Virus xuất hiện trên các website lớn, tại sao ?
Trang 1 trong tổng số 1 trang
Virus xuất hiện trên các website lớn, tại sao ?
admin 25/3/2010, 1:49 pm
Mấy ngày gần đây xuất hiện nhiều site lớn ở Việt nam có tình trạng như sau:
Search trên Google thì bị cảnh báo có virus "Trang web này có thể gây hại cho máy tính của bạn",
ví dụ như trang vtc.com.vn
Sau khi bấm vào link thì nó cảnh báo tiếp :
Ngoài trang này còn có một số trang khác như : vnexpress.net,saigontimes.com.vn,www.hoahoctro.vn,... đặc điểm là có khi bị vào một số giờ trong ngày, không phải tất cả thời gian.
Về mặt cảnh báo thì nó có hiện tượng tương tự như tôi đã cảnh báo trong bài : Một vài kiểu lợi dụng của hacker sau khi tấn công
có nghĩa là một số trang nó chèn vào các đoạn iframe trỏ đến trang của Trung Quốc có chứa mã độc nên Google cảnh báo.
Ở đây có một đặc điểm cần lưu ý là thời gian xuất hiện và hiện tượng này một số server kiểm tra thì khi view-code trên server không thấy xuất hiện thẻ iframe, nhưng người dùng đầu cuối thì lại thấy có, tại sao ?
Một lần tôi đã đề cập đến Man in the middle attack ở đây khả năng này là rất cao. Điều này có thể dễ dàng thực hiện bằng cách tấn công như sau :
- hacker kiểm soát một server sau đó cài virus có khả năng tấn công Man in the middle attack
- virus này có thể có khả năng lây qua mạng
- virus này sẽ tấn công các server cùng mạng
Tôi có thể tóm tắt nhiệm vụ con virus khi MIMT như sau :
- đầu tiên nó tấn công ARP Posioning (ví dụ Packet sniffing with Ettercap (arp spoofing basics)) làm cho các server cùng mạng nhầm tưởng nó là gateway --> tất cả dữ liệu sẽ đi qua server bị nhiễm virus trc khi đi ra ngoài
- nó biến server bị nhiễm thành 1 proxy, sau khi dữ liệu của các server đi qua nó sẽ thay đổi dữ liệu, như hiện tượng ta thấy là nó thêm vào thẻ iframe
--> Như vậy khi đến người sử dụng thì dữ liệu đã thay đổi.
Về thời gian thì có thể giải thích là virus được đặt lịch làm việc đó. Một điểm nữa là khi làm như vậy tốc độ của các trang web bị giảm xuống trông thấy.
Một khả năng khác là có gateway thực sự bị tấn công và nó làm việc tương tự.
Cách khắc phục : liên hệ nhà cung cấp dịch vụ, mô tả hiện tượng để họ giám sát và phát hiện server chứa virus và ngắt ra khỏi mạng.
Với người quản trị mạng của nhà cung cấp DV có thể dùng Wireshark để bắt gói tin và phân tích.
Tôi sẽ tiếp tục cập nhật khi có thông tin mới
Với người dùng Internet : nên cẩn thận khi vào các trang nó bảo download hay click cái gì đấy
Search trên Google thì bị cảnh báo có virus "Trang web này có thể gây hại cho máy tính của bạn",
ví dụ như trang vtc.com.vn
Sau khi bấm vào link thì nó cảnh báo tiếp :
Ngoài trang này còn có một số trang khác như : vnexpress.net,saigontimes.com.vn,www.hoahoctro.vn,... đặc điểm là có khi bị vào một số giờ trong ngày, không phải tất cả thời gian.
Về mặt cảnh báo thì nó có hiện tượng tương tự như tôi đã cảnh báo trong bài : Một vài kiểu lợi dụng của hacker sau khi tấn công
có nghĩa là một số trang nó chèn vào các đoạn iframe trỏ đến trang của Trung Quốc có chứa mã độc nên Google cảnh báo.
Ở đây có một đặc điểm cần lưu ý là thời gian xuất hiện và hiện tượng này một số server kiểm tra thì khi view-code trên server không thấy xuất hiện thẻ iframe, nhưng người dùng đầu cuối thì lại thấy có, tại sao ?
Một lần tôi đã đề cập đến Man in the middle attack ở đây khả năng này là rất cao. Điều này có thể dễ dàng thực hiện bằng cách tấn công như sau :
- hacker kiểm soát một server sau đó cài virus có khả năng tấn công Man in the middle attack
- virus này có thể có khả năng lây qua mạng
- virus này sẽ tấn công các server cùng mạng
Tôi có thể tóm tắt nhiệm vụ con virus khi MIMT như sau :
- đầu tiên nó tấn công ARP Posioning (ví dụ Packet sniffing with Ettercap (arp spoofing basics)) làm cho các server cùng mạng nhầm tưởng nó là gateway --> tất cả dữ liệu sẽ đi qua server bị nhiễm virus trc khi đi ra ngoài
- nó biến server bị nhiễm thành 1 proxy, sau khi dữ liệu của các server đi qua nó sẽ thay đổi dữ liệu, như hiện tượng ta thấy là nó thêm vào thẻ iframe
--> Như vậy khi đến người sử dụng thì dữ liệu đã thay đổi.
Về thời gian thì có thể giải thích là virus được đặt lịch làm việc đó. Một điểm nữa là khi làm như vậy tốc độ của các trang web bị giảm xuống trông thấy.
Một khả năng khác là có gateway thực sự bị tấn công và nó làm việc tương tự.
Cách khắc phục : liên hệ nhà cung cấp dịch vụ, mô tả hiện tượng để họ giám sát và phát hiện server chứa virus và ngắt ra khỏi mạng.
Với người quản trị mạng của nhà cung cấp DV có thể dùng Wireshark để bắt gói tin và phân tích.
Tôi sẽ tiếp tục cập nhật khi có thông tin mới
Với người dùng Internet : nên cẩn thận khi vào các trang nó bảo download hay click cái gì đấy
admin- Thiếu Úy III
- Tổng số bài gửi : 627
Diem : 6552
Thank : 4
Join date : 24/03/2010
Đến từ : Bỉm Sơn - Thanh hóa -
Similar topics» Xuất hiện sâu mới tấn công qua Yahoo! Messenger
» Lập trình virus trên C - viết virus khóa chuột
» Phương pháp phát hiện và phòng tránh virus !!!
» Sử dụng Snort phát hiện một số kiểu tấn công phổ biến hiện nay vào các ứng dụng Web
» Quét virus trực tuyến bằng nhiều bộ máy anti-virus
» Lập trình virus trên C - viết virus khóa chuột
» Phương pháp phát hiện và phòng tránh virus !!!
» Sử dụng Snort phát hiện một số kiểu tấn công phổ biến hiện nay vào các ứng dụng Web
» Quét virus trực tuyến bằng nhiều bộ máy anti-virus
Trang 1 trong tổng số 1 trang
Permissions in this forum:
Bạn không có quyền trả lời bài viết
» Quản Lí Tiến Trình Dùng Thư Viện PSAPI
» xin tai lieu tieng viet
» Theo dõi tiến trình
» Giải pháp Bảo mật của Cisco
» Nghiên cứu và đưa ra giải pháp phòng chống tấn công DoS, DDoS (Phần 1)
» Learn to hack !
» Giải pháp hệ thống dành cho doanh nghiệp với thiết bị mạng Fortinet (Phần 1)
» Ô Long Viên (Tập II)
» những ebook về hack tiếng việt cho người mới tìm hiểu.