Website Laravel bị tấn công mã hóa database

  • Tuesday 10/03/2020

Hiện tại chúng tôi ghi nhận nhiều trường hợp khách hàng bị hacker tấn công mã hóa dữ liệu database đối với các website sử dụng Laravel

Đặc điểm nhận dạng:
Hacker thực hiện mã hóa database và đòi tiền chuộc là Bitcoin để được giải mã, khi quý khách login vào phpmyadmin để xem dữ liệu của database thì sẽ thấy có 1 table tên “WARNING”, khi mở table này lên sẽ thấy có thông báo như bên dưới.

“To recover your lost database and avoid leaking it send us 0.1 bitcoin”
Quý khách vui lòng không thực hiện các yêu cầu này từ phía hacker.

Chúng tôi kiểm tra log truy cập thì thấy website bị tấn công và thực hiện các script như hình bên dưới

Quý Khách giới hạn các IP được phép truy cập phpmyadmin để import database nhằm hạn chế bị tấn công, quý khách ssh vào server sau đó đi đến thư mục /var/www/html/phpMyAdmin rồi tạo file .htaccess với nội dung bên dưới sau đó lưu file lại.

order deny,allow
deny from all
allow from xxx

Quý khách truy cập ip.pavietnam.vn để xem IP WAN của mạng Quý Khách sau đó thay xxx với xxx là IP WAN của mạng Quý Khách. Quý khách có thể thêm nhiều IP theo mẫu ở trên.

Kiểm tra một số web bị hack chúng tôi thấy bị lỗ hổng có thể truy cập domain/.env khi đó toàn bộ nội dung của file .env (file chứa thông số khai báo kết nối database) sẽ hiển thị trên trình duyệt.
Bổ sung thêm nội dung bên dưới vào file .htaccess của các website sử dụng Laravel để không cho truy cập file .env từ link website

<Files .env>
Order allow,deny
Deny from all
</Files>

<Files composer.json>
Order allow,deny
Deny from all
</Files>

Hoặc deny truy cập qua apache (cấu hình sẽ áp dụng cho toàn bộ các website trên server)

/etc/httpd/conf/httpd.conf

Thêm dòng bên dưới

<Files “.env”>
Require all denied
</Files>

Sau đó lưu file và restart apache:

/etc/init.d/httpd restart

Sau khi thực hiện các bước trên quý khách đổi lại mật khẩu database của các website bị hack trước đó (có thể đổi cho tất cả các website để an toàn)

Để đảm bảo an toàn cho dữ liệu Quý Khách nên thường xuyên backup các dữ liệu quan trọng trên server, đặc biệt là database.
Báo phía thiết kế web của Quý Khách kiểm tra và vá các lỗ hổng bảo mật của website (cập nhật phiên bản mới nhất của mã nguồn nếu có thể)

Quý Khách có thể tham khảo dịch vụ backup for server của PA tại link bên dưới
https://dulieu.cloud/