Đang tải... (xem toàn văn)
Cái chết của hơn 28.000 email FPT- HCM
Cái chết của hơn 28.000 email FPT- HCM :trang này đã được đọc lần Cuộc “tàn sát” chỉ mới bắt đầu?Tin dẫn: (TT Tuổi Trẻ) ít nhất có trên 28.000 hộp thư điện tử, là thuê bao của nhà cung cấp dịch vụ Internet FPT khu vực TPHCM bị tê liệt hoàn toàn sáng 24-2-2003. Sự cố xảy ra khiến hàng loạt công ty, đơn vị, cá nhân không thể dùng mail để giao dịch, gây thiệt hại đáng kể cho các thuê bao vì hệ thống máy chủ mail của Internet FPT bị lỗi phần cứng. Đây là lần dịch vụ mail của FPT Internet bị tê liệt kéo dài nhất từ trước đến nay. Mãi đến trưa hôm qua (25-2), sự cố trên mới được khắc phục…” Vào cuộc:Hệ thống mail Server của FPT-HCM sử dụng là Outlook Exchange Server có thể duyệt mail qua giao thức POP3, SMTP bằng các phần mềm Mail Client, thông dụng như : Outlook Express có sẵn trong Windows, hay Office. Thậm chí có thể duyệt mail thông qua giao thức HTTP, như một Webmail (Yahoo, Hotmail, ) qua địa chỉ: isp-mail.hcm.fpt.vn/exchange. Kiểm tra hoạt đông của các hệ thống còn lại như máy chủ Web, dịch vụ DNS (Domain Name Service, IRC Server (Internet Relay Chat-chat đa người dùng),) . vẫn hoạt động như bình thường, có nghĩa hệ thống máy chủ, các thiết bị mạng, hay phần cứng hoàn toàn tốt. Lỗi xảy ra ở cục bộ một ứng dụng, nguyên nhân từ phần mềm Oulook Echange Server bị lỗi có vẻ thuyết phục hơn. Khắc phục chỉ cần 10 phút, bởi HĐH WinNT đang sử dụng có khả năng khôi phục dữ liệu (Restore), chạy ứng dụng Restore, khởi động máy và tất cả lại bình thường. Hai ngày không sử dụng được dịch vụ mail, câu hỏi tò mò cứ lớn dần lên trong đầu, nỗi ám ảnh khi điều tra vụ “Hack thẳng vào máy chủ FPT-HCM” (SVVN-Số 52/2002), cùng nguồn tin trinh sát báo cáo”Hệ thống Server FPT-HCM đã bị leo thang đặc quyền, một số Backdoor cài đặt trái phép lên trên Server này đã vượt qua hệ thống phòng thủ và leo lên chiếm quyền điều khiển tương đương Admin(Ngừơi quản trị)(!), ban chuyên án ngay lập tức được thành lập, cuộc điều tra bắt đầu cách hiện trường 1800 km, tại Hà Nội.Vào hang cọpLực lượng được chia thành ba mũi, mũi tác chiến thứ nhất: liên tục kiểm soát các thông tin được post lên các diễn đàn Hacker Việt lớn nhất, VietHacker(viethacker.net), HackerVN (vnhacker.org), .chui rúc vào ngóc ngách nơi những tay hacker xả láng khoác loác những chiến công của mình, forum in vịt của HackerVN (vnexpress.org). Cánh quân thứ hai triển khai đón lõng các đối tượng tình nghi trong các chat room kín, rà soát địa chỉ mail, tên nick trong các trình IM (Internet Message )thông dụng hư YM, ICQ, của các tay hacker đăng ký trong diễn đàn. Trong 4 ngày liên tiếp hầu hết các đối tượng đều được rà quét, từ những tay khét tiếng lừng danh cho đến đám Newbie tập toẹ. Mũi thứ ba liên tục e-mail và bom tin, dội đến địa chỉ của cả hai nhóm Hacker Việt lớn nhất để tìm câu trả lời. Thủ lĩnh của cả hai đều đứng ra xác nhận “Không hề làm vụ này!”. Các cao thủ ẩn cư cũng đồng loạt nhận được thư và tin nhắn, 5 ngày trôi qua, câu trả lời nhận được, đơn giản “không!”. Loé sáng“Các hacker thứ thiệt không bao giờ tấn công nửa chừng xuân như vậy, tấn công phải có mục đích và quan trọng nó nhắm vào những cái nhìn thấy được, dã man thì deface trang Web, tức tối thì đánh cắp domain (domain vietnam khong danh cap duoc dau , chi forward sang host khac thoi ), hay cảnh cáo thì đưa lên trang chủ vài dòng nhắn nhủ(!!!) MSVN xác nhận “tuyên ngôn“ của Hacker. Không có những cuộc tấn công từ xa(?), nếu có đối tượng không thể là một tay “thiện nghệ” hay “khét tiếng”, co dần phạm vi đối tượng, mở rộng tầm kiểm soát thông tin, tất cả những thông tin liên quan đến FPT-HCM được rà soát, chiến dịch vào hồi quyết định-Dồn quân tấn công trực tiếp vào những kẻ quậy phá Newbie(dân tập toẹ). 2 giờ sáng ngày 1/3, một dòng message ngập ngừng gửi về trung tâm chỉ huy “Trong chat room YM ca_thay3218 có dấu hiệu khả nghi!”, mật lệnh được ban bố “không để đối tượng nghi ngờ, tiếp tục khai thác làm rõ”, toàn bộ lực lượng nhận được thông báo, trực chiến, không manh động, không login chat room khi chưa có lệnh. 5 phút trôi qua nặng nề, dòng message bay bay trên màn hình “đối tượng đang khai nhận đã nghịch ngợm hệ thống Server FPT-HCM vào quãng chiều tối ngày 23/2, đang tiếp tục làm rõ”. “Ok, tiếp tục làm rõ, lấy bằng chứng tội phạm!”Ban chuyên án nín thở chờ đợi hồi âm. 3 phút sau, một khuôn mặt cười tinh quái hiện trên màn hình tổng chỉ huy, “đã có tang chứng, đề nghị kiểm tra đoạn địa chỉ URL: http://www.hcm.fpt.vn/adv/vinhtien2002/ntdaddy.asp” ( the nay la anh chet luon do ) . cú nháp chuột hấp tấp lên đoạn mã URL, một trang Web đen ngòm hiện ra, toàn bộ nội dung Server FPT-HCM hiện ra trên màn hình, với các ổ mềm A, ổ cứng C, D, và CD-Rom hiện ra, nhấp chuột vào ổ C: toàn bộ thư mục hiện ra trước mắt ban chuyên án, ổ D: với thư mục D:\WebData\ADV chứa toàn bộ nội dung các website của khách hàng, website FPT-HCM , nằm chềnh ềnh trước mắt. Kiểm tra thư mục chứa Program Files để xác định hệ thống mail Server, thư mục Outlook Exchange với một đống các file hệ thống. Một cảm giác vui mừng ngộp thở xen lẫn lo lắng lan theo dòng tin nhắn bay bay trong ô YM message, “Ok! đã xác nhận bằng chứng, tiếp tục khai thác đối tựơng” một cái mặt cười khác được gửi đến lực lượng còn lại “Xác định backdoor có tên NTDDADY, và địa chỉ URL:xxx”. 2 phút dài hơn nửa thế kỷ, những dòng message dài ngoằng bay tới tấp:” backdoor NTDDADY, có thể điều khiển thông qua trình duyệt web (web browse) như IE, hay Nestcape thông dụng, được gọi trực tiếp từ một địa chỉ URL. Thủ phạm sau khi gọi đúng đường dẫn URL này, có thể lia ống ngắm để view toàn bộ các ổ cứng cũng như tất cả các thư mục nằm trên Server. Hoàn toàn có thể thực hiện được những lệnh như copy(sao chép), edit (sửa, soạn tệp tin), Del : xoá các file, thậm chí chơi luôn cả một thư mục .” ( neu ntdaddy duoc cai dat duoi quyen cua sysadmin thi moi co the thuc hien duoc het cac lenh tren , chung to da co 1 cao thu sau khi doat quyen admin da cai dat con nay roi :))tin nhắn cuối cùng của trinh sát gửi về: “Đối tượng đòi đi ngủ :)), đã khai thác xong!” “Ok!”. Toàn bộ ban chuyên án hoan hỉ, những khuôn mặt cười bay bay trong box YM message “Dựa vào thời gian và tình tiết phạm tội khai nhận, có thể đặt nghi vấn vào giả thiết FPT-HCM đã bị phá hoại từ xa, đề nghị kết thúc chuyên án!”. Những chiến sĩ cuối cùng disconnect khỏi mạng, những cái nick đã logout không còn sáng loá trên box nhắn tin, ngoài kia trời đã gần sáng rõ.Tái hiện hiện trường6 giờ chiều ngày 23/2, tại một quán Internet Cafe đường Đồng Nhân Hà nội, trong góc phòng: thanhcachet và bat_com_qua_trung ngồi trước hai máy tính. Sau hồi cãi nhau om xòm trên lớp để thể hiện khả năng hack của mình thanhcachet quyết định thi triển chiêu pháp cho bat_com_qua_trung xem.Hai site http://vpost.cantho1260.net/ và www.xosothudo.com.vn mắc lỗi SQL Injection (lỗi kiểm tra quyền đăng nhập có thể sử dụng câu lệnh truy vấn cơ sở dữ liệu SQL để vượt qua hệ thống kiểm tra) lừa qua hệ thống kiểm tra kiểu file upload để có thể “táng” nguyên một con backdoor. Sau khi con backdoor đã nằm gọn gàng trên ổ cứng chứa site này, thanhcachet bắt đầu gọi qua địa chỉ URL để bắt con backdoor lên thực hiện một loạt các lệnh, tạo quyền đăng nhập và chiếm quyền điều khiển Server. Chừng không tin vào khả năng của thằng bạn, bat_com_qua_trung, thách đố, giỏi nhảy vào thằng nào to hơn đi, như FPT chẳng hạn. Lật trong trí nhớ của mình, thanhcachet, gọi ngay URL đường dẫn đến con backdoor có chứa trong server FPT-HCM. bat_com_qua_trung vội gõ háo hức vào trình duyệt đang mở sẵn trước mắt mình. Một trang web đen ngòm hiện ra có khả năng điều khiển con backdoor viết bằng ngôn ngữ ASP-NTDDADY, đầy quyền năng. Khuôn mặt khóai chí như giãn ra, bat_com_qua_trung, đựơc câu khích lệ của thằng bạn thân thiết, “Xoá đại một hai file thử chơi”. Thằng “khờ” túm ngay lấy mấy file .sys và .dll (file hệ thống, và các file thư viện liên kết động rất quan trọng trong hệ thống), stick chọn file rồi chọn “submit”, một cú vung tay thật mạnh lên phím Enter và .Kiểm thử, hệ thống mail Server chết thê thảm sau cú gõ ngoạn mục, mIRC báo lỗi tùm lum. . Cái chết của hơn 28. 000 email FPT- HCM :trang này đã được đọc lần Cuộc “tàn sát” chỉ mới bắt đầu?Tin dẫn: (TT Tuổi Trẻ) ít nhất có trên 28. 000 hộp. điều tra vụ “Hack thẳng vào máy chủ FPT -HCM (SVVN-Số 52/2002), cùng nguồn tin trinh sát báo cáo”Hệ thống Server FPT -HCM đã bị leo thang đặc quyền, một