Đề tài Nghiên cứu ứng dụng hỗ tợ bảo mật hệ thống thông tin cho các mạng tin học Việt Nam

vsnprintf or when long inputs are truncated using vsnprintf, allows attackers to cause a denial of service or possibly execute arbitrary code. 12. (spp_stream4) STEALTH ACTIVITY (SYN FIN scan) detection : - Classification : unclassified - Affected Systems : - Attack Scenarios : - Description : This event indicates that a TCP probe was sent with the SYN+FIN flags set in the header. This traffic does not occur naturally and indicates an intentional probe. It is probably part of single-packet OS detection. Marconi ASX-1000 ASX switches allow remote attackers to cause a denial of service in the telnet and web management interfaces via a malformed packet with the SYN-FIN and More Fragments attributes set. Percent of Classifications : - attempted-recon : 7 % - misc-activity : 31% - misc-attack : 1 % - web-application-activity : 0 % - bad-unknown (loopback) : 10% - unclassified : 51 % Traffic Profile by Protocol Phụ lục E: KẾT QUẢ GHI NHẬN CỦA CISCO IDS QUA CUỘC THI BUGSEARCH TCP ( 62 %) UDP ( 7%) ICMP ( 31 %) Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 138 Australia: 203.34.200.107 203.41.55.13 203.41.55.246 203.61.128.165 203.221.10.199 210.50.178.178 210.56.76.49 Cambodia: 203.144.75.14 Canada: 63.139.135.241 64.26.156.150 142.163.172.169 China: 61.159.246.142 202.108.203.10 Dominacan Republic: 200.42.211.83 France: 80.8.73.219 Germany: 141.24.32.247 Hungary: 195.199.81.237 India: 203.94.244.131 Japan: 43.244.38.14 202.34.200.107 Korea, Republic Of: 203.249.51.207 210.220.73.7 218.235.72.166 Netherlands: Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 139 172.16.16.16 172.16.16.56 Philippines 203.167.122.236 Romania: 80.96.95.97 Thailand 203.107.176.4 203.159.37.39 United States: 12.168.32.212 12.252.169.182 24.169.197.78 63.99.219.201 66.227.58.213 68.48.46.172 68.100.46.67 68.98.134.72 68.165.170.170 69.3.91.132 69.3.91.120 172.154.251.142 204.188.77.186 Viet Nam: 203.113.143.77 203.113.208.247 203.162.2.56 203.162.4.81 203.162.6.73 203.162.7.161 203.162.25.7 203.162.25.136 203.162.25.142 203.162.34.185 203.162.35.130 203.162.36.227 203.162.40.71 203.162.40.92 203.162.40.244 203.162.41.45 203.162.42.37 Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 140 203.162.47.34 203.162.50.35 203.162.50.223 203.162.51.231 203.162.56.34 203.162.92.134 203.162.92.148 203.162.109.101 203.162.113.37 203.162.113.64 203.162.114.51 203.162.137.74 203.162.145.68 203.162.152.30 203.162.155.6 203.162.155.83 203.162.156.18 203.162.156.177 203.162.156.246 203.162.158.169 203.162.159.36 203.162.164.19 203.162.164.215 203.162.165.70 203.162.166.33 203.162.166.167 203.162.167.5 203.162.167.121 203.162.167.234 203.162.168.140 203.162.185.185 203.162.187.190 203.162.205.55 203.210.132.191 203.210.135.8 203.210.136.160 203.210.136.252 203.210.150.113 203.210.151.201 203.210.151.222 203.210.152.88 203.210.152.132 203.210.152.160 203.210.153.239 203.210.154.38 203.210.154.53 Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 141 203.210.154.215 203.210.154.131 203.210.155.157 203.210.210.120 203.210.210.180 203.210.210.212 203.210.211.215 203.210.212.198 210.245.9.37 210.245.9.136 210.245.10.56 210.245.16.58 210.245.27.8 210.245.27.9 Local: 192.168.20.123 Unknow: 167.216.252.47 194.197.197.21 217.82.151.171 217.85.93.207 217.226.185.130 Tất cả có 139 IP đến từ 17 nước khác nhau. 7.1.1 Liệt kê một số kiểu tấn công mà IDS ghi nhận được. Dưới đây là các kiểu tấn công mà Cisco IDS đã ghi nhận được, được trình bày theo tên gọi của các kiểu tấn công, kế đó là số lần các hacker đã thử dùng kiểu tấn công này tấn công vào webserver của BugSearch, chi tiết hơn là mỗi kiểu tấn công sẽ được trình bày dưới dạng: các hệ điều hành, các software có thể bị lỗi này, cùng với việc giải thích ý nghĩa của các cuộc tấn công này là gì, nếu thực hiện thành công sẽ gây ra hậu quả như thế nào. Do IDS là hệ thống cảnh báo phát hiện sự xâm nhập nên nó có khả năng nhận biết được hacker đang cố gắng dò tìm lỗi trên máy chủ được bảo vệ, cho dù có thực hiện cuộc xâm nhập đó hay không và cuộc xâm nhập có thành công hay không, tất cả đều được ghi nhận lại. High: Tên gọi Số lần OS bị ảnh hưởng Software Diễn giải Hậu quả Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 142 phpMyAdmin Cmd Exec 2 Linux, Unix any version phpMyAdm in v2.1.0 Hacker có thể chèn đoạn code php nguy hiểm vào phpMyAdmin để chạy. Chiếm được quyền của webserver để thực thi 1 lệnh nào đó. csSearch.cgi Cmd Exec 30 N/A N/A Lợi dụng lỗ hổng của Perl CGI Script, cụ thể là csSearch.cgi để thực thi lệnh bất kì Hacker có thể thực thi những câu lệnh có hại cho webserver WWW faxsurvey 8 IRIX – SuSE Linux Faxsurvey (HylaFAX) Chương trình faxsurvey bị lỗi cho phép người dùng từ xa có thể thực thi lệnh ảnh hưởng đến webserver với user đặc quyền Có thể chiếm quyền root WWW eWave ServletExec File Upload 4 N/A eWave ServletExe c v3.0C Servlet UploadServlet khi gọi dạng đặc biệt của HTTP hoặc GET request sẽ cho phép hacker upload bất kì file nào lên bất kì đâu trên server. Hacker lợi dụng lỗ hổng này để upload file lên server, sau đó điều khiển từ xa. WWW IIS newdsn attack 19 WinNT 4.0 - Any IIS v3.0 Một dạng tấn công DoS, hacker có thể chạy file newdsn.exe thông qua http server, từ đó tạo file Access (*.mdb) với tên bất kì trên webserver và điền thông tin vào đó. Webserver có thể bị treo hoặc tạo ra lỗi General Protection Fault. WWW IIS Internet Printing Overflow 3 Win2000 Win2000 Server IIS v5.0 Lợi dụng lỗ hổng của Internet Printing Protocol trong IIS v5.0, hacker có thể làm tràn buffer Chiếm quyền local và admin. WWW ISS .ida Indexing Service Overflow 5 Win2000 Server + Win NT Server IIS v4.0/5.0 Làm tràn bộ đệm do lỗi không kiểm tra bộ đệm trong phần mở rộng ISAPI, một HTTP .ida? request sẽ cho phép thực thi một đọan code bất kì. Worm “Code Red” là 1 ví dụ điển hình. Nếu tấn công thành công thì sẽ chiếm được quyền admin, nếu không thành công thì sẽ gây ra hiện tượng DoS do CPU phải họat động hết công suất. WWW Cold Fusion Attack 41 Solaris + Win NT ColdFusion Server v2.0/3.0/3. 1/4.0, IIS v4.0 Phần mềm ColdFusion Server cho phép hacker read, upload, delete file trên server do lỗi tài liệu trực tuyến cho phép install với chế độ mặc định Hacker có thể read, upload, delete file trên server, từ đó có thể truy cập vào server sau này cũng như chiếm được quyền root. TCP SYN/FIN Packet 28 All None Hacker gởi gói TCP với cờ SYN/FIN được bật lên, với mục đích quét port, thu thập thông tin về webserver để tìm Hacker có thể thu thập được các thông tin về lỗ hổng để phục vụ cho việc tấn công sau này Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 143 các lỗ hổng. TCP NULL Packet 2 All None Hacker gởi gói TCP với cờ SYN/FIN/ACK/RST đều đóng tới 1 host xác định, với mục đích quét port, thu thập thông tin về webserver để tìm các lỗ hổng. Hacker có thể thu thập được các thông tin về lỗ hổng để phục vụ cho việc tấn công sau này TCP NULL port Packet 22 All None Hacker gởi gói TCP với cờ SYN/FIN/ACK/RST đều đóng tới nhiều port khác nhau, với mục đích quét port, thu thập thông tin về webserver để tìm các lỗ hổng Hacker có thể thu thập được các thông tin về lỗ hổng để phục vụ cho việc tấn công sau này TCP FIN Packet 22 All None Hacker gởi gói TCP với cờ FIN mở tới port đặc quyền (<1024), với mục đích quét port, thu thập thông tin về webserver để tìm các lỗ hổng Hacker có thể thu thập được các thông tin về lỗ hổng để phục vụ cho việc tấn công sau này SSH crc32 Overflow 5 Linux, Unix, Win 95/98/2000/ Me/NT, Cisco IOS, PIX IOS F-Secure, OSSH, OpenSSH, SSH Lợi dụng lỗ hổng của daemon deattack.c hacker có thể làm tràn bộ đệm Chiếm được quyền root SNMP Protocol Violation 3 All N/A Lỗi do SNMPv1 được thực hiện từ nhiều nhà cung cấp khác nhau. Được tìm thấy trong SNMP trao handling và standard request handling Dẫn đến DoS, format string error và tràn bộ đệm SNMP Community Name Brute Force Attemp 20 N/A Ftpd, IIS v3.0/4.0 Hacker dùng biện pháp thử lần lượt các password khác nhau cho đến khi tìm ra passwd đúng. Có thể chiếm được quyền điều khiển của user nếu passwd đặt dễ đóan… SATAN-Normal 2 All None Hacker quét port bằng công cụ SATAN (hoặc tương tự) ở chế độ normal. Hacker có thể thu thập được các thông tin về lỗ hổng để phục vụ cho việc tấn công sau này SATAN-Heavy 2 All None Hacker quét port bằng công cụ SATAN (hoặc tương tự) ở chế độ heavy Hacker có thể thu thập được các thông tin về lỗ hổng để phục vụ cho việc tấn công sau này NC-Book book.cgi Cmd Exec 11 N/A N/A NC-Book cho phép user dùng pipe (|) command thông qua book.cgi script. Hacker có thể thực thi lệnh tùy ý với quyền của tiến trình httpd IP SourceAddress Localhost 139 4 All N/A Sử dụng IP 127.x.x.x để bỏ qua cơ chế chứng thực Có thể bỏ qua cơ chế chứng thực do tin tưởng máy nội bộ Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 144 IP Fragment Overview – Dgram overwritten 2 All N/A Lợi dụng việc chia nhỏ gói tin ra thành nhiều phần khác nhau để router và IDS không nhận ra được dấu hiệu của cuộc tấn công Gói tin có thể vượt qua được router và làm mù IDS, để IDS không nhận ra được dấu hiệu của cuộc tấn công IOS HTTP Unauth Command Execution 12 Cisco IOS 11.x/12.x N/A Nếu giao diện HTTP được bật và có sử dụng cơ chế chứng thực, user có thể thực hiện các lệnh đặc quyền thông qua giao diện HTTP Hacker có thể chiếm được quyền điều khiển router, gây ra DoS hoặc gây hại đến hệ thống khác trên network IOS Embedded SNMP Community Names 14 Cisco IOS 12.x N/A Cisco IOS chứa các community names cho phép hacker view/modify biến SNMP MIB View/modify biến SNMP MIB hoặc gây ra cuộc tấn công DoS Hassan Shopping Cart Command Exec 10 Unix, Win2000/NT Shopping Cart 1.23 Shop.pl script cho phép thực thi lệnh tùy ý trên webserver Cho phép hacker thực thi lệnh tùy ý trên webserver Half-open Syn 1 Unix N/A Các gói SYN được gởi tới các dịch vụ thông dụng server, yêu cầu server mở kết nối liên tục Gây ra tấn công DoS Back Orifice Ping 4 Win 95/98/2000/ NT N/A Phát hiện trojan Back Orifice đang quét network Có thể chiếm quyền điều khiển trên máy người dùng. Medium: phpMyAdmin Cmd Exec 2 4 Linux, Unix phpMyAdm in 2.1.0- 2.2rc3 Lỗi do phpMyAdmin không thể chứng thực được nội dung của 2 biến input trong việc gọi hàm eval() Cho phép hacker thực thi lệnh tùy ý trên webserver WebDiscount E- shop Remote Command Exec 6 N/A N/A Lỗi do eShop.pl script của chương trình WebDiscount không kiểm Traversal shell meta-characters (như là ; or | …) Cho phép hacker thực thi lệnh với đặc quyền trên webserver WWW whois_raw.cgi attack 9 All Whois_raw .cgi 1.0-2.4 whois_raw.cgi Perl script quản lý biến ‘fqdn’ không thích hợp Cho phép hacker thực thi lệnh với đặc quyền trên webserver WWW valid shell access attempt 84 Unix - WinNT N/A Lỗi do trình biên dich shell như csh, bash, ksh, java python, sh, tclsh, tcsh, ash, zsh or perl được đặt tại thư mục cgi-bin của webserver Cho phép hacker điều khiển user trên webserver. Nếu quyền của user đang chạy trên HTTP server là root thì hacker có được quyền root. WWW uDirectory 4 N/A uDirectory Hacker có thể dùng ../ để thực thi lệnh bất kì Hacker có thể chiếm quyền root Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 145 Directory Traversal do lỗi kiểm tra việc nhập dữ liệu của cgi script trong chương trình uDirectory (cho phép người dùng create, update, maintain thư mục trực tuyến) WWW php view file Bug 31 All Windows – Generic Unix PHP Lỗi do ngôn ngữ php script cho phép user xem hầu hết file trên webserver, bao gồm cả những file không được xem trên browser Hacker có thể xem file password hoặc những file quan trọng khác WWW phf 30 Unix Apache 1.03 – NCSA 1.3/1.5a – cgi-phf Lỗi do webserver sử dụng hàm CGI, escape_shell_cmd(), cho phép attacker thực thi lệnh và truy cập file trên server. Thường thấy là chương trình phf. Hacker có thể chiếm quyền của httpd server và truy cập file, từ đó chiếm quyền truy cập cũng như thực hiện những hoạt động nguy hiểm.. WWW perl interpreter attack 31 All Windows – Generic Unix HTTP Server – Perl Lỗi do trình thông dịch perl được đặt trong cgi- bin, những lệnh này sẽ được thực thi với quyền đặc biệt của webserver Có thể truy cập bất hợp pháp và thực thi lệnh từ xa, từ đó chiếm quyền root cũng như thực hiện những hoạt động nguy hiểm.. WWW msadcs.dll access 17 WinNT IIS 3.0/4.0 Lỗi do Remote Data Service của Ms Data Access Component dễ bị hacker dùng để thực thi lệnh và xem file với đặc quyền trên hệ thống. Hacker có thể xem tất cả system file và thực thi lệnh tùy ý WWW cgi-bin 145 6 All Windows – Generic Unix PHP Lỗi do ngôn ngữ php script cho phép user xem hầu hết file trên webserver, bao gồm cả những file không được xem trên browser Hacker có thể xem file password hoặc những file quan trọng khác WWW catalog_type.as p access 16 Win95/98 IIS 4.0 – Jet 3.5/3.5.1 Dùng AdvWorks DSN, user có thể gởi đoạn script VBA tới catalog_type.asp để chạy với đặc quyền của webserver Cho phép hacker thực thi lệnh với đặc quyền trên webserver WWW campas attack 30 UNIX NCSA – campas.cgi Lỗi do campas.cgi Cho phép hacker thực thi lệnh với đặc quyền của HTTP server WWW bizdb1- search.cgi attack 2 All UNIX – Generiv Linux bizdb- search.cgi 1.0 Lỗi do search engine cho phép hacker điều khiển từ xa lệnh trong UNIX shell với đặc quyền của webserver Cho phép hacker thực thi lệnh với đặc quyền trên webserver Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 146 WWW Windows Password File Access Attempt 38 WinNT N/A Hacker có thể lấy file sam trong thư mục winnt/repair Hacker có thể lấy được tất cả passwd của hệ thống WWW WinNT cmd.exe access 334 Win2000- Win2000Ser ver- WinNT- WinNT Server N/A Lỗi do trình thông dịch của việc phân tích đường dẫn cho phép dùng dấu slash. Từ đó lênh cmd.exe có thể được thực thi Có thể gây nguy hiểm cho hệ thống dùng để hosting website, hacker có thể điều khiển từ xa bằng quyền admin WWW VTI bin list attempt 12 UNIX – Win95/98/N T Fontpage Personal Webserver Lợi dụng lỗ hổng của FPW cho phép xem config và passwd thông qua giao diện web Hacker có thể lấy password admin, thay đổi nội dung website, điều khiển hê WWW VTI Open attempt 42 Win95/98/N T IIS Lợi dụng việc file passwd thường được đặt tại địa chỉ /_vti_pvt/administrator.p wd Điều khiển webserver từ xa WWW SGI wrap bug 2 IRIX wrap Chương trình wrap cho phép attacker liệt kê và chạy file trên hệ thống Cho phép hacker thực thi lệnh với đặc quyền trên webserver WWW Piranha passwd attack 2 Redhat Linux N/A Lỗi do file passwd được lưu tại piranha/secure/passwd. php3 với account ‘piranha’, passwd ‘q’ Hacker có thể chỉnh sửa config của webserver và chạy lệnh bất kì với đặc quyền WWW Netscape Server with ?wp tags 14 N/A Netscape Enterprise Server Netscape Enterprise Server 3.x cho phép người dùng xem nội dung thư mục trên webserver Có thể xem được thư mục root WWW IRIX infosrch.cgi attack 4 IRIX infosrch.cgi 1.0 Hacker thực thi lệnh bằng cách dùng chương trình infosrch.cgi Cho phép hacker thực thi lệnh với đặc quyền trên webserver WWW IIS Unicode attack 57 Win2000- Win2000Ser ver- WinNT- WinNT Server N/A Lỗi tấn công vào lỗ hổng của Unicode khi duyệt thư mục ../ Có thể gây nguy hiểm cho hệ thống dùng để hosting website, hacker có thể điều khiển từ xa bằng quyền admin WWW IIS Double Decode Error 164 Win2000- Win2000Ser ver- WinNT- WinNT Server IIS 4.0/5.0 Lỗi do IIS khi giải mã dữ liệu 2 lần sẽ gây ra lỗi. Hacker có thể vượt qua được sự bảo mật để thực thi lệnh tùy ý trên host. WWW EZShopper search.cgi attack 2 Redhat Linux – Solaris – Windows NT search.cgi v3.0 Hacker thực thi lệnh hoặc xem file với quyền của webserver dùng EZShopper search.cgi Cho phép hacker thực thi lệnh với đặc quyền trên webserver, cũng như xem nội dung file có thể đọc bởi webserver WWW EZShopper loadpage.cgi attack 8 Redhat Linux – Solaris – Windows loadpage.c gi v3.0 Hacker thực thi lệnh hoặc xem file với quyền của webserver dùng EZShopper Cho phép hacker thực thi lệnh với đặc quyền trên webserver, cũng như xem nội dung file Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 147 NT loadpage.cgi có thể đọc bởi webserver WWW Cart32 Remote Admin access 24 All Windows N/A Lỗi do một số version của cart32.exe có backdoor passwd Có thể thay đổi passwd admin mà không cần biết passwd trước đó, có thể lấy thông tên về username, passwd, credit card number WWW .bat file 122 Win95/NT IE 3.0/3.01 Cho phép copy, thực thi *.bat file Có thể chạy lệnh tùy ý trên hệ thống Trinoo Client Request 1 All Trinoo Lỗi tràn bộ đệm RPC Có thể gây ra DoS Tarantella TTAWebTop.CG I Directory Traversal Bug 2 AIX – Caldera Linux – HP UX – Redhat Linux – SuSE Linux – SCO OpenServer – Solaris – Tru64 – TurboLinux - Unixware Tarantella Enterprise 3 ttawebtop.cgi cho phép user xem nội dung của file /etc/passwd Có thể xem được thông tin quan trọng trên webserver SquirreMail SquirrelSpell Command Exec 2 N/A SquirrelSp ell v0.3.5 Lỗi không kiểm tra input từ người dùng Có thể chạy lệnh tùy ý trên hệ thống PHPBB Remote SQL Query Manipulation 2 N/A phpBB Hacker dùng SQL queries bị lỗi để chiếm quyền admin Có thể chiếm quyền admin PHP-Nuke File Upload 50 N/A N/A Hacker upload file bằng cách dùng admin.php Có thể truy cập vào các file không được quyền PHP-Nuke File Copy/Delete 2 N/A PHP-Nuke Hacker copy/xóa file bằng cách dùng modul quản lý file của php- Nuke admin Có thể copy/xem/xóa file trên webserver với quyền của webserver đang chạy Oracle Application Server Shared Library Overflow 12 N/A Oracle Application Server 4.0.8.2 Lỗi do gởi hơn 2050 kí tự đến Oracle server sẽ làm tràn bộ đệm Có thể chạy lệnh tùy ý trên hệ thống NMAP OS Fingerprint 20 All N/A Hacker dùng NMAP tool để tìm hiểu về OS Tìm hiểu OS đang chạy trên server Mambo Site Server Administrator Password Bypass 12 N/A Mambo site Server 3.0.x User có thể truy cập admin page mà không cần passwd Có thể lấy quyền admin để điều khiển server IOS Udp Bomb 18 Cisco IOS 11.3AA/11.3 DB/12.0x N/A Cisco IOS có thể bị treo nếu gói UDP không hợp lệ được gởi tới syslog port (514) Có thể reload hoặc tắt router. IIS DOT DOT EXECUTE Bug 264 Win2000- Win2000Ser ver- WinNT- N/A Lỗi do IIS thực thi lệnh bị lỗi unicode Có thể dùng quyền admin điều khiển từ xa, Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 148 WinNT Server IIS DOT DOT DENIAL Bug 635 WinNT IIS v2.0 IIS bị treo khi nhận được yêu cầu URL bắt đầu bằng ../.. Có thể làm treo webserver ICMP Smurf attack 112 All Windows – Bay OS – Cisco IOS - UNIX N/A Attacker gởi broadcast (ICMP) làm tràn ngập máy chủ. Làm nghẽn hệ thống ICMP Flood 112 All Windows - Unix N/A Attacker gởi broadcast (IP header=1) làm tràn ngập máy chủ. Làm nghẽn hoặc down hệ thống network DCShop File Disclosure 30 N/A DCShop Hacker truy cập vào file orders.txt và auth_user_file.txt Có thể xem thông tin đặt hàng, xem và xóa admin username và passwd AspUpload Sample Scripts 2 Win 95/98/2000/ NT Asp Upload 2.1 and earlier Hacker tìm cách dùng uploadscript11.asp để upload file có thể upload file lên webserver và thực thi. Arcadia Internet Store Directory Traversal Bug 2 Win2000/NT Internet Store 1.0 Hacker dùng URL /script/tradecli.dll?templ ate=..\..\..\..\..\ để xem nội dung của file và thư mục bên ngòai thư mục root webserver Có thể xem được những thông tin không được phép. Low talkback.cgi Directory Traversal 14 UNIX - WinNT Way to the web talkback v1.1 Lỗi do talkback.cgi không xử lý kí tự ../ Có thể xem file với quyền của web server sglMerchant Directory Traversal 14 N/A N/A Lỗi do không xử lý kí tự ../ Có thể thu thập thông tin cho lần tấn công sau phpmyexplorer directory traversal 6 N/A N/A Hacker có thể download file nếu biết đường dẫn Có thể truy cập vào những file không cho phép truy cập php-nuke modules.php DoS 22 N/A PHP-Nuke 5.0.x Hacker truy cập file modules.php với giá trị ../ DoS hoặc chiếm quyền đặc biệt WebSite uploader 10 Win95/NT Oreilly Website v1.1g/v2.0b eta Hacker truy cập vào chương trình uploader của webserver, upload vào thư mục cgi-win Có thể upload cgi script, sau đó thực thi để chiếm quyền điều khiển webserver WWW webplus bug 8 FreeBSD – UNIX – Solaris – Win95/98/N T N/A Hacker dùng chương trình webplus để truy cập file bên ngòai thư mục của webserver Có thể truy cập vào file mà webserver có quyền WWW viewsrc.cgi Directory Traversal 14 All N/A Hacker truy cập file viewsrc.cgi với giá trị ../ Có thể chiếm được quyền đặc biệt trên webserver WWW man.sh 19 All man.sh Hacker truy cập vào Có thể thực thi lệnh tùy Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 149 access man.sh shell script do lỗi của việc phân tích input ý với quyền đặc biệt trên webserver WWW formmail.pl access 48 All Formmail v1.0 Hacker truy cập vào formail.pl do lỗi của việc phân tích input khi gọi hàm open() Có thể thực thi lệnh tùy ý với quyền đặc biệt trên webserver WWW dumpenv.pl recon 17 UNIX - WinNT dumpenv.pl dumpenv.pl hiển thị thông tin về host cho attacker biết Có thể thu thập thông tin về host, chuẩn bị cho lần attack sau WWW dbmlparser.exe access 13 N/A guestbook v2.3 dbmlparser.exe cho phép đọc/ghi file bất kì trên webserver Có thể đọc/ghi file bất kì trên webserver WWW YaBB file access 10 N/A YaBB YaBB với input ghi rõ tên file có thể giúp cho hacker truy cập vào file mà webserver có quyền Có thể truy cập được vào file mà webserver có quyền WWW Webdist Bug 25 IRIX Mindshare Outbox – webdist.cgi Hacker có thể thực thi lệnh với quyền đặc biệt của HTTP server Có thể thực thi lệnh tùy ý WWW WWWBoard attack 27 All Windows - UNIX WWWBoar d Cho phép hacker lấy passwd của admin đã được mã hóa Crack WWWBoard admin passwd và chiếm quyền root WWW Virtual Vision FTP browser access 12 N/A FTP Browser 1.0 bin/ftp/ftp.pl?dir=../../etc dùng để xem nội dung của thư mục Có thể xem nội dung của thư mục với quyền của webserver WWW View Source GGI Bug 2 UNIX Viewsource view source cho phép đọc file bất kì trên hệ thống Có thể xem tài liệu hoặc passwd hoặc thông tin để attack WWW TEST- CGI Bug 53 UNIX Apache - testcgi Xem thư mục với test- cgi Lây thông tin về file trên hệ thống WWW Sun Java Server access 4 Solaris - WinNT Java Web Server 1.1.3/2.0 'sunexamples.RealmDu mpServlet' cho phép user xem thông tin về người dùng và quyền Có thể biết được thông tin về người dùng và quyền trên webserver WWW SuSE Apache CGI Source access 16 SeSE Linux 6.3/6.4 Apache Web Server Default config của Apache Web Server cho phép user xem nội dung của files trong thư mục /cgi-bin Có thể xem được nội dung của cgi script, database WWW SiteWare Editor Directory Traversal 10 N/A SiteWare 2.5-3.1 SWEditServlet được gọi với đối số ../ Có thể xem tất cả những file có thể xem bởi webserver WWW Sambar Samples 25 Win 95/98/2000/ NT/NT Server HTTP Server Lỗi do Sambar cho chạy những file batch của DOS như là CGI script, default là file hello.bat và echo.bat Hacker có thể chạy những dòng lệnh từ xa với quyền admin WWW Sambar Beta search.dll access 5 Win 95/98/NT Sambar Server 4.3/4.4 beta 3 Lỗi do chương trình CGI search.dll cho phép user xem những file có thể truy cập bằng webserver bằng nội Hacker có thể xem những file có thể truy cập bởi webserver, thường là tất cả file của hệ thống Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 150 dung của biến query WWW Perfomer Bug 4 IRIX 6.3/6.4 pfdisplay.c gi pfdisplay.cgi cho phép user đọc file hoặc thực thi lệnh với userid của tiến trình httpd. Người dùng local và người dùng từ xa có thể xem nội dung của những file quan trọng và file passwd, điều khiển webserver từ xa WWW PHP- Nuke admin.php3 access 14 N/A PHP-Nuke 2.5 Hacker có thể xây dựng đọan URL để nhập passwd không hợp lệ nhưng vẫn được đầy đủ quyền admin Có thể chiếm quyền admin để truy cập vào các ứng dụng WWW PCCS MySQL admin access 10 Unix - Linux PCCS- Linux MySQLDb Admin Tool Manager 1.2.3/1.2.4 Hacker có thể truy cập file dbconnect.inc chứa database về admin username, passwd cũng như các thông tin quan trọng khác Có thể chiếm quyền admin để điều khiển MySQL database được quản lý bởi PCCS WWW NPH- TEST-CGI-Bug 26 Unix – HP UX Apache – NCSA – nph test cgi script nph-test-cgi cho phép header chưa được phân giải có thể truyền qua HTTP protocol, từ đó cho xem thư mục hiện có trên server bằng cách chèn vào các kí tự đặc biệt Có thể xem thông tin về thư mục và các file có trên server WWW Mandrake Linux./perl access 37 Mandrake Linux mod_perl 1.2x Lỗi do Mandrake Linux cho phép truy cập trực tiếp vào thư mục /perl từ xa Có thể xem thư mục /perl, xem các script hoặc thông tin về các script đang chạy WWW MachineInfo attempt 9 IRIX MachineInf o Lỗi do một số hệ thống SGI có chứa đọan script tên MachineInfo, nếu hacker chạy đọan script đó có thể xem thông tin về server như OS, hardware, CPU, ethernet config… Hacker có thể xem thông tin về server WWW MLOG/MYLOG CGI Bug 2 UNIX HTTP Server – Cisco IOS 11.2SA/12. 0T– Frontpage 97 – Phorum 3.0.7 Hacker cố gắng truy cập vào file mlog hoặc mylog để xem file trên server Hacker có thể xem những tài liệu quan trọng, passwd file WWW IIS showcode.asp access 11 WinNT IIS 4.0 Hacker truy cập vào file showcode.asp từ đó truy cập vào file bất kì trên hệ thống máy chủ Hacker có thể truy cập từ xa vào server để xem các file trên hệ thống, bao gồm cả file passwd và những file quan trọng khác WWW IIS double-byte 8 Win NT IIS 3.0/4.0 Nếu server language là Chinese, Japanese, Có thể xem source code của asp script trên Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 151 attack Korean thì hacker có thể xem source code của file trên web server web server WWW IIS Virtualized UNC Bug 26 Win 2000Server/ NT Server IIS 2.0-5.0 Hacker có thể xem source code của asp script hoặc các file khác trên web server nếu IIS sử dụng UNC share có thể xem source code của asp script hoặc các file khác trên web server, lấy username và passwd WWW IIS View Source Bug 12 Win 95/98/2000/ NT/NT Server IIS 1.0-4.0 – Peer Web Server Hacker có thể xem nội dung của các file asp script thay vì thực thi chúng Hacker có thể xem nội dung của asp script WWW IIS Source Fragment access 34 WinNT IIS 4.0-5.0 Hacker sử dụng URL kết thúc với kí tự +.htr Có thể xem nội dung của asp, asa và các lọai file khác trên webserver WWW Htmlscript Bug 15 BSDI – Digital Unix – FreeBSD – Linux – IRIX – SCO – Solaris htmlscript Hacker cố gắng xem những file nằm ngòai thư mục root của webserver bằng htmlscript Có thể xem những file quan trọng như passwd WWW Handler CGI BUG 6 IRIX handler Hacker dùng cgi- handler script để thực thi lệnh Hacker có thể thực thi lệnh bất kì trên webserver WWW GWScripts News Publisher access 2 N/A New Publisher 1.05/1.05a/ 1.05b/1.06 Hacker thêm người dùng vào GWScript New Publisher Có thể thêm vào author.file và chiếm đặc quyền trên webserver WWW Frontpage htimage.exe access 6 All Windows Frontpage 2.x/3.x/4.x Hacker truy cập vào FrontPage CGI với filename kết thúc bằng 0,0 Có thể biết được những file trên webserver, đồng thời thực thi lệnh WWW Excite AT-generate.cgi access 19 N/A Excite Hacker truy cập vào file AT-generate.cgi để thay đổi passwd 1 cách bất hợp pháp Có thể chiếm quyền điều khiển Excite của webserver và chỉnh sửa các thông số của nó WWW Excite AT-admin.cgi access 17 N/A Excite Hacker truy cập vào file AT-admin.cgi Có thể chiếm quyền điều khiển Excite của webserver và chỉnh sửa các thông số của nó WWW CGI- World Poll It access 10 N/A Poll-It 2.0 Hacker truy cập vào Poll-it.cgi bằng internal script với biến data_dir dùng như đối số của HTTP request Có thể xem file tùy ý trên webserver WWW CGI Center Auction Weaver file access 2 Redhat Linux 6.2 – Solaris 8.0 – Win 95/98/NT Auction Weaver 1.0.2 Hacker cố gắng truy cập vào file bình thường không thể truy cập được bằng cách dùng autionweaver.pl script Hacker có thể truy cập từ xa để read tất cả các file mà webserver có quyền truy cập WWW Big Brother directory access 4 Unix – MacOS – Netware 5 - Big Brother 1.0-1.4H Hacker xem thư mục bằng chương trình Big Brother CGI bb- Hacker có thể read tất cả các file mà webserver có quyền Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 152 WinNT hostsvc.sh truy cập WWW Alibaba attack 2 2 Win 95/98/NT Alibaba Web Server 2.0 Hacker dùng kí tự pipe (|) trong URL như là bin/post32.exe hoặc bin/lsindex2.bat Hacker có thể thực thi lệnh bất kì với quyền của webserver WWW Akopia MiniVend access 4 N/A Minivend 3.0-4.0.4 Hacker cố gắng truy cập vào file html, lợi dụng việc file này không kiểm tra kí tự pipe Hacker có thể thực thi lệnh bất kì với quyền của webserver URL with XSS 152 2 N/A N/A Đây là lỗi rất thường gặp, đã ứng dụng xâm nhập thành công vào database của BugSearch. Tên gọi đầy đủ của lỗi này là cross site script, do các lập trình viên lập trình không kỹ, bỏ qua việc kiểm tra script (thường là javascript) khi nhận input từ người dùng, từ đó hacker có thể chèn thêm các đọan script để thực thi Hacker có thể thực thi script trên webpage bị lỗi này Red Hat Stringhold Recon attack 28 N/A N/A Hacker cố gắng truy cập vào file stronghold- info, stronghold-status Hacker có thể xem nội dung của file http.conf PerlCal Directory Traversal 10 All PerlCal 2.95 and earlier Hacker truy cập make_cal.pl với tham số ../ trong HTTP request Hacker có thể xem filesystem như /etc/passwd PHP Rocket Directory Traversal 22 N/A N/A Hacker truy cập PHProcketadmin.php hoặc index.php với tham số ../ trong HTTP request Hacker có thể read tất cả các file mà webserver có quyền truy cập Network Query Tool command Exec 24 N/A Network Query tools 1.0 Hacker truy cập nqt.php hoặc network_query.php với đối số là shell metacharacter Hacker có thể thực thi lệnh từ xa với trên webserver NCM Content Mgmt Input Validation 2 N/A Content Manageme nt System Hacker truy cập content.pl với đối số là ‘’ Hacker có thể thực thi lệnh SQL bất kì trên server Marcus Xenakis Shell Command Exec 10 N/A N/A Hacker truy cập directory.php hoặc network_query.php với đối số là shell metacharacter Hacker có thể thực thi lệnh với quyền của httpd daemon MacOS Apache File Disclosure 26 MacOS Apache Web Hacker chèn chuỗi kí tự sau vào cuối HTTP Hacker có thể xem nội dung của thư mục Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 153 Server request: ‘/.DS_Store’ hoặc ‘/.FBCIndex’ MS Index Server File/Path Recon 6 N/A N/A Hacker truy cập SQLQHit.asp với đối số của CiColumns có chứa wildcard Hacker có thể xem được đường dẫn, thuộc tính file, cũng như những thông tin quan trọng khác MRTG Directory Traversal 54 UNIX – Win 2000/NT MRTG 2.9.17 Hacker duyệt thư mục với MRTG CGI script có chứa ../ Hacker có thể xem file bất kì với quyền của webserver Lotus Domino database DoS 33 N/A Lotus Domino Server 5.0.5 Hacker duyệt thư mục với URL có chứa /./ Hacker có thể cấm quyền truy cập tới Lotus Domino Database IIS Data Stream Source Disclosure 60 Win NT/2000 IIS Hacker truy cập file với phần mở rộng ::$DATA qua HTTP Hacker có thể xem nội dung của file Hosting Controller Directory Traversal 14 N/A N/A Hacker truy cập vào Hosting Controller với các đối số: statsbrowse.asp, servubrowse.asp, browsedisk.asp, browsewebalizerexe.as p, sqlbrowse.asp Có thể đọc được những file mà webserver có quyền HTTP CONNECT Tunnel 6 N/A N/A Hacker dùng phương thức HTTP CONNECT Truy cập internal host thông qua webserver HTTP 1.1 Chunked Encoding Transfer 9 Win 2000/2000S erver/NT/NT Server/XP IIS 4.0/5.0/5.1 Hacker dùng HTTP 1.1 Chunked encoding để transfer Hacker có thể chạy đoạn code trên webserver, tấn công DoS, hoặc chèn đọan script (cross site scripting) FAQManager.cgi null bytes 26 N/A FAQManag er < 2.2.6 Hacker truy cập FAQManager.cgi với null byte được thêm vào request Có thể đọc được những file mà webserver có quyền FAQManager.cgi directory traversal 20 N/A FAQManag er < 2.2.6 Hacker truy cập FAQManager.cgi với đường dẫn tới file ở bên ngòai thư mục web Có thể đọc được những file mà webserver có quyền Entrust GetAccess directory traversal 14 N/A N/A Hacker duyệt thư mục với đối số ../ được gởi tới aboutbox.gas.bat Hacker có thể tấn công bằng cách duyệt thư mục Directory Manager Cmd Exec 12 N/A Directory Manager < 0.9 File edit_image.php được gọi với đối số userfile_name có chứa dấu ; Hacker có thể thực thi lệnh bất kì bằng cách dùng shell metacharacter DNS Version Request 16 Linux – Unix – Win NT Bind 4.x.x – 8.x.x Hacker request version của DNS Xác định lỗi của DNS, tấn công DoS CSVForm 2 N/A N/A Hacker truy cập file Hacker có thể thực thi Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 154 Remote Command Exec CSVForm.pl script với kí tự pipe (|) lệnh bất kì với quyền của webserver Bugzilla Privileged Information Disclosure 14 N/A Bugzilla 2.0-2.8 Hacker truy cập vào file globals.pl Hacker có thể lấy được nội dung của Bugzilla Database BadBlue File Disclosure 217 8 Win NT/95/98/M e/2000 BadBlue 1.02 beta Hacker dùng URL kết thúc với kí tự %00 Hacker có thể xem nội dung của file trên webserver Apache php.exe File Disclosure 18 Win NT/95/98/20 00 php.exe Hacker truy cập vào php.exe với đối số là tên ổ đĩa của MS-DOS Hacker có thể xem bất kì file nào có thể truy xuất được từ web Apache Server .ht File Access 117 N/A Apache – NCSA httpd Hacker truy cập vào file .htaccess, .htpasswd, .htgroup Hacker có thể lấy được thông tin từ file .htaccess Apache ? indexing file disclosure bug 6 Linux – Unix – Win2000 Server Apache 1.3.11 – 1.3.20 Hacker xem thư mục trên webserver với URL có dạng /directory/?M=A hay /directory/?S=D Có thể xem được những thông tin quan trọng Agora.cgi Cross Site Scripting 2 N/A agora.cgi 3.3e Hacker truyền 1 đối số nào đó đến agora.cgi, do agora không kiểm soát chặt chẽ input từ người dùng Hacker có thể thực thi lệnh trong phiên làm việc của người dùng, dẫn đến đánh cắp phiên làm việc Informational zml.cgi File Disclosure 8 Unix Apache Hacker truy cập file zml.cgi script với đối số ../ Hacker có thể xem file bên ngòai thư mục root WWW WEBactive Logfile access 6 Win NT/95/98 WEBactive 1.0 Hacker truy cập vào file WEBactive logfile Hacker có thể xem được nội dung của WEBactive logfile WWW SuSE Installed Packages access 12 SuSE Linux 6.3/6.4 Apache Hacker truy cập vào URL /doc/packages Hacker có thể xem được package nào đã install trên webserver cũng như version của các package đó PHP-Nuke Cross Site Scripting 8 N/A PHP Nuke < 5.3.1 – 0.62 – 0.64 Hacker truy cập file user.php, phptonuke.php với tham số có chứa HTML script Hacker có thể thực thi script trên máy nạn nhân Net.Commerce Macro Path Disclosure 4 AIX – Solaris – Win NT Hacker truy cập macro.d2w với chuỗi NOEXISTINGHTMLBL OCK được thêm vào cuối đường dẫn Tấn công DoS MS-DOS Device Name DoS 86 Win 95/98 N/A Hacker dùng các kí tự như /aux, /CON, /NUL, /CONFIG$… trong URL Tấn công DoS IP Fragment Too Small 2 All N/A Hacker fragment nhỏ hơn 400byte để qua mặt các hệ thống IDS, hoặc tấn công DoS Làm mù hệ thống IDS, tấn công DOS Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 155 IP Fragment Incomplete Dgram 2 All N/A Datagram không thể nối lại do thiếu thông tin Làm mù hệ thống IDS, tấn công DOS Avenger System Command Exec 26 N/A N/A Hacker truy cập ans.pl với shell metacharacter Hacker có thể truy cập lệnh từ xa với quyền của httpd daemon PHỤ LỤC F: KẾT QUẢ GHI NHẬN CỦA ISS QUA CUỘC THI BUGSEARCH STT IP DNS High Medium Low METHOD 1 203.162.156.246 1 2 12.208.255.14 1 3 12.252.169.182 1 4 12.252.85.76 1 5 130.212.248.100 1 6 141.24.32.247 1 IPUnknowProtocol ; SSH_Detected 7 141.24.32.247 1 8 142.163.172.169 1 9 148.221.71.125 1 10 167.216.252.47 scanner0 7.sjdc01. qualys.c om 1 HTTP_Guestbook; HTTP_SGI_infosrch; HTTP_IE_BAT; HTTP_BAT_Execute; 11 172.134.35.159 1 12 172.152.142.226 1 13 172.154.251.142 1 Port_Scan 14 172.154.251.142 1 15 192.168.20.123 1 16 193.109.207.155 1 17 194.197.197.21 1 Port_Scan 18 194.197.197.21 1 19 195.199.81.237 1 20 200.203.120.200 1 21 200.42.211.83 1 22 200.64.51.61 1 23 202.106.169.12 1 24 202.108.203.10 1 25 202.108.249.21 1 26 202.135.77.208 1 27 203.111.192.204 1 SYNFlood 28 203.112.114.193 1 29 203.112.226.27 1 SYNFlood 30 203.113.131.1 1 Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 156 31 203.113.131.3 1 SYNFlood 32 203.113.132.219 1 SYNFlood 33 203.113.143.145 1 SSH_Detected 34 203.113.143.145 1 35 203.113.143.145 1 36 203.113.143.77 1 37 203.113.144.98 1 SYNFlood 38 203.113.150.196 1 SYNFlood 39 203.113.214.99 1 SYNFlood 40 203.113.216.134 1 SYNFlood 41 203.113.246.106 1 SYNFlood 42 203.113.246.52 1 SYNFlood 43 203.113.248.212 1 SYNFlood 44 203.113.248.214 1 SYNFlood 45 203.113.248.71 1 SYNFlood 46 203.113.249.59 1 SYNFlood 47 203.115.12.170 1 SYNFlood 48 203.115.18.89 1 SYNFlood 49 203.115.230.193 1 SYNFlood 50 203.136.81.2 1 51 203.142.143.146 1 HTTP_Post 52 203.159.37.39 1 53 203.162..4.81 1 HTTP_Post 54 203.162.113.37 1 55 203.162.137.74 1 56 203.162.145.68 1 HTTP_EZHoppre_Search ; Campas ; Cdomain ; PHF ; Pfdisplay_Execute ; ISS_Unicode_wide_Encodi ng ; HTML Script ; BAT_Execute ; TestCgi ; Cisco_Cathalyst_Exec ;Cold_Fusion ; FaxSurvey ;Cat32_ChangeAdminPass ord; Hsells ; IE_BAT ; ISS_ISAPI_Printer_Overflo w ;HTTP_DotDot ; Unix_Password Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 157 57 203.162.145.68 1 HTTP_Cachemgr ; Windmail_FileRead ; PHP_read ; ISS_UTF8_Evasion ; NPHTestCGI ; Softcart ; PDGSoft ; Orderform ; EZmail2000 ; WebStore ; QuikStore ; ColdFusion ; ISS_Hex_Evasion ; Netscape_SpaceView ; ISSExAir_Dos ; ISS_Double_Eval_Evasion ; IndexServer_IDQ ; IndexServer_webhits ; siteCsc_Access ; ShellHistory ; 58 203.162.152.30 1 59 203.162.155.83 1 60 203.162.156.18 1 61 203.162.156.246 1 1 Port_Scan;SSH_Detected 62 203.162.156.94 1 SSH_Detected 63 203.162.159.36 1 64 203.162.164.247 1 HTTP_Post 65 203.162.165.70 1 66 203.162.166.167 1 67 203.162.166.17 1 68 203.162.166.171 1 UDP_Port_Scan ; Trace_Route 69 203.162.185.185 1 70 203.162.187.190 1 71 203.162.191.144 1 SSH_Detected 72 203.162.2.56 1 73 203.162.205.55 1 1 SSH_Detected 74 203.162.25.136 1 Port_Scan 75 203.162.25.142 1 1 Port_Scan;SSH_Detected 76 203.162.31.201 1 HTTP_Post 77 203.162.35.130 1 78 203.162.36.227 1 79 203.162.4.81 1 80 203.162.40.71 1 Win_IGMP_DOS ; SSH_Detected 81 203.162.41.45 1 Sun_SNMP_Backdoor ; HP_OpenView_SNMP_Bac kdor ; 82 203.162.44.35 server1.v nuhcm.e du.vn 1 SSH_Detected Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 158 83 203.162.44.81 1 HTTP_Head ; SSH_Detected 84 203.162.47.34 1 85 203.162.50.208 1 Trace_Route ; SSH_Detected 86 203.162.50.75 1 SSH_Detected 87 203.162.51.231 1 Port_Scan ; SSH_Detected 88 203.162.51.71 1 Port_Scan ; SSH_Detected 89 203.162.7.161 1 HTTP_ISS_Unicode 90 203.162.92.134 1 91 203.162.92.148 1 92 203.162.99.6 1 Trace_Route 93 203.202.150.153 1 94 203.210.132.131 1 95 203.210.132.191 1 96 203.210.133.3 1 97 203.210.136.160 1 Port_Scan 98 203.210.136.160 1 99 203.210.151.201 1 HTTP_Windows_Executabl es; HTTP_ISS_Unicode_Transl ation 100 203.210.152.132 2 HTTP_Unix_Password ; HTTP_PHF 101 203.210.152.160 1 1 Port_Scan ; SSH_Detected 102 203.210.153.11 1 HTTP_Post 103 203.210.154.38 1 Port_Scan 104 203.210.211.168 1 HTTP_Post 105 203.210.211.215 1 106 203.210.221.94 1 HTTP_Head 107 203.221.10.199 1 108 203.221.66.218 1 109 203.40.128.119 1 110 203.67.231.152 1 SSH_Detected 111 203.94.244.131 1 112 204.252.125.130 1 113 208.249.202.175 1 Trace_Route 114 209.237.238.174 1 HTTP_RobotsTxt 115 210.159.236.142 1 116 210.245.10.170 1 HTTP_Post 117 210.245.10.56 1 Port_Scan 118 210.3.94.206 1 119 210.50.178.178 1 120 210.56.76.4 1 121 210.56.76.49 1 122 210.6.63.141 1 SYNFlood 123 211.132.74.229 1 Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 159 124 213.59.136.253 1 125 216.165.177.155 1 126 216.218.252.99 1 127 216.244.7.142 1 128 216.55.169.17 1 129 217.19.146.66 1 130 217.235.146.21 1 131 217.85.93.207 1 132 218.190.38.147 1 133 218.235.72.166 1 IPHaftScan 134 221.10.99.114 1 135 221.124.51.125 1 136 221.6.27.36 1 137 24.136.219.104 1 138 24.218.143.204 1 139 61.135.134.180 1 140 61.149.24.29 1 141 61.159.246.142 1 HTTP_EZHoppre_Search ; Campas ; Cdomain ; ISS$DATA ; Novell_Convert ; Cat32_ChangeAdminPass word ; HTTP_Cart32_ClientList ; Carello ; Shells ; WebLogic_luginB0 ; OpenView_SNMP_Backdo or ; Sun_SNMP_Backdoor ; 142 61.235.149.242 1 143 61.235.25.47 1 144 63.215.92.4 1 145 63.3.91.120 1 HTTP_Head 146 63.3.91.132 1 147 63.99.219.199 rlx05- 1.transfin ity.net 1 HTTP_Post 148 63.99.219.201 rlx09- 1.transfin ity.net 1 HTTP_Post 149 63.99.219.202 rlx11- 1.transfin ity.net 1 HTTP_Post 150 64.158.165.60 1 151 64.159.93.121 1 152 64.163.151.23 1 153 64.229.60.239 1 SYNFlood 154 65.110.40.50 1 155 65.121.60.154 1 156 65.136.2.207 1 SYNFlood Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 160 157 65.59.191.77 1 158 65.69.223.82 1 159 65.95.91.31 1 160 66.141.22.113 1 161 66.143.119.160 1 162 66.226.204.130 1 Trace_Route 163 66.52.170.62 1 164 67.10.155.44 1 165 67.127.161.198 1 166 67.165.245.189 1 167 67.30.208.206 1 168 68.167.222.242 1 169 68.211.232.81 1 Trace_Route 170 68.43.251.125 1 SYNFlood 171 68.48.46.172 1 172 69.3.91.120 1 Port_Scan 173 69.9.89.22 1 174 80.138.172.82 1 HTTP_Head 175 80.96.95.97 1 176 81.131.97.199 1 177 81.137.214.168 1 178 81.137.219.134 1 179 66.227.58.213 1 HTTP_Head 180 80.8.73.219 1 HTTP_Window-Exec 181 68.165.170.17 1 HTTP_Head 182 203.210.211.100 1 HTTP_Head;Shells ;ISS_URL_Decoding 183 24.169.197.78 1 184 203.162.113.64 1 185 203.210.151.222 1 186 130.212.248.7 1 SSH 187 194.211.36.33 1 SSH 188 203.113.143.145 1 SSH 189 203.160.103.99 1 SSH 190 203.162.145.68 1 SSH 191 203.162.154.109 1 SSH 192 203.162.155.108 1 SSH 193 203.162.164.211 1 SSH 194 203.162.165.96 1 SSH 195 203.162.166.4 1 SSH 196 203.162.167.109 1 SSH 197 203.162.167.99 1 SSH 198 203.162.168.140 1 SSH 199 203.162.24.160 1 SSH 200 203.162.24.211 1 SSH 201 203.162.24.71 1 SSH 202 203.162.44.81 server.hc mueco.e du.vn 1 SSH 203 203.162.6.87 hcmc.net nam.vn 1 SSH Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 161 204 203.162.99.34 1 SSH 205 203.210.128.13 1 SSH 206 203.210.130.207 1 SSH 207 203.210.136.252 1 SSH 208 203.210.154.131 1 SSH 209 203.210.211.100 1 SSH 210 203.210.252.28 1 SSH 211 203.210.252.44 1 SSH 212 203.210.252.48 1 SSH 213 203.210.252.56 1 SSH 214 203.210.252.77 1 SSH 215 203.223.35.146 1 SSH 216 209.142.209.161 1 SSH 217 210.245.9.136 1 SSH 218 212.227.253.97 1 SSH 219 217.97.83.194 1 SSH 220 43.244.42.107 1 SSH 221 80.222.112.247 1 SSH 222 81.64.176.251 1 SSH PHỤ LỤC G: CHƯƠNG TRÌNH VÀ GIÁO TRÌNH KHÓA TẬP HUẤN BẢO MẬT MÁY CHỦ LINUX Thời gian: 40 giờ tòan khóa (24 giờ cho quản trị mạng kinh nghiệm) Thời lượng thực hành: 2/3 tổng thời gian Yêu cầu học viên: đã làm quen với một Hệ điều hành Unix (Solaris/HU-UX, Linux, IBM AIX …) Yêu cầu giảng viên: Có bằng Linux Professional Institute admin (LPI 101+102) hoặc các bằng khác tương đương như Sun Solaris Admin hay HP- UX admin. Yêu cầu phòng thực hành: 20 máy PC có Linux và có thể triển khai cài đặt trên đó. Giáo trình: gồm 5 phần, đã được soạn thảo. CHƯƠNG TRÌNH: 1. PHẦN 1: Nhập môn hệ điều hành Linux (8h). Phần 1 là không bắt buộc đối với các quản trị mạng đã có kinh nghiệm làm việc trên môi trường Unix. i. Accessing your system (2) ii. Accessing files and directories (5) iii. Directory and File command (6) Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 162 2. PHẦN 2: Bảo mật hệ thống Linux căn bản. Không bắt buộc với các quản trị mạng trên 1 năm kinh nghiệm với máy chủ Unix. iv. Save failed login v. Monitor system usage with finger, last, rusers vi. Su command vii. Restrict root access viii. Setuid and setguid bits ix. Access Control List (ACL) x. Control remote login via /etc/hosts.equiv, $HOME/.rhosts, /etc/ftpusers xi. Utility syslog 3. PHẦN 3: Giao thức TCP/IP xii. TCP/IP security problem overview xiii. Installing more than one Ethernet Card per Machine xiv. Files-Networking Functionality xv. Securing TCP/IP Networking xvi. Optimizing TCP/IP Networking xvii. Testing TCP/IP Networking xviii. The last checkup 4. PHẦN 4: Xây dựng máy chủ Linux theo mô hình bugsearch website theo thực tế đã triển khai trong cuộc thi bugsearch. xix. Installing OS xx. Removing unused paskages xxi. Recompiling kernel xxii. /boot partition xxiii. implement basic security xxiv. maintaning suid programs xxv. secure network services xxvi. immute important files xxvii. tripwire deployment 5. PHẦN 5: Triển khai tiện ích iptables, snort trên Linux. xxviii. What is a Network Firewall Security Policy? xxix. The Demilitarized Zone xxx. What is Packet Filtering? xxxi. The topology xxxii. Building a kernel with IPTABLES Firewall support xxxiii. Rules used in the firewall script files xxxiv. /etc/rc.d/init.d/iptables: The Web Server File xxxv. /etc/rc.d/init.d/iptables: The Mail Server File xxxvi. /etc/rc.d/init.d/iptables: The Primary Domain Name Server File xxxvii. /etc/rc.d/init.d/iptables: The Secondary Domain Name Server File Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 163 xxxviii. Recommended RPM packages to be installed for a Gateway Server xxxix. Building a kernel with Firewall Masquerading & Forwarding support xl. /etc/rc.d/init.d/iptables: The Gateway Server File xli. Deny access to some address xlii. IPTABLES Administrative Tools xliii. Snort installation xliv. Snort configuration xlv. Exercise: using snort for detecting nmap scanning