Vào khoảng 20h ngày 08/03/2015, website chính thức của trường ĐH Luật Hà Nội tại địa chỉ: hlu.edu.vn đã bị 1 nhóm hacker tấn công và thay đổi giao diện.

HLU2

Một đoạn mã HTML đã được chèn vào trang chủ website, nội dung các bài viết cũng đã bị thay đổi. Hacker đã chèn dòng chữ với nội dung “HACKED —- Jannina Weigel! Just test your site —– CHINA!”. Nội dung này cho thấy nhóm hacker có thể đến từ Trung Quốc và mục đích của họ là chỉ để kiểm tra tính bảo mật của website.

HLU

Ngoài ra, một bài viết với nội dung “HACKED !” và một hình “mặt cười” cũng được đăng trực tiếp lên trang chủ của website. Theo quan sát của cá nhân tôi thì rất có thể tin tặc đã khai thác lỗ hổng “SQL Injection” đang tồn tại trên website. Lỗ hổng này cho phép hacker thao tác trực tiếp với cơ sở dữ liệu của hệ thống, tải các tệp tin độc hại lên hệ thống. Tuy chưa rõ mục đích thực sự của việc này là gì nhưng việc một website bị hack và thay đổi nội dung chứng tỏ website đã bị hacker kiểm soát và chiếm được quyền điều khiển. Hacker có thể đăng tải bất kỳ thông tin gì lên các website, biến website thành trung tâm phát tán mã độc (lây lan đến những người dùng trực tiếp truy cập vào website), biến website thành các điểm chứa cho các form phishing nhằm mục đích lừa những người dùng khác.

Phishing: Hacker sẽ tạo ra các trang website giả mạo để dụ người dùng nhập các thông tin cá nhân và gửi cho hacker. Ví dụ, hacker sẽ tạo ra các mẫu đăng nhập giống hệt mẫu đăng nhập của ngân hàng A và lừa người dùng đăng nhập vào trang web lừa đảo này từ đó lấy được thông tin tài khoản ngân hàng của người dùng.

Để đảm bảo an toàn, quản trị các website bị hack nên thực hiện theo các bước sau

  • Kiểm tra tính an toàn của các mật khẩu các tài khoản quản trị của hệ thống (Tài khoản trang quản trị, tài khoản remote (ssh) đến máy chủ, tài khoản FTP, mysql…), để đảm bảo an toàn quản trị cần thay đổi toàn bộ các tài khoản, mật khẩu này.
  • Rà soát cáctệp tin lạ, webshell, backdoor có thể đã được tin tặc đưa vào mã nguồn, hệ thống tệp tin của websites. Rà các form giả mạo (phishing) có thể đã được hacker chèn vào website để phục vụ cho các quá trình lừa đảo khác mà hacker thực hiện.
  • Cập nhật các bản vá, cập nhật phiên bản mới cho các hệ thống, dịch vụ, nền tảng mà website đang sử dụng.
  • Phân tích Log của hệ thống, thực hiện kiểm tra, đánh giá bảo mật cho website để phát hiện và khắc phục sớm các nguy cơ bảo mật đang tồn tại trên hệ thống.
  • Tắt hoặc cấu hình ẩn các dịch vụ không cần thiết.

09h00: Trang web này đã hoạt động trở lại bình thường.

Screen Shot 2015-03-09 at 12.24.35

#Cập nhật: 12h00 Trang web đang ở trong tình trạng không thể truy cập kèm theo một thông báo lỗi tài nguyên.

Chia sẻ bài viết này