PHPBB3 bị tấn công bởi sâu XRumer

Chủ nhật - 10/05/2009 09:57

PHPBB3 bị tấn công bởi sâu XRumer

Như VnExpress đã đưa tin, công nghệ CAPTCHA của Google đã bị qua mặt bởi một loại sâu. Sự việc còn nguy hiểm hơn cảnh báo của Bkis bởi vì sâu này được kết hợp bởi các công nghệ cao cấp nhất hiện nay. Và một sự thật chắc chắn: các forum sử dụng PHPBB, VBB, IBF sẽ bị tấn công.
Bkis đã bỏ qua cảnh báo rằng sâu này có thể tấn công vào các forum sử dụng công nghệ CAPTCHA hiện nay như VBB, PHPBB, IBF... mặc cho các hệ thống này đã được thiết lập ở mức an ninh tương đối cao.

Cơ chế đăng ký tự động điền dữ liệu vào các form trên Website đã có từ lâu và bị ngăn chặn bởi một loạt các công nghệ Web như: chặn IP, chặn User name, chặn email, sử dụng mã an ninh (CAPTCHA)... nhưng hiện nay tất cả các công nghệ này đã bị hacker qua mặt. Bằng chứng là một loại sâu mới đang tấn công các hệ thống Forum như VBB, PHPBB, IBF.

Thử nghiệm ban đầu của Mangvn.Org cho thấy loại sâu này có thể tự động điền dữ liệu ngẫu nhiên có quy tắc, biết sử dụng Proxy để qua mặt hệ thống kiểm tra IP, biết sử dụng các email khác nhau Gmail, Yahoomail & nhiều loại địa chỉ email khác để qua mặt hệ thống kiểm tra email. Nguy hiểm nhất, chúng có thể tự kích hoạt tài khoản khi bị ép kích hoạt hiệu lực qua email. Điều này cho thấy rằng việc loại Sâu này vượt qua hệ thống hàng rào an ninh CAPTCHA của Google & yahoo là có thật, có như vậy chúng mới kiểm soát được các địa chỉ hòm thư có thật để tự động kích hoạt thư gửi qua email đăng ký.

Ngay bây giờ các quản trị viên sử dụng hệ thống forum VBB, PHPBB, IBF ngay lập tức phải bật chế độ an toàn cao nhất & kiểm tra danh sách thành viên của mình thường xuyên. Nếu không đến khi Webhosting thông báo khi CSDL của bạn vượt quá dung lượng cho phép thì lúc đó sẽ là quá muộn để khắc phục hậu quả.

Cách kiểm tra hiện tại là kiểm tra thủ công, trong đó chú ý các thành viên có dấu hiệu sau:
  • Username có tên kỳ lạ, tên dài hoặc viết HOA - thường đầu từ,
  • Sử dụng tiếng Anh, Nga, Đức... trong khi Website của bạn bằng tiếng Việt.
  • Địa chỉ Website ghi vào đăng ký dài một cách bất thường.
  • Khai báo quá đầy đủ thông tin một cách bất thường.
Cách tạm thời để chống lại loại sâu này như sau (dành cho người biết lập trình web):
  • Bạn hãy thay đổi lại cấu trúc khai báo các trường dữ liệu, thêm một vài trường khai báo bắt buộc với các quy tắc khiến người đăng ký buộc phải đọc-hiểu.
  • Áp dụng cơ chế an ninh logic: trả lời câu hỏi bằng số (Ví dụ: buộc người đăng ký trả lời câu hỏi ngẫu nhiên như: một cộng chín lăm bằng mấy?)
Vì cơ chế của sâu này là cơ chế đăng ký tự động lập trình sẵn, do đó nó chỉ có thể qua mặt các cấu trúc khai báo thông dụng và đã được lập trình, nếu bạn thay đổi cấu trúc này liên tục thì sẽ hạn chế được việc tấn công.

Thông tin mới nhất từ thử nghiệm của mangvn.org trên một diễn đàn như sau:

Cấu hình diễn đàn 1:
PHPBB3.0.4 (bản mới nhất tại thời điểm này).
Cơ chế đăng ký: Kích hoạt qua email.
Tỉ lệ đăng ký tự động & kích hoạt thành công do sâu tạo ra: 15%

Cấu hình diễn đàn:
PHPBB3.0.4 (bản mới nhất tại thời điểm này).
Cơ chế đăng ký: Kích hoạt qua email.
Cơ chế chống Spam: Mã CAPTCHA độ nhiễu trung bình.
Tỉ lệ đăng ký tự động và kích hoạt thành công do sâu tạo ra: số liệu ban đầu cho khoảng 4%

Diễn đàn càng phổ biến & thiết đặt an ninh càng thấp thì tỉ lệ xâm chiếm với những đăng ký giả mạo thành công càng cao. Ví dụ như trang vinabb.com, một website đi đầu trong phong trào cổ vũ PHPBB tại Việt Nam đang bị sâu XRumer tấn công rất mạnh mà không hề hay biết.


Hiện nay vinabb.com vẫn đang bị tấn công bởi các đăng ký giả mạo.
Đăng ký giả mạo rất dễ nhận ra bởi các dấu hiệu kỳ quặc như: Quốc gia lạ hoắc (ở đây là Apganistan); Tên tiếng Anh được viết hoa-thường rất quy củ (ví dụ: SountySpepe); khai báo đầy đủ các thông tin một cách không bình thường (địa chỉ Web site dài ngoằng)...


Mặc dù trang đăng ký đã được bật mã an ninh.


vinabb.com có dấu hiệu bị tấn công từ cuối năm 2008.


Và bị tấn công rất mạnh vào đầu năm 2009 với tỉ lệ đăng ký giả mạo/đăng ký thực là khoảng 65%

Phân tích ban đầu cho thấy mã CAPTCHA của PHPBB3 và của Google đều sử dụng cơ chế tạo mã an ninh dựa trên một mã phát sinh IDkey. Việc tạo IDkey là ngẫu nhiên, tuy nhiên mỗi IDkey sẽ tạo ra một mã an ninh riêng, có thể chính điểm yếu này là nguyên nhân khiến CAPTCHA dễ bị qua mặt hơn, thậm chí không cần tới máy chủ trung gian đọc mã CAPTCHA như Bkis phân tích.

Đây là cơ chế tạo mã an ninh kiểu cũ mà hay được các web site sử dụng. Mã nguồn mở NukeViet 2.0 beta cũng sử dụng cơ chế này tuy nhiên đây chưa phải là đối tượng tấn công chính bởi vì mã nguồn này chủ yếu được người Việt Nam sử dụng. Tuy nhiên các Webmaster nên cảnh giác. Bản nâng cấp mới nhất của NukeViet là NukeViet 2.0 RC1 sử dụng công nghệ tạo mã an ninh dựa trên session không để lộ IDkey nên có mức độ an toàn cao hơn. Các quản trị Web nên chú ý nâng cấp mã nguồn lên phiên bản mới nhất để bảo vệ site mình một cách hiệu quả hơn.

Thông tin thêm về sâu XRumer: http://en.wikipedia.org/wiki/XRumer
Website trợ giúp chống Spam: http://www.stopforumspam.com/

Tổng số điểm của bài viết là: 5 trong 1 đánh giá

Xếp hạng: 5 - 1 phiếu bầu
Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Ủng hộ, hỗ trợ và tham gia phát triển NukeViet

1. Ủng hộ bằng tiền mặt vào Quỹ tài trợ NukeViet Qua tài khoản Paypal: Chuyển khoản ngân hàng trực tiếp: Người đứng tên tài khoản: NGUYEN THE HUNG Số tài khoản: 0031000792053 Loại tài khoản: VND (Việt Nam Đồng) Ngân hàng Vietcombank chi nhánh Hải...

Thăm dò ý kiến

Bạn biết gì về NukeViet 4?

Thống kê truy cập
  • Đang truy cập163
  • Máy chủ tìm kiếm3
  • Khách viếng thăm160
  • Hôm nay17,724
  • Tháng hiện tại701,648
  • Tổng lượt truy cập50,037,944
  • Google phát hành search engine hỗ trợ tìm kiếm những tệp datasets

    Mục đích của Google luôn là giúp tổ chức, mã hóa và sắp xếp thông tin của thế giới với mục tiêu đầu tiên của nó là những trang web thương mại. Giờ đây, hãng muốn làm điều tương tự cho cộng đồng khoa học với một công cụ tìm kiếm mới cho bộ dữ liệu.
  • NukeViet tham gia OpenTechSummit Vietnam 2019

    OpenTechSummit là một chuỗi sự kiện về công nghệ tập trung vào các giải pháp phần cứng, phần mềm và các dự án nguồn mở ở khắp nơi trên thế giới được tổ chức thường niên từ 2009 đến nay. Năm nay, OpenTechSummit Vietnam 2019 với chủ đề “The future is FOSS" được tổ chức bởi 3 đối tác: FOSSASIA (Singapore), VFOSSA và Officience Vietnam diễn ra tại thành phố Hồ Chí Minh từ ngày 11-12/10/2019. NukeViet lần đầu mang đến sự kiện này thông tin về NukeViet 5.0 và giải pháp Autoweb dành cho các nhà phát triển web.
  • Google DNS hỗ trợ bảo mật DNS-over-TLS

    Google đã hỗ trợ giao thức bảo mật DNS-over-TLS, các nhà cung cấp dịch vụ sẽ không thể giám sát website bạn truy cập.
  • Google thử nghiệm tính năng ‘DNS over HTTPS’ (DoH) trong Chrome 78

    Ngay sau khi Mozilla công bố kế hoạch sớm bật ‘ DNS over HTTPS ‘ (DoH) cho người dùng Firefox ở Hoa Kỳ, Google hôm nay cho biết họ đang lên kế hoạch thử nghiệm công nghệ tập trung vào quyền riêng tư trong Chrome 78 sắp tới
  • Nhân Hòa tích hợp NukeViet vào Cloud365 và demo tại SFD 2019

    Ngày hội phần mềm tự do nguồn mở - Software Freedom Day (SFD) là sự kiện thường niên, được tổ chức hằng năm trên thế giới. Tại Việt Nam, SFD được tổ chức và quảng bá bởi Câu lạc bộ Phần mềm tự do nguồn mở (VFOSSA). Tại SFD 2019, Nhân Hòa giới thiệu Cloud365 tích hợp sẵn NukeViet.
  • Thông báo phát hành NukeViet 4.3.07

    NukeViet 4.3.07 tiếp tục là bản tiếp theo của thế hệ NukeViet 4.3. Phiên bản này tập trung vào sửa lỗi và thực hiện một số tối ưu hệ thống đồng thời bổ sung một vài tính năng nhỏ.
  • Người sử dụng sẽ sớm có thể cài đặt NukeViet tự động từ Softaculous

    NukeViet sẽ sớm có thể cài đặt tự động từ các control panel phổ biến như cPanel, DirectAdmin, Plesk thông qua Softaculous
 
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây