Tấn công giao diện Deface nghe tuy lạ mà rất quen. Điển hình là những vụ hacker tấn công vào hệ thống thông tin của các sân bay trong nước như Tân Sơn Nhất hoặc vụ tấn công vào trang web của bộ giáo dục rất nổi tiếng của hacker trẻ tuổi Bùi Minh Trí năm 2007 đều được gọi là tấn công Deface. Vậy tấn công giao diện Deface là gì? Hãy cùng tìm hiểu qua bài viết dưới đây nhé.
I. Tấn công giao diện Deface là gì
Tấn công Deface là tấn công thay đổi nội dung, hacker sẽ thông qua một điểm yếu nào đó để thay đổi nội dung website của nạn nhân. Mục đích của việc đột nhập mà không được xin phép này là :
- Mục đích cao đẹp: cảnh báo quản trị viên biết website đang tồn tại lỗ hỏng bảo mật hoặc điểm yếu nghiêm trọng…
- Mục đích không đẹp: chứng tỏ năng lực bản thân, dạng này rất dễ gặp như kiểu hacked by…
- Mục đích xấu: thù hằn, nội dung thay đổi thường là lăng mạ nạn nhân hoặc nội dung liên quan đến chính trị, tôn giáo…
II. Tại sao Website bị tấn công Deface
Có rất nhiều nguyên nhân website bị Deface, chủ yếu là do website tồn tại nhiều điểm yếu bảo mật nghiêm trọng mà hacker có thể upload file lên server hoặc có quyền đăng nhập vào trang quản trị website (Ví dụ : SQL Injection). Thậm chí nếu website trên hosting an toàn thuộc server bị tấn công thì cũng sẽ bị tấn công Deface luôn (Local Attack).
III. Các trường hợp website bị tấn công Deface
1. Lỗi SQL injection
Lỗi SQL injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnh SQL bất hợp pháp. SQL injection có thể cho phép những kẻ tấn công thực hiện các thao tác, delete, insert, update, v.v. trên cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy.
SQL injection thường được biết đến như là một vật trung gian tấn công trên các ứng dụng web có dữ liệu được quản lý bằng các hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase,…
2. Lỗi XSS (Cross Site Scripting)
XSS (Cross Site Scripting) là một kiểu tấn công cho phép hacker chèn những đoạn script độc hại (thông thường là javascript hoặc HTML) vào website và sẽ được thực thi ở phía người dùng (trong trình duyệt của người dùng). Ví dụ tại các form tìm kiếm, comment, form đăng nhập. Đối với XSS, người bị tấn công là người dùng chứ không phải website, hacker có thể dùng XSS để gửi những đoạn script độc hại tới một người dùng bất kỳ, và trình duyệt của người dùng sẽ thực thi những đoạn script đó và gửi về cho hacker những thông tin của người dùng thông qua email hoặc server do hacker định sẵn từ trước.
3. Lỗ hổng Remote File Include
Kiểu tấn công này, cho phép tin tặc include và thực thi trên máy chủ mục tiêu một tệp tin được lưu trữ từ xa. Tin tặc có thể sử dụng RFI để chạy một mã độc trên cả máy của người dùng và phía máy chủ. Ảnh hưởng của kiểu tấn công này thay đổi từ đánh cắp tạm thời session token hoặc các dữ liệu của người dùng cho đến việc tải lên các webshell, mã độc nhằm đến xâm hại hoàn toàn hệ thống máy chủ.
PHP có nguy cơ cao bị tấn công RFI do việc sử dụng lệnh include rất nhiều và thiết đặt mặc định của server cũng ảnh hưởng một phần nào đó. Để bắt đầu chúng ta cần tìm nơi chứa file include trong ứng dụng phụ thuộc vào dữ liệu đầu vào người dùng.
4. Lỗ hổng Local file inclusion
Lỗ hổng này nằm trong quá trình include file cục bộ có sẵn trên server. Lỗ hổng xảy ra khi đầu vào người dùng chứa đường dẫn đến file bắt buộc phải include. Khi đầu vào này không được kiểm tra, tin tặc có thể sử dụng những tên file mặc định và truy cập trái phép đến chúng, tin tặc cũng có thể lợi dụng các thông tin trả về trên để đọc được những tệp tin nhạy cảm trên các thư mục khác nhau bằng cách chèn các ký tự đặc biệt như “/”, “../”, “-“.
5. Không cập nhật phiên bản, mật khẩu quản trị yếu
Đặt mật khẩu quản trị quá yếu ( không đủ độ dài ký tự, không có các ký tự viết hoa, ký tự đặc biệt,… ), thiếu cơ chế chống brute force khiến kẻ tấn công có thể dò password admin.
Cài đặt các module, plugin, extension, đều đã cũ bị dính các lỗi bảo mật đã được công bố (CVE) hoặc không cập nhật mới khi dùng các mã nguồn mở hiện nay thường là joomla, wordpress,…
IV. Làm sao để phát hiện website bị Deface
Thông thường hacker tấn công Deface chủ yếu vào các trang mặc định như : index.php, index.html, home.html, default.html, trangchu.html… thì chỉ cần xử lý các trang mặc định này website sẽ hoạt động lại.
Nhưng nếu hacker không thay đổi nội dung những file trên thì bạn khó thể phát hiện và bạn sẽ nhận được cảnh báo từ việc truy cập website hoặc nhà quản lý Hosting.
V. Cách khắc phục
Nếu bạn thực sự là một người quản trị hệ thống hay website, chắc chắn sau tình huống này bạn sẽ tự hỏi rằng: “Tại sao hacker lại tải lên được đoạn mã chứa trang deface?”.
Hãy xem những thông tin nhật ký, file log của máy chủ và truy tìm xem, hacker đã làm gì và làm như thế nào trên hệ thống của mình.
Ngoài ra, bạn cũng có thể tham khảo 1 số biện pháp mà chúng tôi khuyến cáo :
- Tiến hành scan shell, mã độc trên server khi sự cố xảy ra, xác định nguyên nhân, upload source phiên bản mới để khắc phục.
- Thường xuyên kiểm tra dữ liệu website (để ý thời gian tập tin, thư mục bị thay đổi ).
- Có kế hoạch backup dữ liệu cụ thể hàng tuần để lúc cần có thể restore lại ngay.
- Không nên cài đặt các module, plugin, extension,… không thật sự cần thiết và không rõ nguồn gốc ( nên download module, plugin, extension,… từ các trang web uy tín ).
- Nên đổi mật khẩu quản trị theo 1 chu kỳ định sẵn 3 tháng/1 lần và lưu giữ cẩn thận.
Kết luận
Việc bị hacker tấn công là điều không thể tránh khỏi vì ngay cả những ông lớn như Google lẫn Facebook cũng đã từng phải chao đảo vì “những vị khách không mời mà đến” này. Tuy nhiên với những kiến thức trên, chúng ta có thể hạn chế được tới 99% các cuộc xâm lăng ngoài ý muốn đó. Suy cho cùng thì tấn công giao diện Deface cũng không quá ghê gớm lắm nhỉ.
