Khách hàng thường truy cập internet để lấy thông tin và mua sản phẩm và dịch vụ. Để đạt được điều đó, đa phần đến 90% các nhà bán hàng đều có trang web. Hầu hết các trang web lưu trữ thông tin có giá trị như số thẻ tín dụng, địa chỉ email và mật khẩu, vv . Điều này đã khiến chúng trở thành mục tiêu cho những kẻ tấn công. Các trang web bị xóa cũng có thể được sử dụng để truyền đạt ý thức hệ tôn giáo hoặc chính trị, v.v.
Ở bài viết này sẽ giới thiệu cơ bản cho các bạn về cơ chế tấn công máy chủ Webserver và từ đó tìm ra cách để phòng tránh và bảo vệ webserver của bạn khỏi các cuộc tấn công như vậy.
Lổ hổng máy chủ Webserver
Máy chủ web là một chương trình lưu trữ các tệp (thường là các trang web) và có thể truy cập qua mạng hoặc internet external. Một máy chủ web yêu cầu cả phần cứng và phần mềm. Những kẻ tấn công thường nhắm mục tiêu khai thác trong phần mềm để có được quyền truy cập vào máy chủ. Cùng mình xem xét một số lỗ hổng phổ biến mà kẻ tấn công lợi dụng.
- Default setting ( Cài đặt mặc định): Những cài đặt này như id người dùng và mật khẩu mặc định có thể dễ dàng đoán được bởi những kẻ tấn công. Cài đặt mặc định cũng có thể cho phép thực hiện một số tác vụ nhất định như chạy các lệnh trên máy chủ có thể được khai thác.
- Cấu hình sai và yếu :Khi bạn thực hiện cho phép người dùng thực thi các lệnh trên máy chủ có thể gây nguy hiểm nếu người dùng không có mật khẩu tốt.
- Lỗi trong hệ điều hành và máy chủ web: Lỗi được phát hiện trong hệ điều hành hoặc phần mềm máy chủ web cũng có thể bị khai thác để có quyền truy cập trái phép vào hệ thống.
Ngoài các lỗ hổng máy chủ web đã đề cập ở trên, những điều sau đây cũng có thể dẫn đến truy cập trái phép
- Thiếu chính sách và quy trình bảo mật : Thiếu chính sách và quy trình bảo mật như cập nhật phần mềm chống vi-rút bản vá hệ điều hành và phần mềm máy chủ web có thể tạo lỗ hổng bảo mật cho kẻ tấn công.
Các loại máy chủ Web
- Apache : Đây là máy chủ web thường được sử dụng trên internet. Nó là nền tảng được cài đặt trên Linux. Hầu hết các trang web PHP được lưu trữ trên máy chủ Apache .
- Internet Information Services (IIS): Dòng này được phát triển bởi Microsoft. Nó chạy trên Windows và là máy chủ web được sử dụng nhiều thứ hai trên internet. Hầu hết các trang web asp và aspx được lưu trữ trên máy chủ IIS.
- Apache Tomcat: Hầu hết các trang web máy chủ Java (JSP) được lưu trữ trên loại máy chủ web này.
- Các máy chủ web khác : Novell và máy chủ Lotus Domino của IBM.
Các loại hình tấn công máy chủ Webserver
Tấn công truyền tải thư mục – Loại tấn công này khai thác các lỗi trong máy chủ web để có quyền truy cập trái phép vào các tệp và thư mục không thuộc phạm vi công cộng. Khi kẻ tấn công đã giành được quyền truy cập, chúng có thể tải xuống thông tin nhạy cảm, thực thi các lệnh trên máy chủ hoặc cài đặt phần mềm độc hại.
- Tấn công từ chối dịch vụ (DDOS – Denial of Service Attacks) : Với kiểu tấn công này, máy chủ web có thể bị sập hoặc không khả dụng đối với người dùng hợp pháp. Hiểu nôm na là kẻ tấn công sẽ tạo ra các bot ảo và dồn chúng về webserver của bạn, số lượng có thể tính đến hàng chục GB hoặc TB.
- Tấn công hệ thống tên miền ( Domain Name System Hijacking): Với loại kẻ tấn công này, cài đặt DNS được thay đổi để trỏ đến máy chủ web của kẻ tấn công. Tất cả lưu lượng truy cập được cho là gửi đến máy chủ web được chuyển hướng đến sai.
- Sniffing ( Tạm dịch là đánh hơi): Dữ liệu không được mã hóa được gửi qua mạng có thể bị chặn và được sử dụng để có quyền truy cập trái phép vào máy chủ web.
- Lừa đảo (Phishing): Liểu tấn công này, cuộc tấn công mạo danh các trang web và hướng lưu lượng truy cập đến trang web giả mạo. Người dùng không ngờ có thể bị lừa gửi dữ liệu nhạy cảm như chi tiết đăng nhập, số thẻ tín dụng, v.v. Cách tấn công này hay gặp khi sử dụng Facebook và kẻ gây hại sẽ đưa cho bạn 1 giao diện web giống y xì Facebook.
- Pharming: Với kiểu tấn công này, kẻ tấn công thỏa hiệp các máy chủ Hệ thống tên miền (DNS) hoặc trên máy tính của người dùng để lưu lượng truy cập được chuyển đến một trang web độc hại.
- Định hướng (Defacement): Kiểu tấn công này, kẻ tấn công thay thế trang web của tổ chức bằng một trang khác có chứa tên, hình ảnh của hacker và có thể bao gồm nhạc nền và tin nhắn
Các công cụ tấn công máy chủ Webserver cơ bản
- Metasploit : Đây là một công cụ nguồn mở để phát triển, thử nghiệm và sử dụng mã khai thác. Nó có thể được sử dụng để khám phá các lỗ hổng trong các máy chủ web và viết các khai thác có thể được sử dụng để thỏa hiệp máy chủ.
- MPack : Đây là một công cụ khai thác web. Nó được viết bằng PHP và được hỗ trợ bởi MySQL là công cụ cơ sở dữ liệu. Khi một máy chủ web đã bị xâm nhập bằng MPack, tất cả lưu lượng truy cập đến nó được chuyển hướng đến các trang web tải xuống độc hại.
- Zeus: Công cụ này có thể được sử dụng để biến một máy tính bị xâm nhập thành bot hoặc zombie. Bot là một máy tính bị xâm nhập được sử dụng để thực hiện các cuộc tấn công dựa trên internet. Botnet là một tập hợp các máy tính bị xâm nhập. Botnet sau đó có thể được sử dụng trong một cuộc tấn công từ chối dịch vụ hoặc gửi thư rác.
- Neosplit : Công cụ này có thể được sử dụng để cài đặt chương trình, xóa chương trình, sao chép nó, v.v.
Cách bảo vệ máy chủ khỏi các cuộc tấn công
- Quản lý bản vá, điều này liên quan đến việc cài đặt các bản vá để giúp bảo mật máy chủ. Một bản vá là một bản cập nhật sửa lỗi trong phần mềm. Các bản vá có thể được áp dụng cho hệ điều hành và hệ thống máy chủ web.
- Quét lỗ hổng của hệ thống với các công cụ như Snort, NMap, Scanner Access Now Easy (SANE)
- Tường lửa có thể được sử dụng để ngăn chặn các cuộc tấn công DoS đơn giản bằng cách chặn tất cả lưu lượng truy cập đến địa chỉ IP nguồn xác định của kẻ tấn công.
- Phần mềm diệt Virus có thể được sử dụng để xóa phần mềm độc hại trên máy chủ
- Vô hiệu hóa quản trị từ xa
- Tài khoản mặc định và tài khoản không sử dụng phải được xóa khỏi hệ thống
- Các cổng mặc định như FTP ở cổng 21 nên được thay đổi thành cài đặt cổng tùy chỉnh