Website WordPress bị hack, nguyên nhân do đâu?

Rất nhiều website WordPress bị hack nói riêng cũng như việc nhiều các website khác không phải mã nguồn WordPress bị hack, mình thấy hay, nên xin chia sẻ lại để anh em có cái nhìn đa chiều và hiểu hơn về vấn đề này

Nhân dịp 3000 website bị chèn backlink (tạm gọi là đợt 2), giống như đợt 650 website lần trước (đợt 1), mình chia sẻ lại 1 chút về các nguyên nhân khiến mã độc xuất hiện trên website để các chủ website xác định đúng vấn đề và xử lý hiệu quả, triệt để.

Giới thiệu sơ 1 chút về mình để các bạn quyết định xem có nên tin tưởng vào thông tin mình chia sẻ hay không :

• Giải thưởng "Nhân Tài Đất Việt 2023" của Chính phủ.
• Speaker trình bày để tài "Thực trạng mã độc & BlackSEO tại Việt Nam" tại "Hội thảo và triển lãm An toàn thông tin phía Nam 2024" do Hiệp hội An toàn thông tin Việt Nam tổ chức.
• Đã có rất nhiều bài phân tích, xử lý mã độc website và phát triển công cụ xử lý mã độc bằng Machine Learning + DeepLearning.

Backdoor = Website đã bị kiểm soát​

• Trong quy trình tấn công một mục tiêu, Backdoor được cài đặt ở giai đoạn "Installation" để duy trì quyền truy cập ngay sau giai đoạn "Exploitation" (khai thác) thành công điểm yếu của mục tiêu.
• Để xử lý triệt để mã độc, cần xác định chính xác điểm yếu đã bị Exploit (khai thác).

II. Các cách phổ biến khiến website bị kiểm soát​

1. Dò mật khẩu (Bruteforce): do đặt mật khẩu yếu hoặc mật khẩu đã nằm trong từ điển cơ sở (dictionary) được dùng để dò mật khẩu. Các mật khẩu dùng để tấn công được tạo tự động (Simple Bruteforce), hoặc từ các mật khẩu được thu thập, chia sẻ từ các vụ tấn công mạng trước đó (Dictionary) hoặc kết hợp cả 2 phương pháp để cá nhân hoá vào mục tiêu tấn công (Hybride Bruteforce).

2. Mua tài khoản từ thị trường chợ đen: Các mật khẩu từ các vụ tấn cộng mạng hoặc từ các Virus Infostealer (mã độc nhiễm trên máy tính cá nhân của người dùng đánh cắp các thông tin tài khoản gửi về máy chủ) được rao bán trên các thị trường chợ đen, group chat.

3. Tấn công Credential Stuffing: từ (1) & (2) khi có được account, tiến hành dùng tài khoản này để thử đăng nhập vào nhiều website khác nhau. Nếu mục tiêu sử dụng cùng 1 tài khoản cho nhiều website thì sẽ bị khai thác thành công.

4. Cracked Theme/Plugin: không có bữa trưa nào miễn phí - những người bỏ công bỏ sức để crack và chia sẻ các theme/plugin béo bở cho các bạn thường sẽ tặng kèm 1 thứ gì đó bất ngờ cho bạn!

5. Lỗ hổng bảo mật: Plugin hôm nay an toàn, nhưng ngày mai hoàn toàn có thể xuất hiện các lỗi bảo mật 0-day vừa bị phát hiện dẫn tới website bị khai thác thành công, mất quyền kiểm soát.

6. Local Attack: Từ 1 website bị kiểm soát, sẽ tấn công sang các website khác. Khi xưa thì có thể tấn công chéo giữa các tài khoản Hosting trên cùng 1 server, tuy nhiên hiện nay gần như toàn bộ Hosting Provider đã sử dụng CloudLinux nên việc này đã bị ngăn chặn. Chỉ xảy ra rủi ro cho các website thuộc cùng 1 tài khoản Hosting (cùng 1 người dùng), nếu 1 website bị hack thì hacker sẽ dễ dàng kiểm soát các website còn lại.

7. Mass Exploit: từ các lỗ hổng bảo mật đã biết/mới xuất hiện, attacker sử dụng các công cụ scan & exploit tự động số lượng lớn trên toàn thế giới. Nếu mục tiêu nào bị exploit thành công thì sẽ tự động cài đặt mã độc và báo kết quả ngược về server quản lý. Không chỉ WordPress, kiểu tấn công này còn tấn công vào lỗ hổng của Laravel, Magento, Drupal, ASP[.]NET... Đây là cũng là hướng tấn công chính dẫn tới việc các website gov bị chèn backlink bẩn.

Cả 7 hướng tấn công phổ biến trên mình đều có chia sẻ nhiều lần ở các Hội thảo, nếu các bạn quan tâm, sắp tới mình sẽ làm bài chia sẻ riêng chi tiết cho từng loại tấn công cũng như cách bảo mật.

Cheers,

Nguyễn Hưng - Bo Vietnix

 

Cách tắt xmlrpc.php

[wp102_bot]

Tiếp tục vấn đề đang được thảo luận đông vui ở các group, xin phép một bài viết khá hay từ bác Bềnh bên Tino nữa.

Website bị hack không phải vì bạn xui – mà vì bạn “tiện tay tải chùa”

Tôi từng code 12 năm, không tính 5 năm gần đây chỉ lo chạy deadline cuộc đời. Làm designer 5 năm, chủ yếu để luyện mắt chứ không kiếm được nhiều hơn coder. Sau đó chuyển nghề làm hosting provider – nơi tôi mới thật sự hiểu: hacker không cần giỏi, chỉ cần bạn... sơ suất.

Nói nghe bi kịch vậy, chứ thật ra mấy năm nay tôi thấy buồn cười là chính. Sau đây là vài mẩu chuyện nhỏ, nhưng "ngứa to", mà tôi gom lại từ kho kinh nghiệm có đắp bụi tí xíu.

1. Cài plugin/theme lậu: bạn tưởng được free, nhưng thật ra “free luôn website”​

Website bị hack không phải vì bạn xui – mà vì bạn “tiện tay tải chùa”
Tôi từng code 12 năm, không tính 5 năm gần đây chỉ lo chạy deadline cuộc đời. Làm designer 5 năm, chủ yếu để luyện mắt chứ không kiếm được nhiều hơn coder. Sau đó chuyển nghề làm hosting provider – nơi tôi mới thật sự hiểu: hacker không cần giỏi, chỉ cần bạn... sơ suất.
Nói nghe bi kịch vậy, chứ thật ra mấy năm nay tôi thấy buồn cười là chính. Sau đây là vài mẩu chuyện nhỏ, nhưng "ngứa to", mà tôi gom lại từ kho kinh nghiệm có đắp bụi tí xíu.

1. Cài plugin/theme lậu: bạn tưởng được free, nhưng thật ra “free luôn website”
Bạn nghĩ xài đồ chùa là tiết kiệm? Cũng đúng. Tiết kiệm tiền mua theme, nhưng tốn tiền thuê người gỡ shell.
Nhiều bạn khách thân thiện:
"Anh ơi website em dạo này load hơi chậm."
Tôi vào coi, thấy nó đang redirect đi một vòng từ Việt Nam qua Nhật, Úc, Mỹ, Nga, rồi về lại… sàn cá cược. Quá nhanh, quá nguy hiểm, như một tour du lịch quốc tế dành cho Googlebot.
Lý do? Dùng theme “tải về từ group Facebook, có tới 1K like lận”.
2. GitHub đâu phải thiên đường – có patch nhưng bạn không cập nhật thì cũng như không
Tôi gặp một ông Laravel fan cứng. Build web rất sạch, best practice đủ. Nhưng quên cập nhật package, vì “bận”…
"Sao update Laravel nó dễ lỗi quá vậy anh?"
Ừ thì lỗi thật. Nhưng lỗi nhẹ còn hơn để hacker ngồi mát ăn bát vàng trong server bạn cả năm trời.
Cập nhật không làm bạn cool hơn, nhưng nó giúp bạn không bị biến thành nhân viên vô thời hạn cho đội ngũ spam SEO nước ngoài.
3. Hosting dùng phần mềm crack: tường lửa bọc giấy, bảo mật kiểu cosplay
Một bí mật không mấy hay ho: nhiều server hosting chống hack... bằng phần mềm crack.

• • Antivirus crack.
  • Panel crack.
  • OS chống Local Attack cũng crack nốt.

Có chỗ còn tự chế crack nội bộ, thôi thì đỡ lo hơn. Nhưng crack đi mua lại? Rồi update kiểu lén lút như đang buôn hàng xách tay? Lúc ấy, không phải web bạn đang chạy trên nền tảng an toàn, mà là đang ngồi trên quả bom hẹn giờ phát nổ theo lịch update.
4. Web bị hack từ chính “bạn bè chung server”
Chung hosting – chung hoạ.
Ngày xưa còn cross-site giữa các tài khoản. Giờ nhờ CloudLinux cũng đỡ. Nhưng nếu bạn chơi nguyên combo 10 web trên cùng 1 gói hosting, 1 cái dính shell là cả họ bay màu.
“Ủa em chỉ bị dính có 1 site mà sao 5 site kia cũng redirect sang sòng bài vậy anh?”
Vì bạn quên là tụi nó xài chung cái giường. Một con gián xuất hiện là cả phòng khách sạn bị kiểm tra luôn.
5. Phần mềm bản quyền không phải để sang chảnh, mà là để không bị dính đạn lạc
Cài theme/plugin crack đã đành. Nhưng đến mức cài phần mềm quét mã độc cũng crack thì thôi… bạn không cần hacker nữa đâu, tự mình chơi mình là đủ rồi.
"Em quét hoài mà không thấy gì?"
Ừ thì đúng rồi, đội phòng cháy chữa cháy không còn vòi rồng, chỉ còn cái ấm đun nước, thì làm sao dập nổi cháy từ phòng kế bên?
6. Cập nhật không phải là kẻ thù – “chạy ổn” không đồng nghĩa với “an toàn”
Câu nói kinh điển tôi thường nghe:
"Thôi anh ơi, cái plugin này chạy ổn rồi, em sợ update bị lỗi."
OK, bạn không update. Plugin cũng không update. Nhưng hacker thì update exploit hàng ngày.
Và rồi một hôm, website bạn lên top Google với từ khoá: "cách vào casino không bị chặn".
Chốt hạ: Đừng đổ tại số phận – lỗi là do tư duy “xài chùa” mà không phòng thủ
Làm hệ thống mấy năm, tôi rút ra một điều: nguy hiểm nhất không phải là lỗ hổng kỹ thuật, mà là tư duy tiện tay.

• • Tiện tay xài plugin lậu.
  • Tiện tay dùng hosting “giá rẻ bất ngờ”.
  • Tiện tay bỏ qua update vì… “ổn mà”.

Cuối cùng thì người fix mấy cái “tiện tay” đó lại là tôi, hoặc đội support của bạn, hoặc… không ai hết – vì site đã bay rồi.

Nếu bạn đã từng gặp trường hợp oái oăm nào tương tự, hoặc đơn giản là đang chạy web mà thấy lúc thì redirect, lúc thì popup quảng cáo kỳ lạ, thì: rất có thể bạn đang sống chung với mã độc mà chưa biết.
Đừng để sự nghiệp online của bạn thành “trạm trung chuyển dữ liệu cho hacker quốc tế” chỉ vì vài click tải về nhanh tay.

Cheers,
Một ông coder cũ – designer cũ – host admin và saler đang cày kpi.

Trên đây là bài dự thi kiếm vê bê éch của tôi anh em nhé. không dựa vào dịp nào cả

#CHAOHE