Giới thiệu về tấn công Deface. Hạn chế và phòng chống tấn công Deface ?

  • Tuesday 03/11/2020

Tấn công Deface (Website Defacement)

Là hình thức tấn công làm thay đổi giao diện trực quan của một trang web. Đây là hành động của những hacker chuyên bẻ khoá hệ thống. Chúng đột nhập vào máy chủ web và thay thế trang web được host bằng giao diện trang web của riêng chúng.

Deface là gì ?

Deface viết tắt của từ defacement : là hành vi phá hoại hình ảnh của một ai, một thứ, một đơn vị nào đó. Website Defacement là  hành vi tấn công, phá hoại website, làm thay đổi giao diện hiển thị của một trang web. Nói cách khác, khi người dùng truy cập vào địa chỉ của trang web đó thì giao diện của một trang web khác sẽ được hiển thị. Thông thường nội dung hiện lên sẽ là các thông điệp mà hacker muốn truyền tải. Tuy nhiên về mục đích của tấn công Deface có thể có mục đích tốt và cũng có thể là xấu:

– Mục đích tốt: Để đưa ra những cảnh báo cho những lỗ hổng bảo mật, những điểm yếu chưa được khắc phục… cho quản trị viên website.

– Mục đích xấu: Với ý định để chứng minh cho năng lực bản thân,.. những hacker này thường rất dễ nhận thấy khi tấn công xong thường để lại chữ kí theo dạng “hacked by…”. Hoặc trường hợp tấn công vì có mục đích phá hoại trang web, thay đổi nội dụng web thành những thông tin làm ảnh hưởng đến chủ sở hữu, hoặc các thống tin phản động, gây tranh cãi liên quan đến vấn đề chính trị, tôn giáo…

Website bị tấn công deface như thế nào?

Không phải ai cũng sẽ trở thành nạn nhân của hình thức tấn công này. Hacker sẽ chỉ tìm đến khi website của bạn có tồn tại những lỗ hổng bảo mật nghiêm trọng để lợi dụng và deface. Ngược lại, nếu bạn đã chăm chỉ cập nhật hệ thống, sử dụng tường lửa hay thường xuyên khắc phục các lỗ hổng website, khả năng cao là hắn sẽ bỏ cuộc trước khi bắt đầu. Đa số các website bị deface vì các lỗ hổng sau:

– SQL Injections: kẻ tấn công tận dụng lỗ hổng SQL để thực thi những câu lệnh độc hại (như là đăng nhập dưới tư cách admin)

– Lỗi XSS (Cross Site Scripting):  là kiểu tấn công mà các hacker sẽ tiến hành chèn những đoạn script độc hại, thông thường là javascript hoặc HTML vào website, sau đó là chờ cho người dùng thực thi điều đó khi mà người dùng không biết và sử dụng trình duyệt.

– Lỗ hổng Remote File Include: là kiểu tấn công mà cho phép hacker include và thực hiện trên máy chủ mục tiêu tệp tin được lưu trữ từ xa. Hacker sử dụng RFI để chạy mã độc trên cả máy chủ và máy người dùng. Hậu quả khi bị tấn công lỗ hổng Remote File Include có thể là bạn bị đánh cắp tạm thời session token hoặc thay đổi các dữ liệu người dùng, thay đổi về việc tải lên các webshell nhằm truy cập được hết toàn bộ hệ thống máy chủ. Thực tế, PHP có khả năng bị tấn công RFI nhiều hơn do sử dụng lệnh include rất nhiều, một phần cũng là do cài đặt mặc định của server cũng gây nên những ảnh hưởng. Để bắt đầu chúng ta cần tìm nơi chứa file include trong ứng dụng phụ thuộc vào dữ liệu đầu vào người dùng.

– Lỗ hổng Local file inclusion: là lỗ hổng thuộc quá trình include file cục bộ sẵn ở trên server. Sự xuất hiện của lỗ hổng này là ở đầu vào chứa các đường dẫn đến file bắt buộc cần phải include. Tuy nhiên, khi đầu vào không được kiểm tra, hacker sử dụng tên file mặc định đó và truy cập không được phép vào chúng, hoặc cũng có thể lợi dụng những thông tin trả về để đọc những file nhạy cảm bằng cách chỉ cần chèn thêm các kí tự đặc biệt như “/”, “../”, “-“. Việc bạn không cập nhật phiên bản hoặc đặt mật khẩu quản trị quá yếu cùng là đang tạo thuận lợi cho hacker xâm nhập. Ngay cả khi bạn đã tiến hành đổi mật khẩu nhưng nếu vẫn không đáp ứng đủ các yếu tố như: độ dài kí tự không đủ, trong mật khẩu không có các kí tự viết hoa, không chứa các kí tự đặc biệt,… thì vân dễ dàng bị hack. Không cập nhật cho các phần mềm, module, plugin, extension phiên bản mới để fix lỗi hoặc không cập nhất khi dùng mã nguồn mở như joomla, wordpress cũng sẽ dễ bị lỗ hổng Local file Inclusion.

Khắc phục khi bị tấn công Deface

Một khi đã biết defacement có thể bị khai thác qua lỗ hổng nào, đơn giản ta có thể “bịt” lỗ hổng đó lại để tránh defacement. Tuy nhiên, bạn nên hiểu là hàng ngày hàng giờ, các hacker luôn nghĩ ra nhiều cách thức nguy hiểm khác mà không thông qua những lỗ hổng đã được nhiều người biết đến để deface trang web của bạn. Quản trị viên của website cần biết rằng defacement có thể đến với trang web của mình bất cứ lúc nào nên luôn chuẩn bị một tâm thế sẵn sàng đối mặt với nó. Những việc dưới đây là khá cần thiết:

– Thường xuyên xem lại những thông tin nhật ký, theo dõi file log của máy tính chủ, nếu như máy bạn đã bị tấn công rồi thì cần phải nghiên cứu cả nhật ký file log,

– Kiểm tra các dữ liệu của website, chú ý vào phần thông tin ghi lại thời gian thay đổi cả các tập, thư mục tin.

– Thực hiện scan shell, các mã độc trên hệ thống server khi sự cố phát sinh, tìm nguyên nhân, tải lên source phiên mới nhất để khắc phục lỗi.

– Lên kế hoạch backup hệ thống dữ liệu định kỳ hàng tuần hoặc có thể tăng tần suất hằng ngày.

– Hạn chế cài đặt các module, plugin, extension,… không rõ nguồn gốc hay không cần thiết lắm.

– Đặt mật khẩu quản trị mạnh, và thường xuyên thay đổi mật khẩu tránh sự xâm nhập trái phép vào tài khoản có quyền quản trị viên.

 

Xem thêm bài viết về phần mềm bảo mật Imunify360  tại đây

Thông tin chương trình khuyến mãi tại P.A Việt Nam tại đây