Tấn công Deface là gì? Cách phát hiện và khắc phục hiệu quả?

Cách đây vài hôm, có Khách hàng đặt câu hỏi với chúng tôi rằng : “Deface là gì và làm sao để bỏ nó?”. Với các thông tin bên dưới, hy vọng phần nào sẽ giải đáp được các thắc mắc cũng như có thể cảnh báo trước các bạn về độ bảo mật của website và các hệ lụy liên quan.

Xem thêm:

1. Tấn công Deface là gì?

Deface được định nghĩa là tấn công thay đổi nội dung, thông qua một điểm yếu nào đó, hacker sẽ thay đổi nội dung website của nạn nhân. Việc thay đổi nội dung này nhằm một số mục đích :

  • Mục đích cao đẹp: cảnh báo quản trị viên biết website đang tồn tại lỗ hỏng bảo mật / điểm yếu nghiêm trọng….
  • Mục đích không đẹp: chứng tỏ năng lực bản thân, dạng này rất dễ gặp như kiểu hacked by….
  • Mục đích xấu: thù hằn, nội dung thay đổi thường là lăng mạ nạn nhân hoặc nội dung liên quan đến chính trị, tôn giáo…

2. Vì sao website bị Deface?

Có rất nhiều nguyên nhân bị Deface, chủ yếu nhất là website tồn tại điểm yếu bảo mật nghiêm trọng khiến cho hacker có thể upload file lên server (ví dụ: bypass upload fckeditor), hoặc có quyền đăng nhập vào trang quản trị website (ví dụ: SQL Injection), thậm chí nếu website an toàn vẫn bị Deface nếu như hosting khác cùng tồn tại trên 1 server bị tấn công (local attack).

Tấn công Deface

Giao diện một website bị tấn công Deface

Các trường hợp website bị tấn công Deface đa số là do :

  • Đặt mật khẩu quản trị quá yếu ( không đủ độ dài ký tự, không có các ký tự viết hoa, ký tự đặc biệt,… ), thiếu cơ chế chống brute force khiến kẻ tấn công có thể dò password admin.
  • Cài đặt các module, plugin, extension,… trong các mã nguồn mở hiện nay ( thường là các website joomla, WordPress,…).
  • Để lộ mật khẩu quản trị.
  • …v….v….

3. Làm thế nào để phát hiện bị Deface?

Thông thường tấn công Deface chủ yếu là vào các trang mặc định như : index.php, index.html, home.html, default.html, trangchu.html….. thì chỉ cần xử lý các trang mặc định này website sẽ hoạt động lại.

Nhưng nếu hacker không thay đổi nội dung những file trên thì bạn khó thể phát hiện và bạn sẽ nhận được cảnh báo từ việc truy cập website hoặc nhà quản lý hosting.

4. Cách khắc phục khi bị tấn công Deface?

Nếu bạn thực sự là một người quản trị hệ thống hay website, chắc chắn sau tình huống này bạn sẽ tự hỏi rằng: “Tại sao hacker lại tải lên được đoạn mã chứa trang deface?”.

That’s problems, hãy xem những thông tin nhật ký của máy chủ và truy tìm xem, hacker đã làm gì và làm như thế nào trên hệ thống của mình!

Ngoài ra, bạn cũng có thể tham khảo 1 số biện pháp tình thế mà chúng tôi khuyến cáo :

  • Thường xuyên kiểm tra dữ liệu website ( để ý thời gian tập tin, thư mục bị thay đổi ).
  • Có kế hoạch backup dữ liệu cụ thể để lúc cần có thể restore lại ngay.
  • Không nên cài đặt các module, plugin, extension,… không thật sự cần thiết và không rõ nguồn gốc ( nên download module, plugin, extension,…. từ các trang web uy tín ).
  • Nên đổi mật khẩu quản trị theo 1 chu kỳ định sẵn và lưu giữ cẩn thận.

Leave A Comment?