến file ảnh có đính kèm mà nhằm thẳng VBF tấn công
Trích dẫn
...
...
...
Làm phép tính phân tích chút nhé, giả sử trên trang này có 40 file ảnh, nếu cùng 1 ngày có 1000 người truy cập, mỗi người coi 10 trang vào thì ta sẽ có 40 x 1000 x 10 = 40000 request đến VBF và nếu cùng lúc đó có 100 site bị lợi dụng như site này thì số yêu cầu sẽ là 100 x 40000 = 400000 request đến VBF. Số lượng thực tế có thể lớn hơn nhiều
Kết luận: Nơi phát động tấn công VBF chính là http://photo.dangquang.com.vn có thể là admin hoặc có kẻ lợi dụng website này. Mọi việc đang được điều tra, nếu thực sự admin trang này chơi mình thì quá đơn giản để phản công. Thay trang suppended (Error 404) thành đoạn mã tấn công ngược lại dangquang.com.vn khi VBF bị tấn công bao nhiêu request thì dangquang.com.vn cũng nhận một số lượng tương ứng, cái này gọi là Dùng sức địch đánh địch.
Cách khác là báo cáo với cơ quan chức năng để tóm cổ thủ phạm, khi đó chắc chắn tên miền dangquang.com.vn sẽ bị thu hồi.
Việc tấn công vẫn đang tiếp tục, admin đang tìm cách khắc phục. Have fun, diễn đàn vẫn hoạt động tốt nhưng chậm.
Hi vọng bài viết này như một kinh nghiệm về phòng thủ và phản công.
Bài viết của tác giả hack2prison từ hvaonline.net
Xem tại đây: http://www.hvaonline.net/hvaonline/jforum.hva?module=posts&action=print&post_id=16810&start=0
[Hacking] Code shell
[Hacking] Video Expl
buihals 
2010/03/07 18:37
hay dùng sức địch đánh địch =))nhưng anh ơi nó mà lập ra trang khác mà cũng chơi kiểu này thì chơi làm sao
interpan
2010/03/07 03:44
dangquang.com.vn cũng là site lớn nếu người làm là admin thì có lắm chuyện hay đây :D
Phân trang 1/1 
1 
1
