Sau vài phút dòm ngó sơ thì thấy mấy em sài mã nguồn wordpress cũng đổi link login mặc định vào Dashboard, cũng chặn connect từ ngoài vào một số cổng, đổi luôn port các dịch vụ phổ biến như SSH,...Thấy có vẻ cũng khó mà thực hiện ý đồ đen tối rồi.
Đang phút bối rối thì mình chợt nghĩ đến mấy cái lỗi phổ biến mà khá nhiều các bạn admin khác hay bị đó là biết đâu sẽ có thêm chút info nếu scan thử với cái tools cùi cùi của mình để xem có thông tin nào mới hơn như phpinfo hay backup source, backup database,...shell, nói chung qua bước thử vận may rồi khà khà.
Mới chạy được xíu thì nó báo là phát hiện thấy có file có thông tin về phpinfo, đang vui vui được chút, click chuột vào xem có thông tin nào hấp dẫn không thì lại tiếp tục tụt cảm xúc với mấy cái thông số chính như.
- Version của các thành phần chính chạy webserver toàn hàng update mới nhất:
- PHP Version 7.1.17
- nginx/1.14.0
- Mysql cũng mới nốt, rồi còn cái đáng quan tâm nhất là kernel cũng lại là hàng mới nốt.
- Linux server155 2.6.32-696.23.1.el6.x86_64 #1 SMP Tue Mar 13 22:44:18 UTC 2018 x86_64
Thấy có vẻ cũng khó nhai thật sự vì mấy em ấy cũng cẩn thận và chăm chút cho hệ thống của các em ấy nghiêm túc, đang tính bỏ cuộc không làm điều xấu nữa thì ... lại thấy cái cần thấy ở cái tool scan của mình.
- /anonyviet.com.tar.gz
Hơi khó tin chút xíu vì từ đầu tới giờ mình thấy khả năng tồn tại lỗi này gần như là khó có thể xảy ra nhưng thực tế thì nó lại đang tồn tại (sad but true).
Download thử lại bất ngờ lần nữa, cái file thì lớn bà cố hơn 5gb luôn sau khi download xong thì vào extract ra và lại gom info, gần như tất cả đều là info mới và còn sử dụng được bao gồm cả info để kết nối vào database anonyviet.com
Cười thầm cái, quả này thì chắc kèo mấy em anonyviet bị Cò mổ rồi :D.
Lại thêm một lần thất bại vì không thể tìm được cách để connect vào database của website các em ấy đang chạy. Quá cẩn thận.
Thôi thì lại móc thêm chút info của các admin trong database đã backup cùng với source code đó để quăng vào brute-force quay tay tìm vận may nhưng lần này nó vẫn không chịu mỉm cười với mình. Các em sài mật khẩu quá tốt và qua được ải.
Vào nghía lại source thì thấy có cái thư mục chứa hàng tá các tools, code liên quan về hacking, có lẽ của mấy em ấy sưu tầm trong quá trình đi check hoặc đó là nguồn tư liệu để dùng demo cho các bài viết trên website.
Mình mới bắt đầu đi vào quá trình "white box penetration testing" chứ nãy giờ black box nó nhọ quá rồi hu hu. Cũng thấy khá nhiều lỗi ở khá nhiều tool trên đó nhưng nó vẫn chưa làm mình thấy thỏa mãn, mình xem tiếp và vô tình tìm được một cái tool có chứa backdoor là một cái form upload của ai đó.
Thôi thì sài ké luôn cho lẹ vậy, thế là đã kết thúc quá trình "không nghiêm túc" của mình bằng file: /checked.txt trên site của các em và tới hôm nay mới có thời gian viết bài để gởi cho mấy em.
- /checked.txt
Kết luận:
- Sau khi download xong thì không biết có phải các em ấy phát hiện hay là do vô tình mình may mắn vào ngay lúc các em đang backup hệ thống thường kỳ hay không.Nhưng file backup đã được xóa rất nhanh.
- Toàn bộ mọi thông tin, thao tác và quản lý các em ấy đều rất cẩn thận, đây là điểm mạnh mà mình thấy rất vui khi ... mò mẫm hệ thống của các em ấy.
- Tóm lại lần này khả năng cao là mình may mắn vì vừa có source, vừa có database lại có thêm form upload trong đống tools mà các em ấy tổng hợp nên mới vào được.
Cách Fix:
- File backup đã xóa rồi, nhưng sau này khi backup nhớ để nó ở ngoài thư mục documents root với cái tên rất dễ đoán, rất gần gũi nha. Nếu muốn backup về localhost thì nên dùng ftp hay sftp cho an toàn.
- Xóa hết cái mớ source không liên quan kia đi, kẻo lại cõng rắn cắn gà nhà như vừa rồi.
- Đổi lại toàn bộ thông tin liên quan đến các tài khoản của quản trị như tài khoản các author, mod, admin, tài khoản kết nối database, ftp, ssh,...Cẩn tắc vô áy náy.
- Chúc các em giữ vững phong độ và ngày càng có nhiều bài viết hay về mảng bảo mật cũng như tin tức, thủ thuật cho các bạn tham khảo, học tập theo.
P/s: Mấy bác có đọc xong bài này thì đừng có scan hay thử vận may nữa, mình report cho các em ấy fix hết rồi mới public đấy.
