Tìm hiểu các thông tin chi tiết về Local attack và cách phòng tránh

Local attack đã gây thiệt hại lớn đối với các nhà cung cấp dịch vụ và người dùng. Đối mặt với nguy cơ bị tấn công, nắm vững kiến ​​thức về Local attack sẽ giúp bạn hiểu rõ hơn về cách phòng tránh! Vậy, tấn công cục bộ là gì? Làm thế nào để ngăn chặn tấn công cục bộ? Hãy cùng Muakey tìm hiểu ngay bên dưới nhé!

Local Attack là gì?

Local Attack là một phương pháp rất phổ biến dùng để tấn công 1 website nào đó trên cùng 1 server. Công cụ của việc tấn công này là dùng các đoạn mã khai thác được viết bằng 1 số ngôn ngữ lập trình như: PHP, ASP.Net, Python…

Các đoạn mã đó được gọi là Shell. Khi một hosting trên server bị upload lên đoạn file shell này, người tấn công có thể dùng các câu lệnh khai thác để thâm nhập qua các tài khoản hosting cùng server để đọc các thông tin nhạy cảm như: Email, thông tin Database (username,password..) một cách dễ dàng. Từ đó người tấn công có thể làm mọi điều họ muốn.

Ví dụ

Bạn thuê hosting của 1 công ty A. Trên server chứa hosting và website của bạn cũng đang chứa thêm 10 website khác cùng chạy 1 lúc. Bỗng 1 ngày, 1 trong các website trên bị lỗi gì đó, họ bị tấn công và người tấn công upload lên file shell.

Khi đã có file shell thì 9 website còn lại có thể bị người tấn công kia qua xem hết tất cả các cấu trúc tập tin cũng như thông tin Database. Rất nguy hiểm cho website của bạn, hoặc nếu website của bạn là mục tiêu thì tất nhiên website của bạn sẽ bị hack và phá hủy mọi dữ liệu

WebShell là gì?

WebShell là tên gọi của một dạng mã độc, cửa hậu – backdoor của chúng có rất nhiều chức năng để hỗ trợ các hacker có thể chiếm được quyền quản lý website. Chúng được viết bằng nhiều loại ngôn ngữ khác nhau, thông thường, loại WebShell được viết ra sẽ tương đồng với ngôn ngữ mà website đang sử dụng.

Về cơ bản, chỉ cần hacker có thể tải file WebShell lên hệ thống của website, hoàn toàn có thể xem là website đã bị hacker chiếm giữ và chúng cũng không cần thiết phải biết mật khẩu của tài khoản Admin.

Khi tải được WebShell lên, chúng sẽ kết nối đến cơ sở dữ liệu của website và vô hiệu hoá các cơ chế bảo mật, chống tấn công brute force,… để hacker có thể chiếm quyền dễ dàng hơn.

Những kiến thức cần có khi tìm hiểu về Local attack

Shared Hosting là gì?

Bạn có thể hiểu đơn giản, Shared Hosting là một server được chia thành nhiều gói nhỏ khác nhau để những người dùng khác có thể thuê lại và sử dụng. Điều này sẽ làm chi phí xuống mức thấp nhất để các bạn sinh viên cũng có thể sử dụng.

Đối với các tổ chức, doanh nghiệp lớn, họ sẽ thuê VPS hoặc đặt hẳn một Dedicated hosting. Tuy nhiên, cả 2 hình thức này rất tốn kém và không phải ai cũng có thể tiếp cận được.

Local attack diễn ra như thế nào?

Tất nhiên, ngoài kiến thức về share hosting, bạn cũng nên tìm hiểu cách thức Local attack diễn ra như thế nào để có thể thực hiện một số phương pháp phòng tránh cho website của mình.

Thông thường, một cuộc Local attack sẽ bao gồm 4 giai đoạn cơ bản:

  – Giai đoạn 1: xác định mục tiêu và tìm hiểu về mục tiêu cũng như sử dụng các công cụ reverse IP để tìm ra các trang trên cùng server với mục tiêu.

  – Giai đoạn 2: hacker sẽ tìm những website có mức độ bảo mật thấp và tấn công bằng các phương pháp như khai thác bug, SQL injection. Nếu hoàn thành trót lọt, chúng sẽ tải WebShell lên website đó.

  – Giai đoạn 3: hacker sẽ tiếp tục nghiên cứu về cách thức phân quyền, cấu trúc thư mục,… Sau đó, chúng sẽ phỏng đoán hoặc tấn công trực diện khi biết được những thông tin cần thiết.

  – Giai đoạn 4: chúng sẽ thực hiện cách tấn công như ở giai đoạn 2 nhưng trực tiếp vào các thư mục, yếu tố phân quyền để có thể chiếm được quyền điều khiển website. Khi chiếm được, chúng sẽ tiếp tục tấn công trang khác và đánh cắp dữ liệu trên trang của bạn.

Những loại tấn công Local attack thường thấy và cách ngăn chặn Local attack

Có những loại Local attack nào?

Hiện tại, có 2 loại Local attack đáng sợ chính bao gồm:

• Bypass safe_mode
• Symlink

Bypass safe_mode

Chúng sẽ lợi dụng chức năng safe_mode của PHP vốn dùng để giải quyết và hỗ trợ các vấn đề liên quan đến bảo mật trong các share server nhưng chúng lợi dùng để tấn công vào các share server.

Symlink

Kỹ thuật Symlink sử dụng để tấn công những thư mục có cấu trúc giống hay tương tự với nhau như trong ví dụ đã đề cập.

Cách ngăn chặn Local attack

Tất nhiên, yếu tố quan trọng nhất không phải là nằm ở bạn mà là nằm ở chủ quản của shared server – người bán gói hosting cho bạn.

Họ phải đảm bảo và tự trang bị các công cụ, phần mềm để chống lại những cuộc Local attack như:

• Firewall – tường lửa để giảm thiểu việc truy cập bất hợp pháp
• Chương trình antivirus để phát hiện những file xấu và có khả năng là chương trình độc hại.
• Họ sẽ phải phân quyền thích hợp, đúng đắn để tránh tình trạng tấn công hàng loạt xảy ra.

Tiếp theo, bạn cũng sẽ phải có những kiến thức cơ bản để có thể bảo vệ cho website của mình như:

• Thường xuyên sao lưu dữ liệu, nếu server bị tấn công, dữ liệu của bạn vẫn còn trên máy tính.
• Nếu bạn sử dụng WordPress, bạn sẽ có nhiều thứ cần phải làm để bảo vệ trang web WordPress như:
  • Thay đổi vị trí của file wp-config.php
  • Trong file wp-config.php, bạn cũng có thể thay đổi security key mặc định thành key được cấp bởi security key salt của WordPress.org.
  • Thay đổi tiền tố (database prefix) wp- thành một thứ gì đó khác
  • Không cài đặt các plugin, theme không rõ nguồn gốc…

Tạm kết