Điều tra nguyên nhân của 1 vụ tấn công mạng thông qua log file

VSEC - BLOG Bảo mật cho người mới

Kỳ này mình có nhận được yêu cầu phân tích file log để tìm ra nguyên nhân của 1 vụ tấn công vào Website của công ty sử dụng WordPress. Website bị hacker tấn công và xóa sạch dữ liệu.

Dưới đây là hình ảnh “1 góc” của file log.

Trong lần điều tra này, mình dùng SublimeText 3 và Google :v Bước đầu, mình đọc qua vài lần toàn bộ file log để nắm bắt cấu trúc về nội dung của file, nhìn chung file log này không dài (khoảng 4500 dòng) nên mình có thể dễ dàng nắm bắt. Sau khi đọc qua vài lần, mình note lại 1 số request “khác biệt” so với phần còn lại. Ngoài các request của các con bot, request đọc các bài viết của trang web, thì mình có liệt kê ra vài dấu hiệu ( theo mình là đáng ngờ). Tuy nhiên sau khi tra google 1 hồi thì những dấu hiệu đó không nói lên nhiều điều. Mình bắt đầu nghĩ tới việc, nếu website bị xóa toàn bộ database, thì sẽ có hành động gì đó liên quan tới “admin”, Ctrl + F và bắt đầu search.

OHh, 1 dòng khá là hay ho như hình dưới đây (có thể do lần đọc log mình đã bỏ qua chi tiết này):

Tới đây, mình tiếp tục search google về đoạn request trên thì phát hiện ra, đây chính là đoạn request độc hại nhắm tới lỗ hổng trong 1 plugin của WordPress có tên là “ThemeGrill Demo Importer”. Lỗ hổng này cho phép những kẻ tấn công xóa tất cả các bảng trong WordPress.

Request: “GET /wp-admin/admin-ajax.php?do_reset_wordpress=1 HTTP/1.1”

Thông tin thêm về lỗ hổng: By sending a call to /wp-admin/admin-ajax.php?action=anything&do_reset_wordpress=1, the database will be wiped and we will be logged in as “admin” if the “admin” user exists in the users table. Authentication is not required.

Từ những thông tin trên cùng với việc Website bị xóa toàn bộ bài viết, thì có thể kết luận: Nguyên nhân bị tấn công là do Website sử dụng phiên bản plugin ThemeGrill Demo Importer dính lỗ hổng. Hacker tận dụng lỗ hổng trong plugin này để gửi request độc hại xóa sạch bài viết của Website. Dưới đây là thông tin về bản patch (version 1.6.2) :

Ngoài ra, địa chỉ IP nguồn của cuộc tấn công vào website này( 107.180.225.158 ) cũng được chia sẻ trên internet, điều đó có nghĩa là hacker đã khai thác lỗ hổng này trên rất nhiều website WordPress sử dụng plugin ThemeGrill Demo Importer ( thời điểm giữa năm 2020).

Hướng khắc phục:

Block các địa chỉ IP nguồn của cuộc tấn công và tiến hành cập nhật plugin ThemeGrill Demo Importer lên phiên bản mới nhất.

Tác giả: Hoàng Đức Hoan – VSEC