Những trường hợp tấn công được phát hiện trong nhật ký truy cập

 (nishtahir.com)
1 điểm bởi GN⁺ 2024-01-29 | 1 bình luận | Chia sẻ qua WhatsApp

Phân tích nhật ký truy cập của kẻ tấn công

  • Khi để lộ một IP ra Internet công cộng, lưu lượng độc hại sẽ lập tức đổ vào.
  • Một trong những kiểu tấn công thường gặp là tấn công duyệt thư mục nhằm tìm tệp .env.
  • Kẻ tấn công cũng dò tìm các tệp phổ biến khác như thông tin xác thực và tệp cấu hình AWS, kho Git, v.v.
  • Cũng có các cuộc tấn công tìm kiếm những thư mục phổ biến mà quản trị viên có thể vô tình để lộ.
  • Kẻ tấn công cũng cố gắng tìm các công cụ truy cập từ xa và công cụ cấu hình phổ biến.

Shellshock

  • Đã phát hiện các cuộc tấn công khai thác lỗ hổng Shellshock.
  • Lỗ hổng này nhắm vào các máy chủ web chạy script CGI bằng những phiên bản bash dễ bị ảnh hưởng.
  • Kẻ tấn công có thể chèn hàm vào biến môi trường HTTP_USER_AGENT để thực thi lệnh tùy ý.

LuCI Injection

  • Đã phát hiện các cuộc tấn công nhắm vào giao diện web LuCI của router OpenWRT.
  • Cuộc tấn công chèn lệnh nhằm tải xuống và thực thi shell script được lưu trữ trên máy chủ từ xa.

Zyxel Injection

  • Đã phát hiện các cuộc tấn công dường như khai thác lỗ hổng có thể sử dụng trên thiết bị Zyxel.
  • Cuộc tấn công sử dụng zhttpd để chèn lệnh shell vào URL.

Ý kiến của GN⁺:

  1. Bài viết này nhấn mạnh tầm quan trọng của bảo mật bằng cách cho thấy sự đa dạng của các cuộc tấn công mạng nhắm vào IP công khai và mức độ rủi ro của chúng.
  2. Bài viết cho thấy các lỗ hổng cũ như Shellshock vẫn đang bị khai thác, qua đó nhắc lại tầm quan trọng của việc liên tục cập nhật hệ thống và vá lỗ hổng.
  3. Việc kẻ tấn công nhắm vào các công cụ và thư mục phổ biến nhấn mạnh tầm quan trọng của việc chỉ công khai tối thiểu các dịch vụ cần thiết, đồng thời bổ sung xác thực và giới hạn IP khi cần.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-01-29
Ý kiến trên Hacker News
  • Điều thú vị là những kẻ tấn công theo dõi các chứng chỉ mới được cấp để tìm mục tiêu. Chỉ trong vòng vài giờ sau khi nhận chứng chỉ từ Let's Encrypt, máy chủ đã nhận hàng trăm lần thử truy cập. Bài học rút ra là cần siết chặt bảo mật cho máy chủ mới càng sớm càng tốt trước khi nó bị lộ ra Internet.
  • Trước đây, khi quản lý các trang tự lưu trữ, tôi từng xem xét access log và dùng IDS để gắn cờ các nỗ lực tấn công. Nhưng rồi tôi ngừng việc rà soát log và trả tiền cho IDS. Thay vào đó, tốt hơn là tìm những nội dung hữu ích tóm tắt các lỗ hổng và kiểu tấn công phổ biến để áp dụng vào quản trị máy chủ, đồng thời ưu tiên chu kỳ vá lỗi nhanh. Log rất hữu ích để chẩn đoán sau khi sự cố xảy ra.
  • Tác giả nói rõ mình không phải chuyên gia bảo mật, đồng thời chỉ ra rằng ví dụ đầu tiên trong bài không phải là directory traversal mà là dò tìm thông tin xác thực và cấu hình. Directory traversal là kỹ thuật cho phép kẻ tấn công thoát ra khỏi web root hoặc buộc máy chủ phục vụ nội dung nằm ngoài các thư mục hợp lệ.
  • Điều quan trọng là chạy fail2ban trên máy chủ và thêm các jail tùy chỉnh để chặn các kiểu tấn công đặc thù với chức năng mà trang web cung cấp. Đã đến lúc kiểm tra xem cấu hình mặc định của fail2ban còn hiệu quả hay không.
  • Vấn đề là nhiều cuộc tấn công đến từ các quốc gia thù địch. Dù còn gây tranh cãi, việc chặn dải IP từ các quốc gia không có giao dịch với mình có thể hữu ích. Bằng cách này, có thể chặn toàn bộ hoạt động dò quét nhắm vào dịch vụ mới.
  • Trong khoảng một năm vận hành máy chủ HTTP/S do tự thiết kế, tôi đã nhận rất nhiều lưu lượng từ kẻ tấn công trên các cổng mở (22, 80, 443), nhưng không có thời gian phân tích xem họ thực sự đang thử gì. Bài viết này cung cấp rất nhiều thông tin.
  • Nếu đang nhận các log như vậy trên AWS, tôi khuyên nên đặt AWS WAF phía trước VPC để tự bảo vệ mình. Chi phí không quá cao nhưng có thể ngăn ngừa rất nhiều vấn đề.
  • Dựa trên kinh nghiệm nhiều năm quản lý WAF của nhiều công ty khác nhau, có người khuyên rằng chuyển DNS sang Cloudflare và áp dụng một vài quy tắc WAF cho trang web sẽ giúp xử lý vấn đề. WAF không phải thuốc chữa bách bệnh, nên ứng dụng vẫn phải được harden để chống lại tấn công.
  • Trên webhost mà tôi quản lý, kiểu thử tấn công phổ biến nhất liên quan đến WordPress, nhưng tác giả lại không nhắc đến. Có lẽ tác giả đang lưu trữ nội dung WordPress nên không thể phân biệt giữa lưu lượng hợp lệ và tấn công.
  • Thay vì dùng thuật ngữ 'directory traversal', cách gọi đúng là 'directory enumeration'. Traversal thường có nghĩa là thoát khỏi web root bằng các đường dẫn như ../.. /.