Trong thời gian vừa qua, có rất nhiều vụ việc Local attack xảy ra khiến các nhà cung cấp dịch vụ lẫn người sử dụng bị thiệt hại rất lớn. Đứng trước nguy cơ bị tấn công, nắm vững kiến thức về Local attack sẽ có thể giúp bạn hiểu hơn về cách phòng tránh đấy! Vậy, Local attack là gì? Cách ngăn chặn Local attack ra sao? Những câu hỏi này sẽ được Tino Group giải đáp trong bài viết.
Tìm hiểu về Local attack
Local attack là gì?
Local attack là một phương pháp rất phổ biến mà các hacker sử dụng để tấn công một website hay cùng lúc nhiều website ở trong 1 server giống nhau. Các đoạn mã để khai thác lỗ được viết bằng nhiều loại ngôn ngữ lập trình khác nhau như: Python, ASP.NET hay PHP,… Những đoạn mã này được gọi là Shell. Khi tấn công trên web, chúng sẽ có tên gọi là WebShell.
Các hacker sử dụng những đoạn mã này để có thể khai thác những thông tin nhạy cảm của khách hàng. Sau đó, chúng chiếm quyền điều khiển và thực hiện mọi điều chúng muốn trên website của bạn.
Để bạn có thể hiểu rõ hơn về phương thức hoạt động cũng như cách thức chúng thực hiện, chúng ta sẽ đề ra một ví dụ cụ thể và giải thích ở phần “Local attack diễn ra như thế nào?” nhé!
WebShell là gì?
WebShell là tên gọi của một dạng mã độc, cửa hậu – backdoor của chúng có rất nhiều chức năng để hỗ trợ các hacker có thể chiếm được quyền quản lý website. Chúng được viết bằng nhiều loại ngôn ngữ khác nhau, thông thường, loại WebShell được viết ra sẽ tương đồng với ngôn ngữ mà website đang sử dụng.
Về cơ bản, chỉ cần hacker có thể tải file WebShell lên hệ thống của website, hoàn toàn có thể xem là website đã bị hacker chiếm giữ và chúng cũng không cần thiết phải biết mật khẩu của tài khoản Admin. Khi tải được WebShell lên, chúng sẽ kết nối đến cơ sở dữ liệu của website và vô hiệu hoá các cơ chế bảo mật, chống tấn công brute force,… để hacker có thể chiếm quyền dễ dàng hơn.
Một số loại WebShell nổi tiếng như: rr57, c99 hay webadmin,…
Ví dụ về Local attack
Ví dụ: bạn mua một gói share hosting, bạn sẽ được cấp 1 tài khoản và quyền quản lý một thư mục chứa website của bạn; tương tự người thứ 2, thứ 3, thứ n sẽ có một tài khoản và một thư mục tương tự.
Nếu bạn được cấp là shareme/user1, người thứ 2 sẽ được cấp thư mục là shareme/user2.
Bằng một cách nào đó, hacker có thể chiếm được quyền điều khiển và quản lý shareme/user2, chúng sẽ nhanh chóng tải tệp WebShell lên và tấn công sang trang của bạn cũng như các trang khác trong cùng 1 server.
Đồng nghĩa với việc, Local attack chỉ diễn ra hầu hết tại các Shared hosting có chứa nhiều trang web trên cùng 1 server. Nếu bạn sử dụng VPS hay Dedicated hosting, tỉ lệ bạn bị dính phải một đợt Local attack là rất thấp.
Như bạn đã thấy, chỉ cần hacker có thể chiếm được 1 trang trong share hosting, chúng sẽ dùng trang đó làm “bàn đạp” để tấn công bạn và hàng loạt người khác.
Đôi khi chúng không cần hack để chiếm, chỉ với vài trăm ngàn đồng, chúng mua hẳn một gói hosting và tải trực tiếp WebShell bạn cũng sẽ khó lòng chống đỡ.
Những kiến thức cần có khi tìm hiểu về Local attack
Shared Hosting là gì?
Bạn có thể hiểu đơn giản, Shared Hosting là một server được chia thành nhiều gói nhỏ khác nhau để những người dùng khác có thể thuê lại và sử dụng. Điều này sẽ làm chi phí xuống mức thấp nhất để các bạn sinh viên cũng có thể sử dụng.
Đối với các tổ chức, doanh nghiệp lớn, họ sẽ thuê VPS hoặc đặt hẳn một Dedicated hosting. Tuy nhiên, cả 2 hình thức này rất tốn kém và không phải ai cũng có thể tiếp cận được.
Local attack diễn ra như thế nào?
Tất nhiên, ngoài kiến thức về share hosting, bạn cũng nên tìm hiểu cách thức Local attack diễn ra như thế nào để có thể thực hiện một số phương pháp phòng tránh cho website của mình.
Thông thường, một cuộc Local attack sẽ bao gồm 4 giai đoạn cơ bản:
- Giai đoạn 1: xác định mục tiêu và tìm hiểu về mục tiêu cũng như sử dụng các công cụ reverse IP để tìm ra các trang trên cùng server với mục tiêu.
- Giai đoạn 2: hacker sẽ tìm những website có mức độ bảo mật thấp và tấn công bằng các phương pháp như khai thác bug, SQL injection. Nếu hoàn thành trót lọt, chúng sẽ tải WebShell lên website đó.
- Giai đoạn 3: hacker sẽ tiếp tục nghiên cứu về cách thức phân quyền, cấu trúc thư mục,… Sau đó, chúng sẽ phỏng đoán hoặc tấn công trực diện khi biết được những thông tin cần thiết.
- Giai đoạn 4: chúng sẽ thực hiện cách tấn công như ở giai đoạn 2 nhưng trực tiếp vào các thư mục, yếu tố phân quyền để có thể chiếm được quyền điều khiển website. Khi chiếm được, chúng sẽ tiếp tục tấn công trang khác và đánh cắp dữ liệu trên trang của bạn.
Những loại tấn công Local attack thường thấy và cách ngăn chặn Local attack
Có những loại Local attack nào?
Hiện tại, có 2 loại Local attack đáng sợ chính bao gồm:
- Bypass safe_mode
- Symlink
Bypass safe_mode
Chúng sẽ lợi dụng chức năng safe_mode của PHP vốn dùng để giải quyết và hỗ trợ các vấn đề liên quan đến bảo mật trong các share server nhưng chúng lợi dùng để tấn công vào các share server.
Symlink
Kỹ thuật Symlink sử dụng để tấn công những thư mục có cấu trúc giống hay tương tự với nhau như trong ví dụ đã đề cập.
Cách ngăn chặn Local attack
Tất nhiên, yếu tố quan trọng nhất không phải là nằm ở bạn mà là nằm ở chủ quản của shared server – người bán gói hosting cho bạn. Họ phải đảm bảo và tự trang bị các công cụ, phần mềm để chống lại những cuộc Local attack như:
- Firewall – tường lửa để giảm thiểu việc truy cập bất hợp pháp
- Chương trình antivirus để phát hiện những file xấu và có khả năng là chương trình độc hại.
- Họ sẽ phải phân quyền thích hợp, đúng đắn để tránh tình trạng tấn công hàng loạt xảy ra.
Tiếp theo, bạn cũng sẽ phải có những kiến thức cơ bản để có thể bảo vệ cho website của mình như:
- Thường xuyên sao lưu dữ liệu, nếu server bị tấn công, dữ liệu của bạn vẫn còn trên máy tính.
- Nếu bạn sử dụng WordPress, bạn sẽ có nhiều thứ cần phải làm để bảo vệ trang web WordPress như:
- Thay đổi vị trí của file wp-config.php
- Trong file wp-config.php, bạn cũng có thể thay đổi security key mặc định thành key được cấp bởi security key salt của WordPress.org.
- Thay đổi tiền tố (database prefix) wp- thành một thứ gì đó khác
- Không cài đặt các plugin, theme không rõ nguồn gốc…
Tino Group hi vọng rằng những kiến thức này có thể giúp ích bạn trong việc bảo vệ website của mình khỏi những hiểm hoạ đang luôn chực chờ đe dọa trên internet. Chúc website của bạn sẽ luôn được an toàn.
Bài viết có tham khảo nội dung từ: Whitehat, Anninhmang.net,…
Những câu hỏi thường gặp về Local attack
Có nên sử dụng share hosting hay không?
Có, dù những trường Local attack sẽ có thể diễn ra đối với bất kỳ nhà cung cấp nào nhưng hầu hết các nhà cung cấp đều có hệ thống bảo mật cao cấp nhằm bảo vệ tối đa cho người dùng.
Làm sao để chọn được nhà cung cấp share hosting giá rẻ và có độ bảo mật cao?
Tại Việt Nam, Tino Group là đơn vị cung cấp dịch vụ share hosting rẻ nhất chỉ từ 9k/ tháng. Nếu bạn quan tâm đến tốc độ và mức độ bảo mật của hosting chúng tôi sẽ có thể đáp ứng những yêu cầu khắt khe của bạn.
Làm sao để bảo vệ trang web WordPress an toàn nhất?
Để giúp cho trang WordPress của bạn trở nên thực sự an toàn. Bạn nên tìm đến những chuyên gia, những người có chuyên môn về cả kỹ thuật web lẫn bảo mật, nếu website của bạn thực sự cần độ bảo mật cao.
Nếu không, nhưng plugin bảo mật đã đáp ứng được hầu hết các yêu cầu giúp trang web app của bạn có thể tránh khỏi hacker.
Làm sao để tránh các cuộc tấn công DDoS?
Nếu hacker nhắm vào website, bạn có thể sử dụng các plugin, dịch vụ tường lửa hay những dịch vụ anti DDoS để bảo vệ website của mình.
Trong trường hợp hacker nhắm trực tiếp vào các nhà cung cấp dịch vụ, bạn chỉ có thể thường xuyên backup dữ liệu, một khi sự việc xảy ra, bạn vẫn có một bộ dữ liệu để khôi phục lại hoạt động của website.
