Hiểm họa từ website bảo mật kém thuê chung máy chủ

Những trang web có lỗ hổng bảo mật chính là cửa ngõ để hacker tấn công sang các "hàng xóm" khác trên cùng server.

Tối ngày 24/7, một hacker mang biệt danh X_Spider đã tấn công được được vào techcombank.com.vn và để lại thông báo cần phải sửa lỗi mà không gây thiệt hại gì cho website và hoạt động của ngân hàng này. Trao đổi với VnExpress, X_Spider cho biết một trang có tên www.phuthai... đã gặp lỗ hổng bảo mật, khiến anh ta có thể upload đoạn mã tấn công (shell) lên đó và dùng mã này vào được cơ sở dữ liệu của techcombank.com.vn. Vì các website đặt cùng server có chung thông số nên việc truy cập "liên thông" (local attack) là có thể thực hiện được.

"Do nhiều khách hàng khi thiết lập website đã dùng mã nguồn mở sẵn có mà không đầu tư nghiên cứu bảo mật nên rất dễ bị khai thác", ông Lê Minh Hiếu, Trưởng phòng hệ thống Công ty dữ liệu trực tuyến FPT (IDS), nơi Ngân hàng Kỹ thương thuê host cho techcombank.com.vn, giải thích. "Hệ thống đã phải ngừng host cho www.phuthai... và rà soát lỗi của các website khác cùng server để không gây nguy hiểm cho những trang còn lại".

Techcombank.com.vn thuê chung máy chủ với gần 100 trang web khác, được thiết kế theo phiên bản phần mềm nguồn mở PHP 4. Tuy nhiên, PHP 4 từ cuối năm 2007 đã không được hỗ trợ kỹ thuật và bộc lộ nhiều lỗ hổng do thế giới đang theo xu hướng chuyển lên PHP 5 và PHP 6. "Vì một số khách hàng chưa nhận thức được việc cập nhật website lên các chuẩn mới nên việc chuyển đổi rất khó khăn", ông Hiếu cho biết. "PHP 4 đã lỗi thời, dù cấu hình (config) lại kỹ đến đâu cũng không ngăn cản được hacker tấn công, nếu họ muốn".

Trong máy chủ host, mỗi website được quản lý ở một thư mục gốc. Nhưng ở PHP 4, Open_Basedir (chức năng giới hạn website nào chỉ chạy trong thư mục đó) dễ dàng bị vượt qua vì có cơ chế cho phép gọi từ thư mục này sang thư mục kia. Còn từ PHP 5 trở đi, lỗi này đã được khắc phục và khách hàng dùng host chung (hình thức tiết kiệm hơn so với server riêng) có thể yên tâm hơn. Tuy nhiên, họ vẫn cần phải thường xuyên ra soát lỗi (bug) trên trang, nhất là với những website dùng nguồn mở sẵn có tải từ trên mạng.

Ngoài ra, các chuyên gia bảo mật cũng khuyến cáo tổ chức, doanh nghiệp lớn nên đặt website ở máy chủ riêng, vừa đảm bảo băng thông truy cập cho khách hàng, vừa được bảo mật tốt hơn.