reset and begin
9/18/2010

Kỹ thuật tấn công theo kiểu IFrame Injection

Kỹ thuật tấn công theo kiểu IFrame Injection hiện vẫn đang là 1 dạng xâm nhập cơ bản và phổ biến nhất của mô hình Cross-Site Scripting – XSS. Bằng cách chèn vào các website động (ASP, PHP, CGI, JSP … ) những thẻ HTML hay những đoạn mã script nguy hiểm, trong đó những đoạn mã nguy hiểm đựơc chèn vào hầu hết được viết bằng các Client-Site Script như JavaScript, JScript, DHTML và cũng có thể là cả các thẻ HTML cơ bản. Nếu bạn phát hiện được có kẻ đang nhắm vào website của bạn bằng kỹ thuật này, không nên quá lo lắng. Sau đây là 1 số thao tác cần làm khi website lâm vào tình trạng này.

Ví dụ 1 đoãn mã độc hại thường được sử dụng để tấn công:
{xtypo_code}

nội dung của đoạn mã độc
{/xtypo_code}
1. Thường xuyên bảo trì website trong 1 khoảng thời gian nhất định:

Các chuyên gia bảo mật khuyến cáo những người quản trị nên gỡ bỏ toàn bộ website xuống để tránh trường hợp trở thành tâm điểm phát tán mã độc. Và trong toàn bộ quá trình khắc phục, tiếp tục giữ tình trạng offline của website.

2. Thay đổi lại tất cả các mật khẩu:

Thoạt nghe có vẻ đơn giản, những rất nhiều người quản trị hình như không mấy để ý đến khâu cực kỳ quan trọng này. Sau khi bị tin tặc nhòm ngó, bạn nên đổi mới tất cả mật khẩu bao gồm tài khoản ftp, ssh, các tài khoản quản trị, cơ sở dữ liệu …

3. Lưu lại 1 bản của website để phân tích:

Để xác định rõ nguyên nhân và điểm yếu nào đã bị tin tặc khai thác, bạn cần lưu giữ lại 1 bản nguyên tình trạng lúc bị tấn công. Điều này rất có ích cho việc phân tích và ngăn chặn hiểm họa sau này, bạn nên lưu lại website dưới dạng file nén định dạng rar, zip hoặc gzip và lưu trữ tại 1 nơi an toàn. Lưu ý rằng không bao giờ được lưu file cách ly này trực tiếp trên server.

4. Thay thế toàn bộ website bằng 1 bản sao lưu hoàn toàn sạch sẽ:

Không nên quá dựa vào những nhà cung cấp dịch vụ host rằng họ sẽ sao lưu toàn bộ dữ liệu cho bạn. Rất nhiều bộ phận hỗ trợ kỹ thuật thường xuyên khẳng định rằng họ có tiến hánh sao lưu tự động theo lịch trình, nhưng không gì có thể chắc chắn bằng việc bạn tự làm, hơn nữa 2 phương án dự phòng bao giờ cũng tốt hơn 1 phương án.

5. Kiểm tra lại website và đăng tải trở lại:

Quá trình này nên tiến hành chu đáo để đảm bảo rằng toàn bộ website an toàn và không còn lỗi nữa, sau đó bạn có thể đăng tải website trở lại như trước.

6. Tìm hiểu về nguồn gốc của các cuộc tấn công:

Để đảm bảo rằng những cuộc tấn công sẽ không bao giờ lặp lại, những người quản trị nên tiến hành 1 cuộc kiểm tra, phân tích đầy đủ và chi tiết của cuộc tấn công đó. Do lỗi ở đâu ? Lỗ hổng an ninh hay ứng dụng web ? Hoặc do chế độ phân quyền bị sai lệnh, nhầm lẫn ? Có thể website bị nhiêm virus trực tiếp ngay từ server lưu trữ dữ liệu ? Tất cả đều phải được tìm hiểu và phân tích kỹ lưỡng. Nếu cần thiết, hãy nhờ đến chuyên gia an ninh của các hãng bảo mật hàng đầu thế giới như Kaspersky, BitDefender, Norton, Panda, Avira …

7. Áp dụng các biện pháp bảo mật phù hợp:

Mặc dù bạn đã khôi phục thành công website, nhưng không có gì đảm bảo chắc chắn rằng website của bạn sẽ không bị tấn công thêm lần nào nữa. Nếu lỗ hổng an ninh cũ chưa được khắc phục, có thể website của bạn lại bị tê liệt ngay trong tối nay. Dựa vào các kết quả phân tích thu được ở bước trên, bạn nên áp dụng các biện pháp an ninh phù hợp, nâng cấp server, cài đặt thêm chương trình bảo mật, nâng cấp toàn bộ ứng dụng web hoặc tiến hành sử dụng quy luật bảo mật hoàn toàn mới.

Dựa vào kinh nghiệm quản lý và thông tin thu thập, chúng tôi có thể đóng góp thêm 1 số lời khuyên và dự đoán khách quan về nguyên nhân như sau.

Các nguyên nhân dễ gặp phải:

- Website sử dụng dịch vụ host giá rẻ
- Dựa trên nền tảng phiên bản cũ của các ứng dụng mã nguồn mở, ví dụ như WordPress 1.0… vốn có khá nhiều lỗ hổng
- Quyền truy cập dữ liệu trên server được thiết lập không theo thứ tự nhất định, ví dụ quyền thao tác với dữ liệu ở mức 777 – đọc, ghi và thực thi
- Các thiếu sót của phần mềm ứng dụng
- Sử dụng FTP thay vì SFTP
- Không hạn chế IP đối với các tài khoản SSH và FTP

Một số thao tác đơn giản nhưng hữu ích:

- Thay đổi mật khẩu định kỳ, ví dụ 2 tuần hoặc 4 tuần 1 lần
- Luôn cập nhật các phiên bản ổn định của ứng dụng
- Thường xuyên “dọn dẹp” các thư mục chứa dữ liệu trên server, để ý nếu có những file lạ đột nhiên xuất hiện
- Các mức phân quyền được thiết lập chuẩn xác
- Thường xuyên trao đổi với các đơn vị, chuyên gia cung cấp dịch vụ bảo mật để nhận được lời khuyên tốt nhất.

9/17/2010

Tìm Hiểu Content delivery network (CDN) là gì

Bạn đã từng nghe tới từ “CDN” hay “Content delivery network” bao giờ chưa? Rất nhiều website bạn vào hàng ngày sử dụng CDN nhưng bạn lại không để ý và không biết nó có tác dụng gì. Lí do nữa là chưa có một website Việt Nam nào đi sâu về CDN nên thông tin về CDN bằng tiếng Việt rất ít. Bài viết này, chúng ta cũng đi tìm hiểu về CDN và tác dụng của nó.

CDN là gì?

Content Delivery Network = Mạng giao dịch nội dung: Hệ thống các máy tính được kết nối với nhau qua Internet để truyền nội dung tới người sử dụng – Theo bluesky.vn

content delivery network or content distribution network (CDN) is a system of computers containing copies of data, placed at various points in a network so as to maximize bandwidth for access to the data from clients throughout the network. A client accesses a copy of the data near to the client, as opposed to all clients accessing the same central server, so as to avoid bottleneck near that server.

Content types include web objects, downloadable objects (media files, software, documents), applications, real time media streams, and other components of internet delivery (DNS, routes, and database queries). – Wikipedia

Dịch tạm:

DN là một hệ thống nhiều máy tính (máy chủ) chứa những bản sao về nội dung, những máy chủ này được đặt ở nhiều nơi trong một mạng lưới và tối đa hóa băng thông cho việc truy cập dữ liệu. Một người dùng truy cập vào bản sao nội dung được chứa trên máy chủ gần với người dùng nhất sẽ làm giảm tình trạng “thắt cổ chai” so với việc tất cả người dùng cùng truy cập vào một máy chủ trung tâm

Dữ liệu bao gồm các ứng dụng web, file tải xuống (âm thanh, hình ảnh, phần mềm, tài liệu,…), truyền tải thời gian thực …

Lợi ích của CDN

Minh không phải dân kĩ thuật (ngành IT) nên không thể trình bày một cách rõ ràng về CDN được. Minh chỉ chia sẻ những lợi ích mà CDN đem lại cho blogger chúng ta.

Lấy ví dụ cho dễ hiểu:
CDN sẽ copy, và lưu trữ các file tĩnh vào tất cả các máy chủ đặt khắp nơi trên thế giới. Khi bạn vào Minh Mèo Blog, các file tĩnh bạn load không nằm trên VPS của blog mà bạn đang load từ hệ thống CDN máy chủ tại Mỹ. Và tương ứng mỗi khu vực khác nhau trên thế giới truy cập vào blog này, sẽ có máy chủ tương ứng phục vụ, cụ thể:

* Truy cập từ Việt Nam, máy chủ ở Seattle, WA (Mỹ) hay Dallas, Texas sẽ phục vụ bạn.
* Truy cập blog này từ Mỹ, máy chủ ở San Jose, California hay Los Angeles, California,…. sẽ phục vụ bạn.
* Truy cập blog này từ EU, máy chủ ở Amsterdam, Netherlands sẽ phục vụ bạn.

Và Minh được lợi gì khi sử dụng CDN:

* Không tốn băng thông cho static files
* Tránh tối đa việc Overload hệ thống
* Website load nhanh hơn nhiều (dù máy chủ blog tại Đức)

Một số nhà cung cấp giải pháp CDN nổi tiếng

* Coral Content Distribution Network
* coBlitz (a subproject of CoDeeN)
* Dijjer
* FreeCast
* MediaBlog
* PeerCast
* PPLive
* PPStream
* QQLive
* Akamai Technologies
* Amazon CloudFront
* BitGravity
* CacheFly
* CDNetworks (PantherExpress)
* Cotendo
* EdgeCast Networks
* GoGrid
* Highwinds Network Group
* Internap
* Level 3 Communications
* Limelight Networks
* PEER 1

Chia sẻ

Một bài sơ lược về CDN, nhưng qua đó bạn thấy được tầm quan trọng của nó. Mình thấy CDN rất cần thiết cho các website chứa nhiều file tĩnh (css,js,..) hay các website có traffic lớn.

Bài viết này nhằm mở đầu cho các hướng dẫn sử dụng CDN sau này, nếu bạn không thể chờ đợi hay muốn vọc CDN ngay bây giờ; Minh có lời khuyên cho các bạn đang xài Wordpress: Hãy kết hợp dịch vụ Amazon CloudFront + CDN Tools (plugin). Bạn sẽ thấy hiệu quả hơn nhiều việc đầu tư VPS hay nâng cấp hosting. Vì có thể bạn chỉ mất 10$/năm cho dịch vụ CDN này, hơn là việc bỏ ra vài chục $ cho VPS hàng tháng.

9/16/2010

không nên dùng tên miền miễn phí

Bạn biết đấy, tên miền (domain) chính là “cái” đại diện hay chính là bộ mặt cá nhân, tổ chức,… của bạn trên thế giới ảo này. Và đó chính là nguyên nhân đầu tiên buộc bạn nghĩ tới việc: KHÔNG sử dụng domain miễn phí.

Domain miễn phí với Domain trả phí:

* Domain trả phí: ~10$/năm là bạn sở hữu domain theo ý thích, toàn quyền quản lí DNS, rất chuyên nghiệp
* Domain miễn phí: miễn phí, toàn quyền quản lí DNS (co.cc và .tk), không chuyên nghiệp + tương lai bấp bênh không đảm bảo (sau này nhà cung cấp không miễn phí nữa thì bạn chỉ còn nước đi kiện “củ khoai”)


Tại sao nên dùng “Domain trả phí”

Tôi đã đọc rất nhiều bài viết về vấn đề này trên các diễn đàn, blog và đều nhận được 1 câu trả lời: không có tiền. Và chủ yếu là: “em là sinh viên, ăn còn chưa đủ thì lấy đâu ra tiền mua domain”?
200.000 vnd/năm hay 555 vnd/ngày duy trì cho domain thôi mà? Đừng tự nghĩ ra thêm lí do nào để biện minh, vì bạn vẫn đang online để đọc bài viết này, nghĩa là bạn có tiền/điều kiện lên mạng, sao không trích nổi 500vnd/ngày trong số tiền phục vụ việc online đó để thỏa mãn đam mê viết blog của bạn.
Tên miền chính là thương hiệu trên thế giới ảo của bạn. Tên miễn trả phí giúp mọi người dễ nhớ hơn và có cảm tình hơn. Là những Webmaster thực thụ, họ rất ngại exchage link với các site có tên miền co.cc hay .tk. Vì tên miền như này tạo cảm giác cho họ là site đó không chịu đầu tư và sẽ không phát triển mạnh được. Vậy thì exchange làm gì? Khi mục đích chính của cả 2 bên đều là tăng traffic nhưng site đó không phát triển.

Nên dùng khi nào?
Chỉ khi nào mục đích bạn là viết blog là:

* Cho bạn và gia đình, bạn bè đọc.
* Không cần traffic.
* Là 1 thế giới riêng không cần ai biết tới.

À, còn nữa, khi nào bạn muốn làm nhiều autoblog để “chơi” adsense thì tên miền miễn phí cũng khá phù hợp đấy. Nhưng nhớ là, Không bền đâu!

Lời cuối
Chỉ là suy nghĩ của bạn thân mình, các bạn chỉ nên tham khảo thôi. Và, nếu bạn thấy đúng, thì có thể vào đây để tìm các nhà cung cấp domain tốt, giá hợp lí. Đổi sớm đi, sự chuyên nghiệp sẽ giúp bạn có nhiều cảm hứng viết bài hơn đấy!

Vậy việc chọn nhà cung cấp host chất lượng tốt, giá cả hợp lý là điều vô cùng quan trọng.
(lượm nhặt net)

9/15/2010

tạo biểu tượng yahoo mes

Rất đơn giản , đầu tiên

Bạn copy đoạn mã sau để nhúng vào Module tự tạo.

Trong đoạn mã HTML dưới đây, thay ký tự N bằng nick Yahoo của bạn.


<a href="http://messenger.yahoo.com/edit/send/?.target=N">
<img border="0" src="http://opi.yahoo.com/yahooonline/u=N/m=g/t=2/l=us/opi.jpg">
</a>



Sau đó copy toàn bộ mã HTML và đưa vào module tự tạo của bạn.
Khi truy cập vào trang Blog, người xem sẽ nhìn thấy một trong hai biểu tượng là bạn đang online hay offline.
Khi người xem nhấp vào biểu tượng của Yahoo! messenger, thì có thể chat với bạn.
(lưu ý là chat qua web messenger (ko trực tiếp như nhúng vào các blog loại khác hay website.)










Hoặc đây là mã nhúng không có link liên kết (chỉ hiện trạng thái online,offline.ko có liên kết tới web messenger!)
<a href=“ymsgr:sendim? N “><img border=0 src=“http://opi.yahoo.com/online?u= N &m=g&t=2&l=us"></a>

Còn chỗ t=2 các bạn thay số 2 bằng các số tương ứng sau (mỗi số tương ứng với 1 biểu tượng)

image No: 0


image No: 1


image No: 2


image no: 3


image No: 4


image No: 5




ImageNo: 6


ImageNo: 7


ImageNo: 8


ImageNo: 9


ImageNo:10


ImageNo: 11


ImageNo: 12


ImageNo: 13


ImageNo: 14


ImageNo: 15


ImageNo: 16


List

Profiles Information


About me : Nothing is 1 vài thứ - 1985

Places I've Lived : I Hà Nội

Home Page : http://www.shimivn.blogspot.com/

Think : 1:1000000000

Languages spoken : Vietnamese,English.

Mobile : sony C2305

dell : i3-Ram 3GB- HDD 250GB .