Tìm hiểu về máy chủ web, và cách thức hacker tấn công một máy chủ web.

By | 10:10 am | 05/12/2016

Trong bài viết này, chúng tôi sẽ giới thiệu về các máy chủ web, các kỹ thuật tấn công và cách bảo vệ các máy chủ web từ các cuộc tấn công như vậy.

Chúng tôi sẽ không chịu trách nhiệm về bất cứ hành vi tấn công nào dựa trên tham khảo bài viết này.

Lỗ hổng máy chủ Web

Một máy chủ web là chương trình lưu trữ tập tin (thường là các trang web) và có thể truy cập thông qua mạng hoặc Internet. Sau đây là một số các lỗ hổng phổ biến:

  • Cấu hình mặc định – Kẻ tấn công có thể dễ dàng đoán được các thiết lập như ID và mật khẩu người dùng mặc định. Thiết lập mặc định cũng có thể cho phép thực hiện một số tác vụ như thực thi các lệnh trên máy chủ bị khai thác.
  • Lỗi cấu hình – Sẽ gây nguy hiểm nếu người dùng sử dụng mật khẩu yếu thực thi các lệnh trên máy chủ.
  • Lỗi trong hệ điều hành và máy chủ web cũng có thể được khai thác để truy cập trái phép vào hệ thống.
  • Thiếu các thủ tục và các chính sách an ninh như cập nhật phần mềm chống virus, vá lỗi hệ điều hành và các phần mềm máy chủ web có thể tạo các kẽ hở an ninh.

Các loại máy chủ Web phổ biến:

  • Apache – Đây là máy chủ web thường được cài đặt trên Linux. Hầu hết các trang web PHP được lưu trữ trên máy chủ Apache.
  • Internet Information Services (IIS) – Nó được phát triển bởi Microsoft. Hầu hết các trang web asp và aspx được lưu trữ trên máy chủ IIS.
  • Apache Tomcat – Hầu hết các trang web Java (jsp) được lưu trữ trên máy chủ này.
  • Các máy chủ web khác – bao gồm Web Server của Novell và máy chủ Lotus Domino của IBM.

Các loại tấn công chống lại các máy chủ Web:

  • Directory traversal attacks – Đây là 1 loại tấn công khai thác lỗi trong máy chủ web để truy cập trái phép vào các tập tin và thư mục. Một khi những kẻ tấn công đã đạt được quyền truy cập, họ có thể tải thông tin nhạy cảm, thực thi lệnh trên máy chủ hoặc cài đặt phần mềm độc hại.
  • Denial of Service Attacks – Với kiểu tấn công này, máy chủ web có thể bị sập hoặc trở nên không có sẵn cho người sử dụng hợp pháp.
  • Domain Name System Hijacking – Các thiết lập DNS được thay đổi để trỏ đến máy chủ web của kẻ tấn công. Tất cả lưu lượng lẽ ra phải được gửi đến máy chủ web được chuyển sai hướng.
  • Sniffing – dữ liệu không mã hóa gửi qua mạng có thể bị chặn và được sử dụng để truy cập trái phép vào máy chủ web.
  • Phishing – mạo danh các trang web và chuyển hướng đến một trang web giả mạo.
  • Pharming – kẻ tấn công thỏa hiệp với máy chủ DNS hoặc với máy tính của người dùng để các lưu lượng chuyển đến một trang web độc hại.
  • Defacement – kẻ tấn công thay thế trang web của tổ chức với một trang khác có chứa tên, hình ảnh và có thể bao gồm nhạc nền và tin nhắn của kẻ tấn công.

Ảnh hưởng của các cuộc tấn công:

  • Danh tiếng của một tổ chức có thể bị hủy hoại: kẻ tấn công chỉnh sửa các nội dung trang web bao gồm các thông tin độc hại hoặc liên kết đến một trang web khiêu dâm.
  • Các máy chủ web có thể bị sử dụng để cài đặt phần mềm độc hại. Các phần mềm độc hại được tải về máy tính của người dùng có thể là một virus, Trojan hoặc phần mềm botnet, v..v…
  • Dữ liệu người dùng có thể được sử dụng cho việc gian lận: có thể dẫn đến kinh doanh thua lỗ hoặc khởi kiện từ những người dùng ủy thác thông tin của họ cho tổ chức.

Công cụ tấn công máy chủ Web:

  • Metasploit – Một công cụ mã nguồn mở cho thử nghiệm và sử dụng để khai thác. Nó có thể được sử dụng để phát hiện ra các lỗ hổng trong các máy chủ web và các khai thác được sử dụng để xâm nhập máy chủ.
  • MPack – Là một công cụ khai thác web. Nó được viết bằng PHP và được hỗ trợ bởi MySQL. Khi một máy chủ web đã bị xâm nhập bằng MPack, tất cả lưu lượng sẽ được chuyển hướng đến trang web độc hại.
  • Zeus – công cụ này có thể được sử dụng để biến một máy tính bị nhiễm thành một bot hoặc zombie.
  • Neosplit – công cụ này có thể được sử dụng để cài đặt chương trình, xóa chương trình, sao chép,..v.. v…

Làm sao để tránh các cuộc tấn công vào máy chủ Web?

Một tổ chức có thể áp dụng các chính sách sau đây để bảo vệ chống lại các cuộc tấn công máy chủ web.

  • Patch management – Cài đặt các bản vá lỗi để giúp đảm bảo các máy chủ.
  • Bảo mật các cài đặt và cấu hình của hệ điều hành.
  • Bảo mật các cài đặt và cấu hình của phần mềm máy chủ web.
  • Sử dụng các công cụ như Snort, Nmap, Scanner Access Now Easy (SANE).
  • Sử dụng tường lửa.
  • Phần mềm diệt.
  • Vô hiệu hóa quản trị từ xa.
  • Tài khoản mặc định và các tài khoản không sử dụng phải được xóa khỏi hệ thống.
  • Cổng và cài đặt mặc định (như FTP ở cổng 21) nên được thay đổi (cổng FTP 5069).

Tấn công một WebServer

Giả sử trang web mục tiêu là www.techpanda.org. (Note: Chỉ sử dụng tên miền cho các mục đích giáo dục)

Cần chuẩn bị:

Thu thập thông tin

  • Cần phải có được địa chỉ IP của trang web mục tiêu và tìm các trang web khác có cùng địa chỉ IP.
  • Sử dụng một công cụ trực tuyến để tìm địa chỉ IP của mục tiêu và các trang web khác cùng địa chỉ IP
  • Nhập http://www.yougetsignal.com/tools/web-sites-on-web-server/  vào trình duyệt web.

Reverse_ip_domain_check

  • Nhập vào www.techpanda.org
  • Click vào button Check.
  • Kết quả nhận được như sau:

Reverse_ip_domain_check1

  • Dựa trên các kết quả trên, các địa chỉ IP của mục tiêu là 69.195.124.112. Phát hiện ra rằng có 403 tên miền trên cùng máy chủ web.

Quét các trang web cho lỗ hổng SQL Injection.

  • Nhập URL www.bing.com vào trình duyệt web, không sử dụng công cụ tìm kiếm khác như google hay yahoo.
  • Nhập truy vấn tìm kiếm sau:
            ip: 69.195.124.112 .php?id=
  • Kết quả nhận được như sau:

Reverse_ip_domain_check2

Tải lên PHP Shell:

  • Chúng tôi sẽ không quét bất kỳ trang web nào được liệt kê, bởi đó là bất hợp pháp.
  • Upload shell PHP tải về từ http://sourceforge.net/projects/icfdkshell/
  • Mở URL đã tải lên các tập tin dk.php.
  • Kết quả nhận được như sau:

Reverse_ip_domain_check3

Một khi kẻ tấn công có quyền truy cập vào các tập tin, kẻ tấn công có thể nhận được thông tin đăng nhập vào cơ sở dữ liệu và làm bất cứ điều gì họ muốn như deface, tải dữ liệu như email, v..v…

Theo: guru99.com