Sử dụng Snort phát hiện một số kiểu tấn công phổ biến hiện nay vào các ứng dụng Web

Giải pháp sử dụng Snort để phát hiện một số kiểu tấn công phổ biến hiện nay vào các ứng dụng Web

1. Giới thiệu Theo số liệu thống kê từ công ty bảo mật hàng đầu hiện nay Acunetix, thời gian gần đây số lượng các cuộc tấn công vào ứng dụng web đã tăng lên nhanh chóng (75% các cuộc tấn công được thực hiện là ở lớp ứng dụng web) [Xem 1]. Trong đó hai kĩ thuật tấn công được các hacker sử dụng phổ biến là cross-site scripting và sql injection [Xem 2] và hình dưói đây: Kiểu tấn công cross-site scripting (hay còn gọi là xss) được các hacker tiến hành bằng cách nhúng các thẻ script vào một url (uniform resource locator) và tìm cách lừa người dùng nhấn vào những liên kết này. Khi đó đoạn mã độc hại này sẽ được thực thi trên máy tính của nạn nhân. Kĩ thuật thực hiện các cuộc tấn công kiểu này không có gì phức tạp và chủ yếu là hacker lợi dụng sự tin cậy giữa người dùng và server (bởi vì các url dường như xuất phát từ nguồn đáng tin cậy) cùng với việc không thẩm tra kĩ càng dữ liệu vào/ra ở phía server để từ chối phục vụ những url bị chèn thêm các mã độc hại. Còn SQL Injection liên quan đến một kĩ thuật chèn các từ khoá, các lệnh của ngôn ngữ SQL (là ngôn ngữ dùng để truy vấn, thao tác trên một cơ sở dữ liệu quan hệ) vào dữ liệu đầu vào của các ứng dụng web để điều khiển quá trình thực thi câu lệnh SQL ở server. Bài báo này mô tả một kĩ thuật để phát hiện các kiểu tấn công SQL injection và cross-site scripting dùng Snort. Phần một của bài báo sẽ giới thiệu về snort . Phần 2 của bài này sẽ mô tả cách viết các luật cho snort để chống lại hai kiểu tấn công nói trên. 2. Vậy snort là gì? Snort là một kiểu IDS (Instruction Detection System). Nói ngắn gọn IDS là một hệ thống được cài đặt trên mạng (hay máy tính) của bạn và nhiệm vụ của nó là giám sát những gói tin vào ra hệ thống của bạn. Nếu một cuộc tấn công được phát hiện bởi Snort thì nó có thể phản ứng bằng nhiều cách khác nhau phụ thuộc vào cấu hình mà bạn thiết lập, chẳng hạn như nó có thể gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát hiện có sự bất thường trong các gói tin đó. Tuy nhiên snort cũng có điểm yếu. Đó là tương tự như các bộ quét virus (virus scanner), snort chỉ có thể chống lại các cuộc tấn công một cách hiệu quả nếu như nó biết được dấu hiệu (signature) của các cuộc tấn công đó. Dựa vào điểm này, các hacker “cao thủ” có thể điều chỉnh các cuộc tấn công để thay đổi signature của cuộc tấn công đó. Từ đó các cuộc tấn công này có thể “qua mặt” được sự giám sát của snort. Như vậy có thể thấy rằng, để snort hoạt động một cách hiệu quả thì một trong những yếu tố quan trọng cần phải chú ý là các luật viết cho snort. Khi snort hoạt động, nó sẽ đọc các tập luật, giám sát luồng dữ liệu chạy qua hệ thống và sẽ phản ứng nếu có bất kì luồng dữ liệu nào phù hợp với tập luật của nó. Cụ thể hơn, tập luật có thể được tạo ra để giám sát các nỗ lực quyét cổng (scanning), tìm dấu vết (footprinting), hoặc nhiều phương pháp khác mà các hacker dùng để tìm cách chiếm quyền hệ thống. Tập luật này có thể được tạo ra bởi người dùng hoặc người dùng có thể truy cập đến trang chủ của snort là: http://www.snort.org để lấy về. Bây giờ chúng ta hãy xem một luật được viết cho snort và tìm hiểu xem snort hiểu chúng như thế nào. alert icmp !$HOME_NET any -> $HOME_NET any (msg:”IDS152 – PING BSD”; content: “|08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17|”; itype: 8; depth: 32;) Phần đầu của luật mô tả cách hành động (rule’s action) là alert, giao thức (ICMP) và địa chỉ IP nguồn, đích cũng như thông tin về port. Phần này gọi là “rule header”. Ở đây, $HOME_NET chỉ là một biến đại diện cho mạng của bạn và nó có thể được khai báo như sau: var HOME_NET 192.168.1.1/24 Phần còn lại của luật, được biết như “rule option”, chứa thông điệp báo động và thông tin sẽ được snort sử dụng để kiểm tra xem liệu luật đó có phù hợp (match) với gói tin không. Để hiểu rõ hơn chúng ta sẽ xem chi tiết của một lệnh ping sau đây: 07/23-09:46:41.866911 192.168.1.10 -> 192.168.1.1 ICMP TTL:50 TOS:0×0 ID:2403 ID:8474 Seq:256 ECHO 36 12 7B 39 1B C6 0B 00 08 09 0A 0B 0C 0D 0E 0F 6.{9………… 10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F ……………. 20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F !”#$%&’()*+,-./ 30 31 32 33 34 35 36 37 01234567 Khi snort giám sát các gói tin xuyên qua mạng của ta. Luật trên của chúng ta yêu cầu snort thẩm tra tất cả các gói tin ICMP nào không phải bắt nguồn từ mạng của ta “!$HOME_NET” và đến mạng của ta “->HOME_NET”. Thông số depth trong luật được gán là 32, nghĩa là snort sẽ tìm trong 32 byte đầu của gói tin để tìm kiếm nội dung có trong trường “content”. Nếu nội dung của trường “content” trong luật phù hợp với nội dung trong gói tin (ở trong trường hợp này là từ byte số 9 đến byte 24), snort sẽ phát sinh ra một thông báo, thông báo này sẽ được log lại. Nội dung của thông báo được log lại là: “IDS152 – PINGBSD“. Trường “itype” chỉ kiểu của một gói tin ICMP, trong trường hợp này là 8 tức là một gói tin ICMP có kiểu echo request. 3. Kết luận Trong phần một của bài này đã giới thiệu hai kiểu tấn công phổ biến hiện nay vào lớp ứng dụng web đó là kiểu cross-site scripting và sql injection. Đồng thời phần này cũng giới thiệu ngắn gọn snort, một trong những IDS được sử dụng nhiều nhất cho đến thời điểm này và cách snort hiểu các luật như thế nào.

DESKTOP LOCK – Ngăn chặn truy xuất bất hợp pháp vào máy tính

Bạn làm trong văn phòng nơi đông người, máy tính cần được bảo mật thông tin? Giải pháp đơn giản nhất là cài đặt và sử dụng chương trình Desktop Lock. Chương trình sẽ giúp bạn khoá bàn phím, chuột và chỉ có mình bạn với mật khẩu mới có thể truy xuất máy tính.

+Bạn có thể tải bản dùng thử của chương trình tại: http://www.toplang.com/dlsetup.exe ( Phiên bản 7.2) +Hướng dẫn sử dụng: -Khởi động chương trình , chọn mục Configure, trong màn hình hiện ra, chọn nhãn Lock, bạn chọn tổ hợp phím để khoá máy tính trong mục Lock Hotkey ( mặc định là Ctril+Alt+F11). Bạn có các tuỳ chọn trong mục Lock Mode là : Khoá màn hình hiện thời ( Lock current desktop without any change); Khoá màn hình, ẩn toàn bộ cửa sổ đang làm ( Lock current desktop, hide all opened windows); khoá, xoá mọi nội dung trên màn hình (Lock current desktop, and clear all contents on the screen); ẩn, tự động chạy chương trình ( Lock current desktop, and launch a program or document); ẩn, chạy chương trình Screen Saver ( Lock current, and run system screensaver) -Để mở ” khoá”, chọn thẻ Unlock, bạn có thể chọn mở khoá bằng phím nóng ( Unlock by hotkey); bằng việc di chuyển chuột ( Unlock when mouse moved). Trong ô Unlock hotkey bên dưới, nhắp một phím và đánh dấu chọn vào nút Ctril hoặc Alt. Nếu muốn bảo vệ bằng mật khẩu, chọn nút Change, nhập mật khẩu mới vào ô và xác nhận lại vào ô dưới. -Tuỳ biến thông báo trên màn hình: Chọn nhãn Display, chọn mục Banner, trong ô Banner Text bạn nhập nội dung cần hiển thị trên màn hình. Font chữ thể hiện bạn chọn trong mục Banner Font. Để tuỳ biến vị trí hiển thị nội dung chữ, bạn chọn trong mục Banner Position. -Để Desktp đẹp hơn, bạn có thể chọn một hình nền thông qua mục Background Picture sau đó lựa chọn hình ảnh ( thao tác này tương tự như chọn hình nền trong Windows). Bạn cũng có thể chèn một bài hát thông qua mục Background media. -Thiết lập giờ tự khoá máy tính: Đây là tính năng rất hay vì có thể giúp cha mẹ quản lý được thời gian sử dụng máy tính của con em. Bạn chọn nhãn Schedule, chọn một mục ( Disable) trên màn hình và chọn Setup, trong màn hình hiện ra, chọn Daily ( hằng ngày). Bạn chọn thời gian cần khoá máy tính trong mục Lock at, thời gian mở khoá trong mục Unlock at. Đối với mục tự động thiết lập thời gian này, bạn có thể làm được 10 thời điểm. -Thiết lập người dùng: Nếu bạn có người cùng chung làm với máy tính thì có thể thiết lập cho họ sử dụng bằng cách phân quyền( tạo thêm tài khoản) trong mục User . Bạn có thể vào Control Panel để tạo thêm User. Trong nhãn User, bạn có các tuỳ chọn: áp dụng thiết lập chương trình cho tất cả người dùng ( Apply settings to all users); áp dụng cho những người sau ( Apply to following users); -Tạo màn hình ảo để người dùng khác truy xuất máy tính: Ra màn hình chính, chọn mục Vitual Screen . Lúc này một màn hình ảo sẽ cho phép người khác truy xuất vào một số mục trên máy tính. -Khoá máy tính: bạn chọn mục Lock Now hoặc chọn tổ hợp phím để khoá máy tính. Bây giờ, bạn an tâm là dữ liệu trên máy tính của bạn sẽ không bị truy xuất bất hợp pháp.

Top 10 thiết lập bảo mật sau khi cài đặt Active Directory

Các thiết lập ban đầu mà bạn cần phải thực hiện với Active Directory để bảo mật cho mạng trước khi bạn đi sâu vào việc thiết lập toàn bộ cơ sở hạ tầng.

Việc cài đặt Active Directory không phải quá khó, tuy nhiên khi bạn đã cài đặt xong rồi thì có khá nhiều công việc cần phải thực hiện. Việc đầu tiên trong cấu hình Active Directory là thiết lập bảo mật cho nó. Có nhiều vùng mà bạn cần quan tâm và nhiều thiết lập cần được thay đổi để chuẩn bị cho việc bảo vệ các hành động trong mạng. Chúng ta hãy xem xét đến các thiết lập ban đầu mà bạn nên thực hiện đối với Active Directory để an toàn cho mạng trước khi đi vào thiết lập toàn bộ cơ sở hạ tầng. Tạo một tài khoản quản trị riêng Sau khi cài đặt Active Directory, bạn cần phải thực hiện bảo vệ tài nguyên của mình ngay lập tức. Không chỉ thực hiện bảo vệ tài nguyên Active Directory mới mà còn phải tạo một thế giới thông qua đócó thể quản trị được một cách an toàn. Để thực hiện điều đó, bạn cần tạo một tài khoản người dùng mới được sử dụng khi quản trị bất cứ thứ gì có liên quan đến Active Directory. Lưu ý: Điều này có nghĩa rằng bạn không nên sử dụng tài khoản Administrator đi kèm theo thói quen hoặc quản trị Active Directory theo cách thông thường! Khi đã tạo được tài khoản mới này, bạn cần add nó vào nhóm Domain Admins. Do chỉ có một miền lúc này nên bạn sẽ có được khả năng thực hiện bất cứ thứ gì bên trong miền này nếu cần thiết. Lưu ý: Bằng việc trở thành thành viên trong nhóm Domain Admins trong miền gốc (miền đầu tiên trong forest), bạn sẽ có được khả năng add hoặc remove các user khỏi các nhóm Schema Admins và Enterprise Admins. Mặc dù vậy, không có lý do nào để có thành viên trong các nhóm này cho tới khi bạn cần thực hiện một hành động yêu cầu đến mức đặc quyền này. Trong quá trình tạo tài khoản người dùng, bạn nên tạo một mật khẩu dài và phức tạp. Điều này sẽ giúp bảo vệ được tài khoản của bạn chống lại các kẻ tấn công và hacker. Nếu mật khẩu yếu thì nó sẽ dễ dàng bị các hacker bẻ khóa và tấn công vào miền như một quản trị viên. Thiết lập một mật khẩu dài và phức tạp cho tài khoản quản trị viên Lúc này bạn đã có một tài khoản để quản trị miền, bạn nên bảo vệ tài khoản Administrator được thiết kế trước theo nghĩa đầy đủ nhất. Ban đầu, bạn cần bảo vệ mật khẩu của các tài khoản này. Tối thiểu cũng cần tạo một mật khẩu có chiều dài khoảng 15 đến 20 ký tự và có độ phức tạp. Lưu ý rằng tất cả các mật khẩu này phải rất dài và sử dụng tối thiểu 3 kiểu ký tự trong mỗi mật khẩu. Đặt lại tên cho tài khoản Administrator trong miền Active Directory đầu tiên Mẹo này không mang tính kỹ thuật nhất mà bạn có thể từng nghe, nhưng nên thực hiện nó vì dẫu sao cũng tốt cho bạn. Thay đổi tên của tài khoản Administrator được thiết lập mặc định thành một tên khác. Bạn nên sử dụng cùng định dạng đối với các tài khoản người dùng khác (JohnDoe, GatesBill, SLJackson,..). Điều này sẽ giúp bảo vệ được tài khoản bởi các hacker đơn giản và thông thường. Rõ ràng, điều này không thay đổi SID cho tài khoản, nhưng chí ít việc duyệt qua một danh sách người dùng sẽ không dễ dàng để nhận ra được ngay. Thiết lập chính sách mật khẩu trong chính sách miền mặc định (Default Domain Policy) Quả thực đã có nhiều bài viết về cách thiết lập đúng chính sách mật khẩu cho một miền để giảm bề mặt tấn công. Chỉ khi các tham số đó bị lấy mất thì mạng của bạn mới có thể bị hổng. Mặc dù vậy, trong Default Domain Policy các thiết lập chính sách mật khẩu phải được thiết lập như thể hiện trong hình 1. Hình 1 Đây là một số hướng dẫn cho các thiết lập của các chính sách này: Thiết lập chính sách Giá trị tối thiểu Giá trị an toàn Tuổi thọ tối thiểu của mật khẩu 1 1 Tuổi thọ tối đa của mật khẩu 180 45 Chiều dài tối thiểu của mật khẩu 8 14+ Độ phức tạp của mật khẩu Enabled (Được kích hoạt) Enabled (Được kích hoạt) Thiết lập chính sách khóa tài khoản trong Default Domain Policy Các thiết lập chính sách khóa tài khoản là một chủ đề được tranh luận nhiều trong một thời gian dài. Có hai quan điểm đối với tranh luận này. Quan điểm thứ nhất cho rằng mật khẩu phải được khóa nếu có 3 hoặc quá 3 lần cố gắng nhập vào mật khẩu thất bại. Quan điểm thứ hai cho rằng nên phải có số lượng không hạn chế các lần cố gắng để người dùng đăng nhập, bởi vì có lúc họ không nhớ mật khẩu một chút nào. Tranh luận theo kiểu này là khá tự nhiên vì các quan điểm đều có lý của nó. Vấn đề với việc khóa mật khẩu chỉ sau một vài lần cố gắng có thể khóa kẻ tấn công nhưng đôi khi cũng làm ảnh hưởng đến chính các nhân viên… Với quan điểm thứ hai, tranh luận đưa ra một số lượng không hạn chế các lần thử có thể cho phép kẻ tấn công thực hiện nhiều lần thử để đăng nhập vào tài khoản bằng cách đoán nhiều mật khẩu khác nhau. Từ quan điểm lập trường của tôi, tùy chọn cho phép một số lượng nào đó nhưng không vô hạn cho các lần thử sẽ tốt hơn và an toàn hơn. Nếu bạn thực hiện theo các hạn chế mật khẩu tốt về độ phức tạp và chiều dài thì khả năng đoán ra mật khẩu là gần như không thể, hoặc thậm chí dùng cả kịch bản để tìm kiếm cho nó. Mặc dù vậy, tôi gợi ý bạn nên thiết lập số lần thử khoảng 100 lần trước khi tài khoản bị khóa. Hình 2 thể hiện các tùy chọn cho việc thiết lập chính sách khóa tài khoản (Account Lockout Policy). Hình 2 Tạo các OU (Organizational Unit) cho tài khoản người dùng Để cho các tài khoản người dùng và thiết lập của họ trên desktop được kiểm soát bạn cần phải tạo một OU cho các tài khoản người dùng. Các tài khoản người dùng (mặc định) được đặt trong một mục có tên “Users”, và hoàn toàn không có bất kỳ một GPO nào được liên kết với nó. Bạn không chỉ tạo một OU cho các tài khoản người dùng mà trong hầu hết các trường hợp, bạn sẽ tạo một cấu trúc có thứ bậc và OU có cấu trúc cho các tài khoản người dùng. Điều này sẽ cho phép bạn quản lý các thiết lập GPO nào ảnh hưởng đến tài khoản người dùng nào. Các ý tưởng cho cấu trúc logic của OU cho các tài khoản người dùng có các OU được đưa ra dưới đây: Các văn phòng như phòng tài chính, CNTT,… Các vùng như vùng đông bắc, châu á, chi nhánh 1,… Các Role công việc như Manager, Executive, HelpDesk,… Tạo các OU cho tài khoản máy tính Bạn cũng có thể tạo các OU cho tài khoản máy tính, với cùng lý do như tài khoản người dùng. Ở đây bạn có thể xem xét các kiểu máy tính hiện có, chúng có thể được phân loại vào các hạng mục dưới đây: Các máy chủ như IIS, Exchange, application,… Các desktop như CNTT, di động,… Tạo một GPO và liên kết đến OU mới cho các tài khoản máy tính Để bảo đảm các máy tính của bạn được an toàn khi chúng ở trong miền, bạn cần phải có một tập các thiết lập an toàn khi gia nhập một miền. Để thực hiện điều này, bạn chỉ cần tạo một GPO và liên kết nó đến OU cho các tài khoản máy tính ừa tạo. Ý tưởng cho các thiết lập mà bạn nên có trong GPO gồm có: Kích hoạt UAC Thiết lập lại mật khẩu quản trị nội bộ Kiểm soát thành viên của nhóm Administrators Kiểm soát các kết nối nặc danh Kiểm soát các giao thức chứng thực đăng nhập đã được hỗ trợ Cấu hình DSN để chuyển tiếp Hầu hết các công ty đều cần đến cài đặt này, tuy nhiên không phải tất cả. Tuy vậy, dựa vào những gì bạn đã thấy trong trường, hầu hết các công ty cần nhắm đến cấu hình DNS một cách ngay lập tức để cho phép truy cập vào Internet, nhưng cũng bảo vệ cả DNS có hỗ trợ Active Directory. Để thực hiện điều này, bạn cần cấu hình DNS hỗ trợ môi trường Active Directory để chuyển tiếp tất cả các yêu cầu Internet đến một máy chủ DNS có hỗ trợ Internet. Điều này yêu cầu các thiết lập dưới đây: Cấu hình tất cả các client của miền để sử dụng DNS hỗ trợ Active Directory Cấu hình các máy chủ Active Directory DNS để chuyển tiếp yêu cầu đến các máy chủ DNS gửi đi. Đặt lại tên toàn bộ tài khoản Administrator trong tất cả các miền Bạn nên đặt lại tên tài khoản Administrator trong Security Accounts Manager (SAM) nội bộ của mỗi máy tính (máy chủ và desktop) trong miền cũng như cho mỗi một miền mới mà bạn add vào forest. Bạn có thể thực hiện điều này thông qua GPO, thể hiện trong hình 3, cách thức này sẽ giúp cho bạn cấu hình dễ dàng hơn và hiệu quả hơn. Thêm nữa nó không loại trừ một tấn công đang tìm kiếm tên mới, nhưng sẽ làm giảm được các tấn công vào hệ thống với tên mặc định. Hình 3 Kết luận Khi bạn đã cài đặt Active Directory và đang chạy, bạn chỉ mới bắt đầu các cấu hình của mình. Để bảo đảm có một Active Directory an toàn và ổn định, bạn cần phải thực hiện một số các thiết lập ngay lập tức để đưa mọi thứ được cấu hình và an toàn. Bạn cần nhắm đến việc quản trị miền, gồm có tài khoản Administrator đi kèm và các tài khoản sẽ được sử dụng để quản lý Active Directory hàng ngày. Với việc kiểm soát người dùng và desktop trong môi trường, bạn cần thực hiện các thiết lập cho phép bảo vệ mật khẩu của người dùng, cũng như kiểm soát các desktop và tài khoản người dùng thông qua Group Policy. Nếu bạn thực hiện được những bảo mật quan trọng này sau khi cài đặt Active Directory thì cũng có nghĩa thực hiện được tốt việc bảo vệ an toàn mạng và công ty bạn.

LÀM SAO ĐỂ HẠN CHẾ VIỆC HACK ACCOUNT

Chúng ta sẽ từng bước phân tích làm cơ sở để tìm ra giải pháp tối ưu nhất.

1 – Acc bị hack khi nào ?

Acc bị hack khi bạn bị mất các thông tin sau:

- Mất ID và Pass 1. Trường hợp này bạn có thể bị mất đồ đạc trong Acc.
- Mất ID và Pass 2. Trường hợp này bạn có thể bị mất đồ đạc và mất thông tin của Acc. Và một số trường hợp có thể bị mất luôn cả Acc nếu tên Hack Pro .
- Mất Mail đăng ký Acc: Đa số các trường hợp là mất luôn Acc .

Trong cả 3 trường hợp Acc của chúng ta có thể bị hủy bới Hacker.

Hủy như thế nào ?

- Mang Char đi PK.
- Rao ID và Pass ở nơi đông người cho nhiều người biết.
- Tăng SP vào các skill không cần thiết (Với các char F), hoặc tặng SP vào điểm GP cho G.
- …

2 – Vậy thì chúng ta cần phải bảo vệ những cái gì ?

Từ phần trên chúng ta nhận thấy cần phải bảo vệ :

- ID
- Pass 1.
- Pass 2.
- Mail đăng ký Acc.

Những thông tin trên không được để mất (lộ cho người ngoài biết), nếu một người nào đó biết được, Acc của bạn sẽ có nguy cơ như đã nói ở bước 1.

3 – Chúng ta sử dụng các loại thông tin trên khi nào ?

- ID và Pass 1: Được sử dụng khi log vào game.
- ID và Pass 2: Được sử dụng khi log vào trang web để thay đổi các thông tin của tài khoản.
- Mail: Được sử dụng khi chúng ta vào Yahoo Messenger, hoặc vào Mail bằng các loại trình duyệt.

4 – Làm sao chúng ta bị mất các loại thông tin trên.

+ Bị mất ID và Pass do người đứng sau lưng nhìn thấy (cái này ít sảy ra)
+ Bị mất do người khác đoán hoặc dò ra Pass.
+ Bị mất do máy bị dính Keylog hoặc Trojan.
+ Bị mất do bạn dại dột đưa những thông tin đó cho một ai đó . (cái này ít).
+ Bị mất do điền những thông tin đó vào một cái Form nào đó của bọn Hacker.

5 – Phân tích cụ thể từng trường hợp bị mất thông tin.

- Bị mất ID và Pass do người đứng sau nhìn thấy.

Trường hợp này chỉ sảy ra khi người chơi cùng tiệm NET có ý muốn chôm đồ của bạn, ID thì nhìn cái là họ biết rồi, còn Pass thì sao ?. Pass họ sẽ để ý lúc bạn nhập Pass, mỗi lần chỉ cần nhớ 1 – 2 hoặc 3 ký tự, qua 1, 2 hoặc 3 lần nhập Pass là họ có thể đoán ra Pass của bạn là gì rồi . Trường hợp này sảy ra cũng không nhiều, những không phải là không có.

Để phòng chống bị mất Acc trong trường hợp này, khi nhập Pass bạn nên để ý xung quanh và cố gắng gõ nhanh tay .

- Bị mất ID và Pass do máy bị dính Keylog hoặc Trojan.

Mất Acc đa số là do trường hợp này.
Một câu hỏi đặt ra là:Làm sao máy tính của chúng ta bị dính Keylog hoặc Trojan ?

Không phải tự nhiên mà máy tính nhiễm Keylog hay Trojan được mà nó phải do một tác động nào đó, cụ thể là :

+ Máy bị cài sẵn Keylog hoặc Trojan từ trước. Cái này thường gặp ở tiệm NET, mặc dù máy ở tiệm đó có cài các chương trình đóng băng ổ cứng như DeepFreeze, GoBack … nhưng các chương trình đó có thể phá được, và vì thế mà máy tính đó vẫn có nguy cơ bị cài Keylog hoặc Trojan như thường.

+ Bạn mở một Link lạ do ai đó gửi đến và vô tình chạy file đó, nhưng bạn có biết đâu nó là Keylog hoặc Trojan và kết quả là máy bạn bị dính Keylog .

+ Bạn vào các trang Web tích hợp Keylog hoặc Trojan, và như vậy vô tình máy bạn đã bị dính.

+ Bạn cài các phần mềm có tích hợp Keylog hoặc Trojan.
…

- Bị mất do người khác đoán hoặc dò ra ID và Pass của bạn.

Cái này ở trên bạn anhsa0d3m cũng đa có nói đến, nhưng những trường hợp mà bạn nói là rất khó sảy ra khi vừa đoán ra ID lại vừa có thể đoán hoặc dò ra được Pass. Về dò Pass sẽ có những công cụ chuyên để dò Pass bằng cách tổ hợp những ký tự hoặc con số hoặc cả hai do người dùng thiết đặt, nhưng cái này là rất khó.

Ví dụ: Pass có 6 chữ cái thì tối đa phải thử tầm hơn 100 triệu lần rồi, nhưng SR chỉ cần 5 lần nhập Pass không đúng là bạn phải đợi 15 phút nữa mới nhập lại được .

Thế nên trong trường hợp này nếu có sảy ra thì thường là :

+ ID của bạn người ta đã biết trước, có thể do người ta nhìn thấy, có thể do trước đó bạn Share Acc và sau đó đổi Pass…

+ Căn cứ vào những thông tin người ta biết về bạn như : Tên, tuổi, ngày sinh, số CMTND, số ĐT, tên người yêu … mà bạn vô tình để người ta biết được người ta có thể đoán ra được Pass của bạn. Nhưng trường hợp này cũng rất rất rất …. ít khi sảy ra .

- Bị mất do bạn dại dột đưa thông tin cho một ai đó.
Trường hợp này thường là cho chơi chung Acc, cái này thì thường gặp.

- Bị mất do điền những thông tin đó vào một cái Form nào đó của bọn Hacker.
Cái này một dạo một số người cũng dính phải.

Vào một ngày trời âm u xám xịt, bạn nhận được một cái Mail với tiêu đề :

Bạn đã là người trúng thưởng….trong đợt Event….của công ty VDC tổ chức…
….
….
….
Yêu cầu bạn nhập những thông tin sau để xác nhận quyền sở hữa Acc.
ID: …
Pass 1:
Pass 2:
Mail đăng ký Acc : …
Pass Mail (nếu có thể ).
….

Trong lúc đang ngất ngây với giải thưởng trên trời mà trong cái Mail đó nói đến, bạn mất cảnh giác và … điền thông tin vào để lãnh giải. Nhưng đâu ngờ là bạn đã bị lừa .

Hình thức lừa đảo này có rất nhiều dạng, nên các bạn cần phải cảnh giác.

6 – Làm sao để Hack được Acc ?.

Ở đây được chia thành hai trường hợp.

Hack Acc đã xác định trước.
Hack những Acc không xác định trước.

- Hack Acc đã xác định trước.

Trong trường hợp này Hacker đã biết được tên Char cần Hack.

Ví dụ là : EoChangHy chẳng hạn .

+ Bước đầu tiên Hacker sẽ theo dõi và thu thập những thông tin về Char đó bằng các biện pháp.

Chẳng hạn như : Thông tin người chơi, nơi chơi … tên tuổi …, YH , ĐT …

+ Từ những thông tin thu thập được Hacker sẽ đề ra biện pháp Hack sao cho hợp lý.

Chẳng hạn như :

* Gửi mail có kèm Link dính Trojan hoặc Keylog
* Gửi Link Trojan hoặc Keylog
* Gửi mail dạng lấy thông tin như đã nói ở trên …
* Đến nơi người chơi Char đó để “Chôm ID” . Rồi sau đó đoán và dò Pass .
* ………..

- Hack những Acc chưa xác định.

Với cách này thông thường Hacker tìm cách phát tán Keylog hoặc Trojan bằng các cách khác nhau, hoặc phát tán Mail lấy thông tin Acc như đã nói ở trên.

7 – Làm sao để bảo vệ được Acc của mình ?

Đây có lẽ câu hỏi khó nhất và là vấn đề mà các bạn quan tâm nhất khi đọc bài viết này.

Như phân tích ở trên chúng ta đã biết những nguyên nhân dẫn đến việc bị Hack Acc. Căn cứ vào những nguyên nhân đó, chúng ta dễ dàng tìm ra những biện pháp phòng chống việc bị Hack Acc.

- Phòng chống bị đá ID và Pass.

Để phòng chống bị mất Pass do người khác nhìn thấy, chủ yếu là do bản thân các bạn cần cẩn thận khi nhập Pass sao cho kín đáo và an toàn.

- Phòng chống Keylog và Trojan.

+ Cài các chương trình tìm và diệt Keylog và Trojan nếu có thể.

+ Không nhập ID và Pass vào bất cứ chương trình gì trừ khi login vào game .

+ Không click vào những Link lạ được gửi trong mail hoặc tin nhắn của bạn. Đặc biệt những Link đính kèm file có đuôi dạng “.exe” hoặc “.com”

+ Không vào những trang web không an toàn, những trang có nhiều nguy cơ cài Keylog hoặc Trojan, đặc biệt là các trang web xxx .

+ Không cài những chương trình khi chưa được quét qua các chương trình tìm kiếm Trojan hoặc Keylog.

+ Không sử dụng Mail đăng ký (Mail YH) làm Nick chat, vì như vậy nguy cơ bị mất Mail là rất cao.

+ Nếu các bạn chơi ở ngoài tiệm NET, nên chú ý : Khi vào chơi tốt nhất các bạn nên Reset lại máy, một số tiệm NET cài các chương trình đóng băng ổ cứng sau khi reset máy tính sẽ không có vấn đề gì nếu trước đó nó ko bị cài Trojan hoặc Keylog.

+ Và điều quan trọng nhất để phòng Keylog là khâu nhập Pass, các bạn tốt nhất nhập Pass bằng bàn phím ảo.

Chúng ta có thể dùng bàn phím ảo của Windows bằng cách :

* Từ Star Menu (hoặc bấm Win+R) chọn Run gõ OSK rồi bấm OK
* Từ Star Menu chọn Progams\Accessories\Accessibility\On-Screen Keyboard.

Nhược điểm khi sử dụng bàn phím ảo là dễ bị người ngoài nhìn thấy Pass, vì thế ở đây cách tốt nhất là dùng kết hợp cả bàn phím ảo và bàn phím thật.

Với mình khi nhập Pass, mình sẽ kéo Chương trình bàn phím ảo che lấp cái ô nhập Pass để người ngoài không biết được Pass mình có bao nhiêu ký tự. Tiếp đến mình nhập Pass bằng cả bàn phím ảo và thật. Ngoài ra mình có thể bấm ra màn hình rồi gõ lung tung, sau đó bấm Tab vào ô nhâp Pass để tiếp tục nhập Pass. Làm như vậy sẽ an toàn hơn nhiều, cho dù có ngồi trên máy có Keylog thì cũng không tìm ra Pass của mình là gì cả .

Nếu có thời gian mình sẽ có bài viết hướng dẫn bằng hình ảnh cách nhập Pass làm sao để qua mặt được Keylog.

- Phòng chống mất Acc do bị dò ra Pass.

Trong trường hợp này có thể phòng chống bằng những biện pháp sau.

+ Không Share Acc cho những người không tin tưởng.

+ Không tiết lộ ID Acc của mình với người khác.

+ Không đặt Pass có liên quan đến những thông tin cá nhân như: tên, tuổi, số ĐT , số CMTND …

+ Đặt Pass có độ dài an toàn và khó đoán. Pass có độ dài an toàn là Pass có từ 6 ký tự trở lên.

+ Không điền thông tin về Acc vào bất kỳ Form yêu cầu nào chưa xác định rõ được ngồn gốc.

+ Thường xuyên đổi Pass, khoảng 1 tuần gì đó nên đổi 1 lần, hoặc sau khi chơi thấy có dấu hiệu nghi ngờ dính Keylog hoặc Trojan thì nên đổi Pass ở một máy sạch. Nên nhớ khi nhập bất kỳ loại Pass nào nên dùng bàn phím ảo.

Riêng với Pass YH có loại Trojan chỉ cần bạn login vào nick YH là đã mất Pass rồi, cho nên không nên dùng nick reg Acc làm nick chat là vì vậy

Những phương pháp để hạn chế việc hack account

Trước hết trong máy của bạn nên cài những chương trình chống keylogger, trojan.Một số chương trình khá hiệu quả trong việc tìm kiếm và loại bỏ keylogger và trojan là:
Spyb0t search and destroy.
Ad ware Se.
Avast anitivirus
Các chương trình có thể được download free ở trang www.download.com

Không nên vào những website lạ, những links có ẩn chứa nguồn độc hại (thường các link ẩn chứa trojan hoặc keyloggers)

Không nên sử dụng các password có thể đoán 1 cách dễ dàng. Hacker có thể dùng những chương trình phức tạp, chúng được dùng để thử giãi mã các tổ hợp và tìm ra password của bạn. Thậm chí họ có thể lưu lại tất cả các phím mà bạn nhấn bằng cách sử dụng keylogger.
Không nên sử dụng cùng 1 password ở bất cứ đâu.
Ví dụ password bạn sử dụng để đăng nhập vào game không nên trùng với password bạn đăng nhập vào forum.

Nếu các bạn biết được cách của hacker dùng để hack account, thì bạn sẽ tìm được cách hạn chế điều đó xảy ra.
Thông thường khi 1 hacker muốn hack account của bạn, họ sẽ tiến hành theo 4 giai đoạn sau.
1-Chọn nhân vật mà họ muốn hack
2-Tìm ra tên đăng nhập vào game của bạn
3-Tìm ra địa chỉ e-mail của bạn
4-Sỡ hữu account mà họ hack được.

Câu hỏi bí mật của bạn ở thời điểm này không liên quan, cũng như password của bạn không phải là vấn đề mà hacker quan tâm.

Điều mà bạn cần quan tâm để có thể bảo vệ account của mình là hãy xem địa chỉ e-mail của bạn như là Password mới cho game,
Bạn nên sử dụng password có độ bảo mật cao, khoảng từ 8-12 ký tự bao gồm chữ và số, càng tốt nếu có chữ in HOA.
Đây là trang web mà bạn có thể kiểm tra độ bảo mật password của bạn
http://www.securitystats.com/tools/password.php
Màu vàng cho thấy password của bạn chưa an toàn.
Màu xanh cho thấy password của bạn đã an toàn.

Những thông tin mà bạn điền vào tiểu sử bao nhiêu thì hacker có thể dựa vào điều đó để hack account của bạn, tốt nhất bạn không nên post bất cứ thông tin gì trong profile của bạn ở các diễn đàn.

Mình sẽ tóm tắt lại 1 số điều cần lưu ý chính.

1) Sử dụng password có độ bảo mật cao (nên thay đổi thường xuyên).
2) Hãy xem e-mail của bạn như password bạn dùng cho SRO(Bạn có thể tạo 1 account e-mail hoàn toàn mới)–>Rất quan trọng!
3) Không nên điền bất cứ thông tin của bạn vào profile bạn dùng trong forum hay bất cứ đâu.Thông tin mà bạn điền càng nhiều thì hacker cũng có càng nhiều xác xuất để hack account của bạn thành công.
4) Không nên sử dụng tên đăng nhập bạn dùng trong game trùng với tên đăng nhập bạn dùng trong các diễn đàn.Có thể nhiều người vấp phải điều này nhưng bạn hãy nhớ là đừng chỉ vì dễ dàng nhớ tên đăng nhập mà phải trả giá cho điều đó
5) Câu hỏi bí mật bạn có thể ghi những điều không liên quan đến câu hỏi, giả tạo câu trả lời.Hacker cũng sẽ dựa trên Câu hỏi bí mật của bạn để hack account.

Hướng dẫn phát hiện keylog và diệt trừ nó

Chạy một chương trình phát hiện và diệt Keylogger như: ở đây sử dụng chương trình Keylogger Killer 1.5 để kiểm tra xem có chương trình nào đang hook keyboard không (ghi lại sự hoạt động của bàn phím). Bạn sẽ thấy ngay trên màn hình thông báo là NTVDSCM.DLL đang “hook” bàn phím, nghĩa là những gì ta bấm trên bàn phím nó sẽ lưu lại mọi hoạt động. Không còn nghi ngờ gì nữa NTVDSCM.DLL là một “vị khách” không mời.

2. Kiểm tra xem ai là người “giới thiệu” vị khách này tới.

Theo kinh nghiệm thì tất cả những spyware (phần mềm gián điệp) này luôn pack để tự giấu bản thân vì thế ta phải debug hoặc đọc nội dung từ Entire Memory.

Hãy sử dụng WinHex giúp ta đọc nội dung trong Entire Memory nhanh chóng.

- Khởi động WinHex.
- Chọn menu Tools rồi chọn lệnh Open RAM

- Tìm đến vị khách kia (đó là Ntvdscm). Bấm vào nó rồi chọn Entire Memory rồi chọn OK

Theo kinh nghiệm thì keylog luôn phải gửi về 1 email nào đó qua 1 SMTP. Vì thế ta sẽ tìm trong Entire Memory để thấy đoạn đó.
=> Và cuối cùng các bạn dễ dàng tìm được đoạn email của thủ phạm đó với lệnh tìm kiếm (Nhấn Ctrl+F tìm cụm từ @yahoo hoặc @gmail … hoặc gì đó tùy theo ý tưởng của bạn)

Trong ví dụ trên tôi đã tìm ra thủ phạm đã dùng SMTP của Google để gửi nội dung về email anhcodonnganlantruocbien@gmail.com và anh_codonnganlantruocbien@yahoo.com

Đây là 1 hành động thiếu ý thức cần phải lên án.

Link down 2 phần mềm tại đây

Trích dẫn:

http://www.tooto.com/keyloggerkiller/ http://www.winhex.com/winhex/index-m.html

II – Cách xử lý “vị khách” không mời:

Cách xử lý sau đây hết sức đơn giản bạn sử dụng những công cụ sẵn có trong windows.

- Bấm vào nút Start chọn lệnh Run.
- Gõ Notepad rồi nhấn OK để mở chương trình soạn thảo văn bản Notepad của Windows.
- Copy đoạn text sau đây vào notepad:

Trích dẫn:

REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices] “ntvdscm”=”"

- Trong cửa sổ Notepad bấm menu File chọn lệnh Save as…
- Cửa sổ Save As xuất hiện. Bấm vào nút Desktop ở bên trái để lưu nội dung ra màn hình.
- Trong mục File Name ở phía dưới gõ DeleteKl.reg
- Trong mục Save as type ở phía dưới chọn All Files rồi bấm OK
- Đóng cửa sổ Notepad lại. Lúc này bạn sẽ thấy trên nền màn hình xuất hiện thêm 1 biểu tượng DeleteKl
- Kích vào biểu tượng đó, bấm OK 2 lần. Khởi động lại máy là bạn đã tiễn xong vị khách không mời đó.

Su dung Process XP

Process XP là một Portable ( Bạn chỉ cần chạy luôn kô cần cài đặt ) Nó gọn nhẹ giúp hiển thị tất cả các tiến trình đang hoạt động trên Win, kể cả Virus, Trojan hay Keylogg ( Các bạn đã 1 hoặc vài lần dính virut hoặc keylog sẽ nhận ra nó ngay )
Chương trình này nó sẽ Hiện tất cả các trình ứng dụng Win, soft, ẩn = cách thiết đặt ( rõ nhất là hiển thị = đường dẫn, tên công ty, ứng dụng,…), kết thúc ứng dụng mong muốn, hoặc các ứng dụng treo kô cần thiết…

Giờ bắt đầu nhé

Đầu tiên chúng ta sẽ chạy trương trình Process XP. Chúng ta sẽ thiết lập màu sử dụng cho nó để có thể nhìn thấy dễ dàng hơn
-Các bạn vào View / Select Columns . Đánh dấu vào các mục sau
1: Process Name
2ID
3escription
4:Company Name
5: Images Path
6:Command
- Mục đích công việc này giúp chúng ta phân biệt được những trương trình tiện ích trên máy và những trương trình lạ được cài đặt vào máy
Nếu như các ứng dụng kô sắp xếp theo thứ tự màu ( như trong hình mình chọn là màu cam và màu xanh tím ) thì bạn nhấp vài lần vào thanh hiển thị ( Procee / PID / )

Xong rồi giờ tiến hành kiểm tra nào….

Một dãy cam là các dịch vụ của Win hoặc các soft được Win đăng ký chạy chế độ tin tưởng như là Services

Giờ kéo chuột xuống dưới chúng ta sẽ thấy 1 dải màu xanh tím. Đây là các ứng dụng trên máy cần lưu ý. Nếu là trương trình ứng dụng tốt nó sẽ có đầy đủ Tên công ty-Mô tả-Đường dẫn của ứng dụng

Nếu là Keylogg hay Virus – thường sẽ kô hiển thị tên công ty – kô có phần mô tả – đường dẫn đáng nghi > bạn truy tìm tận nơi và xem xét nó ( thời gian nó xuất hiện,… ) nếu thấy kô phải do bạn cài thì nên “Kill” nó đi > Right click lên ứng dụng nghi ngờ và Kill Procee ( Bạn tìm đến tận gốc nó cài rồi kill nó )

Mình post bài này vì mình cảm thấy các soft diệt virut hiện nay nếu hoạt động đơn lẻ thường không được hiệu quả cho lắm. vì nó quét luôn các file .dll đang chạy khác như Yahoo, Vietkey, Unikey,… ) nên kết hợp 1 trình diệt keylogg và process XP sẽ nhanh chóng và tiện lợi hơn.

Mình đã thử cài 2 con keylog mạnh nhất bây giờ Perfect Keylogg, 007 Keylogg,..> vào máy của mình và chỉ cần dùng Process XP mình đã diệt được tận gốc nó bằng tay
-Xin lưu ý 1 điều là các Virus hay Keylogg khi nằm trong máy sẽ có đường dẫn, bạn có thể có thêm thông tin với Google với từ khóa là xxx.exe ( tên ứng dụng mà bạn muốn check )

Ví dụ
C:\WINDOWS\system32\xxx.exe

C:\Program Files\Common Files\…