Deface là gì? Tấn công Deface là một dạng tấn công đặc biệt khi mà mà mục tiêu tấn công là các giao diện website. Thường chúng ta chỉ quan tâm đến việc bảo vệ dữ liệu khỏi các kỹ thuật tấn công phổ biến như Phishing, Social Engineering hoặc DDoS. Tuy nhiên, Deface website cũng là một vấn đề cần được chú ý để phòng tránh. Mời bạn cùng tìm hiểu chi tiết hơn về hình thức này qua bài viết sau đây của VinaHost.

1. Tấn công Deface là gì?

Tấn công Deface là việc thay đổi giao diện trực quan của một trang web bằng cách xâm nhập vào máy chủ website và chỉnh sửa nội dung.

Hacker thường tận dụng các lỗ hổng hoặc điểm yếu bảo mật để thực hiện tấn công này. Trong quá trình Deface, SQL Injection thường được sử dụng để đăng nhập vào tài khoản admin và kiểm soát trang web, đây là phương pháp phổ biến nhất.

deface là gì — Tấn công Deface là việc thay đổi giao diện trực quan của một trang web bằng cách xâm nhập vào máy chủ website và chỉnh sửa nội dung.

Trong phần lớn các trường hợp, việc thực hiện kỹ thuật này thường chỉ dùng để nhận biết những điểm yếu trong cách duy trì bảo mật máy chủ của quản trị viên và không gây ra hậu quả nghiêm trọng. Tuy nhiên, vẫn có những trường hợp, các tin tặc sử dụng Deface như một phương tiện để che đậy các hoạt động nguy hiểm khác mà họ thực hiện trên máy chủ, như việc cài đặt mã độc hoặc xóa các tập tin.

2. Tấn công Deface là kiểu tấn công gì?

Các cuộc tấn công Deface trang web rất khác biệt so với các mối đe dọa an ninh mạng khác vì thường thì kẻ tấn công hiếm khi tìm cách thu lợi từ hành động này. Thay vì cố gắng thực hiện các hành động như đánh cắp thông tin đăng nhập của người dùng hoặc gian lận tiền bạc, tấn công Deface thường chỉ nhằm thu hút dư luận.

Các hacker chọn tấn công Deface để làm mất hình ảnh của chính phủ hoặc tổ chức, gây gián đoạn cho hoạt động của trang web đó hoặc chỉ để thông báo rằng họ đã hack hành động.

Xem thêm: DoS, DDoS là gì? | Dấu hiệu, Xử lý & Phòng chống DDoS

3. Tại sao Website lại bị Deface?

Website bị tấn công Deface có nhiều nguyên nhân. Một trong những lý do chính là việc hệ thống vẫn tồn tại những lỗ hổng bảo mật, tạo điều kiện cho tin tặc có thể xâm nhập và khai thác chúng.

Tin tặc có thể sử dụng các kỹ thuật như tải file lên máy chủ (bypass upload fckeditor), chiếm quyền truy cập với vai trò quản trị viên hệ thống (phương pháp SQL Injection), thậm chí thực hiện tấn công trên các website an toàn nếu chúng được lưu trữ trên cùng một máy chủ bị tấn công (local attack).

Các trường hợp mà các cuộc tấn công Deface có thể khai thác thành công bao gồm:

Sử dụng mật khẩu đơn giản, không đủ mạnh để đảm bảo bảo mật, và thiếu cơ chế chống lại các cuộc tấn công brute force, điều này cho phép hacker sử dụng các công cụ dò mật khẩu để tìm ra mật khẩu đăng nhập vào hệ thống.
Sử dụng các module, plugin, extension… từ các mã nguồn mở (thường thấy ở các platform như WordPress, Joomla…).
Mật khẩu bị tiết lộ.

4. Ví dụ minh hoạ về tấn công Deface

Một ví dụ điển hình về loại tấn công Deface có thể được nhắc đến là vụ tấn công của một nhóm tin tặc từ Trung Quốc vào hệ thống thông tin của sân bay Tân Sơn Nhất, khiến toàn bộ màn hình hiển thị và hệ thống phát thanh bị thay đổi, gây ra sự hoang mang và ảnh hưởng đến lịch trình chuyến bay của hành khách. Hoặc như vụ tấn công vào trang web của Bộ Giáo dục do hacker trẻ Bùi Minh Trí gây ra, khiến dư luận xôn xao vào năm 2007.

Vào năm 2018, BBC đã thông báo rằng một trang web lưu trữ dữ liệu của bệnh nhân, được quản lý bởi Dịch vụ Y tế Quốc gia Vương quốc Anh (National Health Service – NHS), đã bị tin tặc đánh cắp. Cuộc tấn công Deface này đã hiển thị thông báo “Bị tấn công bởi AnoaGhost” và sau đó bị xóa trong vài giờ, gây lo ngại về sự an toàn của dữ liệu y tế mà NHS đang quản lý.

5. Những trường hợp website bị hacker tấn công Deface

Như đã đề cập ở trên, website có thể bị tấn công Deface do nhiều nguyên nhân khác nhau liên quan đến các lỗ hổng bảo mật hệ thống. Các trường hợp mà website có thể bị tấn công Deface bao gồm:

5.1. Lỗi SQL Injection

Lỗi SQL Injection là kỹ thuật mà hacker thường tận dụng dựa trên các lỗ hổng hệ thống liên quan đến các câu truy vấn trên trang web. Tin tặc sử dụng các lỗ hổng trong các kênh đầu vào của trang web để tiêm (inject) và thực thi các câu lệnh truy vấn không hợp lệ. Tin tặc có thể thực hiện các hoạt động như xóa, chèn, cập nhật,… trên cơ sở dữ liệu để chiếm quyền quản trị hệ thống và truy cập vào cơ sở dữ liệu của máy chủ.

5.2. Lỗi Cross Site Scripting (XSS)

Lỗ hổng XSS cho phép tin tặc chèn các đoạn mã độc, thường là JavaScript hoặc HTML, vào trang web và các mã này sẽ được thực thi trên trình duyệt của người dùng. Trong trường hợp này, người dùng chính là đối tượng bị ảnh hưởng, không phải trang web. Các đoạn mã độc được gửi đến trình duyệt của người dùng sẽ thực thi và truyền thông tin của họ qua các kênh mà tin tặc đã định trước.

5.3. Lỗ hổng Remote File Include

Lỗ hổng này cho phép tin tặc sử dụng các tệp tin được lưu trữ từ xa để include và thực thi trên máy chủ mục tiêu. Thông thường, tin tặc sẽ sử dụng RFI để thực thi mã độc trên cả máy chủ và máy người dùng, nhằm đánh cắp tạm thời session token, dữ liệu người dùng hoặc tải lên các webshell, mã độc để xâm nhập vào toàn bộ hệ thống.

Các trang web sử dụng PHP có nguy cơ cao bị ảnh hưởng bởi các cuộc tấn công này do chúng sử dụng số lượng lớn lệnh include và thiết lập server mặc định.

5.4. Lỗ hổng bảo mật Local file inclusion

Lỗ hổng này xuất hiện trong quá trình include file cục bộ trên máy chủ và dễ bị khai thác khi đầu vào của người dùng chứa đường dẫn đến file mà cần phải được include. Nếu không có cơ chế kiểm tra đầu vào này, tin tặc có thể can thiệp bằng cách sử dụng các tên file mặc định có chứa các ký tự đặc biệt như “/”, “./”, “-“, và truy cập trái phép chúng, từ đó thu thập các thông tin trả về chứa các tệp tin nhạy cảm.

5.5. Không cập nhật, mật khẩu yếu

Bằng kỹ thuật brute force, kẻ tấn công có thể dễ dàng thử các mật khẩu admin. Các mật khẩu yếu, không đủ độ dài, và không chứa ký tự đặc biệt sẽ dễ bị đánh cắp. Các module, plugin, extension có phiên bản cũ thường dễ bị ảnh hưởng bởi các lỗi bảo mật đã được công bố (các CVE) hoặc các trang web sử dụng mã nguồn mở như Joomla hoặc WordPress cũng có thể bị tấn công Deface.

Xem thêm: [Tìm Hiểu] Trojan là gì? | Dấu hiệu & Ngăn chặn Virus Trojan

6. Cách để phát hiện bị Deface?

Hacker thường nhắm đến các trang web mặc định như index.php, index.html, home.html, default.html… khi sử dụng kỹ thuật Deface. Trong trường hợp này, chỉ cần xử lý các trang này để đảm bảo website hoạt động bình thường.

Nếu kẻ tấn công không thay đổi nội dung của các trang đó, việc phát hiện sự xâm nhập vào hệ thống sẽ trở nên khó khăn. Cảnh báo thường đến từ việc truy cập website hoặc thông qua nhà cung cấp dịch vụ hosting.

7. Cách phòng chống tấn công Deface

Càng có nhiều lỗ hổng bảo mật trên website, càng tăng cơ hội cho kẻ tấn công lợi dụng những lỗ hổng đó. Để ngăn chặn các cuộc tấn công Deface, bạn có thể thực hiện những biện pháp dưới đây.

7.1. Quét mã nguồn của website

Nếu bạn có kiến thức về công nghệ, bạn có thể tự kiểm tra các phần mềm độc hại trên trang web của mình. Quét mã nguồn của trang web là một phương pháp hiệu quả để phòng tránh tấn công Deface.

Bạn nên có quyền truy cập vào trình quản lý file được cung cấp bởi máy chủ tên miền hoặc giao thức truyền file để kiểm tra trang web. Tìm kiếm hai thuộc tính script và <iframe> để quét các URL. Những URL không tuân thủ các thuộc tính này có thể bị nhiễm mã độc.

7.2. Giới hạn truy cập

Việc cấp quá nhiều tài khoản admin cho website tạo ra cơ hội cho tin tặc tấn công vào các trang đăng nhập bằng cách lợi dụng các lỗi từ con người gây ra. Vì vậy, hạn chế số lượng tài khoản quản trị và giới hạn quyền truy cập cho từng tài khoản là điều cần thiết.

7.3. HTTPS

Từ góc nhìn của người dùng, việc sử dụng HTTPS đóng vai trò quan trọng trong bảo mật của website. Chứng nhận SSL đảm nhận nhiệm vụ chuyển đổi trang web từ HTTP sang HTTPS, bảo vệ việc truyền dữ liệu nhạy cảm giữa người dùng và máy chủ, từ đó ngăn chặn hacker tạo ra các phiên bản sai của trang web.

Xem thêm: HTTP, HTTPS là gì? Tại sao Website nên sử dụng HTTPS

7.4. Lựa chọn mật khẩu mạnh

Sử dụng một mật khẩu mạnh là biện pháp bảo mật cơ bản nhất và vẫn hiệu quả qua mọi thời đại. Hãy thay đổi tên người dùng mặc định, ví dụ như “Admin”, thành một tên khó đoán hơn. Nếu bạn cho phép đặt lại mật khẩu qua email, không cung cấp địa chỉ email được liên kết với tài khoản cho người yêu cầu mật khẩu mới.

7.5. SQL Injection

Đây là một trong những cách phổ biến nhất để đạt được quyền truy cập trái phép vào trang web của bạn. Kẻ lừa đảo có thể chèn mã vào các vùng cho phép và có thể truy cập vào cơ sở dữ liệu của bạn. Hãy giới hạn độ dài ký tự vì hầu hết các mã không kích hoạt các ký tự cụ thể, từ đó không thể được triển khai.

7.6. Lựa chọn plugin kỹ càng

Hacker thường nhắm vào các mục tiêu dễ bị tấn công và có sức hấp dẫn. Nghiên cứu chỉ ra rằng các trang web thường bị tấn công là những trang sử dụng nhiều plugin và tính năng bổ sung. WordPress là một ví dụ điển hình, với từ 6 đến 10 plugin dễ bị tấn công.

Dựa trên nhận định đó, để chống lại các cuộc tấn công Deface, bạn cần cẩn thận khi chọn lựa các plugin và ứng dụng. Hãy đảm bảo chỉ sử dụng các plugin có giá trị thực sự cho website của bạn. Kiểm tra và gỡ bỏ hoàn toàn các plugin, theme đã được vô hiệu hóa trong bảng điều khiển.

Các plugin không còn sử dụng có thể trở nên lỗi thời và tạo ra lỗ hổng bảo mật. Điều này thường là nguyên nhân chính dẫn đến các cuộc tấn công. Nhà sản xuất thường phát hành các bản cập nhật chứa các bản vá lỗ hổng, vì vậy hãy đảm bảo cập nhật ngay khi có phiên bản mới nhất.

7.7. Cài đặt trình quét website tự động

Dù bạn có khả năng tự kiểm tra website để loại bỏ các phần mềm độc hại nhưng thực hiện thủ công không phải là phương pháp hiệu quả và tối ưu nhất. Các công cụ quét website tự động đóng vai trò quan trọng trong việc duy trì và vận hành hệ thống website mà không tốn quá nhiều thời gian. Các công cụ này sẽ giúp phát hiện các hoạt động bất thường, theo dõi cơ sở dữ liệu web, phát hiện và vá lỗ hổng khi cần thiết, cũng như loại bỏ các phần mềm độc hại khi chúng được phát hiện.

8. Cách để khắc phục khi bị tấn công Deface

Nếu website của bạn bị tấn công Deface, hãy thực hiện các bước sau để khôi phục lại trang web của bạn.

8.1. Bước 1. Khắc phục tạm thời

Khi phát hiện website bị tấn công Deface, quản trị viên cần kiểm tra và loại bỏ các tài khoản không xác định trên hệ thống, thay đổi mật khẩu cho các tài khoản trong cơ sở dữ liệu, cũng như tài khoản quản trị, FTP, SSH, phpmyadmin,… Đồng thời, thông báo “Hệ thống đang trong quá trình bảo trì hoặc nâng cấp” cần được phát ra để thông báo với khách hàng và tạm thời ngừng truy cập, nhằm tránh ảnh hưởng đến danh tiếng và uy tín của doanh nghiệp hoặc tổ chức.

8.2. Bước 2. Rà soát xử lý

Để xác định các tập tin đã bị thay đổi, bạn cần so sánh chúng với bản sao lưu trước đó bằng cách sử dụng lệnh “# dif -qr” hoặc “#md5sum”. Sau khi xác định được tập tin có vấn đề, bạn cần kiểm tra kỹ lưỡng bằng các trình soạn thảo để phát hiện các hàm nguy hiểm được sử dụng trong webshell. Hãy chú ý kiểm tra cơ sở dữ liệu và phân tích tình trạng hiện tại.

8.3. Bước 3. Phân tích và xử lý file độc hại

Sau khi thực hiện phân tích tình trạng và xác định các tập tin có chứa mã độc hại, bạn sẽ áp dụng các kỹ thuật để phân tích hành vi của những mã độc đó, giới hạn và theo dõi các kết nối đến server. Cuối cùng, thực hiện quá trình loại bỏ bằng cách dừng tiến trình, xóa tập tin shell, và loại bỏ các key khởi động để xóa chúng khỏi server bị nhiễm virus.

8.4. Bước 4. Xác định, vá lỗ hổng

Khi phát hiện ra các lỗ hổng trên website của bạn, hãy hợp tác với các bộ phận chuyên môn để khắc phục chúng, cập nhật phiên bản mới nhất cho mã nguồn, các module, và plugin.

8.5. Bước 5. Điều tra địa chỉ nguồn tấn công

Sau khi đã giải quyết được hậu quả của cuộc tấn công Deface, hãy cố gắng tìm kiếm thông tin về máy chủ điều khiển, địa chỉ của những người thực hiện cuộc tấn công và gửi yêu cầu hỗ trợ điều tra đến các cơ quan chức năng, đồng thời phát ra cảnh báo cho các bên liên quan.

8.6. Bước 6: Đưa website hoạt động lại

Sau khi đã giải quyết hậu quả của cuộc tấn công, việc đưa website trở lại hoạt động bình thường cần được thực hiện nhanh chóng để tránh làm gián đoạn hoạt động của doanh nghiệp hoặc tổ chức.

Trong quá trình vận hành website, việc theo dõi và sao lưu dữ liệu đều đặn là rất quan trọng, cũng như thực hiện các biện pháp bảo mật hiệu quả để ngăn chặn các sự cố không mong muốn.

Chi phí phục hồi website sau các cuộc tấn công Deface thường cao hơn nhiều so với việc đầu tư vào các biện pháp ngăn chặn chúng từ trước. Do đó, để tránh lãng phí và tránh ảnh hưởng đến uy tín của doanh nghiệp, việc đầu tư vào biện pháp bảo vệ website từ giai đoạn ban đầu là điều cần thiết.

9. Các câu hỏi thường gặp về tấn công Deface

Dưới đây là các câu hỏi phổ biến.

9.1. Mục đích thường thấy của các cuộc tấn công Deface là gì?

Mục tiêu cuối cùng của cuộc tấn công Deface thực tế không phải là vì mục đích lợi ích bất chính, mà là để tạo ra sự rối loạn, làm gián đoạn quá trình hoạt động của website. Trong tình huống này, những kẻ tấn công thường để lại dấu hiệu để thông báo rằng họ đã thâm nhập vào hệ thống, thường là thông qua hình ảnh hoặc biểu tượng đặc trưng nào đó.

9.2. Hacker làm gì để tấn công Deface website?

Để thực hiện việc hack một website và thay đổi nội dung của nó, hacker thường sẽ tiến hành như sau: Lấy cắp thông tin xác thực của quản trị viên web hoặc tận dụng lỗ hổng trong các thành phần của trang web, ví dụ như thực hiện một cuộc tấn công SQL injection (SQLi) hoặc cross-site scripting (XSS). Cuối cùng, họ có thể lây nhiễm phần mềm độc hại vào thiết bị của quản trị viên.

9.3. Cách để bảo mật website chống tấn công Deface là gì?

Việc sử dụng các biện pháp sau có thể giúp phòng tránh các cuộc tấn công Deface:

Thực hiện quét shell hoặc các mã độc trên máy chủ khi phát hiện sự cố, sau đó xác định nguyên nhân và tải lên phiên bản mã nguồn mới để khắc phục.
Kiểm tra dữ liệu của website thường xuyên, chú ý đến thời gian mà các tập tin và thư mục được thay đổi.
Sao lưu dữ liệu thường xuyên theo định kỳ để có thể khôi phục ngay khi cần.
Hạn chế cài đặt các module, plugin, extension không cần thiết hoặc không có nguồn gốc rõ ràng. Nếu cần, hãy tải từ các nguồn tin cậy.
Thay đổi mật khẩu quản trị định kỳ và lưu trữ chúng một cách an toàn. Sử dụng mật khẩu mạnh có chứa cả ký tự số và ký tự đặc biệt.
Hạn chế số lượng quản trị viên trên hệ thống.

Xem thêm: [BEST] – Khắc phục website mã độc với (Wordfence)

9.4. Website bị tấn công Deface có lấy lại được không?

Khôi phục website bị Deface có thể thực hiện được, nhưng đòi hỏi nhiều thời gian và nguồn lực. Nhìn chung, các cuộc tấn công Deface không đặc biệt nghiêm trọng. Điều quan trọng đầu tiên bạn cần làm là thông báo cho khách hàng về tình trạng của website để họ hiểu được vấn đề bạn đang đối mặt. Sau đó, tiến hành các bước khôi phục như đã trình bày trong bài viết.

Xem thêm:

9.5. Hacker sẽ bị xử lý như thế nào nếu thực hiện hành vi Deface?

Đối với các hacker thực hiện hành vi Deface, khi bị phát hiện, cần xem xét mức độ nghiêm trọng của cuộc tấn công để có thể đưa ra quyết định pháp lý phù hợp dựa trên quy định của Pháp luật Việt Nam.

10. Tổng kết

Rõ ràng, không ai muốn trở thành mục tiêu của các cuộc tấn công Deface, vì vậy hãy tập trung vào việc bảo mật trang web của bạn để đảm bảo không có lỗ hổng nào làm cho hacker có thể xâm nhập.

Hy vọng rằng qua bài viết, bạn đã hiểu rõ tấn công Deface là gì, biết được sự khác biệt giữa tấn công Deface và các loại tấn công an ninh mạng khác, từ đó có thể áp dụng những biện pháp phòng ngừa phù hợp. Bạn có thể truy cập vào Blog của VinaHost TẠI ĐÂY để xem thêm nhiều bài viết hấp dẫn khác. Hoặc liên hệ ngay cho chúng tôi khi bạn cần hỗ trợ nhé: