Để thông tin cho độc giả và nhất là các quản trị mạng (webmaster) biết hầu tránh được sự cố đáng tiếc như ykien.net đã gặp, chúng tôi quyết định công bố Thông Báo này. Để độc giả dễ đọc, chúng tôi giản lược vài chi tiết kỹ thuât. Theo sự hiểu biết của chúng tôi:
Đây là cái link tin tặc dùng để gửi request: http://s221301470.onlinehome.us/yk_secure.swf
Độc giả có thể thử vì tên miền ykien.net đã bị khóa. Sau khi click vào link, xem cái status bar (ở phía dưới browser), sẽ thấy connect to ykien.net … Nếu không thấy rõ, có thể thử nhiều lần (reload), vì sau vài connect nó ngưng lại.
Cái yk_secure.swf này gửi 2 loại request:
Sun Nov 4 01:53:43 2007: used 0.84 seconds of cpu time for …/blog/index.php"
Sun Nov 4 01:53:43 2007: used 0.84 seconds of cpu time for …./blog/"s=y+kien"
Vào: http://s221301470.onlinehome.us/
sẽ thấy đây là website dùng chữ Việt (với hàng chữ “Bạn hãy nhấn vào đây để biết và nghe nhạc nha”), nó forward về 1 website chữ Việt khác
Vào: http://onlinehome.us/: nó forward về 1 nhà cung cấp dịch vụ webhosting.
Trước hết xem xét cái link : …/blog/index.php"
Cái này là http://ykien.net/blog/index.phpdùng đề vào trang chính ykien.net, mọi người dùng Internet đều có thể dùng cái link này. Độc giả của ykien.net đều dùng cái link này (mặc dù về syntax có ít nhiều khác biệt, thí dụ: chỉ cần đánh lệnh http://yien.netlà đủ)
Còn cái link : …./blog/"s=y+kien"
Cái này là http://ykien.net/blog/"s=y+kiendùng để tìm kiếm (search) từ « y » và « kien », mọi người dùng Internet đều có thể gõ trực tiếp cái link này trong khung “link” của browser hay gián tiếp trong khung “search” của trang ykien.net.
Tóm lại, đây là 2 cái link (hay request) thông thường dùng cho mọi website dùng ngôn ngữ PHP để gửi request (chỉ cần đổi tên miền và syntax search thôi).
Theo thông kê, trong khoảng hơn 1 ngày, tin tặc dùng yk_secure.swf 26.245 lần. Cái này gửi nhiều lần request.
Chúng tôi có xem cái yk_secure.swf, không thấy có gì, ngoại trừ vài cái loop (dùng để gửi nhiều lần "). Có lẽ còn 1 file nữa có tên x.y nào đó chứa 2 link/request nêu trên.
Một số kết luận:
Từ các dữ kiện trên, chúng tôi rút ra một số nhận định:
Bất kỳ một ai (ở trong hay ngoài Việt Nam) vào Internet đều có thể dùng cái link http://s221301470.onlinehome.us/yk_secure.swfvà - vô tình hay cố ý - trở thành … tin tặc ykien.net !
2 cái link nêu trên là các request công cộng (dành cho mọi người đọc và không gây hư hại gì cho server) do yk_secure.swf gửi (26.245 x n … lần). Do đó, chúng tôi kết luận tin tặc dùng lối tấn công từ xa (DoS), mục đích làm ykien.net bị quá tải (quá quota cho phép).
Tin tặc không cần dùng server để gửi các lệnh PHP, vì chỉ cần vào 1 quán cà phê Internet và dùng http://s221301470.onlinehome.us/yk_secure.swf!
Đối với các website khác dùng PHP và MySQL, phải chăng tin tặc chỉ cần sửa tên miền và syntax «search» trong file x.y nào đó là có thể tấn công "
Trên đây là một số dữ kiện và nhận định của chúng tôi, rất mong được phổ biến Thông Báo này và được các chuyên viên chỉ dẫn.
mạng Ý Kiến
http://ykienblog.wordpress.com
http://mangykien.wordpress.com
Trong khi chờ đơi ykien.net phục hoạt, chúng tôi cũng mong được phổ biết các địa chỉ nêu trên. Chân thành cảm tạ.