<![CDATA[Latest posts for the topic "HVA News - Trang tin Kenh14.vn bị deface"]]> /hvaonline/posts/list/13.html JForum - http://www.jforum.net HVA News - Trang tin Kenh14.vn bị deface Cập nhật 1 Phân tích nhanh: ( Phân tích dưới đây là quan điểm cá nhân của thành viên xnohat chứ không phản ánh quan điểm của HVA cũng như cộng đồng HVA - vui lòng thận trọng nếu cần trích dẫn ) Theo như tình trạng của trang tin điện tử tổng hợp Kenh14.vn (1) lúc bị tấn công (2). Thì người tấn công có vẻ vẫn chưa hoàn toàn kiểm soát được máy chủ web chứa trang tin Kenh14.vn, giao diện trang chủ của Kenh14.vn vẫn chưa bị thay thế hoàn toàn bằng một tập tin trang chủ khác, tức là thay thế trang index của CMS (3) bằng tập tin index chứa nội dung deface, giống như tình trạng xảy ra ở các cuộc tấn công của các nhóm tin tặc như Anonymous, Thổ Nhĩ Kỳ ... mà chỉ bị thay thế một số phần tin tức đã có trước đó Nên nhiều khả năng người tấn công đã khai thác thành công một lỗ hổng nào đó trong CMS của kenh14.vn và truy cập được vào hệ quản trị Cơ sở dữ liệu của kenh14.vn, có thể là trang quản trị website hoặc chỉ là truy cập vào kết nối SQL của trang tin và chạy SQL query. Dựa vào tình hình chung tại VN, thì nhiều khả năng là cuộc tấn công này được thực hiện qua các lỗi khai thác trên cổng 80 như: - SQL Injection - XSS - Remote/Local File inclusion Cập nhật 2: lúc 1:00 AM 20/07/2012 trang tin kenh14.vn đã được khôi phục tại địa chỉ www.kenh14.vn Chúng tôi sẽ cập nhật khi có thêm thông tin

xnohat - HVA News (1) Kenh14.vn không phải là Báo mạng (2) tính từ lúc người dùng đầu tiên phát hiện và đưa lên mạng xã hội Facebook (3) CMS - Content management system - Hệ thống quản trị nội dung]]>
/hvaonline/posts/list/42933.html#267123 /hvaonline/posts/list/42933.html#267123 GMT
HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267124 /hvaonline/posts/list/42933.html#267124 GMT HVA News - Trang tin Kenh14.vn bị deface
]]>
/hvaonline/posts/list/42933.html#267126 /hvaonline/posts/list/42933.html#267126 GMT
HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267128 /hvaonline/posts/list/42933.html#267128 GMT HVA News - Trang tin Kenh14.vn bị deface Cập nhật Phân tích nhanh: ( Phân tích dưới đây là quan điểm cá nhân của thành viên xnohat chứ không phản ánh quan điểm của HVA cũng như cộng đồng HVA - vui lòng thận trọng nếu cần trích dẫn ) Theo như tình trạng của trang tin điện tử tổng hợp Kenh14.vn (1) lúc bị tấn công (2). Thì người tấn công có vẻ vẫn chưa hoàn toàn kiểm soát được máy chủ web chứa trang tin Kenh14.vn, giao diện trang chủ của Kenh14.vn vẫn chưa bị thay thế hoàn toàn bằng một tập tin trang chủ khác, tức là thay thế trang index của CMS (3) bằng tập tin index chứa nội dung deface, giống như tình trạng xảy ra ở các cuộc tấn công của các nhóm tin tặc như Anonymous, Thổ Nhĩ Kỳ ... mà chỉ bị thay thế một số phần tin tức đã có trước đó Nên nhiều khả năng người tấn công đã khai thác thành công một lỗ hổng nào đó trong CMS của kenh14.vn và truy cập được vào hệ quản trị Cơ sở dữ liệu của kenh14.vn, có thể là trang quản trị website hoặc chỉ là truy cập vào kết nối SQL của trang tin và chạy SQL query. Dựa vào tình hình chung tại VN, thì nhiều khả năng là cuộc tấn công này được thực hiện qua các lỗi khai thác trên cổng 80 như: - SQL Injection - XSS - Remote/Local File inclusion]]> /hvaonline/posts/list/42933.html#267132 /hvaonline/posts/list/42933.html#267132 GMT HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267135 /hvaonline/posts/list/42933.html#267135 GMT HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267136 /hvaonline/posts/list/42933.html#267136 GMT HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267137 /hvaonline/posts/list/42933.html#267137 GMT HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267138 /hvaonline/posts/list/42933.html#267138 GMT HVA News - Trang tin Kenh14.vn bị deface

lamdt wrote:
Còn chi tiết các site cùng cụm server với kenh14 như afamily, genk... đồng lọat thông báo bảo trì thì sao ạ anh xnohat. 
Do các website còn lại thuộc cùng 1 sever với kenh14 nên tất cả đồng loạt phải đ1ong cửa là điều dễ hiểu để tránh trường hớp lây lan . p/s: Có nên loại trừ trường hợp bị Bruce force 1 số dịch vụ nào đó trên Sever ko anh xnohat ]]>
/hvaonline/posts/list/42933.html#267139 /hvaonline/posts/list/42933.html#267139 GMT
HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267141 /hvaonline/posts/list/42933.html#267141 GMT HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267142 /hvaonline/posts/list/42933.html#267142 GMT HVA News - Trang tin Kenh14.vn bị deface

trungdung4 wrote:
p/s: Có nên loại trừ trường hợp bị Bruce force 1 số dịch vụ nào đó trên Sever ko anh xnohat  
Do không nắm rõ các bước trong quy trình gởi và nhận bài, cách mà các administrator của kenh14.vn phân quyền hạn người dùng, cũng như các lớp bảo mật mà kenh14.vn đã áp dụng cho các website của họ trước đây nên tôi không dám lạm bàn sâu theo hướng đó. Dĩ nhiên, trong tình trạng chưa có đủ nguồn tin và cuộc tấn công xảy ra quá nhanh, quá chớp nhoáng như vầy thì, mọi khả năng đều được bỏ ngỏ.]]>
/hvaonline/posts/list/42933.html#267144 /hvaonline/posts/list/42933.html#267144 GMT
HVA News - Trang tin Kenh14.vn bị deface

xnohat wrote:
Do không nắm rõ các bước trong quy trình gởi và nhận bài, cách mà các administrator của kenh14.vn phân quyền hạn người dùng, cũng như các lớp bảo mật mà kenh14.vn đã áp dụng cho các website của họ trước đây nên tôi không dám lạm bàn sâu theo hướng đó. Dĩ nhiên, trong tình trạng chưa có đủ nguồn tin và cuộc tấn công xảy ra quá nhanh, quá chớp nhoáng như vầy thì, mọi khả năng đều được bỏ ngỏ. 
Hình như là qua VPN bác ạ, tuy nhiên nếu tấn công qua đường này thì khắc phục sẽ rất nhanh và đơn giản. Chỉ cần ngắt quyền, khôi phục bài viết là đc.]]>
/hvaonline/posts/list/42933.html#267145 /hvaonline/posts/list/42933.html#267145 GMT
HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267146 /hvaonline/posts/list/42933.html#267146 GMT HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267149 /hvaonline/posts/list/42933.html#267149 GMT HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267152 /hvaonline/posts/list/42933.html#267152 GMT HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267154 /hvaonline/posts/list/42933.html#267154 GMT HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267155 /hvaonline/posts/list/42933.html#267155 GMT HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267158 /hvaonline/posts/list/42933.html#267158 GMT HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267160 /hvaonline/posts/list/42933.html#267160 GMT HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267163 /hvaonline/posts/list/42933.html#267163 GMT HVA News - Trang tin Kenh14.vn bị deface

LOFWI wrote:
Mình cảm thấy hình như hacker tấn công bằng SQL Injection thì phải 
Mình không nghĩ là nó dính SQLi, lúc trước dùng Acunetix (version 8 mới nhất ấy) thì mình không phát hiện ra lỗi lớn nào trừ lỗi ASP .Net Oracle padding mà mrro phát hiện. Theo mình thì hacker brute-force được một trong các tài khoản quản trị (vì trang web trị bị "deface" một phần ở các bài tin chứ không phải cả website như kiểu Hacked by...) Hoặc hacker hack vào máy mrro/chui vào bình nước Thái Dương :D (admin tha tội) rồi lấy exploit code để attack dựa vào ASP.NET Oracle Padding Vulnerability (cái này cũng có thể dùng Padbuster)]]>
/hvaonline/posts/list/42933.html#267180 /hvaonline/posts/list/42933.html#267180 GMT
HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267191 /hvaonline/posts/list/42933.html#267191 GMT HVA News - Trang tin Kenh14.vn bị deface

kikilua wrote:
mình cũng nghĩ là hacker không hack qua SQLi để querry mà đã chiếm quyền user ( ở đây mình nghĩ user trên chỉ có quyền đăng bài???) vì các Ads vẫn hoạt động bình thường và không có dấu hiệu cang thiệp. 
Đúng vậy, chỉ chiếm được quyền của biên tập viên thôi, có thể bằng cách Brute-force (như đã nêu trên) , hoặc lừa mấy ông đấy vào trang web có mã độc xong bắn virus/spy. Mình vừa xem file crossdomain.xml thì thấy: <cross-domain-policy> <allow-access-from domain="*"/> </cross-domain-policy> Rõ ràng là để cross domain như thế là hơi không an toàn, và có thể bị tấn công bằng hình thức CSRF (Cross-site request forgery) ---- Sáng nay lên fan page thong@ss gì gì đó của "bạn" hacker thấy cái ảnh chụp bên http://www.hackertyper.com/ xong nói là exploit code, theo mình thì hacker với kiểu ăn nói, chém gió ba hoa như vậy thì khi khai thác lỗ hổng của kênh 14 là không có gì là quá cao siêu (hoặc hacker là người khác).]]>
/hvaonline/posts/list/42933.html#267195 /hvaonline/posts/list/42933.html#267195 GMT
HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267212 /hvaonline/posts/list/42933.html#267212 GMT HVA News - Trang tin Kenh14.vn bị deface Kenh14 cứ reverse ra xem mấy trang khác ý Đừng dại kiếm bug trên mấy trang chủ , lâu mà tốn kém time với trình độ chưa cao ? Gợi ý : Chú ý trang yeuloptoi của kenh14 <sessionState mode="SQLServer" sqlConnectionString="data source=192.168.3.111;user id=sa;password=sfsdf12xxxxxx" Have fun   nội dung mà chú ấy đã share để show hàng nè. -> có thể anh xnohat đúng khi nói rằng kenh14 bị sqli, dù sao đây cũng chĩ là phỏng đoán phải đợi bên kenh14 họ thông báo thì mới biết chính xác được.hy vọng sẽ học thêm được một số bài học nữa như các topic của những vị hack trước :)]]> /hvaonline/posts/list/42933.html#267213 /hvaonline/posts/list/42933.html#267213 GMT HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267216 /hvaonline/posts/list/42933.html#267216 GMT HVA News - Trang tin Kenh14.vn bị deface

muathulabay wrote:
Mọi người ơi tôi bị hack mất nick chát thì có thể lấyl ại được không. Tôi không muốn người ăn trộm nick dùng vào mục đích không tốt. Nick của tôi là Muathu_labay_lc2005 rất mong mọi người giúp tôi lấy lại được nick cua minh. xin cảmoơn 
Bạn spam hay quá nhỉ, đang kênh 14 bị deface thì lại đi tìm nick chat, HVA có phải cái chỗ để đi tìm nick đâu. Dù sao cũng giúp: C1: Dùng tools brute-force để mò lại password C2: Lừa lại (dùng SET), cài keylog ---- Nói thật chứ, đảm bảo nói thế thì muathulabay cũng không hiểu :-) ---- Quay lại vụ chính, mấy ngày rồi chưa thấy thông tin chính thức từ kênh 14 nhỉ các bác nhỉ]]>
/hvaonline/posts/list/42933.html#267289 /hvaonline/posts/list/42933.html#267289 GMT
HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267290 /hvaonline/posts/list/42933.html#267290 GMT HVA News - Trang tin Kenh14.vn bị deface /hvaonline/posts/list/42933.html#267299 /hvaonline/posts/list/42933.html#267299 GMT