Tấn công Deface là gì? Nguyên nhân và cách khắc phục hậu quả

Tấn công Deface là gì?

Deface là kiểu tấn công làm thay đổi nội dung, thông qua các lỗ hổng hay các điểm yếu mà các hacker sẽ lợi dụng vào đó, tấn công nhằm đạt được mục đích của mình.

Tuy nhiên có thể mục đích của tấn công Deface có thể cả là ý tốt và cũng có thể là ý xấu:

• Mục đích tốt: tấn công để đưa ra những cảnh báo cho những lỗ hổng bảo mật, những điểm yếu chưa được khắc phục,… cho quản trị viên website.
• Mục đích xấu: hack với ý định chỉ để chứng minh cho bản thân là giỏi, chứng minh năng lực bản thân,… những hacker này thường rất dễ nhận thấy khi tấn công xong thường để lại chữ kĩ dạng “hacked by…”. Hoặc trường hợp tấn công vì có mục đích phá hoại trang web, thay đổi nội dụng web thành những thông tin làm ảnh hưởng đến chủ sở hữu, hoặc các thống tin phản động, gây tranh cãi nhiều liên quan đến chính trị, tôn giáo…

Nguyên nhân bị tấn công Deface

Có rất nhiều nguyên nhân dẫn đến việc website của bạn bị tấn công Deface, hầu hết vẫn là do các website có lỗ hổng nghiêm trọng nhưng lại chưa được fix hoặc website đó không được đề cao bảo mật, chứng chỉ bảo mật quá lỏng lẻo. Từ đó hacker có thể dễ dàng tải những file xấu lên sercer hoặc cướp quyền quản trị của website (Ví dụ : SQL Injection). Deface đe dọa cả các website đang an toàn trên hosting nhưng thuộc cùng server thì khả năng cao cũng sẽ bị tấn công Deface (Local Attack) luôn.

Các trường hợp bị Deface website

• Mật khẩu quản trị yếu, không cài đặt chế chống Brute Force khiến kẻ tấn công có thể dò được mật khẩu admin hoặc làm lộ mật khẩu.
• Cài đặt các module, plugin, extension,… trong các mã nguồn mở hiện nay ( thường là các website joomla, WordPress,…).

Lỗi SQL injection

• Lỗi SQL injection là một lỗi kỹ thuật vô cùng phổ biến, lỗi này tạo cho phép những hacker lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng website, cả các thông báo lỗi hệ quản trị cơ sở dữ liệu trả về để inject, thực hiện những câu lệnh SQL không cho phép, bất hợp pháp.
• Chưa dừng lại ở đó, SQL injection còn cho phép hacker hoàn toàn có thể xóa, insert, cập nhật,… ở cơ sở dữ liệu ứng dụng, kể cả đối với server mà ứng dụng đang chạy.
• SQL injection, vật trung gian tấn công trên các ứng dụng website có hệ thống dữ liệu được quản lý bởi hệ quan trị cơ sở dữ liệu như: SQL Server, MySQL DB2, Sysbase, Oracle …

Lỗi XSS (Cross Site Scripting)

XSS (Cross Site Scripting) là kiểu tấn công mà các hacker sẽ tiến hành chèn những đoạn script độc hại, thông thường là javascript hoặc HTML vào website, sau đó là chờ cho người dùng thực thi điều đó khi mà người dùng không biết và sử dụng trình duyệt.

Đối tượng bị tấn công trong lỗi XSS đó là người dùng, những thông tin của người dùng sẽ được tự động gửi về cho hacker khi bị nhiễm mã độc đó.

Lỗ hổng Remote File Include

• Lỗ hổng Remote File Include là kiểu tấn công mà cho phép hacker include và thực hiện trên máy chủ mục tiêu tệp tin được lưu trữ từ xa. Hacker sử dụng RFI để chạy mã độc trên cả máy chủ và máy người dùng. Hậu quả khi bị tấn công lỗ hổng Remote File Include có thể là bạn bị đánh cắp tạm thời session token hoặc thay đổi các dữ liệu người dùng, thay đổi về việc tải lên các webshell nhằm truy cập được hết toàn bộ hệ thống máy chủ.
• Thực tế, PHP có khả năng bị tấn công RFI nhiều hơn do sử dụng lệnh include rất nhiều, một phần cũng là do cài đặt mặc định của server cũng gây nên những ảnh hưởng. Để bắt đầu chúng ta cần tìm nơi chứa file include trong ứng dụng phụ thuộc vào dữ liệu đầu vào người dùng.

Lỗ hổng Local file inclusion

• Local file inclusion là lỗ hổng thuộc quá trình include file cục bộ sẵn ở trên server. Sự xuất hiện của lỗ hổng này là ở đầu vào chứa các đường dẫn đến file bắt buộc cần phải include. Tuy nhiên, khi đầu vào không được kiểm tra, hacker sử dụng tên file mặc định đó và truy cập không được phép vào chúng, hoặc cũng có thể lợi dụng những thông tin trả về để đọc những file nhạy cảm bằng cách chỉ cần chèn thêm các kí tự đặc biệt như “/”, “../”, “-“.
• Việc bạn không cập nhật phiên bản hoặc đặt mật khẩu quản trị quá yếu cùng là đang tạo thuận lợi cho hacker xâm nhập.
• Ngay cả khi bạn đã tiến hành đổi mật khẩu nhưng nếu vẫn không đáp ứng đủ các yếu tố như: độ dài kí tự không đủ, trong mật khẩu không có các kí tự viết hoa, không chứa các kí tự đặc biệt,… thì vân dễ dàng bị hack.
• Không cập nhật cho các phần mềm, module, plugin, extension phiên bản mới để fix lỗi hoặc không cập nhất khi dùng mã nguồn mở như joomla, wordpress cũng sẽ dễ bị lỗ hổng Local file Inclusion.

Biện pháp khắc phục khi bị tấn công Deface

Để hạn chế nhất khả năng bị tấn công Deface thì trong vai trò là một người quản trị hệ thống website, bạn cần phải thực hiện tốt các biện phát sau:

• Thường xuyên xem lại những thông tin nhật ký, theo dõi file log của máy tính chủ, nếu như máy bạn đã bị tấn công rồi thì cần phải nghiên cứu cả nhật ký file log, hoặc tìm hiểu penetration testing là gì, tìm ra bằng được làm cách nào và thông qua lỗ hổng nào mà hacker có thể tải lên được các đoạn mã độc đó.

• Thực hiện scan shell, các mã độc trên hệ thống server khi sự cố phát sinh, tìm nguyên nhân, tải lên source phiên mới nhất để khắc phục lỗi.
• Kiểm tra các dữ liệu của website, chú ý vào phần thông tin ghi lại thời gian thay đổi cả các tập, thư mục tin.
• Lên kế hoạch backup hệ thống dữ liệu vào hàng tuần để có thể restore bất kì khi nào cần.
• Hạn chế cài đặt các module, plugin, extension,… không rõ nguồn gốc hay không cần thiết lắm.
• Thay đổi mật khẩu admin định kì khoảng 3 tháng /lần.

Hãy đón đọc thêm các bài viết khác trên blog của BKHOST nhé!