banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thông tin new bugs và exploits HVA News - Trang tin Kenh14.vn bị deface  XML
  [News]   HVA News - Trang tin Kenh14.vn bị deface 19/07/2012 20:32:39 (+0700) | #1 | 267123
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Ngày 19/07/2012 vào lúc 19h15, chúng tôi ghi nhận được tình trạng toàn bộ giao diện trang chủ của trang tin Kenh14.vn ( thuộc công ty VCCorp ) bị tấn công và deface.

Cập nhật 1
Phân tích nhanh:
( Phân tích dưới đây là quan điểm cá nhân của thành viên xnohat chứ không phản ánh quan điểm của HVA cũng như cộng đồng HVA - vui lòng thận trọng nếu cần trích dẫn )
Theo như tình trạng của trang tin điện tử tổng hợp Kenh14.vn (1) lúc bị tấn công (2). Thì người tấn công có vẻ vẫn chưa hoàn toàn kiểm soát được máy chủ web chứa trang tin Kenh14.vn, giao diện trang chủ của Kenh14.vn vẫn chưa bị thay thế hoàn toàn bằng một tập tin trang chủ khác, tức là thay thế trang index của CMS (3) bằng tập tin index chứa nội dung deface, giống như tình trạng xảy ra ở các cuộc tấn công của các nhóm tin tặc như Anonymous, Thổ Nhĩ Kỳ ... mà chỉ bị thay thế một số phần tin tức đã có trước đó
Nên nhiều khả năng người tấn công đã khai thác thành công một lỗ hổng nào đó trong CMS của kenh14.vn và truy cập được vào hệ quản trị Cơ sở dữ liệu của kenh14.vn, có thể là trang quản trị website hoặc chỉ là truy cập vào kết nối SQL của trang tin và chạy SQL query.
Dựa vào tình hình chung tại VN, thì nhiều khả năng là cuộc tấn công này được thực hiện qua các lỗi khai thác trên cổng 80 như:
- SQL Injection
- XSS
- Remote/Local File inclusion

Cập nhật 2: lúc 1:00 AM 20/07/2012 trang tin kenh14.vn đã được khôi phục tại địa chỉ www.kenh14.vn

Chúng tôi sẽ cập nhật khi có thêm thông tin









xnohat - HVA News

(1) Kenh14.vn không phải là Báo mạng
(2) tính từ lúc người dùng đầu tiên phát hiện và đưa lên mạng xã hội Facebook
(3) CMS - Content management system - Hệ thống quản trị nội dung
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 19/07/2012 20:36:21 (+0700) | #2 | 267124
[Avatar]
xuanphongdocco
Member

[Minus]    0    [Plus]
Joined: 19/08/2009 08:25:03
Messages: 247
Offline
[Profile] [PM]
Hiện trường đã được dọn dẹp.
Xuân Phong Nguyễn
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 19/07/2012 20:54:53 (+0700) | #3 | 267126
mrmoonvn
Member

[Minus]    0    [Plus]
Joined: 25/06/2008 22:51:15
Messages: 1
Offline
[Profile] [PM]
Thông điệp này mới hay nè smilie
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 19/07/2012 21:22:50 (+0700) | #4 | 267128
[Avatar]
lamdt
Member

[Minus]    0    [Plus]
Joined: 25/02/2012 11:00:01
Messages: 10
Location: nowhere
Offline
[Profile] [PM] [WWW] [Yahoo!]
Mong các anh, các chú sớm có những giám định, nhận xét về vụ tấn công này smilie
Chân cứng, đá mềm
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 19/07/2012 22:05:33 (+0700) | #5 | 267132
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Cập nhật
Phân tích nhanh:
( Phân tích dưới đây là quan điểm cá nhân của thành viên xnohat chứ không phản ánh quan điểm của HVA cũng như cộng đồng HVA - vui lòng thận trọng nếu cần trích dẫn )
Theo như tình trạng của trang tin điện tử tổng hợp Kenh14.vn (1) lúc bị tấn công (2). Thì người tấn công có vẻ vẫn chưa hoàn toàn kiểm soát được máy chủ web chứa trang tin Kenh14.vn, giao diện trang chủ của Kenh14.vn vẫn chưa bị thay thế hoàn toàn bằng một tập tin trang chủ khác, tức là thay thế trang index của CMS (3) bằng tập tin index chứa nội dung deface, giống như tình trạng xảy ra ở các cuộc tấn công của các nhóm tin tặc như Anonymous, Thổ Nhĩ Kỳ ... mà chỉ bị thay thế một số phần tin tức đã có trước đó
Nên nhiều khả năng người tấn công đã khai thác thành công một lỗ hổng nào đó trong CMS của kenh14.vn và truy cập được vào hệ quản trị Cơ sở dữ liệu của kenh14.vn, có thể là trang quản trị website hoặc chỉ là truy cập vào kết nối SQL của trang tin và chạy SQL query.
Dựa vào tình hình chung tại VN, thì nhiều khả năng là cuộc tấn công này được thực hiện qua các lỗi khai thác trên cổng 80 như:
- SQL Injection
- XSS
- Remote/Local File inclusion
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 19/07/2012 22:15:31 (+0700) | #6 | 267135
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]
Dạo này các cháu 14 lớn nhanh lắm smilie
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 19/07/2012 22:18:59 (+0700) | #7 | 267136
jang145
Member

[Minus]    0    [Plus]
Joined: 16/10/2011 03:04:45
Messages: 6
Offline
[Profile] [PM]
Chờ anh em phân tích nguyên nhân.
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 19/07/2012 22:19:27 (+0700) | #8 | 267137
trungdung4
Member

[Minus]    0    [Plus]
Joined: 28/06/2011 12:04:49
Messages: 17
Offline
[Profile] [PM]
Đang chờ report chính thức từ HVA.
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 19/07/2012 22:20:24 (+0700) | #9 | 267138
[Avatar]
lamdt
Member

[Minus]    0    [Plus]
Joined: 25/02/2012 11:00:01
Messages: 10
Location: nowhere
Offline
[Profile] [PM] [WWW] [Yahoo!]
Còn chi tiết các site cùng cụm server với kenh14 như afamily, genk... đồng lọat thông báo bảo trì thì sao ạ anh xnohat.
Chân cứng, đá mềm
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 19/07/2012 22:24:51 (+0700) | #10 | 267139
trungdung4
Member

[Minus]    0    [Plus]
Joined: 28/06/2011 12:04:49
Messages: 17
Offline
[Profile] [PM]

lamdt wrote:
Còn chi tiết các site cùng cụm server với kenh14 như afamily, genk... đồng lọat thông báo bảo trì thì sao ạ anh xnohat. 

Do các website còn lại thuộc cùng 1 sever với kenh14 nên tất cả đồng loạt phải đ1ong cửa là điều dễ hiểu để tránh trường hớp lây lan .
p/s: Có nên loại trừ trường hợp bị Bruce force 1 số dịch vụ nào đó trên Sever ko anh xnohat
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 19/07/2012 22:56:30 (+0700) | #11 | 267141
neoad
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 17:14:17
Messages: 5
Offline
[Profile] [PM]
Mình nghiêng về nguyên nhân quản trị website bị mất mật khẩu quản trị.
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 19/07/2012 23:17:11 (+0700) | #12 | 267142
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]
https://www.facebook.com/ThongAssCong14ThanhCong?ref=stream

Vụ này có vẻ siêu hot trong vòng vài tiếng mà hội có hơn 22k like.
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 19/07/2012 23:32:44 (+0700) | #13 | 267144
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

trungdung4 wrote:

p/s: Có nên loại trừ trường hợp bị Bruce force 1 số dịch vụ nào đó trên Sever ko anh xnohat  


Do không nắm rõ các bước trong quy trình gởi và nhận bài, cách mà các administrator của kenh14.vn phân quyền hạn người dùng, cũng như các lớp bảo mật mà kenh14.vn đã áp dụng cho các website của họ trước đây nên tôi không dám lạm bàn sâu theo hướng đó. Dĩ nhiên, trong tình trạng chưa có đủ nguồn tin và cuộc tấn công xảy ra quá nhanh, quá chớp nhoáng như vầy thì, mọi khả năng đều được bỏ ngỏ.
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 19/07/2012 23:36:35 (+0700) | #14 | 267145
tran_tien
Member

[Minus]    0    [Plus]
Joined: 28/05/2005 09:40:09
Messages: 16
Location: AFCVN
Offline
[Profile] [PM] [WWW]

xnohat wrote:


Do không nắm rõ các bước trong quy trình gởi và nhận bài, cách mà các administrator của kenh14.vn phân quyền hạn người dùng, cũng như các lớp bảo mật mà kenh14.vn đã áp dụng cho các website của họ trước đây nên tôi không dám lạm bàn sâu theo hướng đó. Dĩ nhiên, trong tình trạng chưa có đủ nguồn tin và cuộc tấn công xảy ra quá nhanh, quá chớp nhoáng như vầy thì, mọi khả năng đều được bỏ ngỏ. 


Hình như là qua VPN bác ạ, tuy nhiên nếu tấn công qua đường này thì khắc phục sẽ rất nhanh và đơn giản. Chỉ cần ngắt quyền, khôi phục bài viết là đc.
Ngoại trừ bạn đến từ một hành tinh xa xôi, thông tin "Từ" của bạn quá dài.
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 19/07/2012 23:55:39 (+0700) | #15 | 267146
[Avatar]
amorousmartin
Member

[Minus]    0    [Plus]
Joined: 29/10/2009 12:05:59
Messages: 17
Offline
[Profile] [PM]
sập thật rồi thì phải?
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 20/07/2012 07:30:41 (+0700) | #16 | 267149
lehoabc
Member

[Minus]    0    [Plus]
Joined: 14/02/2012 17:52:09
Messages: 4
Offline
[Profile] [PM]
Đúng là VC Corp, chỉ sau một đêm mọi thứ lại hoạt động như thường? Không biết Genk , Afamily có bị hacker không? Hi vọng tay hacker này tung dữ liệu lên mạng...
-----------------------------------
http://www.digitimes.vn
Cập nhật thông tin công nghệ
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 20/07/2012 08:12:25 (+0700) | #17 | 267152
[Avatar]
lamdt
Member

[Minus]    0    [Plus]
Joined: 25/02/2012 11:00:01
Messages: 10
Location: nowhere
Offline
[Profile] [PM] [WWW] [Yahoo!]
Genk, kenh14, afamily cùng 1 CMS mà.
Kenh14 đã hoạt động lại bình thường, các trang kia cũng thế. Có thể các lỗ hổng trên CMS như anh xnohat nói đã được fix rồi. smilie
Mình nghĩ hacker không can thiệp được vào sâu trong hệ thống (Chỉ dừng lại ở việc thay đổi được 1 phần nội dung trang index) nên không có trò vui gì đâu smilie
Chân cứng, đá mềm
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 20/07/2012 08:22:40 (+0700) | #18 | 267154
style_tn
Member

[Minus]    0    [Plus]
Joined: 06/01/2011 10:50:52
Messages: 3
Offline
[Profile] [PM]
sao mình vào genk.vn vẫn thấy kêu đang bảo trì nhỉ. có trang autopro là vào lại được bình thường. :-|
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 20/07/2012 08:25:11 (+0700) | #19 | 267155
saxvai
Member

[Minus]    0    [Plus]
Joined: 19/05/2008 23:44:23
Messages: 4
Offline
[Profile] [PM]
Hehe, lâu cũng được vụ hot, mà nhanh chóng tắt rùi nhỉ.
Chờ xem tập hai
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 20/07/2012 08:46:43 (+0700) | #20 | 267158
LOFWI
Member

[Minus]    0    [Plus]
Joined: 10/12/2011 00:05:43
Messages: 3
Offline
[Profile] [PM]
Mình cảm thấy hình như hacker tấn công bằng SQL Injection thì phải
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 20/07/2012 08:56:16 (+0700) | #21 | 267160
ga_cum06
Member

[Minus]    0    [Plus]
Joined: 04/05/2008 19:01:15
Messages: 29
Offline
[Profile] [PM]
có cả 1 hội những người ghét kênh 14 này : https://www.facebook.com/pages/H%E1%BB%99i-nh%E1%BB%AFng-ng%C6%B0%E1%BB%9Di-gh%C3%A9t-k%C3%AAnh-14/190200307680911.
...Ước mơ xây trường học cho trẻ em nghèo Việt Nam
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 20/07/2012 09:25:35 (+0700) | #22 | 267163
jang145
Member

[Minus]    0    [Plus]
Joined: 16/10/2011 03:04:45
Messages: 6
Offline
[Profile] [PM]
Đang có một số ý kiến cho rằng sự việc tối qua do Kênh 14 tự sướng. Theo em thì k phải vậy. Nếu nó tự sướng thì nó cần ếch gì làm ảnh hưởng đến các website cùng server khác kia chứ.
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 20/07/2012 11:14:32 (+0700) | #23 | 267180
ilovelife
Member

[Minus]    0    [Plus]
Joined: 19/07/2012 19:42:03
Messages: 17
Offline
[Profile] [PM]

LOFWI wrote:
Mình cảm thấy hình như hacker tấn công bằng SQL Injection thì phải 

Mình không nghĩ là nó dính SQLi, lúc trước dùng Acunetix (version 8 mới nhất ấy) thì mình không phát hiện ra lỗi lớn nào trừ lỗi ASP .Net Oracle padding mà mrro phát hiện.
Theo mình thì hacker brute-force được một trong các tài khoản quản trị (vì trang web trị bị "deface" một phần ở các bài tin chứ không phải cả website như kiểu Hacked by...) Hoặc hacker hack vào máy mrro/chui vào bình nước Thái Dương smilie (admin tha tội) rồi lấy exploit code để attack dựa vào ASP.NET Oracle Padding Vulnerability (cái này cũng có thể dùng Padbuster)
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 20/07/2012 13:21:55 (+0700) | #24 | 267191
kikilua
Member

[Minus]    0    [Plus]
Joined: 28/06/2007 23:30:58
Messages: 13
Offline
[Profile] [PM]
mình cũng nghĩ là hacker không hack qua SQLi để querry mà đã chiếm quyền user ( ở đây mình nghĩ user trên chỉ có quyền đăng bài???) vì các Ads vẫn hoạt động bình thường và không có dấu hiệu cang thiệp.
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 20/07/2012 13:54:38 (+0700) | #25 | 267195
ilovelife
Member

[Minus]    0    [Plus]
Joined: 19/07/2012 19:42:03
Messages: 17
Offline
[Profile] [PM]

kikilua wrote:
mình cũng nghĩ là hacker không hack qua SQLi để querry mà đã chiếm quyền user ( ở đây mình nghĩ user trên chỉ có quyền đăng bài???) vì các Ads vẫn hoạt động bình thường và không có dấu hiệu cang thiệp. 

Đúng vậy, chỉ chiếm được quyền của biên tập viên thôi, có thể bằng cách Brute-force (như đã nêu trên) , hoặc lừa mấy ông đấy vào trang web có mã độc xong bắn virus/spy. Mình vừa xem file crossdomain.xml thì thấy:
<cross-domain-policy>
<allow-access-from domain="*"/>
</cross-domain-policy>
Rõ ràng là để cross domain như thế là hơi không an toàn, và có thể bị tấn công bằng hình thức CSRF (Cross-site request forgery)
----
Sáng nay lên fan page thong@ss gì gì đó của "bạn" hacker thấy cái ảnh chụp bên http://www.hackertyper.com/ xong nói là exploit code, theo mình thì hacker với kiểu ăn nói, chém gió ba hoa như vậy thì khi khai thác lỗ hổng của kênh 14 là không có gì là quá cao siêu (hoặc hacker là người khác).
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 20/07/2012 23:16:35 (+0700) | #26 | 267212
trantuan_bkhcm
Member

[Minus]    0    [Plus]
Joined: 25/11/2004 07:01:30
Messages: 6
Offline
[Profile] [PM]
00:15 21/7/2012 (GMT +7)

ddth.com cũng chịu chung số phận ????
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 21/07/2012 01:22:22 (+0700) | #27 | 267213
concobe
Member

[Minus]    0    [Plus]
Joined: 27/04/2007 19:30:07
Messages: 56
Offline
[Profile] [PM]
mới tuần trước hcegroup thấy có bé thảo luận làm sao chơi đươc những trang như kenh14, có vài chú vào nói đã chơi được rồi + chỉ ra vài sơ hở dạng gợi ý không ngờ nay vào thấy tin này, lẽ nào các chú ấy ngứa tay ta???

Kenh14 cứ reverse ra xem mấy trang khác ý
Đừng dại kiếm bug trên mấy trang chủ , lâu mà tốn kém time với trình độ chưa cao ?

Gợi ý : Chú ý trang yeuloptoi của kenh14

<sessionState mode="SQLServer" sqlConnectionString="data source=192.168.3.111;user id=sa;password=sfsdf12xxxxxx"
Have fun  


nội dung mà chú ấy đã share để show hàng nè.

-> có thể anh xnohat đúng khi nói rằng kenh14 bị sqli, dù sao đây cũng chĩ là phỏng đoán phải đợi bên kenh14 họ thông báo thì mới biết chính xác được.hy vọng sẽ học thêm được một số bài học nữa như các topic của những vị hack trước smilie
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 21/07/2012 07:01:56 (+0700) | #28 | 267216
[Avatar]
9aa6
Member

[Minus]    0    [Plus]
Joined: 08/01/2012 21:50:50
Messages: 30
Location: bờ đê lộng gió ,,,,
Offline
[Profile] [PM] [WWW]
cms này là của vn hay mua nước ngoài hả các bác
Đừng tưởng xinh gái mà vội kiêu
có tý nhan sắc vẫn chưa siêu
mà này anh bảo cho mà biết
khi nào mát trời anh sẽ yêu
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 22/07/2012 16:52:19 (+0700) | #29 | 267288
[Avatar]
muathulabay
Member

[Minus]    0    [Plus]
Joined: 16/06/2011 21:19:21
Messages: 2
Offline
[Profile] [PM] [Yahoo!]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
  [News]   HVA News - Trang tin Kenh14.vn bị deface 22/07/2012 17:12:11 (+0700) | #30 | 267289
ilovelife
Member

[Minus]    0    [Plus]
Joined: 19/07/2012 19:42:03
Messages: 17
Offline
[Profile] [PM]

muathulabay wrote:
Mọi người ơi tôi bị hack mất nick chát thì có thể lấyl ại được không. Tôi không muốn người ăn trộm nick dùng vào mục đích không tốt. Nick của tôi là Muathu_labay_lc2005 rất mong mọi người giúp tôi lấy lại được nick cua minh. xin cảmoơn 

Bạn spam hay quá nhỉ, đang kênh 14 bị deface thì lại đi tìm nick chat, HVA có phải cái chỗ để đi tìm nick đâu. Dù sao cũng giúp:
C1: Dùng tools brute-force để mò lại password
C2: Lừa lại (dùng SET), cài keylog
----
Nói thật chứ, đảm bảo nói thế thì muathulabay cũng không hiểu smilie
----
Quay lại vụ chính, mấy ngày rồi chưa thấy thông tin chính thức từ kênh 14 nhỉ các bác nhỉ
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|