Hôm nay mình mới để ý có vụ này… không biết bạn Google có dùng không nhỉ? Sẽ có rất nhiều trò hay ho với thư viện này đây, một ngày không xa mình sẽ xử lý “bạn”.
Ký sự con ma – phần 01
Được sếp giới thiệu bộ ký sự này, tôi quyết định copy về blog của mình để sau này nghiền ngầm tiếp, chắc chắn là sẽ có ích cho tôi trong tương lai… bài học đầu tiên, theo dõi các Request liên quan đến dữ liệu POST
Dấu hiệu
Mấy tuần lễ gần đây, đột nhiên lượng tải trên máy chủ HVA tăng vọt trong khi số lượng thành viên chính thức truy nhập diễn đàn vẫn ở mức bình thường. DoS? hay DDoS? Lượng tải này tăng vọt khá đều đặn vài giờ trong mỗi ngày. Lượng thành viên gia tăng nên có quá nhiều người cùng truy cập? không phải. HVA đang có đề tài gì hấp dẫn nên thiên hạ ùn ùn kéo vào? cũng không phải.
Dấu vết
Tôi nhận công tác điều tra và xử lý tình trạng bất bình thường này, trong đầu đã phần nào đoán sự thể do DoS. Khuya ngày 10 tháng 10, tôi log vào server của HVA và tạo ra vài console, mở ra vài cái đuôi -1-, làm một ấm trà và ngồi đó nhâm nhi… một mình. Không cần phải đợi lâu, hàng loạt thông tin từ log của web server hiện lên màn hình với một số chi tiết rất lý thú:
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
211.199.192.157 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1619 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; iebar)”
203.162.3.148 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1619 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts)”
203.162.3.148 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1619 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts)”
80.170.198.46 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1617 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)”
81.66.147.0 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1615 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)”
211.199.192.157 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1619 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; iebar)”
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
203.162.3.148 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1614 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)”
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
24.17.150.114 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1504 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7) Gecko/20040803 Firefox/0.9.3”
203.162.3.148 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1614 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)”
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
203.162.3.148 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1619 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts)”
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
203.162.3.148 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1619 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts)”
81.66.147.0 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1615 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)”
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
80.170.198.46 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1617 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)”
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
203.162.3.148 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1614 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)”
211.199.192.157 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1619 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; iebar)”
211.199.192.157 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1619 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; iebar)”
24.17.150.114 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1504 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7) Gecko/20040803 Firefox/0.9.3”
81.66.147.0 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1615 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)”
203.162.3.148 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1614 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)”
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
80.170.198.46 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1617 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)”
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
203.162.3.148 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1619 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts)”
211.199.192.157 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1619 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; iebar)”
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
211.199.192.157 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1619 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; iebar)”
203.162.3.148 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1619 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts)”
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
203.162.3.148 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1614 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)”
81.66.147.0 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.1” 200 1615 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)”
210.245.31.246 – – [10/Oct/2004:06:57:19 -0400] “POST /forum/ HTTP/1.0” 200 1618 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”
24.17.150.114 – – [10/Oct/2004:06:57:20 -0400] “POST /forum/ HTTP/1.1” 200 1504 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7) Gecko/20040803 Firefox/0.9.3”
Chà, chẳng lẽ thành viên “hối hả” kéo vào diễn đàn và “POST” bài nhiều đến vậy sao? hai mươi lăm cái “POST” trong một giây từ một vài IP? Cứ cho là hợp lệ vì thành viên ở VN đi ra Internet, qua cùng một cửa ngõ -2- là chuyện bình thường. Nhưng, hẵng đã, vừa rồi lại có một chùm đến hơn năm mươi cái “POST” đi đến trong một giây, cũng từ các IP như trên. Bất thường hay bất tường?
Tôi để yên mấy “cái đuôi” chạy trên mấy console và mở trình duyệt của mình lên, thử log vào HVA bằng nickname và password của tôi để xem thử “thái độ” POST từ máy của tôi có tương tự như những cái POST tôi nhận được vài chục giây trước đây (xác thực là bạn của nghề phân tích). Cha chả, cái POST của tôi nhìn hợp lệ hơn nhiều:
xxx.xx.xxx.98 – – [10/Oct/2004:07:11:25 +0900] “POST /forum/act_Login_CODE_01.html HTTP/1.0” 200 7405 “http://www.hvaonline.net/forum/act_Login_CODE_00.html” “Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.6) Gecko/20040510”
Tôi thử mở “cái đuôi” của firewall log trên server xem có gì hấp dẫn không. Chà, log của web server vẫn “POST” vào ầm ầm nhưng firewall log thì vẫn im ắng như đỉnh Himalaya. Thôi rồi, chắc đây là một “kiểu chơi” rất hợp lệ nên firewall cho phép chúng vào thả cửa. Tôi gởi nhanh một PM đến JAL, nhờ lão phóng cái sniffer lên để “hít” -3- một ít gói tin và lưu lại một nơi thích hợp dùm tôi. Đêm đã khuya, tôi phải đi ngủ để mai còn đi làm. Sáng mai sẽ copy mớ gói tin đã được lưu và sẽ phân tích xem sự thể ra sao.
Phân tích
Ngày 11/10
Trên tàu lửa đến sở làm, tôi hăm hở mở laptop ra và bắt tay vào xem xét thông tin “bắt” được tối hôm qua. Chuyện đầu tiên đập vào mắt tôi là kích thước hồ sơ đã sniff, chà, sao nó bé tí tẹo vậy nhỉ? Sáng nay lúc tôi log vào HVA server để copy hồ sơ này, tôi đã không để ý đến kích thước (vì cứ nghĩ nó phải ít nhất là vài megabytes), tôi chỉ chạy lệnh scp và bỏ đó rồi đi thay đồ đi làm. Lúc này mới nhận ra là nó bé tí tẹo, không biết có gì trong này.
Tôi dùng Ethereal mở hồ sơ này ra, và…. đúng như dự phỏng, Ethereal phàn nàn “stream not completed”. Tôi bật cười và tự nhủ: “chà, chắc lão JAL sợ nó sniff lâu quá thành một hồ sơ khổng tượng nên chỉ sniff một, hai giây rồi tắt liền”. Thông tin “bắt” được từ sniffer quá ít, chỉ vỏn vẹn hơn mười dòng, trong đó có được một cái SYN -4-, một cái ACK,PSH từ một segment khác, một cái HTTP (POST) cộng thêm vài cái “continuation” từ các segment trước và sau cái SYN ở trên không thấy gì đi theo.
Xếp laptop lại, tôi trầm ngâm vài phút, có vài chi tiết cần xem lại trong mớ packets ngắn ngủi mà lão JAL đã cung cấp. Tôi lại mở laptop ra và đi xuyên qua mười mấy mảnh packets rời rạc. Không thể “gom” các packets này thành một stream hoàn chỉnh, tôi đành xem xét từng mảnh một lần nữa. Điểm lý thú đập ngay vào mắt tôi khi dò đến http packet chứa mảng đầu của phần “POST”. Cha chả, POST cái gì mà lắm thế?
– payload -5-
Chú thích
-1- “tail”, một lệnh dùng để liên tục chuyển thông tin của log lên console để theo dõi.
-2- “gateway”, cửa ngõ đi ra / đi vào giữa 2 network.
-3- “sniff”, động tác hít nói theo tính sinh hoá, động tác “bắt lấy” các gói tin đi xuyên qua đường dẫn nói theo tinh thần điện toán.
-4- “SYN, ACK, PSH….” là các tcp flags được dùng trong giao thức TCP.
-5- payload là dữ liệu trong gói tin (nói trên bình diện “mạng”).
-6- ampersand (&) là dấu “và” trên keyboard.
Đừng đánh giá sự việc qua vẻ bề ngoài
Tôi có một thói quen khó đổi, đó là hạn chế đưa ra những nhận định của mình. Và dường như nó chỉ tồn tại trong suy nghĩ của tôi chừng nào tôi còn chưa nói ra chúng. Một phần vì tôi lo sợ mình nhận xét không đúng, một phần vì tôi không nỡ làm tổn thương một số người khác. Điêu duy nhất mà tôi có thể làm được đó là không phán xét bất kỳ ai, khi chưa rõ ràng về họ. Đối với tôi mọi nười đều là một thực thể độc lập, tốt cho xã hội, tốt cho bản thân họ.
Điều gì sẽ xảy ra khi tôi và xã hội đánh giá họ là không tốt, chưa tốt, hay thậm trí là không thể tồn tại. Môt điều cơ bản tôi nghĩ rằng, mọi vật chất tồn tại trong tự nhiên đều có nguyên do và nhiệm vụ của nó, chúng ta, mỗi con người, mỗi tính cách tạo nên một xã hội đa dạng phát triển, vậy cớ gì chúng ta đem những suy nghĩ, áp đặt của những thế hệ trước để kiến những thế hệ sau không thể phát huy được cá tính và sáng tạo của mình?
Với tôi, đánh giá một con người không nên dựa vào bền ngoài, không nên đánh giá khi chưa có thông tin tạm đủ về con người đó, có lẽ điều tốt nhất tôi có thể làm là luôn nghĩ họ là người tốt, hay cố gắng tạo điều kiện để họ có thể phát triển…. nhưng đừng quên cho mình một đường lui, đừng đem hết lòng dạ, duột gan của mình để chăm lo một điều gì đó quá mơ hồ, viên vông, hay đặt niềm tin mù quáng vào ai đó.
Hãy làm như trái tim mắc bảo với nhận định, tư duy sáng suốt từ khối óc.
Lợi ích của việc sở hữu một chú chó
Những điểm thú vị trên WordPress 3.6
Tuần vừa qua tôi đã cất công và cập nhật và trải nghiệm phiên bản WordPress mới nhất, tuy không thay đổi nhiều về mặt giao diện, nhưng những nâng cấp cho thấy đội ngũ phát triển WordPress rất quan tâm đến trải nghiệm của người dùng, đúng như cách mà tôi mong mỏi. Các nhân tôi cũng luôn muốn dành thời gian trả nghiệm những gì mình làm, để xem có thể thay đổi giúp người dùng có “lợi” hơn không… dù gì phần mềm cũng là một loại hình dịch vụ, càng làm tốt công việc chung càng trôi chảy.
Điểm qua một số điểm hay ho nào:
- Bổ sung thư viện ID3 vào hệ thống core, thật tuyệt với khi tôi biết là WordPress đã sử dụng cả Snoopy và ID3 trong hệ thống của mình, cá nhân tôi làm việc hơi nhiều với 2 bạn này. Việc bổ sung này giúp hệ thống nhận diện những file âm thanh và video. Thuận tiện hơn nữa là có thể sử dung shortcode hoặc link trực tiếp để hiển thị Player.
- Theme mặc định của WordPress chính thức hỗ trợ HTML5… ôi quá tuyệt sắp tới một loại các Studio sản xuất theme sẽ chuyển qua HTML5 phù hợp cho môi trường di động hiện nay.
- Biểu tượng Lock giúp hạn chế nhiều người chỉnh sửa nội dung cùng lúc… trước đây wordpress có cảnh báo khi bạn đang chỉnh sửa nội dung mà thành viên khác đang viết… nhưng giờ đây cảnh báo được hiển thị rõ ràng hơn… giúp công việc không bị chồng chéo.
Hiện tại tôi càng cảm thấy mình nên đi theo và đóng góp cho cộng đồng WordPress là lựa chọn đúng đắn nhất từ trước tới nay của tôi… có “bạn ấy” bên cạnh tôi chẳng sợ gì cả… mọi ý tưởng của tôi đều có thể và được bạn ấy hỗ trợ rất tốt.
Cảm ơn “bạn” nhé.
Chờ đợi gì từ cuộc sống
Chiều gặp vài chuyện không vui, nhưng có niềm vui lớn nhất là cuối tuần… Thú thực từ hồi đi làm tới giờ, hầu như mình không có ngày cuối tuần cho đúng nghĩa, vì đây là thời gian cực kỳ thích thú với mình vì được thỏa mãn đam mê, làm việc theo sở thích với một tâm lý hoàn toàn không có áp lực gì cả.
Về đến nhà, với trong đầu chẳng biết nên ăn gì… phát hiện ra mình đang có dấu hiệu nhẹ của việc nghiện cafe, có vẻ rất buồn ngủ và khó có thể tập trung khi chưa uống chất kích thích này… dù sao mình có lẽ sẽ không lệ thuộc nó trong thời gian tới, vì mọi việc cũng đang đi vào quỹ đạo, quẳng bớt mấy thứ ba lăng nhăng ra một bên, chẳng nhận thêm việc vào người nữa, dành thời gian đó làm những việc mình thích.
Một chuyện tự dưng mình nghĩ tới, chẳng biết là tốt hay xấu, là ích ý hay vô tâm, chợt nhận ra một điều rằng, cuộc sống cũng giống như một trò chơi, công bằng với người này thì bất công với người kia, âu mình cũng chẳng phải thân thánh gì, nên cũng chẳng thay đổi được. Còn nhỏ thì muốn thế này thế kia, lớn lên chẳng muốn gì nữa… chỉ muốn dựa vào sức của chính mình thực hiện vài điều nho nhỏ, tốt đẹp cho cuộc sống. Có lẽ làm việc theo trái tim, giúp mình cảm thấy thanh thản và đầy hứng khởi hơn.
Hôm qua là một ngày dài, tự cảm thấy căng thẳng và nhiều lúc không biết nên làm gì để thay đổi cả xa hội với những tâm lý kém cơi mở như hiện nay. Ai cũng chăm chăm cho bản thân, rồi sợ sệt… rồi dần làm cuộc sống của mình cứ đi vào vòng luẩn quẩn.
Bây giờ, đôi chút tỉnh táo, tắm một lát, rồi vào làm việc tiếp… vẫn biết mình còn hạnh phúc khi có một việc để làm… một hay hai ai đó để yêu, và một hi vọng lớn ở phía trước.