不過我們用的是 Gentoo, 和其他主流的 Linux Distribution 不太一樣, 所以會有些麻煩.
1. 首先加入 zugaina 的 Portage

$layman -a zugaina

2. 修改設定檔

在 /etc/portage/package.keywords 加上
app-crypt/acme **
www-apache/mod_h2 ~*

在/etc/portage/package.unmask 加上
www-apache/mod_h2

然後 安裝 letsencrypt
$ emerge letsencrypt

3. 產生證書

 $ letsencrypt certonly --manual --agree-tos -m name@domain.org -d domain.org

會在 /etc/letsencrypt/live/domain.org 下產生所需要的 KEY

4. 修改 apache 的設定, 替網站加上 https

有碰到連線問題, 所以我就加上一些參數讓瀏覽器可以支援, 這邊是我用的設定

<VirtualHost *:443>
ServerName domain.org
DocumentRoot “/var/www/domain.org”
<Directory “/var/www/domain.org”>
AllowOverride All
Require all granted
</Directory>
SSLEngine on
SSLCertificateFile  /etc/letsencrypt/live/domain.org/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/domain.org/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/domain.org/fullchain.pem

SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
SSLProtocol All -SSLv2 -SSLv3

</VirtualHost>

4. 剛好清理一下 HTTP 網站的 Link, 移除死掉的 Link , http 改成 https

5. 如果是 wordpress,
網站 URL 要改成 https , 順便可以加上 Easy HTTPS Redirection 這個套件, 會產生新的 .htaccess 檔案, 重定位所有的連結變 https. 這樣就不會出現黃色方塊了.

6. 建議 60 天要更新一下證書.

我是放在 /etc/cron.monthly/ 下

#!/bin/sh
/etc/init.d/apache stop

letsencrypt certonly -a standalone --renew-by-default --agree-tos -d domain.org --email user@domain.org

/etc/init.d/apache start

新版的改用 certbot

#!/bin/sh
/etc/init.d/apache stop

certbot certonly -a standalone --renew-by-default --agree-tos -d domain.org --email user@domain.org

/etc/init.d/apache start

ref.
mod_http2 Chrome ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY

HowTo: Generate free SSL certificates for Nginx/Tengine with LetsEncrypt

Let’s Encrypt 免費讓你的網站升級成 SSL ready

The post [Gentoo] Letsencrypt appeared first on richliu's blog.

這種文章通常加了中國之後腦袋就壞掉了, 我是看到中文標題才跑回去找原文來看的, 果然原文才有有趣的資料

有幾個有趣的點, 我標一下,
The flood was coming from a single country: 99.8% China
攻擊 99.8% 來自中國

During the flood we were able to look at the packet traces and we are confident the attack didn’t involve a TCP packet injection.
確認這次的攻擊不包含 TCP packet injection (就是修改 TCP packet 或是在 TCP packet 內加料)

To recap, we think this had happened:

• A user was casually browsing the Internet or opened an app on the smartphone.
• The user was served an iframe with an advertisement.
• The advertisement content was requested from an ad network.
• The ad network forwarded the request to the third-party that won the ad auction.
• Either the third-party website was the “attack page”, or it forwarded the user to an “attack page”.
• The user was served an attack page containing a malicious JavaScript which launched a flood of XHR requests against CloudFlare servers.

不是 Third-Party 的網頁中標了, 就是被導到中標的網頁.

其實我看到特別標出不是 TCP Packet Injection 那一段就感覺好像在那邊看過.
找了一下網路, 發現還是找自己的 BLOG 最好 (我都忘了這件事情了)
Github 遭受 Baidu JavaScript 的攻擊

簡單的說, 我認為不是 third-party website “attack page” 有問題, 而是被導到 “attack page”
我相信他們己經操作的很純熟了, 只是是在那邊發動攻擊的呢? 這就不得而知了.

如果再搭配前一陣子的新聞, 我相信這群人應該掌握不少 corerouter .
Cisco routers attacked by hackers in four countries

The post 手機廣告網路被用來發動 DDoS 攻擊 appeared first on richliu's blog.

Logger configuration

其他可以debug 的參數還有
types are dmn, mgr, ike, chd, job, cfg, knl, net, asn, enc, lib, esp, tls, tnc, imc, imv, pts and the level
is one of [-1, 0, 1, 2, 3, 4] (for silent, audit, control, controlmore, raw, private). By default, the level
is set to 1 for all types.

ipsec.conf: config setup

如果是要 decode ESP 封包, 要下 command
# ip xfrm state
src —.—.—.— dst —.—.—.—
proto esp spi 0xc5833fd7 reqid 4 mode tunnel
replay-window 32 flag af-unspec
auth-trunc hmac(sha1) 0xde33744975f816f9fdcb7969a3d5a337 96
enc cbc(aes) 0x9bf7b545ba3e35523c9a0c9f74b2c386ffb4634d
src —.—.—.— dst —.—.—.—
proto esp spi 0xc985f51a reqid 4 mode tunnel
replay-window 32 flag af-unspec
auth-trunc hmac(sha1) 0xf1341b4ddeb700925a8294264b271130 96
enc cbc(aes) 0x2f7a7dc8e136ed645d13b89fcd7b408fce3636ad
取出 SPI , encryption key and authentication key 填到 Wireshark ESP protocol 的 ESP SAs 內就可以了. 

The post Strongswan ipsec debug appeared first on richliu's blog.

2015年3月30日外交部发言人华春莹主持例行记者会
基於大家對於政府的不信任, 一定會覺得中國政府都沒有回答. 其實我看起來也是.

這二天在翻相關新聞的時候, 有看到有人提到 TTL 這件事. 讓我覺得有些有趣,
回家翻了一下這個攻擊方式, 這個案例很有趣, 有人說是 Man On The Side Attack .

這邊有分析一下攻擊的方式. 因為人不在中國, 不可能有 RAW DATA, 借用一下這網站的資料
China’s Man-on-the-Side Attack on GitHub

192.168.70.160 61.135.185.140 0x0002 64 <- SYN (Client)
61.135.185.140 192.168.70.160 0x0012 42 <- SYN + ACK (Server)
192.168.70.160 61.135.185.140 0x0010 64 <- ACK (Client)
192.168.70.160 61.135.185.140 0x0018 64 <- HTTP GET (client)
61.135.185.140 192.168.70.160 0x0012 227 <- Injected packet 1
192.168.70.160 61.135.185.140 0x0010 64
61.135.185.140 192.168.70.160 0x0012 228 <- Injected packet 2
61.135.185.140 192.168.70.160 0x0012 229 <- Injected packet 3
192.168.70.160 61.135.185.140 0x0010 64
192.168.70.160 61.135.185.140 0x0010 64

不過我個人覺得, 這應該不是 Man-on-the-side . 我猜是 TCP 被 Hijack 直接回給 Client 這個位置.
如果是 Man On The Side, 攻擊應該看起來像是我之前查過的某些 ISP 疑似被 hijacking 攻擊, 會偷送一個封包, 但是不改封包內容.

而 61.135.185.140 在聯通機房內, 沒有經過 GFW. 所以大家猜是 GFW 這件事情, 而中國政府有介入, 我個人認為中國政府搞鬼的機率稍低一點. 惡搞 github 就直接擋掉就好了, 何苦搞 DDoS.

綜上有限的資訊, 我猜可能某個(數個) 靠近百度網站的 Router 被破台了, 流量導向某機器或是在 router 上被人插入模擬 http server 程式碼回應這段 JavaScript, 這個程式碼效率要好, 所以 code 要短小, 所以他的回應 TTL 都是固定的.
至於 TTL 增加這件事有可能只是拿來做個 pattern.
是不是 Man-In-Middle , 我覺得沒有必要, 除非 cracker 要避免 Baidu 發現流量變低.
我想這種類的攻擊應該也不怕被知道, 因為很快就會發現了.

至於這個 IP 是做什麼用的呢?
看起來是做 website analyze 用的 (为什么打开果壳首页还要加载hm.baidu.com这个网站？这是什么网站？ ), 所以理論上應該不止使用百度的會受害, 可能在中國隨便看看網站都會受害.

這個攻擊應該是練習用的, 不知道他們查到源頭了沒有, 在更多資訊出來以前, 倒是不用像某些人就馬上指責為中國政府所為, 那樣有違邏輯和科學精神. 我們看問題應該先看看細節是什麼再說.

因為數據有限, 無法拿到資料分析
以上是個人不負責任猜測.

The post Github 遭受 Baidu JavaScript 的攻擊 appeared first on richliu's blog.

作者：林宗男（台大電機系暨電信所教授）

最近引發國人關切的中國樂視網事件，到底樂視網的伺服器放在遠傳的機房是否只是NCC官員所宣稱的新興媒體(over-the-top)的一種，全世界只有中國與新加坡在管制？立法委員是否小題大作呢？從NCC官員在立法院的回答，可知官員完全是技術的門外漢，財團見錢眼開，完全忽視此舉對資安、國安帶來的衝擊，將造成我國資安防護出現破洞的嚴重結果。

要了解樂視網這個事件對資安帶來的衝擊，必須先解釋一下網際網路運作的基本原理。目前網際網路是透過TCP/IP的階層架構(layer architecture)來提供服務，在應用層(Application Layer)可提供使用者各式各樣的服務，如:多媒體串流視訊、電子商務、社群網站。 這些透過網際網路第三方業者提供的over-the-top service (OTT)應用服務， 並不需要由電信業者經營，只不過提供這些OTT應用服務的資訊，需經由電信業者所建設的實體通訊網路，傳遞至消費者端。

我國是自由民主的國家，民眾可以不受限制至美國亞馬遜網站或中國淘寶網購物，或透過串流服務(如Youtube)收看視訊內容。這些OTT 的資訊(Application layer)，藉由傳輸層(transport layer)的TCP封包傳送。 TCP封包必須靠底層(Layer 1及Layer 2)的實體網路設備達到網際網路的通透性。電信業者所建設的實體通訊網路，因為攸關國家安全至鉅，各國都是列為國家的關鍵基礎設施，受到嚴密保護。之前有數百位電機資訊學者，連署反對服貿對中方開放第二類電信服務，就是基於這個原因。

樂視網這個事件的嚴重性，在於實體通訊網路資安防護的破窗效應。樂視網伺服器放置於第一類電信業者的機房，並且與其他業者界接(peering)，並不是單純的屬於應用層資訊的新興媒體的服務。美國亞馬遜沒有將其資訊設備置於我國境內，並不妨礙民眾上美國亞馬遜網站購物。當中資將其資通訊設備置於我方機房內，防護外部攻擊的資安防護設備:如防火牆、入侵預防系統(IPS)等，將產生無法有效防堵內部人攻擊(insider attack)的疑慮。以樂視網的規模,日均使用者超過5000萬, 月均超過3.5億通訊量,也形成盜取資安機密最佳的掩護。第一類電信業者機房的界接，也變成駭客來尋找其他公司或政府機關資訊系統漏洞的私密便道。

這個事件說明突破特洛伊城牆的第一隻木馬已經進駐，對我國通訊網路產生的破窗效果，將造成台灣資安管理敵我關係的弱化。先不去談論它所提供的節目是否違反廣電法之虞；單是對於資安與國安的衝擊就是顯而易見的。法律背景的政府官員對於技術的不熟悉還能理解，提供電信服務的第一線業者如此作為，則是更令人不解！

因為大神都沒有寫文章出來解釋, 小弟根據自己的經驗, 參考有實務經驗友人的意見拙作一篇.

關於這一篇, NCC 官員在立法院的回答是不是門外漢我不知道(也懶得查), 但是這篇確是百分之百的門外漢寫的.
原因如下.

其實他根本不用拿專有名詞出來的, 講這四層就是給人笑話的. 這四層是

他要講什麼, 我也不知道, 到不是不理解, 而是不知道他要表達什麼.
我猜他講的是 Network Interface 可以直接存取到底層的設備.
照他這個理論, 所有的網路封包都可以存取到最底層. 包含從國外來的. (註: Network Interface Layer 的某些資訊像是 MAC Address 在過路由器之後就會不見, 所以正常的封包是無法接觸到內部網路的 Mac Address)

一般來說, 大家上網和伺服器之間, 只要在 Application Layer 加密之後, 例如像連上 Google 或是 Facebook , 網址前面是 https://www.google.com.tw 和 https://www.facebook.com, 這就代表己經加密了.
加密後, 除非是像 NSA 之類的偶爾一些流言己經可以破解連線數據, 其他人短期內要在中間破解的難度仍然比較高一點. (並不是不可能, 但不在本文撰寫的範圍之內)

其他的部份我不知道他在講什麼, 老實說應該一般人也看不懂, 拿出教授名號就是對的, 嚇一下大家就覺得他講的對. 知道的人就知道他寫的東西根本錯誤很多.

電信機房長的類似這樣. 一櫃一櫃的.  一般企業就租個一櫃內一到數層, 或是租個幾櫃, 或是更多, 這不一定. (也有其他方案, 不贊述)

一般 ISP/IDC (像中華電信或是遠傳機房)會拉一條網路線或是局端設備在租用的機櫃.
進入維護時需登記, 進去之後只有自己公司的機櫃會打開, 無法接觸到其他的機櫃, 只能維護自己的設備.

機櫃內的安全設備架設大概像下圖, 各公司可能差異很大, 但是大部份中型網站大致上會長得像這樣. 電信公司提供 Router 和 Switch 負責交換網路, 公司進來第一層是防火牆(Firewall), 有些注重資安的公司大多都用功能較強的 IPS, 可以同時偵測疑似入侵行為並且馬上防護. 接下來是負載平衡設備再接到許多伺服器上, 以便同時提供服務.

公司和公司之間並不直接相連(peer), 在這個圖上就可以看到, 公司對公司之間還是有防火牆和入侵偵測, 除非網路架構設計錯誤, 否則並不會有他文內所謂的內部人攻擊. 除非是自己攻擊自己. (那這個就是另一個問題).

至於大流量盗取資安機密也是笑話, 如果他真的能盗取足夠的機密資料.
隨便一個家用網路像是 Hinet 光世代, 加上加密線路 IPSEC 或是 TOR 這種匿名網路, 以台灣的能力都很難監控到. 而且台灣的網路基礎建設還可以, 上傳並不會是件太困難的事情.

綜合以上他想說的可能會像是, 入侵別人網站取得大量資料隨時上傳.
大概像是即時備份之類的吧. 這個有可能, 不過如果都能盜取了, 為什麼還要一個中介站轉資料出來呢? 不直接在被駭入的機器上傳?

至於拿美國亞馬遜網站做例子就更顯得無知,
樂視是中國 OTT (Over the top), 簡單的說, 就是越過傳統的第四台, 或是中華電信 MOD 等載體, 由內容/版權持有者, 直接將內容提供給收視戶的技術.
美國 Amazon 提供的是購物網站, 內容不用即時, 速度稍慢也沒有關係. (事實上 Amazon 可能有買當地的代理伺服器提供內容快取服務加速), 頻寬耗用比樂視這種影音服務小很多.
而樂視提供下載影片是需要在當地提供大量頻寬的服務(我不確定有沒有用P2P, 印像樂視有, 但是猜測高畫質可能是直接提供). 所以在需要在當地架設機房.
假設台灣的收視戶夠多, 台灣和中國之間的頻寬不夠, 這會限制樂視的總收視戶, 台灣和中國之間的頻寬並沒有寬到足以提供台灣當地的樂視收視戶. 這應該是樂視要在本地租用機房的原因.

而這件事最大的問題可能在於:
1. 這些版權物是不是有受到中華民國官方單位的審核? 雖然我是覺得根本不必審核, 不過某種程度這也是展現國家公權力. NCC雖然大家覺得他很爛, 但是很爛不表示不應該有審核的機構. (像是影片分級或是動畫分級, 甚至是遊戲分級等等)
2. 會不會有對中華民國不友善或是惡毒的意識型態存在, 但是台灣卻沒有辦法”管理”, 雖然我是贊成言論自由, 但是言論自由侵犯到他人的自由或是虛偽不實的言論, 我個人認為仍然需要管制.
這些都是有興趣的人可以好好追查的, 同樣不在本文主要討論範圍.

至於 ISP/IDC 提供租用機房的服務就像是 ISP/IDC 提供水電冷氣和網路頻寬, 主要是大頻寬, 可能給予某些比家用戶更高的網路優先權, 保證頻寬或是固定IP. 除此之外和家用網路並無不同. 無需擔心.

大致上就和他的反服貿二類電信一樣, 其實管控得宜不會影響到國家主幹網路.

至於可能發生的潛在問題是什麼, 大膽猜測一下

1) 樂視人員進入維護可能具有大陸人身份, 有潛在風險. (是說中國的機房我也去了很多次了, 那邊都沒有在防台灣人的)
2) 樂視的伺服器可以存取電信業者的 switch router 進而進入電信內部網路. 不過這個駭入別家公司也有可能做得到, 不必大費週章.
3) 不當的接線讓樂視和公司 B 直連, 直接接取公司 B 內部網路. 這個屬人員控管和機房控管問題, 的確有可能發生, 不過不是單純的讓他放機器就可以達到目地的.

後記

其實這篇我很早就寫好了, 比上一篇Raid 5 重建的機率很低嗎?還早.

原因是我覺得這篇的概念太簡單, 這應該是這個產業內人人都大概可以知道的東西,
上 FB 或是問一下業界人士大概都可以得到這樣的答案. 但是就是因為太簡單, 我才沒有發出去, 這些日子以來, 我都在想, 台灣發生了什麼問題, 連這種最基本的知識都會搞錯.

這篇讀者投書中的錯誤資訊,
原因只有(1)這位台大電機暨電信所的教授並不知道, 或是(2)故意引導讀者到錯誤的方向

從結論看起來, 我不想猜測是後者. 但是前者也好不到那邊去.
更糟的是, 看起來是 (1) + (2)

因為不知道表示你台大教授的程度是很差的, 這樣的人如何可以教育我們下一代呢?
故意引導讀者到錯誤的方向表示台大教授為特定政治服務就違背良心發言.

在資訊科技, 中國都在上太空了, 我們連台大都還在殺豬公.
想到這一點, 我真的是寫不下去了, 唉.

The post [評] 特洛伊木馬已進駐台灣 appeared first on richliu's blog.

【壹週刊】晶片留後門程式危資安　威盛助中國打壓法輪功

內容提到

宏達電（HTC）創辦人王雪紅兼任董事長的威盛電子，才剛淪為全額交割股，旋即又遭爆料，指6年前推出的一款手機晶片，近來在香港一起國際商業仲裁案中， 被指為配合中國監控法輪功，在晶片留有後門（Back Door）程式，若用在手機或筆電，即可對使用者進行監視、監聽及收集個資，嚴重侵犯個人隱私

我好奇了一下, 有什麼 IC Design House 的黑科技可以做到這樣的技術, 關於這篇文章提到的訊息太少, 所以又找了其他二篇文章.

威盛電子淪為中國間諜？／南方快報《政治修理站》
周倪安憂HTC用陸監聽晶片　缺證據純懷疑國安局拒評論

其中提到

台灣知名上市公司威盛電子，在上個（11）月24日香港高等法院審理「HKIAC/A11022仲裁案」上訴案中，洩露威盛電子生產的VT3421防駭晶片（亦使用編號TF376），涉嫌協助中國政府對付法輪功。

HKIAC/A11022仲裁案兩造，是威盛電子（VIA Technologies INC）和一家簡稱UCC的公司（United Communications ﹝Holdings﹞ Corparation）。訴訟的起因，是因代理銷售TF376晶片給Samsung、Honda、上海通用、中國電子、新科電子等20多家公司的 UCC，遭客戶投訴記憶體洩露、頻頻當機；這顆晶片，除了用於手機之外，亦用於機上盒（Set-top box）、汽車無線通訊等。

這邊要注意的是, HKIAC 是一個仲裁單位, 所以應該有人不服仲裁結果, 所以上訴?
其他的還有找到這一篇小小的文章, 口憐的 engineer 上網求救 :p

A simple question about porting rtems to a new BSP

RETMS 是一個 Open Real Time System, VT3421 看起來用的是 arm926-ejs .

上到 VIA 的官網己經沒有 VT3421 和 TF376 的 spec 可以查了, 不過這些資訊大概可以猜測一下發生什麼事情.

ARM926EJS 大概就是各位拿 Nokia 3310 那時代用的 CPU. 所謂的 security chip, 一般在 IC 業界應該指的是加解密晶片. 像是 VIA PadLock 安全引擎.

從上面的訊息來看, 這顆 chip 是 SOC 晶片, 有各種功能, 加上 security chip, 廠商拿去做各種應用, 所以會有 Samsung, Honda 等等. 從被告的原因看起應該是 kernel management 有問題 或是 Memory Controller 爛掉, 所以才會 memory leak 或是一直當機. 而不是因為後門.

那後門是怎麼一回事呢? 一般有些有加解密 chip 的晶片會有所謂的 security boot 的功能, 這個 security book 就是利用金鑰技術, 將開機系統程式加密起來的技術. 一般會有幾把 KEY
1) Chip Vendor Key : ex: VIA , 如果不重要的就是沒有
2) Customer Key :  ex: 買 CHIP 的公司, 像是 Honda
3) Third Party Key : ex: 幫 Honda 這種公司做外包的小公司(?)

或是像 TPM(Trust Platform Module) 這種平台

依照不同的需求, 可能會有一把多是多把 KEY, 每個 Firmware 都加密或是針對每個版本加密.

通常 Security Boot 要是加密了, 很難 debug system, 所以有些不是這麼重要的產品, 有可能會留一個後門可以讓大家可以放上一些 debug 的程式. 或是跑非 customer version 的 firmware .

有些產品可是會強烈要求一定要有 customer key 才能運作.

這部份因為沒有看到實際的內容, 所以只是猜測. 不過這個後門當然可能可以拿來”監控”特定對像, 但是這難度很高, 因為要改寫 Firmware, 然後側錄/搜尋資料, 再送出來. 而不是單純的植入後門.

手上沒有 spec 和仲裁案的內容, 所以以上都是猜測, 但是再怎麼樣, chip 內的後門跟一般 software OS 講的後門不太一樣. 而且主要應該是這系統爛到沒有辦法用, 一直當機, 而不是後門.
所以這新聞就非常有趣了, 這看起來是雞蛋裡挑骨頭呀.

The post [評] 晶片留後門程式危資安　威盛助中國打壓法輪功 appeared first on richliu's blog.

查了一下, ubuntu 在 9.04 之後有將 CONFIG_CC_STACKPROTECTOR 啟動.
啟動這個 Option 之後, Kernel 可以保護 userspace ELF 的 internal stack.
(請參閱 Security Features Historical )
若是要跳過這個機制, 在 compile time 可以加上 “-z execstack”
不確定是不是要 CPU 支援 NX bit

如果用 readelf -a 來看二個執行檔, 一般的 ELF 程式在 Type 的地方會是 EXEC(Executable file), 如果是加上 -z execstack 的程式會是 REL (Relocatable file).
Section Header 以 REL 會單純許多

Ref.
Testing ShellCodes in Ubuntu 10.10

這樣感覺 Linux 很難摸 ;-/

The post ubuntu 跑 shellcode 會出現 Segmentation fault appeared first on richliu's blog.

http://www.msn.com.tw
http://tw.msn.com
http://taiwan.cnet.com

即有可能會被導到
http://www.dachengkeji.com/aritcle/index.htm

經過分析, 問題出在 Client 傳出 GET HTTP/1.1 之後, 馬上就會回傳一個帶有其他網址的封包, 而這個封包是帶有 FIN Flag.
這是第五個封包.

正常的封包是第八個

所以不論你用的是 IE/Firefox 還是 Windows XP/Vista or Linux
不管 Server 是 IIS 或是 Apache
統統都有可能被導向到新的網站.

從有限的資料
1) Hinet 3IP/ADSL
2) 大陸
有可能被導向
TANET 似乎沒有問題.

有網友猜測是
1) 被種木馬
2) ROOT DNS 攻擊
3) DNS Cache 攻擊
個人看法統統都不是, 因為我連的 IP 仍然是 taiwan.cnet.com 和 tw.msn.com 的 IP. 而有問題的封包是搶在 SERVER 回應之前送來的.

從 Packet 回傳的 delta time 來看, 個人猜測可能狀況為下
1. Hinet 和大陸到 taiwan.cnet.com 和 tw.msn.com 的 ISP 被 mirror port, 偵側到 GET HTTP/1.1 隨機送出網址
2. Abovenet 被破台了, 木馬是種在 Abovenet Transparent proxy 內. (會猜 Abovenet 是因為這二家都是很大家的入口網站)
3. IDC 被 ARP Spoofing, 流量被導到某些被破台的機器.

後續發展就需要再觀察了, 這段期間請大家小心,
尤其是 hinet 的用戶. cnet.com 和 msn.com 暫時就不要去了, 到 Google 多好, 沒事.
儘量不要用主流的瀏覽器, 像是 IE. 可以省掉不少潛在的風險.

網路是很危險的, 也是很脆弱, Internet 不如我們想像中安全呀~~~

Ref.
連tw.msn.com就被導向http://www.dachengkeji.com/article/index.htm

Update:

小小修正一些內容, 放個假回來好像變得更精彩, 大家也愈寫愈詳細.
這邊補充一下使用的工具是 Wireshark, 這是一套跨平台功能強大的 Packet Logger. 配合發展的 libpcap 也是一個強大的 Packet capture library.

再補二個相關的 URL

• 大規模網頁綁架轉址：威脅未解除，但專家都猜錯了
• 關於這兩天的轉址攻擊事件

The post 某些 ISP 疑似被 hijacking 攻擊 appeared first on richliu's blog.

首先是下載 sshguard

接下來是解壓縮

# tar xf sshguard-0.91.tar.bz2
# cd sshguard-0.91

設定, 因為我們用的是 Linux , 所以要用 iptables

# ./configure –with-firewall=iptables

設定完之後, compile 和 install

# make
# make install

設定 syslog-ng, 編輯 /etc/syslog-ng/syslog-ng.conf
加上這五行, 原來 Document 的 Rule 有點小問題, sshguard 會找不到.

# sshguard
filter f_authpriv { facility(auth, authpriv); };
destination authlog { file(“/var/log/auth.log”); };
log { source(src); filter(f_authpriv); destination(authlog); };
destination sshguardproc { program(“/usr/local/sbin/sshguard”); };
log { source(src); filter(f_authpriv); destination(sshguardproc); };

重新啟動 syslog-ng

# /etc/init.d/syslog-ng restart

為了確定 sshguard 更有效率, 要關掉 sshd 的 DNS 反查功能
編輯 /etc/ssh/sshd_config , 打開

UseDNS no

重新啟動 sshd

#/etc/init.d/sshd restart

最後就是替 iptables 加上chain

# iptables -N sshguard
# iptables -I INPUT -p tcp –dport 22 -j sshguard

儲存並重新啟動

# /etc/init.d/iptables save
# /etc/init.d/iptables restart

現在拿其他台機器測試一下, 在 /var/log/auth.log 會看到如下的字樣

Apr 27 16:23:45 null sshguard[2969]: Matched IP address 140.xxx.xx.xx
Apr 27 16:23:45 null sshguard[2969]: Blocking 140.xxx.xx.xx: 4 failures over 197 seconds.
Apr 27 16:23:45 null sshguard[2969]: Running command “/sbin/iptables”

查看 iptables 的 sshguard rule

Chain sshguard (1 references)
 pkts bytes target     prot opt in     out     source               destination
   15  1412 DROP       0    —  *      *       140.xxx.xx.xx        0.0.0.0/0

大功告成.

sshguard 算是很簡單的. 連 daemon 都不用弄, syslog-ng restart 就可以了.

ref.

• 天兵長輩的SSHGUARD helps to prevent SSH brute force attack
• 使用 sshguard 保護 OpenSSH 服務器

[Tags] Gentoo, sshguard , openssh, iptables [/Tags]

The post [Gentoo] 用 SSHGUARD 保護 openssh daemon appeared first on richliu's blog.

我就做個簡單的實驗好了, 我就錄下從我電腦到無名的封包, 若是各位有經過 Proxy
一樣有可能會被側錄下來的

這就是 Login 的畫面

第一個封包, 這是標準的表頭…..

第二個封包, 這個就有帶上帳號和密碼

放大一點

看到了嗎? 所有帳號和密碼完全暴露在外面. 這是多危險的一件事情呀.
一般傳輸就有可能會被側錄了, 要是使用無名不知道那邊弄來的 Open Proxy
這可就更危險了, 不是嗎

接下來看看正常的例子好了, 以 Tw.yahoo 為例
密碼的部份就被保護住了.
當然 Yahoo 有拍賣, 可以騙錢, 所以除了側錄, 還有很多種騙帳號的方式, 在此先不提了
不過我可以大聲的說 Yahoo 即使是一般的登入, 也是有加密的

像是無名一直講用 Open Proxy (其中大部份都是教育部, 應該說是交大內部的 Proxy 吧)
這對多數的使用者是很危險的, 誰知道中間有沒有 Proxy 是有壞人的(像是大神等級的人物)
我對無名的確是很不爽, 但是主要還是,

• 對無名不離不棄, 被當白吃.
• 無名商業化之後, 還盜用納稅人的錢, 開 Open Proxy
• 無名商業化之後, 濫用學網資源.

其實我私自認為, 吳緯凱才是應該為這些事負起責任的人.
畢竟和濫用學網資源的事, 都和他及他所屬的實驗室有關係.
這一點是無庸置疑的.

Update :
加一張 Kuso 圖

The post 我用無名, 我用 Open Proxy, 請來盜我帳號 appeared first on richliu's blog.

今天就在艾克索夫實驗室看到公告(2006-0214):富x邦金控網站被植入Rootkit !!

還好一來本人不用 IE , 二來目前我的系統都換 Linux 了, 最好是 Linux kernel 可以植入 Windows DLL Rootkit 啦 XD ……

你還在用 M(Dangerou)S 的系統嗎? 那自己保重….

目前是 2/15 01:44 . 富邦的首頁似乎是關站維修中 ……

The post 好樣的富邦呀~~~ appeared first on richliu's blog.

今天我在登入台証證卷的時候, 就出現了蛇油選單了…..
更~
雖然進去以後, 就是 VerSign 簽的, 不過心中還是毛毛的~
來換一家好了

The post 台証證卷的蛇油…. appeared first on richliu's blog.

Linux 下有一套 arpstar
號稱可以防止 arpspoof. 不過目前只支援 kernel 2.6
可以做以下設定
1. trust ip/arp
2. drop collection, 就是發一個 arp request , 會有不止一個 arp reply .
3. heal network . 可以恢復其他電腦被污染的 arp cache.

我主要還是用 1. trust ip/arp 這個功能. 再加上 ping .
這樣一來, 攻擊結束後馬上就可以恢復網路, 在沒有抓到人以前
這也是沒有辦法中的辦法了.

如果要找兇手, 就要掛上 management switch 查 mac address/port 了.
如果有心要抓, 是一定抓的到的.

The post arpstar appeared first on richliu's blog.

同事一直在 complain 他朋友的電腦一直中毒. 聊了一半, 其實發現很多人裝了 Anti-Virus and Personal-Firewall 根本沒有用.
我不記得我上次裝 Anti-Virus 是什麼時候了, 大概是 2003 年吧. 印像中是 Norton Anti-Virus 2003, 2004 以後的我統統沒有裝過了, 連 Personal Firewall 也不裝, 因為裝之前 Notebook 記憶體就不夠了, 裝之後更慢. 反正習慣好, 就不裝囉………

什麼是習慣好, 我綜合我的經驗, 整理出來幾個要點
1. 能不用 Microsoft 出品的東西就不要用.
Windows XP 是一定沒有辦法, 所以只好用了.

IE 儘量不用就儘量不要用, ActiveX 的問題, 不知道 IE 己經是什麼版了,
Mozilla Firefox netscape 都可以 Opera 又快又小

Outlook/Outlook Express : 我自己不用 Outlook Express, Outlook 用來管理連絡人
我用的是 Becky

總是讓我不受任何 E-mail 病毒影響

強烈建議不要使用 IE 和 Outlook/Outlook Express 系的軟體

2. 在 Mail Server 上裝 Anti-Virus . Anti-Virus 不用多, 一套就好, 夠用就好.
For Example : clamav
or Symmantec Antivirus

3. 絕不執行任何的 .exe , 不管是好朋友, 男朋友女朋友炮友, 只要是 .exe 都不執行.
請對方改用其他的檔案格式.

4. 絕不隨意執行來路不明的 .doc .xsl 之類的檔案, 即使啟動, 也不要啟動巨集功能

5. 在 Home Gateway/Home Route 後面安裝完 Windows 再放到網路上.
如果你直接接到網路上, 還沒有 update 完 Windows , 就中毒了.

6. 小心使用外掛和 Keygen , 必要時請在 VMWARE 開一個 Windows 算.
外掛很多都會放木馬, 愛養驢子的人也請做好安全防護措施, 誰知道驢子會
去拉什麼狗屁倒灶的東西回來.

7. Keep Windows Update 在最新的狀況, 雖然 Microsoft 記錄不良, 有 Update
後有舊漏洞跑出來的記錄, 除此之外, 這還算是保護 Windows 的好方法

目前照這些 Rule, 這一年多來, 也沒有中過病毒. 我連 SP2 的 Firewall 都沒有開
或許是我的工作環境單純, 不過也給大家參考…..

—-
現在: …. 大多數時間在 Linux 下, Virus 也很難找上我吧….. 而且只有留一個 ssh 連到 notebook 內的 Linux ………. 保持最新就沒有問題囉.

The post Anti-Virus and Personal-Firewall…… appeared first on richliu's blog.

查了一下，日盛是用 Microsoft 的 IIS5 .
目前 IIS5 如果不好好照顧，的確會是大問題，台灣的金融業大多使用 Microsoft 系統
而安全稽核的素質又很差，所以漏洞百出
所以以後出事就當澳客好了，就推說你們的系統被 hacker 攻進去過，你怎麼證明我的帳
號沒有被盜用。

被 hacker 不知道是日盛的那一個站台，連結

好吧，如果有用 IIS5，可以用華駿國際出的 SafetyWeb 擋下許多
攻擊，如果你有 IIS5 放在外面，可以考慮去買一套，記得要報我皮皮的名字，看會不會打折 :p

更新, 華駿國際原先開發SafetyWeb的台灣 RD 工程師己經全部離職, 聽說目前是在大陸開發.
由於華駿經營者及技術團隊己非原先團隊, 本人不再建議購買華駿國際的產品. 特此聲明.

The post 日盛是沒有人了嗎 ??? appeared first on richliu's blog.

有一隻 Worm 透過 Google Search 有漏洞的 phpBB , 再從這個管道散播出去….

Net worm using Google to spread

The post Web Worm appeared first on richliu's blog.

而也有人提供了 Asleap – Cisco Attack Tool

The post 破 WEP/LEAP 的工具. appeared first on richliu's blog.

就算這些程式被認證了, 那就是被認證過的木馬而己. 只是認證讓 Verisign 等企業可以賺賣 Sign 的
錢而己. 你如何知道木馬不在你身邊, 例如之前 Microsoft Word 文件中會夾 MAC Address, Live Update 會傳個人資訊等等(怎麼都舉 M$ 的例子, 因為這一篇文章是 msdn.com 出來的, 而我都記 M$ 的壞例子)

好吧, 接下來或許是你家的 Gateway 需要 Sign, 你家的 STB 需要 Sign .
你家的馬桶可能也需要認證一下.
我目前可以體會 Gpg 作者的感受了……

另一個就是來源網站的問題, 這其實就比較嚴重一點, 但是只有財大氣粗無頻寬限制的公
司才可以提供無限制的頻寬, 一般的小公司頻寬是大問題….
例如: papago 的 Download File , File 放在hinet 的public download site……

電子化之後, 資料的流失比我們想像中的快
最早是用影印機 COPY 資料, 或是相機 COPY 資料
間諜可以用 Wireless or USB 就簡單複製企業的大量機密文件, 純電子檔的複製極快
就算是文件經過 Public Key System 加密過, 總是要解密, 就算 Decoder 是 Hardware.
你能信任 Hardware 嗎?

怕就拔線吧. 唯有不上網路才能保全你的資料, 而不是靠 VeriSign Code Signing Certificate.

The post 我們可以信任誰? appeared first on richliu's blog.

The post Nmap 作者收到FBI 傳票 appeared first on richliu's blog.

不管用的是是什麼樣的 OS ，什麼樣的軟體，個人資料外洩的情況會愈來愈嚴重
到最後，而且更慘的是，我們不能依賴 Firewall Gateway ，而是只能讓 Norton Personal Firewall 這樣的軟體幫我們 Monitor 最後的防線 …..

實體部份
如果以後像 ijliao 講的那樣，以後月餅內夾紙條說不定都會被 RFID Scanner 抓出來.

The post 資訊的世界果然是可怕的…. appeared first on richliu's blog.