Cuộc chiến trong không gian điều khiển - Đầy ngẫu hứng, hacker tổ chức những phi vụ mới: Tấn công thẳng vào những server mạnh và bảo mật tốt nhất Việt Nam – Những cái chết được báo trước cho hàng loạt websites có đuôi .vn.
Một đặc vụ được phi bày kỹ càng, tỉ mỉ cho tới c những chi tiết kỹ thuật “thầm kín”.
Hai giờ sáng server (Máy chủ chứa tất c trang web) của FPT Hồ Chí Minh bị khởi động lại, đánh dấu quyền sở hữu của hacker - Khi bạn cầm tờ báo này trên tay, chủ quyền server vẫn thuộc về hacker.
Cánh cửa yếu lại nằm ở chỗ mà các nhà qun trị không bao giờ ngờ tới
www.dongtay.com.vn Phóng sự:
Hack thẳng vào Máy Chủ FPT- HCM
0h:00
Hacker Việt quy tụ trên diễn đàn kín của nhóm, những cú nhắn tin liên tục thông báo quá trình tấn công vào các server của Việt Nam.
FPT, VDC, SaiGonNet,...Tất c các server nổi tiếng nhất đã nằm trong tầm ngắm, Hacker đã khởi động ngòi nổ và bắn những phát súng đầu tiên-
server FPT HCM, chứa hầu hết c các trang web quan trọng: công ty Bánh kẹo Kinh Đô, Công ty dịch vụ Viễn thông GPC, Công ty Taylor Nelson Sofres, báo Người lao động, công ty sữa Việt Nam VinaMilk, Công ty liên doanh Việt Nam-Suzuki... đã trở thành nạn nhân đầu tiên..
0h15: Lên đạn
Đồng loạt các “máy” quét cổng, nhận biết chủng loại server FPT Hồ Chí Minh được tung ra sử dụng... Từng đợt dội bom bắn phá bắt đầu: Thử kiểm tra lỗi SQL injection -cho phép vượt qua hệ thống kiểm tra của Admin( Qun trị mạng) - bó tay. Toàn bộ ho lực được chuyển sang rà soát tỉ mỉ tất c các cổng dịch vụ(Port) để tìm ra kẽ hở. Bức tường bo mật tỏ ra quá chắc chắn. Cuộc tấn công trực diện vào server gặp thất bại. Những cái đầu nóng ny tìm cách mới, dò tìm những website nằm trên server có độ bo mật thấp, từ đây có thể đánh lén lên c quan đầu não và chiếm quyền điều khiển của toàn hệ thống.
0h: 45 Vớ bở
Đội quân do thám được triển khai, những trang web thưng mại hay dịch vụ được đặc biệt lưu tâm. Lý do, thật đn gin những trang web này có nhiều chức năng... phức tạp. Các lỗ hổng kỹ thuật sẽ được nhân lên, tất nhiên khi website của bạn có nhiều chi tiết kỹ thuật. Hn một tiếng đồng hồ để test thử một số site và cuối cùng
www.dongtay.com (website ca nhạc của Việt Nam ) được nhận định có thể tấn công được: bo mật khá lỏng lẻo với một hệ thống giúp người qun trị mạng có thể cập nhật tin tức, hình nh cho c website. Chiêu tấn công khai thác lỗi SQL Injection (trang web xem điểm thi đại học đã từng rùm beng vì bị dính lỗi này), không thành công. Thử vượt qua hệ thống phòng thủ dựa vào một đống mật khẩu tự động sinh từ những tập ký tự ngẫu nhiên, quá tệ. Chiêu cuối cùng đưa ra: Tấn Công Phê chuẩn đầu vào, chiêu này mất 15 phút, thành công rực rỡ. Tay lập trình mạng đã khá bất cẩn, chỉ cần vài chiêu lừa phỉnh để gọi đúng địa chỉ trang Login, vượt qua hệ thống bo mật dễ dàng mà không cần tra “chìa khoá”. hacker đã nắm được quyền gửi (post) thông tin lên trang web Đông Tây.
1h 30’ sáng: Tham vọng leo thang!
Thời điểm này đưc coi là vô cùng thuận lợi. Theo kinh nghiệm đánh chiếm của hacker, 12 giờ trưa, và nửa đêm về sáng là thời điểm thích hợp, khi đó các qun trị mạng s hở nhất. Cướp được quyền tin qun trị trang Đông Tây, dấn thêm một bước nữa để đoạt được toàn bộ quyền trang web này, có nghĩa là nắm được toàn bộ quyền đăng ký thông tin của trang web với máy chủ, từ đây sẽ chẳng khó gì để có thể điều khiển toàn các hoạt động của máy chủ từ xa. Một đoạn mã chưng trình được cố gắng đưa lên thông qua quyền điều hành trang web vừa “cướp” được, tất c thông tin muốn cài cắm lên trên máy chủ đều bị kiểm duyệt vô cùng chặt chẽ. Sau một hồi xục xạo, những dòng message thông báo tin vui được nhắn đi liên tục, lỗ hổng từ chức năng gửi một tệp tin nh (tệp tin dạng nhị phân), hacker đã gửi được một tên gián điệp vào trong hệ thống của máy chủ web-Một con Backdoor viết bằng ngôn ngữ ASP. Tên gián điệp tỏ ra khá lợi hại khi nó bắt đầu lia ống nhòm và vẽ lại trên máy tính toàn bộ s đồ ổ đĩa server FPT-HCM, từng ổ C, D hiện ra, những con mắt háo hức theo dõi, những thư mục, mỗi thư mục là một website, có những web của Bánh kẹo Kinh Đô, Công ty dịch vụ Viễn thông GPC, Công ty Taylor Nelson Sofres, báo Người lao động, công ty sữa Việt Nam VinaMilk, Công ty liên doanh Việt Nam-Suzuki..., đặc biệt thư mục chứa website của FPT. Những đôi bàn tay run run gõ lên bàn phím, tốc độ của dòng message chậm lại hẳn, chỉ cần thêm một chút nữa thôi, đánh chiếm được quyền điều khiển server có nghĩa là tất c đã thuộc về hacker, cm giác sung sướng tột độ len lỏi trong không gian mạng, những cái mặt cười được post lên nhìn với ánh mắt tinh quái hí hửng.
1h 50: Tóm được mục tiêu
Mục tiêu tiếp theo, đánh chiếm toàn bộ quyền điều hành site hcm.fpt.vn, một “tiểu đoàn biệt kích” được huy động cho cuộc tấn công này, những toán biệt kích mang trong mình các đoạn mã có kh năng thực thi các lệnh ngoại trú điều khiển máy chủ. Lệnh echo được thi hành để tạo ra một tài khon qun trị FTP (upload file) thẳng trực tiếp tới hcm.fpt.vn. Với account FTP nnày, kẻ đột nhập đứng ngang hàng với người đang qun lý site hcm.fpt.vn có nghĩa thừa quyền để xoá, hay tưng lên trên site này một đống file vớ vẩn.
www.hcm.fpt.vn đã hoàn toàn thuộc về hacker.
2h:Đánh dấu chủ quyền
2h đúng, đột ngột việc truy cập vào hàng loạt các website nằm trên server FPT-HCM không thực hiện được, một thông báo lỗi ngớ ngẫn hiện lên trình duyệt “Can not find Server”. Máy chủ bị Restart từ một lệnh điều khiển ở máy tính PC cách xa 1500 km, tại Hà nội. Chưng trình NETCAT(Qun lý server từ xa) yêu cầu máy tính khởi động lại để đm bo hoạt động chính xác. Qun trị mạng vẫn không hay biết gì vì nó được đặt thuộc tính ẩn.
4h: Rút Lui Xoá Dấu Vết .
Trời sáng, thưa thớt trên diễn đàn, các tay Newbie (liệt hàng trẻ con) đã lên giường đi ngủ, chỉ còn lại hàng cao thủ ngồi vểnh râu ngắm nghía chiến lợi phẩm. Một server với tính mạng của hàng nghìn website lớn nhỏ, quan trọng, không quan trọng, đã nằm trong tay những hacker đầu đàn. Công việc cuối cùng là rút khỏi hệ thống êm thấm . Xoá toàn bộ dấu vết, tòan bộ hành động đã nằm trong nhật ký của server, Công việc chỉ là lần mò và xoá cho sạch toàn bộ cuốn nhật ký này trong thư mục C:/ WinNt/system32/ .
5h sáng: Kẻ tham lam
Cánh cửa chỉ mở khi gọi đúng “Vừng i! mở cửa ra”. Kẻ cuối cùng trước khi rút lui đã quay trở lại sửa lỗi trên trang
www.dongtay.com. Với lý do duy nhất ”không cho kẻ khác c hội đột nhập ”. Đoạn mã lập trình ngốc ngếch đã được sửa lại, chỉ cần vài dòng lệnh ngắn, bắt kiểm tra quyền đăng nhập cho dù có gọi đúng đường dẫn vào trang login. Lỗ hổng trên cánh cửa đã được bít lại. Kẻ tham lam chắc chắn không có kẻ nào có thể lấy quay vào kho báu với con đường gã đã đi. Trời sáng dần, kẻ cuối cùng cũng đã rời khỏi diễn đàn. Disconnect mạng, phóng viên SVVN không sao chợp mắt được, không chỉ server FPT- HCM, toàn bộ hệ thống server lớn nhất Việt nam còn lại cũng đã được viếng thăm, cuộc trình diễn kỹ thuật mới chỉ tạm dừng.
Sampo
Toàn bộ 8 server lớn nhất Việt nam và hàng loạt lỗ hổng được phi bày trên các diễn đàn kín và mailing list của hacker Việt. Cho đến khi bạn cầm tờ báo này trên tay thì những nhà qun trị vẫn chưa hề biết. Điều đáng nói, là họ những hacker, chỉ vì một đam mê điên cuồng với máy tính đã làm tất c với mục đích duy nhất, “khẳng định mình”. Trong số họ, những kẻ giỏi nhất thậm chí, chưa từng được ngồi trên ghế ging đường đại học.
Box
Sau khi viết bài này, phóng viên SVVN đã có cuộc phỏng vấn với Microsoftvn
PV: Là qun trị mạng trang Viethacker, cũng từng nghiên cưú khá nhiều về Security & Hacking, theo bạn phưng pháp khắc phục lỗi và hạn chế các Hacker tấn công vào Server ?
PAT: Việc sử dụng những kỹ thuật tấn công trực tiếp server (nghĩa là tấn công thẳng trực diện server ) hacker ở Việt Nam những người làm được như vậy chỉ đếm được trên đầu ngón tay . Còn lại đa số hacker khác thường tấn công từ 1 site bo mật kém nằm trên server , bởi vì cách này vừa dễ , ít tốn thời gian, công với thuận lợi là việc qun trị site của các Webmaster quá lỏng lẻo . Nên bất cứ 1 hacker nào cũng chọn cách này đầu tiên , nếu không được thì họ mới quay sang cách thứ 2 .
PV: Cụ thể với lỗi của server FPT HCM?
PAT: Có thể tổng hợp một số phưng pháp sau để bo mật cho server an toàn hn:
1 . Kiểm tra lại , và qun lý code site của khách hàng trên server chặt chẽ hn . Hạn chế những hệ thống site cho phép Upload file . Hay nếu muốn Upload file thi nên cấp quyền cho 1 IP nhất định .
2 . Ngăn chặn việc thi hành mã lệnh của các hacker trên server . ở đây là không cho phép chạy các lệnh Cmd . Hạn chế quyền truy cập vào các ổ cứng trên Server ( C: . D)
Luôn luôn che dấu và hạn chế quyền view các file chứa password hệ thống ( SAM ) .
Hoặc muốn cao hn nữa thì chon mật khẩu là 7 ký tự và 14 ký tự , và đặt mật khẩu dưới ASCII ( không có NUM LOCK ) , đm bo những chưng trình Crack chịu cứng .
Cài đặt đặc tính mã hóa ci tiến SYSKEY cho SAM .
Permission các thư mục quan trọng .
3. Kiểm tra thường xuyên hệ thống FTP ( xem có thêm user nào mới không?) cập nhưng phiên bn mới nhất .
4. Luôn kiểm tra trong Registry , tìm những giá trị đặc biệt ví dụ HKLM\SOFTWARE hoặc HKEY_USERS\.DEFAULT\Software . Một số Backdoor tạo những khoá riêng trong nhưng nhánh Registry nay .