Những trang web có lỗ hổng bảo mật chính là cửa ngõ để hacker tấn công sang các "hàng xóm" khác trên cùng server.
Tối ngày 24/7, một hacker mang biệt danh X_Spider đã tấn công được được vào techcombank.com.vn và để lại thông báo cần phải sửa lỗi mà không gây thiệt hại gì cho website và hoạt động của ngân hàng này. Trao đổi với VnExpress, X_Spider cho biết một trang có tên www.phuthai... đã gặp lỗ hổng bảo mật, khiến anh ta có thể upload đoạn mã tấn công (shell) lên đó và dùng mã này vào được cơ sở dữ liệu của techcombank.com.vn. Vì các website đặt cùng server có chung thông số nên việc truy cập "liên thông" (local attack) là có thể thực hiện được.
"Do nhiều khách hàng khi thiết lập website đã dùng mã nguồn mở sẵn có mà không đầu tư nghiên cứu bảo mật nên rất dễ bị khai thác", ông Lê Minh Hiếu, Trưởng phòng hệ thống Công ty dữ liệu trực tuyến FPT (IDS), nơi Ngân hàng Kỹ thương thuê host cho techcombank.com.vn, giải thích. "Hệ thống đã phải ngừng host cho www.phuthai... và rà soát lỗi của các website khác cùng server để không gây nguy hiểm cho những trang còn lại".
Techcombank.com.vn thuê chung máy chủ với gần 100 trang web khác, được thiết kế theo phiên bản phần mềm nguồn mở PHP 4. Tuy nhiên, PHP 4 từ cuối năm 2007 đã không được hỗ trợ kỹ thuật và bộc lộ nhiều lỗ hổng do thế giới đang theo xu hướng chuyển lên PHP 5 và PHP 6. "Vì một số khách hàng chưa nhận thức được việc cập nhật website lên các chuẩn mới nên việc chuyển đổi rất khó khăn", ông Hiếu cho biết. "PHP 4 đã lỗi thời, dù cấu hình (config) lại kỹ đến đâu cũng không ngăn cản được hacker tấn công, nếu họ muốn".
Trong máy chủ host, mỗi website được quản lý ở một thư mục gốc. Nhưng ở PHP 4, Open_Basedir (chức năng giới hạn website nào chỉ chạy trong thư mục đó) dễ dàng bị vượt qua vì có cơ chế cho phép gọi từ thư mục này sang thư mục kia. Còn từ PHP 5 trở đi, lỗi này đã được khắc phục và khách hàng dùng host chung (hình thức tiết kiệm hơn so với server riêng) có thể yên tâm hơn. Tuy nhiên, họ vẫn cần phải thường xuyên ra soát lỗi (bug) trên trang, nhất là với những website dùng nguồn mở sẵn có tải từ trên mạng.
Ngoài ra, các chuyên gia bảo mật cũng khuyến cáo tổ chức, doanh nghiệp lớn nên đặt website ở máy chủ riêng, vừa đảm bảo băng thông truy cập cho khách hàng, vừa được bảo mật tốt hơn.
Hiểm họa từ website bảo mật kém thuê chung máy chủ
383
Bạn nên đọc
-
Instagram cán mốc 3 tỷ người dùng hàng tháng
-
Android bổ sung tính năng chia sẻ âm thanh 2 tai nghe, nâng cấp Gboard, Emoji Kitchen và Quick Share
-
Microsoft chính thức đóng cửa kho phim và truyền hình trực tuyến
-
Hàng loạt big tech bị điều tra vì lừa đảo trực tuyến gia tăng
-
6 cách tận dụng thẻ SD full-size hiệu quả trong năm 2025
-
Apple tiếp tục dẫn đầu thị trường máy tính bảng toàn cầu
Xác thực tài khoản!
Theo Nghị định 147/2024/ND-CP, bạn cần xác thực tài khoản trước khi sử dụng tính năng này. Chúng tôi sẽ gửi mã xác thực qua SMS hoặc Zalo tới số điện thoại mà bạn nhập dưới đây:
Số điện thoại chưa đúng định dạng!
0 Bình luận
Sắp xếp theo

Xóa Đăng nhập để Gửi

Cũ vẫn chất
-
Hướng dẫn tạo và sử dụng file BAT trên Windows
Hôm qua -
FUNCTION (Hàm) trong SQL Server
Hôm qua -
37 câu đố về hoa hay, có đáp án
Hôm qua -
Sudoku là gì? Luật chơi và mẹo giải Sudoku dễ dàng
Hôm qua -
Hướng dẫn thiết lập VPN trên Android đơn giản nhất
Hôm qua -
Mã vùng điện thoại cố định 34 tỉnh/thành phố sau sáp nhập
Hôm qua -
Cách tạo mục lục trong Word tự động trên Word 2019/2016/2010/2007
Hôm qua 12 -
1 tấn bằng bao nhiêu tạ, yến, kg
Hôm qua 34 -
Câu lệnh CASE trong SQL Server
Hôm qua -
Cách khắc phục sự cố click chuột trái trên Windows
Hôm qua