Tổng quan Local Attack là gì? Các cách chống Local Attack hiệu quả

Nhiều vụ việc đánh cắp thông tin vẫn hằng ngày xảy ra trên nhiều doanh nghiệp trong và ngoài nước. Hầu hết nguyên nhân là vì chúng ta vẫn chưa trang bị đủ kiến thức để tự bảo vệ và phòng tránh sự tấn công từ bên ngoài. Để ngăn chặn sự xâm nhập bất hợp pháp này, chúng ta cần nắm kiến thức về local attack. Vậy bản chất local attack là gì? Hacker làm sao thực hiện local attack và làm cách nào để chống lại local attack?

Hãy theo dõi bài viết dưới đây của Enweb để cùng tìm hiểu câu trả lời ngay nhé!

Định nghĩa local attack là gì?

Nhiều người thắc mắc câu hỏi local attack là gì khi nhắc đến các vụ tấn công qua mạng. Bản chất local attack là một cách thức tấn công phổ biến nhằm vào một hoặc nhiều website hoạt động trên cùng 1 server máy chủ. Cách tấn công này sử dụng những đoạn mã được khai thác bằng các ngôn ngữ lập trình máy tính như ASP.net, PHP, Python,…

Những đoạn mã được sử dụng để tấn công local attack được gọi là Shell. Khi thực hiện tấn công trên website, các đoạn mã Shell được gọi bằng tên khác là WebShell.

Nguyên nhân phổ biến thường thấy nhất đó là do bạn sử dụng shared hosting, tức là bạn đi thuê hosting sử dụng thay vì mua hẳn nó. Và tất nhiên, khi sử dụng chung một máy chủ, khả năng cao là có nhiều lỗ hổng bảo mật để hacker trà trộn vào. Vì khi có một website bảo mật kém hoặc bị tấn công, lập tức ảnh hưởng đến các website khác. Nguy cơ cao là toàn bộ website trên server bị tấn công đánh cắp dữ liệu.

Xem ngay: Localhost đã từ chối kết nối – Cách khắc phục

Khi tải lên một đoạn file shell lên server, các hacker ngay lập tức dùng câu lệnh shell để khai thác tất cả thông tin cá nhân hoặc nhạy cảm của khách hàng như email, tài khoản username, mật khẩu,…Nghiêm trọng hơn là chúng tước đoạt quyền điều khiển tài khoản và thực hiện các hành vi xấu trên website của bạn. Nhiều trường hợp chúng còn phá hủy dữ liệu của tất cả dữ liệu của các site khác trên cùng server máy chủ đó.

Ví dụ về tấn công Local Attack

Khi bạn muốn lưu trữ dữ liệu của một website lên server, bạn sẽ được cấp tài khoản người dùng user1 và thư mục để quản lý site của bạn. Tương tự người khác cũng thuê không gian lưu trữ trên server này, có tài khoản user2. Cứ như vậy có khoảng 10 khách hàng đang sử dụng dịch vụ shared hosting tại máy chủ server.

Sau đó, hacker tấn công một user có độ bảo mật kém, có nhiều lỗ hổng như SQL injection, XSS,… và tải lên file shell vào server chủ. Lúc này, chúng chiếm quyền điều khiển tài khoản người dùng user đó, lấy tài khoản này làm bàn đạp để sang tấn công những site còn lại. Hệ quả là 1 website bị tấn công kéo theo 9 website còn lại bị liên lụy và bị mất dữ liệu.

Nguy hiểm hơn, chúng có thể mua một tài khoản hosting, trà trộn vào hệ thống website trên server rồi tự tiến hành tấn công local attack. Với cách thức tấn công này, website của bạn không tránh khỏi tình trạng bị tấn công local attack.

Xem thêm: Làm web giá rẻ Đà Nẵng

Có những hình thức tấn công nào của Local Attack?

Tiếp theo chúng ta cùng tìm hiểu xem, những kỹ thuật tấn công local attack là gì để thấy sự nguy hiểm của kiểu tấn công này nhé.

Có hai hình thức tấn công nguy hiểm thường gặp nhất là:

• Bypass safe_mode: Safe mode được biết đến là một giải pháp giúp giải quyết vấn đề bảo mật trong shared hosting. Các hacker sẽ lợi dụng chức năng của safe mode để tấn công local attack vào các share server.
• Symlink: Là kỹ thuật tấn công gián tiếp vào những thư mục có cấu trúc hệ thống như trong ví dụ trên. Tức là bạn muốn tấn công tài khoản user2 bằng cách thông qua tấn công user1 trước rồi từ đó tấn công ngược lại user2.

Ngoài ra còn có một hình thức tấn công không chuyên nghiệp nhưng vẫn được sử dụng đó là kỹ thuật Brute Force – Đoán mật khẩu. Nhiều quản trị viên vẫn đặt mật khẩu và tên user mặc định hoặc đặt những kiểu mật khẩu dễ nhớ mà chúng ta thường thấy, dễ đoán như 12345678, 87654321, admin, ngày sinh,…Một khi đoán đúng, hacker sẽ tải file shell lên shared server để thực hiện đánh cắp dữ liệu.

Xem ngay: Lỗi không truy cập được trang web – 10 cách khắc phục hiệu quả

Quá trình diễn ra Local Attack

Sau khi tìm hiểu khái niệm local attack là gì, chúng ta cần tìm hiểu và nắm quá trình local attack diễn ra như thế nào. Từ đó mới áp dụng các phương thức phòng chống local attack hiệu quả. Thường quá trình này diễn ra với 4 giai đoạn như sau:

Giai đoạn 1: Xác định mục tiêu

Bước đầu tiên đầu tiên trong tấn công local attack là gì. Đó chính là cần xác định rõ mục tiêu cần tấn công là site nào. Các hacker sẽ tiến hành thao tác quét sơ lược qua thông tin về tên miền domain, IP hosting mà trang web bị nhắm đến đang sử dụng. Chúng sẽ thu thập thông tin về mã nguồn website đó điều hành, các plugin có khả năng mắc lỗi để khai thác.

Sau khi quét sơ bộ mà không tìm thấy bất kỳ lỗi gì, chúng sẽ tiến hành dùng công cụ Reverse IP để quét và tìm tất cả các trang web cùng chạy IP server với site mục tiêu. Hacker có thể dùng các công cụ như:

• [SUB]myIPneighbors[/SUB]
• [SUB]seologs[/SUB]
• [SUB]huehacker[/SUB]
• [SUB]Whois[/SUB]
• [SUB]FreeReverseIp[/SUB]
• [SUB]…[/SUB]

Giai đoạn 2: Chiếm quyền điều khiển của một website cùng server với mục tiêu

Đây là giai đoạn tiếp theo để trả lời cho câu hỏi quá trình diễn ra local attack là gì. Ở bước này, sau khi hacker tìm được tất cả các website đang chạy cùng địa chỉ server với site mục tiêu, chúng sẽ tìm kiếm những website có độ bảo mật thấp, có khả năng dính lỗi rồi tấn công bằng một vài kỹ thuật như SQL Injection, Reverse Directory Transversal, khai thác các bug,…

Những kẻ tin tặc này sẽ thực hiện tấn công dồn dập cho đến khi chiếm đoạt quyền kiểm soát của website an ninh yếu này. Từ đó upload file webshell lên shared server rồi tấn công vào trang web mục tiêu.

Giai đoạn 3: Thu thập thông tin về mục tiêu

Tại bước này, hacer sẽ tiến hành thu thập thông tin, nghiên cứu các dữ liệu xung quanh website mục tiêu như cách thức phân quyền, cấu trúc thư mục, user nào điều khiển,…Mục đích là phỏng đoán được user tương ứng với mỗi website, đặc điểm của user đó và tìm được thư mục gốc. Chúng sẽ sử dụng hai câu lệnh sau để truy xuất dữ liệu cần thiết:

• cat /etc/passwd: Chứa thông tin về danh sách các user trong hệ thống
• cat /etc/valiases: Chứa thông tin về danh sách các website nằm trong hệ thống

Xem ngay: Cách đăng ký hosting miễn phí đơn giản, hiệu quả nhất

Giai đoạn 4: Tấn công mục tiêu

Đây là giai đoạn cuối trong quá trình tấn công local attack là gì. Trong giai đoạn này, chúng sẽ tấn công trực tiếp vào website mục tiêu tương tự như cách thức ở giai đoạn 2. Chúng sẽ đánh trực tiếp vào các thư mục và user phân quyền để chiếm quyền điều khiển website mục tiêu. Quá trình tấn công này diễn ra liên tục sau khi chúng thực hiện thành công chiếm đoạt 1 website.

Chúng sẽ lấy cắp thông tin nhạy cảm của những site chạy trong cùng server như cấu trúc thư mục, nội dung của file cấu hình PHP, MySQL, tài khoản người dùng gồm tên và mật khẩu,…Thậm chí chúng tạo backdoor để âm thầm tấn công trong lần tiếp theo hay xóa hết dữ liệu nhằm mục đích phá hoại.

Các biện pháp ngăn chặn Local attack hiệu quả

Có nhiều biện pháp phòng chống local attack, tuy nhiên để đạt hiệu quả tốt nhất cần sự tham gia và phối hợp chặt chẽ cả từ hai phía: người quản trị server và người quản trị website.

1. Từ phía nhà quản trị server (hosting provider)

Không thể không nói, trách nhiệm nâng cao và bảo vệ server vẫn là nhiệm vụ bắt buộc và quan trọng nhất từ phía người quản trị server. Họ cần trang bị cá phần mềm, công cụ để chủ động phòng chống local attack như:

• Firewall: Là tường lửa để tăng tính bảo mật, hạn chế việc truy cập bất hợp pháp từ bên ngoài
• Anti-virus: Có chức năng phát hiện và xử lý những chương trình độc hại hoặc những shell có nguy cơ gây hại đến server
• Cài đặt và sử dụng Mod-Security, suPHP hoặc Safe_Mode PHP
• Thường xuyên cập nhật các phiên bản mới cho máy chủ server, cho các phần mềm ứng dụng hoạt động trong server. Vì thông thường các phiên bản cũ sẽ có những lỗ hổng, sau khi được phát hiện sẽ được nhà phát triển chữa lỗi và cập nhật lên phiên bản mới. Nếu bạn không cập nhật, các hacker sẽ dò tìm các lỗi này để đột nhập vào hệ thống server.
• Tổ chức phân quyền hệ thống thích hợp cho server. Bạn cần quy định mỗi tài khoản người dùng riêng, số lượng tài khoản trên mỗi server và giới hạn quyền tối thiểu cho tài khoản đó.

  

Xem ngay: Thiết kế trang web Đà Nẵng 

2. Từ phía quản trị website (customer)

Mặc dù hiểu khái niệm local attack là gì cũng như trách nhiệm của những người chủ quản trị server, bạn không được vì thế mà chủ quan, hoàn toàn ủy thác trách nhiệm bảo vệ lên một phía. Bạn cần thực hiện các biện pháp cũng như tuân thủ các phương pháp phòng chống hình thức tấn công local attack sau đây:

• Vận dụng tính năng PHP safe_mode
• CHMOD cho các thư mục và file trên hệ thống. Với file, bạn nên CHMOD 600, còn với thư mục bạn nên CHMOD 701
• Bạn nên thường xuyên sao lưu backup dữ liệu để có thể khôi phục lại dữ liệu khi bạn gặp tình huống website bị tấn công local attack và bị mất hết dữ liệu
• Không nên sử dụng một mật khẩu chung cho nhiều tài khoản, tránh trường hợp mất 1 sẽ mất luôn cả 10
• Nên đặt mật khẩu mạnh, có chứa kết hợp chữ in hoa, chữ in thường, chữ số và ký tự đặc biệt
• Nên sử dụng VPS hoặc Dedicated hosting nếu bạn có tài chính để hạn chế thấp nhất khả năng bị tấn công local attack
• Thường xuyên quét và rà soát dữ liệu để kiểm tra dữ liệu có bị dính mã độc hay không

Nếu bạn đang sở hữu trang web WordPress, bạn nên thực hiện vài thủ thuật sau để bảo vệ dữ liệu của website:

• Thay đổi vị trí hoặc giấu luôn vị trí file wp-config.php
• Thay đổi security key thành security key salt của WP.org
• Thay đổi tiền tố wp- trong database prefix thành tiền tố khác
• Tuyệt đối không được cài đặt các plugin, theme hoặc các mã nguồn không rõ nguồn gốc
• …..

Cách phòng chống Local Attack trên centos

Ngoài tìm hiểu các cách phòng local attack là gì đã nêu ở trên, các bạn có thể tham khảo thêm cách chống hình thức tấn công này trên Centos như sau:

Đầu tiên bạn vào File /etc/php.ini rồi thực hiện 2 bước bên dưới.

Bước 1: Disable những func sau

Mã text:

PASSTHRU, SYSTEM, SHELL_EXEC, EXEC, VIRTUAL, SOCKET_ACCEPT, SOCKET_BIND, SOCKET_CLEAR_ERR, SOCKET_CLOSE, SOCKET_CONNECT, SOCKET_CREATE_LISTE, PROC_TERMINATE, PCNTL_EXEC, PUTENV, PROC_CLOSE, PROC_GET_STATUS, PROC_NICE, PROC_OPEN, POPEN, PCLOSE, SET_TIME_LIMIT, ESCAPESHELLCMD, ESCAPESHELLARG, DL, SHOW_SOURCE,INI_ALTER, OPENLOG, POSIX_GETPWUID, SYMLINK, INI_RESTORE, CHROOT, CHOWN, CHGRP, POSIX_SETEGID, POSIX_SETEUID, POSIX_SETGID, POSIX_SETPGID, POSIX_SETSID, POSIX_SETUID, POSIX_KILL, SYSLOG, APACHE_CHILD_TERMINATE, APACHE_SETENV, DEFINE_SYSLOG_VARIABLES, OPENLOG, PHP_UNAME, PHP_MKDIR, FOPEN, FCLOSE, BASE64_DECODE, GZINFLATE

Bước 2: Bật chế độ Safe_mode

Mã text:

SAFE_MODE = ON

Lời kết

Vậy là trên đây chúng ta vừa tìm hiểu khái niệm local attack là gì, những hình thức tấn công của local attack hay quá trình mà các hacker thực hiện phương thức tấn công này. Từ đó chúng ta tìm hiểu những biện pháp phòng chống lại loại tấn công đầy nguy hiểm này. Các bạn phải tự trang bị kiến thức cho bản thân mình thì mới có khả năng bảo vệ website cũng như bình tĩnh ứng biến khi chẳng may gặp phải tấn công.

Hy vọng bài viết đã cung cấp thêm nhiều thông tin hữu ích cho các bạn. Hãy theo dõi chúng tôi để cập nhật những bài viết thú vị khác nhé. Hẹn gặp lại các bạn ở những bài viết sau.