Trao đổi với ICTnews, ông Trần Quang Chiến, đại diện Security Daily cho biết vào khoảng 20h ngày 8/3/2015, website chính thức của trường Đại học Luật Hà Nội tại địa chỉ hlu.edu.vn đã bị 1 nhóm hacker tấn công và thay đổi giao diện.

Một đoạn mã HTML đã được chèn vào trang chủ website, nội dung các bài viết cũng đã bị thay đổi. Hacker đã chèn dòng chữ với nội dung “HACKED —- Jannina Weigel! Just test your site —– CHINA!” cho thấy nhóm hacker đến từ Trung Quốc và mục đích của họ là chỉ để kiểm tra tính bảo mật của website.

Ảnh
Website Đại học Luật bị tin tặc tấn công tối 8/3/2015.

Ngoài ra, một bài viết với nội dung “HACKED !” và một hình “mặt cười” cũng được đăng trực tiếp lên trang chủ của website.

Đến 9h sáng 9/3/2015, website của Đại học Luật đã hoạt động bình thường trở lại.

Theo phân tích của chuyên gia bảo mật, rất có thể tin tặc đã khai thác lỗ hổng “SQL Injection” đang tồn tại trên website của Đại học Luật. Lỗ hổng này cho phép hacker thao tác trực tiếp với cơ sở dữ liệu của hệ thống, tải các tệp tin độc hại lên hệ thống.

Phân tích thêm về những hậu quả có thể xảy ra khi website bị hacker kiểm soát và chiếm được quyền điều khiển, ông Trần Quang Chiến nói: "Có thể những thông tin trên website thuộc diện không công bố công khai đã lọt vào tay tin tặc. Mặt khác, hacker có thể đăng tải bất kì thông tin gì lên các website, biến website thành trung tâm phát tán mã độc (lây lan đến những người dùng trực tiếp truy cập vào website) hoặc biến website thành các điểm chứa cho các biểu mẫu giả mạo (phishing) nhằm mục đích lừa những người dùng khác. Ngoài ra, tin tặc có thể cài mã độc trên website, tạo cửa hậu (back door) để sau khi website được vá lỗi thì tin tặc vẫn có thể tiếp tục tấn công".

Cũng theo ông Trần Quang Chiến, Đại học Luật không phải là trường đại học đầu tiên tại Việt Nam bị tin tặc tấn công website mà trước đó đã có nhiều trường khác từng bị tấn công bởi tin tặc. Thậm chí, có trường còn bị chèn link web đen lên website chính thức. Nguyên nhân thường do lỗi của đội ngũ quản trị, phụ trách website".

"Vụ tin tặc tấn công website Đại học Luật lần này tiếp tục là cảnh báo đối với các trường Đại học, Cao đẳng ở Việt Nam trong việc phải đầu tư nghiêm túc hơn cho công tác đảm bảo an toàn, an ninh thông tin, tăng cường chất và lượng cho đội ngũ quản trị, phụ trách hệ thống website của trường", ông Trần Quang Chiến nhấn mạnh.

Một số khuyến nghị đối với quản trị website để tránh bị tin tặc tấn công:

- Kiểm tra tính an toàn của mật khẩu các tài khoản quản trị của hệ thống (tài khoản trang quản trị, tài khoản remote (ssh) đến máy chủ, tài khoản FTP, mysql…). Để đảm bảo an toàn quản trị cần thay đổi toàn bộ các tài khoản, mật khẩu này.

- Rà soát các tệp tin lạ, cửa hậu có thể đã được tin tặc đưa vào mã nguồn, hệ thống tệp tin của website. Rà soát những form giả mạo (phishing) có thể đã được hacker chèn vào website để phục vụ cho các quá trình lừa đảo khác.

- Cập nhật các bản vá, cập nhật phiên bản mới cho các hệ thống, dịch vụ, nền tảng mà website đang sử dụng.

- Phân tích log của hệ thống, thực hiện kiểm tra, đánh giá bảo mật cho website để phát hiện và khắc phục sớm các nguy cơ bảo mật đang tồn tại trên hệ thống.

- Tắt hoặc cấu hình ẩn các dịch vụ không cần thiết.

Theo ICTnews.




Bình luận

  • TTCN (0)