PHPBB3 bị tấn công bởi sâu XRumer

Thứ bảy - 09/05/2009 22:57

PHPBB3 bị tấn công bởi sâu XRumer

Như VnExpress đã đưa tin, công nghệ CAPTCHA của Google đã bị qua mặt bởi một loại sâu. Sự việc còn nguy hiểm hơn cảnh báo của Bkis bởi vì sâu này được kết hợp bởi các công nghệ cao cấp nhất hiện nay. Và một sự thật chắc chắn: các forum sử dụng PHPBB, VBB, IBF sẽ bị tấn công.
Bkis đã bỏ qua cảnh báo rằng sâu này có thể tấn công vào các forum sử dụng công nghệ CAPTCHA hiện nay như VBB, PHPBB, IBF... mặc cho các hệ thống này đã được thiết lập ở mức an ninh tương đối cao.

Cơ chế đăng ký tự động điền dữ liệu vào các form trên Website đã có từ lâu và bị ngăn chặn bởi một loạt các công nghệ Web như: chặn IP, chặn User name, chặn email, sử dụng mã an ninh (CAPTCHA)... nhưng hiện nay tất cả các công nghệ này đã bị hacker qua mặt. Bằng chứng là một loại sâu mới đang tấn công các hệ thống Forum như VBB, PHPBB, IBF.

Thử nghiệm ban đầu của Mangvn.Org cho thấy loại sâu này có thể tự động điền dữ liệu ngẫu nhiên có quy tắc, biết sử dụng Proxy để qua mặt hệ thống kiểm tra IP, biết sử dụng các email khác nhau Gmail, Yahoomail & nhiều loại địa chỉ email khác để qua mặt hệ thống kiểm tra email. Nguy hiểm nhất, chúng có thể tự kích hoạt tài khoản khi bị ép kích hoạt hiệu lực qua email. Điều này cho thấy rằng việc loại Sâu này vượt qua hệ thống hàng rào an ninh CAPTCHA của Google & yahoo là có thật, có như vậy chúng mới kiểm soát được các địa chỉ hòm thư có thật để tự động kích hoạt thư gửi qua email đăng ký.

Ngay bây giờ các quản trị viên sử dụng hệ thống forum VBB, PHPBB, IBF ngay lập tức phải bật chế độ an toàn cao nhất & kiểm tra danh sách thành viên của mình thường xuyên. Nếu không đến khi Webhosting thông báo khi CSDL của bạn vượt quá dung lượng cho phép thì lúc đó sẽ là quá muộn để khắc phục hậu quả.

Cách kiểm tra hiện tại là kiểm tra thủ công, trong đó chú ý các thành viên có dấu hiệu sau:
  • Username có tên kỳ lạ, tên dài hoặc viết HOA - thường đầu từ,
  • Sử dụng tiếng Anh, Nga, Đức... trong khi Website của bạn bằng tiếng Việt.
  • Địa chỉ Website ghi vào đăng ký dài một cách bất thường.
  • Khai báo quá đầy đủ thông tin một cách bất thường.
Cách tạm thời để chống lại loại sâu này như sau (dành cho người biết lập trình web):
  • Bạn hãy thay đổi lại cấu trúc khai báo các trường dữ liệu, thêm một vài trường khai báo bắt buộc với các quy tắc khiến người đăng ký buộc phải đọc-hiểu.
  • Áp dụng cơ chế an ninh logic: trả lời câu hỏi bằng số (Ví dụ: buộc người đăng ký trả lời câu hỏi ngẫu nhiên như: một cộng chín lăm bằng mấy?)
Vì cơ chế của sâu này là cơ chế đăng ký tự động lập trình sẵn, do đó nó chỉ có thể qua mặt các cấu trúc khai báo thông dụng và đã được lập trình, nếu bạn thay đổi cấu trúc này liên tục thì sẽ hạn chế được việc tấn công.

Thông tin mới nhất từ thử nghiệm của mangvn.org trên một diễn đàn như sau:

Cấu hình diễn đàn 1:
PHPBB3.0.4 (bản mới nhất tại thời điểm này).
Cơ chế đăng ký: Kích hoạt qua email.
Tỉ lệ đăng ký tự động & kích hoạt thành công do sâu tạo ra: 15%

Cấu hình diễn đàn:
PHPBB3.0.4 (bản mới nhất tại thời điểm này).
Cơ chế đăng ký: Kích hoạt qua email.
Cơ chế chống Spam: Mã CAPTCHA độ nhiễu trung bình.
Tỉ lệ đăng ký tự động và kích hoạt thành công do sâu tạo ra: số liệu ban đầu cho khoảng 4%

Diễn đàn càng phổ biến & thiết đặt an ninh càng thấp thì tỉ lệ xâm chiếm với những đăng ký giả mạo thành công càng cao. Ví dụ như trang vinabb.com, một website đi đầu trong phong trào cổ vũ PHPBB tại Việt Nam đang bị sâu XRumer tấn công rất mạnh mà không hề hay biết.


Hiện nay vinabb.com vẫn đang bị tấn công bởi các đăng ký giả mạo.
Đăng ký giả mạo rất dễ nhận ra bởi các dấu hiệu kỳ quặc như: Quốc gia lạ hoắc (ở đây là Apganistan); Tên tiếng Anh được viết hoa-thường rất quy củ (ví dụ: SountySpepe); khai báo đầy đủ các thông tin một cách không bình thường (địa chỉ Web site dài ngoằng)...


Mặc dù trang đăng ký đã được bật mã an ninh.


vinabb.com có dấu hiệu bị tấn công từ cuối năm 2008.


Và bị tấn công rất mạnh vào đầu năm 2009 với tỉ lệ đăng ký giả mạo/đăng ký thực là khoảng 65%

Phân tích ban đầu cho thấy mã CAPTCHA của PHPBB3 và của Google đều sử dụng cơ chế tạo mã an ninh dựa trên một mã phát sinh IDkey. Việc tạo IDkey là ngẫu nhiên, tuy nhiên mỗi IDkey sẽ tạo ra một mã an ninh riêng, có thể chính điểm yếu này là nguyên nhân khiến CAPTCHA dễ bị qua mặt hơn, thậm chí không cần tới máy chủ trung gian đọc mã CAPTCHA như Bkis phân tích.

Đây là cơ chế tạo mã an ninh kiểu cũ mà hay được các web site sử dụng. Mã nguồn mở NukeViet 2.0 beta cũng sử dụng cơ chế này tuy nhiên đây chưa phải là đối tượng tấn công chính bởi vì mã nguồn này chủ yếu được người Việt Nam sử dụng. Tuy nhiên các Webmaster nên cảnh giác. Bản nâng cấp mới nhất của NukeViet là NukeViet 2.0 RC1 sử dụng công nghệ tạo mã an ninh dựa trên session không để lộ IDkey nên có mức độ an toàn cao hơn. Các quản trị Web nên chú ý nâng cấp mã nguồn lên phiên bản mới nhất để bảo vệ site mình một cách hiệu quả hơn.

Thông tin thêm về sâu XRumer: http://en.wikipedia.org/wiki/XRumer
Website trợ giúp chống Spam: http://www.stopforumspam.com/

Tổng số điểm của bài viết là: 5 trong 1 đánh giá

Xếp hạng: 5 - 1 phiếu bầu
Click để đánh giá bài viết

Những tin mới hơn

Những tin cũ hơn

Logo và tên gọi NukeViet

Tên gọi: NukeViet phát âm là [Nu-Ke-Việt], đây là cách đọc riêng, không phải là cách phát âm chuẩn của tiếng Anh. Ý nghĩa: NukeViet là từ ghép từ chữ Nuke và Việt Nam. Sở dĩ có tên gọi này là vì phiên bản 1.0 và 2.0 của NukeViet được phát triển từ mã nguồn mở PHP-Nuke. Mặc dù từ phiên bản 3.0,...

Thăm dò ý kiến

Bạn biết gì về NukeViet 4?

Thống kê truy cập
  • Đang truy cập66
  • Máy chủ tìm kiếm1
  • Khách viếng thăm65
  • Hôm nay35,287
  • Tháng hiện tại160,544
  • Tổng lượt truy cập98,360,861
Left-column advertisement
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây