Tấn công giao diện Deface nghe tuy lạ mà siêu quen. Điển hình là những vụ hacker tấn công vào hệ thống thông tin của những sân bay trong nước như Tân Sơn Nhất hoặc vụ tấn công vào trang internet của bộ giáo dục siêu nức tiếng của hacker trẻ tuổi Bùi Minh Trí 5 2007 đều được gọi là tấn công Deface. Vậy tấn công giao diện Deface là gì? Hãy cùng tìm hiểu qua bài viết dưới đây nhé.
I. Tấn công giao diện Deface là gì
Tấn công Deface là tấn công thay đổi đổi nội dung, hacker sẽ thông qua 1 điểm yếu nào đấy để thay đổi đổi nội dung web site của nạn nhân. Phần đích của việc đột nhập mà ko được xin phép này là :
- Phần đích cao đẹp: cảnh báo quản trị viên biết web site đang tồn tại quạt hỏng bảo mật hoặc điểm yếu nghiêm trọng…
- Phần đích ko đẹp: chứng tỏ năng lực bản thân, dạng này siêu dễ gặp như kiểu hacked by…
- Phần đích xấu: thù hằn, nội dung thay đổi đổi thường là lăng mạ nạn nhân hoặc nội dung liên quan tới chính trị, tôn giáo…
II. Tại sao Web site bị tấn công Deface
Có siêu nhiều nguyên nhân web site bị Deface, chủ yếu là do web site tồn tại nhiều điểm yếu bảo mật nghiêm trọng mà hacker có thể add file lên server hoặc có quyền đăng nhập vào trang quản trị web site (Thí dụ : SQL Injection). Thậm chí trường hợp web site trên internet hosting an toàn thuộc server bị tấn công thì cũng sẽ bị tấn công Deface luôn (Native Assault).
III. Những trường hợp web site bị tấn công Deface
1. Lỗi SQL injection
Lỗi SQL injection là 1 kỹ thuật cho phép những kẻ tấn công lợi dụng quạt hổng của việc đánh giá dữ liệu đầu vào trong những ứng dụng internet và những thông tin lỗi của hệ quản trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành những câu lệnh SQL bất hợp pháp. SQL injection có thể cho phép những kẻ tấn công thực hành những thực hiện, delete, insert, replace, v.v. trên cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đấy đang chạy.
SQL injection thường được biết tới như là 1 vật trung gian tấn công trên những ứng dụng internet có dữ liệu được quản lý bằng những hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase,…
2. Lỗi XSS (Cross Website Scripting)
XSS (Cross Website Scripting) là 1 kiểu tấn công cho phép hacker chèn những đoạn script độc hại (thông thường là javascript hoặc HTML) vào web site và sẽ được thực thi tại phía người mua (trong trình thông qua của người mua). Thí dụ tại những type kiếm tìm, remark, type đăng nhập. Đối có XSS, người bị tấn công là người mua chứ ko nên web site, hacker có thể dùng XSS để gửi những đoạn script độc hại tới 1 người mua bất kỳ, và trình thông qua của người mua sẽ thực thi những đoạn script đấy và gửi về cho hacker những thông tin của người mua thông qua e mail hoặc server do hacker định sẵn từ trước.
3. Quạt hổng Distant File Embody
Kiểu tấn công này, cho phép tin tặc embrace và thực thi trên máy chủ phần tiêu 1 tệp tin được lưu trữ từ xa. Tin tặc có thể dùng RFI để chạy 1 mã độc trên cả máy của người mua và phía máy chủ. Liên quan của kiểu tấn công này thay đổi đổi từ đánh cắp tạm thời session token hoặc những dữ liệu của người mua cho tới việc tải lên những webshell, mã độc nhằm tới xâm hại hoàn toàn hệ thống máy chủ.
PHP có nguy cơ cao bị tấn công RFI do việc dùng lệnh embrace siêu nhiều và thiết đặt mặc định của server cũng tác động 1 phần nào đấy. Để khởi đầu chúng ta cần tìm nơi chứa file embrace trong ứng dụng phụ thuộc vào dữ liệu đầu vào người mua.
4. Quạt hổng Native file inclusion
Quạt hổng này nằm trong diện quy trình embrace file cục bộ có sẵn trên server. Quạt hổng xảy ra lúc đầu vào người mua chứa đường dẫn tới file đề nghị} nên embrace. Lúc đầu vào này ko được đánh giá, tin tặc có thể dùng những tên file mặc định và truy cập trái phép tới chúng, tin tặc cũng có thể lợi dụng những thông tin trả về trên để đọc được những tệp tin nhạy cảm trên những thư phần khác nhau bằng phương pháp chèn những ký tự động đặc biệt như “/”, “../”, “-“.
5. Ko cập nhật phiên bản, mật khẩu quản trị yếu
Đặt mật khẩu quản trị quá yếu ( ko đủ độ dài ký tự động, ko có những ký tự động viết hoa, ký tự động đặc biệt,… ), thiếu cơ chế chống brute power làm cho kẻ tấn công có thể dò password admin.
Cài đặt những module, plugin, extension, đều đã cũ bị dính những lỗi bảo mật đã được công bố (CVE) hoặc ko cập nhật new lúc dùng những mã nguồn mở hiện nay thường là joomla, wordpress,…
IV. Khiến sao để tìm ra web site bị Deface
Thông thường hacker tấn công Deface chủ yếu vào những trang mặc định như : sentayho.com.vn, sentayho.com.vn, sentayho.com.vn, sentayho.com.vn, sentayho.com.vn… thì chỉ cần xử lý những trang mặc định này web site sẽ hoạt động lại.
Nhưng trường hợp hacker ko thay đổi đổi nội dung những file trên thì bạn khó thể tìm ra và bạn sẽ nhận được cảnh báo từ việc truy cập web site hoặc nhà quản lý Internet hosting.
V. Phương pháp khắc phục
Trường hợp bạn thực sự là 1 người quản trị hệ thống hay web site, kiên cố chắn sau vấn đề này bạn sẽ tự động hỏi rằng: “Tại sao hacker lại tải lên được đoạn mã chứa trang deface?”.
Hãy xem những thông tin nhật ký, file log của máy chủ và truy tìm xem, hacker đã khiến gì và khiến như thế nào trên hệ thống của mình.
Bên cạnh ra, bạn cũng có thể tham khảo 1 số biện pháp mà chúng tôi khuyến cáo :
- Tiến hành scan shell, mã độc trên server lúc sự cố xảy ra, xác định nguyên nhân, add supply phiên bản new để khắc phục.
- Thường xuyên đánh giá dữ liệu web site (để ý thời kì tập tin, thư phần bị thay đổi đổi ).
- Có kế hoạch backup dữ liệu cụ thể hàng tuần để lúc cần có thể restore lại ngay.
- Ko nên cài đặt những module, plugin, extension,… ko thực sự cần thiết và ko rõ nguồn gốc ( nên obtain module, plugin, extension,… từ những trang internet uy tín ).
- Nên đổi mật khẩu quản trị theo 1 chu kỳ định sẵn 3 tháng/1 lần và lưu giữ kỹ càng.
Kết luận
Việc bị hacker tấn công là điều ko thể giảm thiểu khỏi vì ngay cả những ông lớn như Google lẫn Fb cũng đã từng nên chao đảo vì “những vị khách ko mời mà tới” này. Tuy nhiên có những tri thức trên, chúng ta có thể hạn chế được tới 99% những cuộc xâm lăng bên cạnh ý muốn đấy. Suy cho cùng thì tấn công giao diện Deface cũng ko quá gớm ghê nhiều nhỉ.
