Latest posts for the topic "HVA News - Trang tin Kenh14.vn bị deface"

HVA News - Trang tin Kenh14.vn bị deface

xnohat — GMT

Ngày 19/07/2012 vào lúc 19h15, chúng tôi ghi nhận được tình trạng toàn bộ giao diện trang chủ của trang tin Kenh14.vn ( thuộc công ty VCCorp ) bị tấn công và deface. Cập nhật 1 Phân tích nhanh: ( Phân tích dưới đây là quan điểm cá nhân của thành viên xnohat chứ không phản ánh quan điểm của HVA cũng như cộng đồng HVA - vui lòng thận trọng nếu cần trích dẫn ) Theo như tình trạng của trang tin điện tử tổng hợp Kenh14.vn (1) lúc bị tấn công (2). Thì người tấn công có vẻ vẫn chưa hoàn toàn kiểm soát được máy chủ web chứa trang tin Kenh14.vn, giao diện trang chủ của Kenh14.vn vẫn chưa bị thay thế hoàn toàn bằng một tập tin trang chủ khác, tức là thay thế trang index của CMS (3) bằng tập tin index chứa nội dung deface, giống như tình trạng xảy ra ở các cuộc tấn công của các nhóm tin tặc như Anonymous, Thổ Nhĩ Kỳ ... mà chỉ bị thay thế một số phần tin tức đã có trước đó Nên nhiều khả năng người tấn công đã khai thác thành công một lỗ hổng nào đó trong CMS của kenh14.vn và truy cập được vào hệ quản trị Cơ sở dữ liệu của kenh14.vn, có thể là trang quản trị website hoặc chỉ là truy cập vào kết nối SQL của trang tin và chạy SQL query. Dựa vào tình hình chung tại VN, thì nhiều khả năng là cuộc tấn công này được thực hiện qua các lỗi khai thác trên cổng 80 như: - SQL Injection - XSS - Remote/Local File inclusion Cập nhật 2: lúc 1:00 AM 20/07/2012 trang tin kenh14.vn đã được khôi phục tại địa chỉ www.kenh14.vn Chúng tôi sẽ cập nhật khi có thêm thông tin

xnohat - HVA News (1) Kenh14.vn không phải là Báo mạng (2) tính từ lúc người dùng đầu tiên phát hiện và đưa lên mạng xã hội Facebook (3) CMS - Content management system - Hệ thống quản trị nội dung

HVA News - Trang tin Kenh14.vn bị deface

xuanphongdocco — GMT

Hiện trường đã được dọn dẹp.

HVA News - Trang tin Kenh14.vn bị deface

mrmoonvn — GMT

Thông điệp này mới hay nè :)

HVA News - Trang tin Kenh14.vn bị deface

lamdt — GMT

Mong các anh, các chú sớm có những giám định, nhận xét về vụ tấn công này :D

HVA News - Trang tin Kenh14.vn bị deface

xnohat — GMT

Cập nhật Phân tích nhanh: ( Phân tích dưới đây là quan điểm cá nhân của thành viên xnohat chứ không phản ánh quan điểm của HVA cũng như cộng đồng HVA - vui lòng thận trọng nếu cần trích dẫn ) Theo như tình trạng của trang tin điện tử tổng hợp Kenh14.vn (1) lúc bị tấn công (2). Thì người tấn công có vẻ vẫn chưa hoàn toàn kiểm soát được máy chủ web chứa trang tin Kenh14.vn, giao diện trang chủ của Kenh14.vn vẫn chưa bị thay thế hoàn toàn bằng một tập tin trang chủ khác, tức là thay thế trang index của CMS (3) bằng tập tin index chứa nội dung deface, giống như tình trạng xảy ra ở các cuộc tấn công của các nhóm tin tặc như Anonymous, Thổ Nhĩ Kỳ ... mà chỉ bị thay thế một số phần tin tức đã có trước đó Nên nhiều khả năng người tấn công đã khai thác thành công một lỗ hổng nào đó trong CMS của kenh14.vn và truy cập được vào hệ quản trị Cơ sở dữ liệu của kenh14.vn, có thể là trang quản trị website hoặc chỉ là truy cập vào kết nối SQL của trang tin và chạy SQL query. Dựa vào tình hình chung tại VN, thì nhiều khả năng là cuộc tấn công này được thực hiện qua các lỗi khai thác trên cổng 80 như: - SQL Injection - XSS - Remote/Local File inclusion

HVA News - Trang tin Kenh14.vn bị deface

phanledaivuong — GMT

Dạo này các cháu 14 lớn nhanh lắm :|

HVA News - Trang tin Kenh14.vn bị deface

jang145 — GMT

Chờ anh em phân tích nguyên nhân.

HVA News - Trang tin Kenh14.vn bị deface

trungdung4 — GMT

Đang chờ report chính thức từ HVA.

HVA News - Trang tin Kenh14.vn bị deface

lamdt — GMT

Còn chi tiết các site cùng cụm server với kenh14 như afamily, genk... đồng lọat thông báo bảo trì thì sao ạ anh xnohat.

HVA News - Trang tin Kenh14.vn bị deface

trungdung4 — GMT

lamdt wrote:

Còn chi tiết các site cùng cụm server với kenh14 như afamily, genk... đồng lọat thông báo bảo trì thì sao ạ anh xnohat.

Do các website còn lại thuộc cùng 1 sever với kenh14 nên tất cả đồng loạt phải đ1ong cửa là điều dễ hiểu để tránh trường hớp lây lan . p/s: Có nên loại trừ trường hợp bị Bruce force 1 số dịch vụ nào đó trên Sever ko anh xnohat

HVA News - Trang tin Kenh14.vn bị deface

neoad — GMT

Mình nghiêng về nguyên nhân quản trị website bị mất mật khẩu quản trị.

HVA News - Trang tin Kenh14.vn bị deface

phanledaivuong — GMT

https://www.facebook.com/ThongAssCong14ThanhCong?ref=stream Vụ này có vẻ siêu hot trong vòng vài tiếng mà hội có hơn 22k like.

HVA News - Trang tin Kenh14.vn bị deface

xnohat — GMT

trungdung4 wrote:

p/s: Có nên loại trừ trường hợp bị Bruce force 1 số dịch vụ nào đó trên Sever ko anh xnohat

Do không nắm rõ các bước trong quy trình gởi và nhận bài, cách mà các administrator của kenh14.vn phân quyền hạn người dùng, cũng như các lớp bảo mật mà kenh14.vn đã áp dụng cho các website của họ trước đây nên tôi không dám lạm bàn sâu theo hướng đó. Dĩ nhiên, trong tình trạng chưa có đủ nguồn tin và cuộc tấn công xảy ra quá nhanh, quá chớp nhoáng như vầy thì, mọi khả năng đều được bỏ ngỏ.

HVA News - Trang tin Kenh14.vn bị deface

tran_tien — GMT

xnohat wrote:

Do không nắm rõ các bước trong quy trình gởi và nhận bài, cách mà các administrator của kenh14.vn phân quyền hạn người dùng, cũng như các lớp bảo mật mà kenh14.vn đã áp dụng cho các website của họ trước đây nên tôi không dám lạm bàn sâu theo hướng đó. Dĩ nhiên, trong tình trạng chưa có đủ nguồn tin và cuộc tấn công xảy ra quá nhanh, quá chớp nhoáng như vầy thì, mọi khả năng đều được bỏ ngỏ.

Hình như là qua VPN bác ạ, tuy nhiên nếu tấn công qua đường này thì khắc phục sẽ rất nhanh và đơn giản. Chỉ cần ngắt quyền, khôi phục bài viết là đc.

HVA News - Trang tin Kenh14.vn bị deface

amorousmartin — GMT

sập thật rồi thì phải?

HVA News - Trang tin Kenh14.vn bị deface

lehoabc — GMT

Đúng là VC Corp, chỉ sau một đêm mọi thứ lại hoạt động như thường? Không biết Genk , Afamily có bị hacker không? Hi vọng tay hacker này tung dữ liệu lên mạng...

HVA News - Trang tin Kenh14.vn bị deface

lamdt — GMT

Genk, kenh14, afamily cùng 1 CMS mà. Kenh14 đã hoạt động lại bình thường, các trang kia cũng thế. Có thể các lỗ hổng trên CMS như anh xnohat nói đã được fix rồi. :D Mình nghĩ hacker không can thiệp được vào sâu trong hệ thống (Chỉ dừng lại ở việc thay đổi được 1 phần nội dung trang index) nên không có trò vui gì đâu :D

HVA News - Trang tin Kenh14.vn bị deface

style_tn — GMT

sao mình vào genk.vn vẫn thấy kêu đang bảo trì nhỉ. có trang autopro là vào lại được bình thường. :-|

HVA News - Trang tin Kenh14.vn bị deface

saxvai — GMT

Hehe, lâu cũng được vụ hot, mà nhanh chóng tắt rùi nhỉ. Chờ xem tập hai

HVA News - Trang tin Kenh14.vn bị deface

LOFWI — GMT

Mình cảm thấy hình như hacker tấn công bằng SQL Injection thì phải

HVA News - Trang tin Kenh14.vn bị deface

ga_cum06 — GMT

có cả 1 hội những người ghét kênh 14 này : https://www.facebook.com/pages/H%E1%BB%99i-nh%E1%BB%AFng-ng%C6%B0%E1%BB%9Di-gh%C3%A9t-k%C3%AAnh-14/190200307680911.

HVA News - Trang tin Kenh14.vn bị deface

jang145 — GMT

Đang có một số ý kiến cho rằng sự việc tối qua do Kênh 14 tự sướng. Theo em thì k phải vậy. Nếu nó tự sướng thì nó cần ếch gì làm ảnh hưởng đến các website cùng server khác kia chứ.

HVA News - Trang tin Kenh14.vn bị deface

ilovelife — GMT

LOFWI wrote:

Mình cảm thấy hình như hacker tấn công bằng SQL Injection thì phải

Mình không nghĩ là nó dính SQLi, lúc trước dùng Acunetix (version 8 mới nhất ấy) thì mình không phát hiện ra lỗi lớn nào trừ lỗi ASP .Net Oracle padding mà mrro phát hiện. Theo mình thì hacker brute-force được một trong các tài khoản quản trị (vì trang web trị bị "deface" một phần ở các bài tin chứ không phải cả website như kiểu Hacked by...) Hoặc hacker hack vào máy mrro/chui vào bình nước Thái Dương :D (admin tha tội) rồi lấy exploit code để attack dựa vào ASP.NET Oracle Padding Vulnerability (cái này cũng có thể dùng Padbuster)

HVA News - Trang tin Kenh14.vn bị deface

kikilua — GMT

mình cũng nghĩ là hacker không hack qua SQLi để querry mà đã chiếm quyền user ( ở đây mình nghĩ user trên chỉ có quyền đăng bài???) vì các Ads vẫn hoạt động bình thường và không có dấu hiệu cang thiệp.

HVA News - Trang tin Kenh14.vn bị deface

ilovelife — GMT

kikilua wrote:

mình cũng nghĩ là hacker không hack qua SQLi để querry mà đã chiếm quyền user ( ở đây mình nghĩ user trên chỉ có quyền đăng bài???) vì các Ads vẫn hoạt động bình thường và không có dấu hiệu cang thiệp.

Đúng vậy, chỉ chiếm được quyền của biên tập viên thôi, có thể bằng cách Brute-force (như đã nêu trên) , hoặc lừa mấy ông đấy vào trang web có mã độc xong bắn virus/spy. Mình vừa xem file crossdomain.xml thì thấy: <cross-domain-policy> <allow-access-from domain="*"/> cross-domain-policy> Rõ ràng là để cross domain như thế là hơi không an toàn, và có thể bị tấn công bằng hình thức CSRF (Cross-site request forgery) ---- Sáng nay lên fan page thong@ss gì gì đó của "bạn" hacker thấy cái ảnh chụp bên http://www.hackertyper.com/ xong nói là exploit code, theo mình thì hacker với kiểu ăn nói, chém gió ba hoa như vậy thì khi khai thác lỗ hổng của kênh 14 là không có gì là quá cao siêu (hoặc hacker là người khác).

HVA News - Trang tin Kenh14.vn bị deface

trantuan_bkhcm — GMT

00:15 21/7/2012 (GMT +7) ddth.com cũng chịu chung số phận ????

HVA News - Trang tin Kenh14.vn bị deface

concobe — GMT

mới tuần trước hcegroup thấy có bé thảo luận làm sao chơi đươc những trang như kenh14, có vài chú vào nói đã chơi được rồi + chỉ ra vài sơ hở dạng gợi ý không ngờ nay vào thấy tin này, lẽ nào các chú ấy ngứa tay ta???

Kenh14 cứ reverse ra xem mấy trang khác ý Đừng dại kiếm bug trên mấy trang chủ , lâu mà tốn kém time với trình độ chưa cao ? Gợi ý : Chú ý trang yeuloptoi của kenh14 nội dung mà chú ấy đã share để show hàng nè. -> có thể anh xnohat đúng khi nói rằng kenh14 bị sqli, dù sao đây cũng chĩ là phỏng đoán phải đợi bên kenh14 họ thông báo thì mới biết chính xác được.hy vọng sẽ học thêm được một số bài học nữa như các topic của những vị hack trước :)

HVA News - Trang tin Kenh14.vn bị deface

9aa6 — GMT

cms này là của vn hay mua nước ngoài hả các bác

HVA News - Trang tin Kenh14.vn bị deface

ilovelife — GMT

muathulabay wrote:

Mọi người ơi tôi bị hack mất nick chát thì có thể lấyl ại được không. Tôi không muốn người ăn trộm nick dùng vào mục đích không tốt. Nick của tôi là Muathu_labay_lc2005 rất mong mọi người giúp tôi lấy lại được nick cua minh. xin cảmoơn

Bạn spam hay quá nhỉ, đang kênh 14 bị deface thì lại đi tìm nick chat, HVA có phải cái chỗ để đi tìm nick đâu. Dù sao cũng giúp: C1: Dùng tools brute-force để mò lại password C2: Lừa lại (dùng SET), cài keylog ---- Nói thật chứ, đảm bảo nói thế thì muathulabay cũng không hiểu :-) ---- Quay lại vụ chính, mấy ngày rồi chưa thấy thông tin chính thức từ kênh 14 nhỉ các bác nhỉ

HVA News - Trang tin Kenh14.vn bị deface

muathulabay — GMT

buồn qua đi mất

HVA News - Trang tin Kenh14.vn bị deface

tdtv-bkt432 — GMT

toàn post tin xàm. cho nó sập đê. mưỡng post toàn tin gì đâu đâu