Khẩn cấp
KIỂU TẤN CÔNG SUBDOMAIN RANDOM KÝ TỰ BỊ INDEX NỘI DUNG BẨN
Gần đây cộng đồng SEO sôi nổi việc khá nhiều hệ thống bị tấn công khi website xuất hiện nhiều subdomain với các ký tự random và bị Google index nội dung bẩn (Hình 1). Các bạn có thể tự kiểm tra cho site mình bằng cách search Google như sau:
———
intitle:bet site:domain[.]com
———
Có nhiều tranh cãi lỗi này là do website bị hack. Tuy nhiên điều này không đúng, vì subdomain được trỏ đến IP khác với domain chính (Hình 2).
Về phía server, nếu để server chấp nhận xử lý subdomain thì cần can thiệp cấu hình ở webserver và cần quyền quản trị hệ thống. Các website bị hack thường không thể có quyền root/administrator. Lỗi này xuất phát từ việc attacker đã can thiệp vào cấu hình DNS của domain.
Chiều nay Hưng đã thảo luận cùng các anh em cộng động Quản Trị Linux, sau đó trao đổi với các bên liên quan thì chính thức xác nhận lỗi này là do cấu hình DNS của domain bị chỉnh sửa và chèn thêm record như sau:
————–
– name: *
– type: CNAME
– value: domain của attacker
————–
Điều này khiến cho các subdomain có random ký tự bị trỏ về server của attacker và server này sẽ quyết định nội dung được hiển thị.
Lỗi không xuất phát từ hệ thống, mà xuất phát từ việc account quản trị domain của user đã bị lộ. Attacker đã lợi dụng các nhà cung cấp cho phép SỬ DỤNG DOMAIN LÀM USERNAME để đăng nhập vào phần quản trị.
Attacker đã thu thập danh sách domain của các nhà cung cấp này và tiến hành bruteforce password. Các domain có mật khẩu yếu sẽ bị đoán được password dẫn tới tình trạng trên.
Để khắc phục, hãy mau chóng vào phần quản trị domain để xoá record bị thêm vào, đổi mật khẩu thành mật khẩu mạnh (chứa các ký tự hoa, thường, số, ký tự đặc biệt và dài từ 10 ký tự trở lên)
Để an toàn hơn, hãy đổi luôn password email quản trị domain. Nếu xui xui attacker tiến hành tranfer domain đi chỗ khác thì niệm luôn đó
Chia sẻ từ Hưng Nguyễn
Ai có domain bên MB thì cẩn thận nha. Kiểm tra ngay lập tức