Category Archives: Security

[Gentoo] Letsencrypt

大家都知道 Let’s Encrypt 最近提供了三個月的免費 SSL 證書, 加上 Google 要調高 HTTPS 的網站權重.
雖然本小站人少流量少, 不過還是不免俗的升級一下 HTTPS.

Read more »

手機廣告網路被用來發動 DDoS 攻擊

這篇文章的起因是因為 CloudFare 發佈了一篇報告,
Mobile Ad Networks as DDoS Vectors: A Case Study (中文的可以看 史無前例!46萬支中國手機發動DDoS洪水攻擊)

這種文章通常加了中國之後腦袋就壞掉了, 我是看到中文標題才跑回去找原文來看的, 果然原文才有有趣的資料
Read more »

Strongswan ipsec debug

可以在 runtime 下指令馬上更改 debug command,
# ipsec stroke loglevel ike 2
也可以寫在 ipsec.conf 內.
Read more »

Github 遭受 Baidu JavaScript 的攻擊

最近幾天網路安全的大新聞應該是這一條, 大略看了一下, 大家都說是中國利用防火牆攻擊 Github.

2015年3月30日外交部发言人华春莹主持例行记者会
基於大家對於政府的不信任, 一定會覺得中國政府都沒有回答. 其實我看起來也是.

這二天在翻相關新聞的時候, 有看到有人提到 TTL 這件事. 讓我覺得有些有趣,
回家翻了一下這個攻擊方式, 這個案例很有趣, 有人說是 Man On The Side Attack .
Read more »

[評] 特洛伊木馬已進駐台灣

原文 特洛伊木馬已進駐台灣

Read more »

[評] 晶片留後門程式危資安 威盛助中國打壓法輪功

這是壹週刊的標題.

【壹週刊】晶片留後門程式危資安 威盛助中國打壓法輪功

內容提到

宏達電(HTC)創辦人王雪紅兼任董事長的威盛電子,才剛淪為全額交割股,旋即又遭爆料,指6年前推出的一款手機晶片,近來在香港一起國際商業仲裁案中, 被指為配合中國監控法輪功,在晶片留有後門(Back Door)程式,若用在手機或筆電,即可對使用者進行監視、監聽及收集個資,嚴重侵犯個人隱私

我好奇了一下, 有什麼 IC Design House 的黑科技可以做到這樣的技術, 關於這篇文章提到的訊息太少, 所以又找了其他二篇文章.

Read more »

ubuntu 跑 shellcode 會出現 Segmentation fault

最近在弄 shellcode, 不過在寫測試程式的時候, 卻都會跑出來 Segmentation fault

查了一下, ubuntu 在 9.04 之後有將 CONFIG_CC_STACKPROTECTOR 啟動.
啟動這個 Option 之後, Kernel 可以保護 userspace ELF 的 internal stack.
(請參閱 Security Features Historical )
若是要跳過這個機制, 在 compile time 可以加上 “-z execstack”
不確定是不是要 CPU 支援 NX bit

如果用 readelf -a 來看二個執行檔, 一般的 ELF 程式在 Type 的地方會是 EXEC(Executable file), 如果是加上 -z execstack 的程式會是 REL (Relocatable file).
Section Header 以 REL 會單純許多

Ref.
Testing ShellCodes in Ubuntu 10.10

這樣感覺 Linux 很難摸 ;-/

某些 ISP 疑似被 hijacking 攻擊

事情應該就是最近發生的, 只要你連到下列網站,

http://www.msn.com.tw
http://tw.msn.com
http://taiwan.cnet.com

即有可能會被導到
http://www.dachengkeji.com/aritcle/index.htm

經過分析, 問題出在 Client 傳出 GET HTTP/1.1 之後, 馬上就會回傳一個帶有其他網址的封包, 而這個封包是帶有 FIN Flag.
這是第五個封包.
Packet 5

正常的封包是第八個
Packet 8

所以不論你用的是 IE/Firefox 還是 Windows XP/Vista or Linux
不管 Server 是 IIS 或是 Apache
統統都有可能被導向到新的網站.

從有限的資料
1) Hinet 3IP/ADSL
2) 大陸
有可能被導向
TANET 似乎沒有問題.

有網友猜測是
1) 被種木馬
2) ROOT DNS 攻擊
3) DNS Cache 攻擊
個人看法統統都不是, 因為我連的 IP 仍然是 taiwan.cnet.com 和 tw.msn.com 的 IP. 而有問題的封包是搶在 SERVER 回應之前送來的.

從 Packet 回傳的 delta time 來看, 個人猜測可能狀況為下
1. Hinet 和大陸到 taiwan.cnet.com 和 tw.msn.com 的 ISP 被 mirror port, 偵側到 GET HTTP/1.1 隨機送出網址
2. Abovenet 被破台了, 木馬是種在 Abovenet Transparent proxy 內. (會猜 Abovenet 是因為這二家都是很大家的入口網站)
3. IDC 被 ARP Spoofing, 流量被導到某些被破台的機器.

後續發展就需要再觀察了, 這段期間請大家小心,
尤其是 hinet 的用戶. cnet.com 和 msn.com 暫時就不要去了, 到 Google 多好, 沒事.
儘量不要用主流的瀏覽器, 像是 IE. 可以省掉不少潛在的風險.

網路是很危險的, 也是很脆弱, Internet 不如我們想像中安全呀~~~

Ref.
連tw.msn.com就被導向http://www.dachengkeji.com/article/index.htm

Update:

小小修正一些內容, 放個假回來好像變得更精彩, 大家也愈寫愈詳細.
這邊補充一下使用的工具是 Wireshark, 這是一套跨平台功能強大的 Packet Logger. 配合發展的 libpcap 也是一個強大的 Packet capture library.

再補二個相關的 URL

[Gentoo] 用 SSHGUARD 保護 openssh daemon

之前韓狗的 IP 一直在 try 我管的機器, 覺得很煩
再加上最近有一台機器被莫名其妙的破台了, 找來找去都找不到問題在那邊
我猜可能是被 ssh 攻擊,
所以想對 ssh 做一些簡單的防護. 找了一下. 看起來 sshguard 還算是很多人用的
Read more »

我用無名, 我用 Open Proxy, 請來盜我帳號

無名因為要躲流量, 所以叫大家使用 Open Proxy.
不過各位知道嗎? 使用 Open Proxy 是會經過第三方網路, 若是這個 Proxy 是自己架的就算了, 不過在無名的 Proxy.pac 還建議各位使用開放的 Proxy.
Read more »