Bạn có website nhưng không có đội ngũ kỹ sư CNTT riêng để quản lý, hay gặp các tình trạng bị đối thủ TẤN CÔNG nhằm mục đích cướp khách hàng của bạn. Hoặc huỷ hoại, đánh cắp các thông tin quan trọng của website của bạn chỉ đơn giản vì web của bạn đang chiếm lĩnh nhiều vị trí quan trọng mà họ đang ao ước. 

Các cuộc tấn công mạng này xảy ra rất phổ biến trên internet hiện nay, gây niều tổn thất và ảnh hưởng đến chủ kinh doanh hay doanh nghiệp. Dịch vụ bảo mật xử lý sự cố server chính là giải pháp chuyên nghiệp giúp bạn xử lý nhanh gọn các vấn đề về bảo mật và xâm nhập website

Dịch vụ bảo mật xử lý sự cố server là gì?

Dịch vụ bảo mật xử lý sự cố server là hình thức thuê nhân viên kỹ thuật kinh nghiệm bên ngoài để xử lý nhanh chóng các vấn đề về bảo mật server, xử lý những sự cố xâm nhập hay đánh cắp dữ liệu xảy ra. 

Hiện nay có nhiều hình thức tấn công khác nhau, nhưng có 5 loại hình tấn công phổ biến nhất đó chính là:

1. Tấn công từ chối dịch vụ - DDOS - Botnet
2. Tấn công SQL Injection
3. Tấn công Password Admin - Brute Force
4. Tấn công Local Attack
5. Tấn công Thương hiệu - Branding Attack

Để hiểu rõ các loại hình này bạn cần tìm hiểu nhiều hơn về Bảo mật, An ninh mạng hoặc theo dõi các bài viết của LPTech về Dịch vụ bảo mật website để có thêm thông tin nhé. 

Tấn công DDOS là gì? 

Tấn công từ chối dịch vụ phân tán, tấn công DDoS - viết tắt của Distributed Denial of Service là một khái niệm chung mang ý nghĩa là làm cho những người dùng không thể truy cập vào 1 website, ứng dụng online nào đó một cách bình thường.

Nó làm cho hệ thống gặp sự cố với mục đích ác ý của một người hay một nhóm người nào đó. Mục tiêu làm cho một hoặc nhiều hệ thống mạng không thể sử dụng được tại 1 thời điểm nhất định, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường.

Cách thức tấn công vô cùng đơn giản, bằng cách làm quá tải tài nguyên của hệ thống bởi những gói tin được Request liên tục. Thủ phạm tấn công từ chối dịch vụ thường nhắm vào các trang mạng hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers, và cũng có thể là website của bạn hôm nay.

Việc tấn công này không làm cho website của bạn bị lộ thông tin, đánh cắp thông tin như các loại hình tấn công khác nhưng nó sẽ làm khách hàng, Google không thể kết nối với website của bạn trong 1 thời gian dài, với nhiều mục đích khác nhau. Có thể dễ thấy nhất đó chính là phá hoại website của bạn, các từ khoá bạn đang SEO như dịch vụ seo đang thực hiện thì đều gặp trục trặc nếu Google không thể truy cập 1 thời gian dài.

Các dấu hiệu nhận biết Server bị tấn công.

Các số liệu từ việc kiểm tra trên sẽ cho bạn biết rằng mình có đang bị tấn công hay không, phải dựa vào kinh nghiệm và kiến thức của người phụ trách để xác định việc này. LP Tech có đội ngũ nhân viên chuyên nghiệp có kinh nghiệm trong việc bảo mật và vận hành, xử lý tấn công server Centos, Ubuntu, Window, ... đảm bảo giảm thiệt hại cho bạn 1 cách an toàn và hiệu quả nhất.

1. Kiểm tra các kết nối từ các PORT 80, 443 , 25, 3389
2. Xác định loại kết nối đến - Method Incoming
3. Kiểm tra băng thông mạng.
4. Kiểm tra thống số CPU.
5. Quy trình xử lý khi bị tấn công của LPTech.

Kiểm tra tình trạng hiện tại

Đầu tiên LPTech sẽ xác định tình trạng hiện tại của hệ thống, thống kê các số liệu, và các dấu hiệu nghi vấn xem và xác định xem đó có phải là 1 cuộc tấn công mạng hay không.

Nếu xác định đó chính là 1 cuộc tấn công mạng thì tiếp theo phải đo lường được mức độ nghiêm trọng của sự việc. Để có biện pháp ứng phó kịp thời.

Bài viết này về Bảo mật Server/ Website LPTech viết cho tất cả đối tượng người đọc có thể hiểu được chứ không riêng các kỹ sư nên từ ngữ sẽ được chuyển thể các từ chuyên môn nhằm người đọc nào cũng có thể dễ hiểu nhất. Nếu bạn có nhu cầu tìm hiểu dịch vụ bảo mật website thì hãy liên hệ bên dưới bài viết này.

Xác định nguồn tấn công

Nguồn tấn công website, ứng dụng có rất nhiều nguồn khác nhau, LPTech sẽ nêu đại thể một vài loại để bạn có thể hình dung được:

1. Tool DDOS Python (Hammer, TorsHammer,PyFlooder)..
2. Tool Windos HTTP Flooder 2.0
3. Admin Finder
4. Shell Script (C99, C57, C100, HVN... )
5. SQLMap, HVNBar

Danh sách kể trên là các công cụ được sử dụng trong tấn công website phổ biến nhất hiện nay (Danh sách tham khảo). Việc tấn công website cũng được chia ra làm nhiều nguồn khác nhau nhưng đa phần chúng đề có điểm chung đó chính là làm sập máy chủ của bạn, chiếu tài nguyên của bạn, đánh cắp dữ liệu của bạn...

Tối ưu Performance Hệ thống

Tối ưu hoá Hiệu suất là việc làm quan trọng sau khi đã xác định được nguyên nhân và nguồn tấn công. Nếu là tấn công DDOS thì bạn cân tối ưu lại tường lửa, khả năng chịu tải của webservice APACHE, NGINX ... xử dụng HAProxy hoặc Loadbalance để tối ưu hiệu xuất chịu tải, bổ sung thêm Caching Service như Varish, Opcache, hoặc memcached.

Học cách tấn công của Attacker

Việc học cách tấn công của Hacker, Attacker vô cùng quan trọng LPTech làm điều này để biết được liệu họ có chèn mã độc hay 1 backdoor nào đó vào hệ thống của bạn hay chưa, học được cách tấn công của họ cũng là cách để chúng ta tự thực hiệu những cuộc Pentest tránh việc tấn công tái diễn sau khi đã xử lý.

Xây dựng hệ thống tường lửa

Hệ thống tường lửa website vô cùng quan trọng. Trong thực tế, một website thường không tránh khỏi việc tồn tại các lỗ hổng bảo mật, có thể do người lập trình, cấu hình hệ thống hoặc lỗ hổng từ các nền tảng, thư viện. Việc loại bỏ hoàn toàn các lỗ hổng trên website thường rất khó thực hiện bởi lẽ các đơn vị lập trình thường không có hoặc thiếu đội ngũ kiểm tra và sửa lỗi bảo mật chuyên nghiệp.

Báo cáo thống kê quá trình tấn công.

Thống kê những thiệt hại sau khi bị tấn công, đánh giá mức độ ảnh hưởng để báo cáo lại khách hàng, LPTech sẽ lưu giữ và gửi đến chủ website bị tấn công 1 bản để bạn có thể tự đánh giá mức độ và có hướng đầu tư hợp lý tiếp theo.

Cách bảo mật server hạn chế tấn công

Xây dựng tường lửa thông minh - Smart Firewall.

Nếu bạn đang sử dụng Centos thì có thể tìm hiểu và sử dụng FirewallD.

FirewallD là giải pháp tường lửa mạnh mẽ, toàn diện được cài đặt mặc định trên RHEL 7 và CentOS 7, nhằm thay thế Iptables với những khác biệt cơ bản:

1. FirewallD sử dụng “zones” và “services” thay vì “chain” và “rules” trong Iptables.
2. FirewallD quản lý các quy tắc được thiết lập tự động, có tác dụng ngay lập tức mà không làm mất đi các kết nối và session hiện có.

Nếu bạn sử dụng windows thì Windows Firewall với Advanced Security là tường lửa chạy trên Windows Server 2012 và được bật mặc định. Các cài đặt tường lửa trong Windows Server 2012 được quản lý trong Windows Firewall Microsoft Management Console, với Windows Firewall trên Windows Server 2012, bao gồm: quản lý các cài đặt tường lửa và tạo rule tường lửa inbound, outbound đều sẽ được quản lý an toàn.

Tối ưu Dịch vụ web - Webservice.

Dịch vụ web hay Webservice bao gồm các hệ thông để có thể chạy được website của bạn như Nginx, Apache, PHP, Mysql ... việc tối ưu các dịch vụ này giải quyết được vấn đề chịu tải website của bạn sẽ an toàn hơn nếu có bị DDOS nhẹ, Ngoài ra việc tối ưu đúng webservice cũng như 1 tường lửa lọc bỏ các request nguy hiểm co website của bạn.

Cấu hình sử dụng Cân bằng tải - Load Balancing.

Load balancing là một thành phần quan trọng của cơ sở hạ tầng thường được sử dụng để cải thiện hiệu suất và độ tin cậy của các trang web, các ứng dụng, cơ sở dữ liệu và các dịch vụ khác bằng cách phân phối khối lượng công việc trên nhiều máy chủ.

Quản trị Load balancer tạo quy định chuyển tiếp đối với bốn loại giao thức chính:

1. HTTP - Chuẩn HTTP balancing chỉ đạo yêu cầu dựa trên cơ chế HTTP chuẩn. Load Balancer đặt X-Forwarded-For, X-Forwarded-Proto, và tiêu đề X-Forwarded-Port để cung cấp cho các thông tin backends về các yêu cầu ban đầu.

2. HTTPS - HTTPS balancing với các chức năng tương tự như HTTP balancing, với sự bổ sung của mã hóa. Mã hóa được xử lý theo một trong hai cách: hoặc là với passthrough SSL duy trì mã hóa tất cả con đường đến backend hoặc chấm dứt SSL mà đặt gánh nặng giải mã vào load balancer nhưng gửi lưu lượng được mã hóa đến back end.

3. TCP - Đối với các ứng dụng không sử dụng HTTP hoặc HTTPS, lưu lượng TCP cũng có thể được cân bằng. Ví dụ, lượng truy cập vào một cụm cơ sở dữ liệu có thể được lan truyền trên tất cả các máy chủ.

4. UDP - Gần đây, một số load balancer đã thêm hỗ trợ cho cân bằng tải giao thức internet lõi như DNS và syslogd sử dụng UDP.

Những quy tắc chuyển tiếp sẽ xác định các giao thức và cổng vào load balancer và bản đồ chúng đến các giao thức và cổng load balancer sẽ sử dụng để định tuyến lưu lượng trên backend.

Sao lưu dữ liệu liên tục - Backup on Time.

Sao lưu dữ liệu website (Website backup) có thể hiểu là một việc sao chép và tải xuống một máy an toàn khác toàn bộ nội dung và các dữ liệu quan trọng của website đề phòng khi website gặp sự cố. Đối với các website thương mại doanh nghiệp việc sao lưu dữ liệu là vô cùng quan trọng các công ty bán Hosting, Server thường sẽ có Backup nhưng bạn phải trả 1 chi phí khá lớn để lấy nó nếu gặp sự cố.

Bạn cần phải tự cài cho mình 1 hệ thống sao lưu website an toàn, sử dụng các công nghệ mới nhất để sao lưu Database của mình đảm báo tính an toàn dữ liệu. Doanh nghiệp mà để lộ thông tin khách hàng thì khả năng ảnh hưởng lớn đến việc kinh doanh sau này.

Bảo mật trang quản trị website - Website Admin .

Việc bảo mật trang Admin không phải ai cũng biết, vì không ai nghỉ đến việc lộ trang Admin sẽ có  những mối nguy hại nào, vì có phần đăng nhập mà, có lộ cũng đâu có sao ???

Quan niệm đó là hoàn toàn sai lầm bạn nhé, vì nhiều lúc bạn đã bị đánh cắp mật khẩu website bằng nhiều kỹ thuật khác nhau, giờ chỉ cần có Link Admin nữa thôi thì họ có thể toàn quyền kiểm soát website của bạn rồi. Nhưng nếu việc bạn có không bị đánh cắp thông tin đăng nhập thì việc lộ trang admin cũng làm bạn bị tấn công Dò Pass như mình đã nói bên trên chính là Brute Force, nguy hiểm thay nếu pass của bạn quá dễ đoán hoặc nằm trong danh sách mật khẩu của các hacker. 

Nhưng hiện này các website sử dụng mã nguồn mở như:

1. Wordpress sẽ có đường dẫn là /admin,wp-admin, wp-login.php
2. Joomla là /administrator
3. Drupal là ?q=user/login, /admin...
4. Xenforo là /admin.php

Hãy cận trọng với tài nguyên của mình hôm nay khi còn có thể đầu tư vào nó, nếu đã bị tấn công thì cơ hội càng ít đi, nêu bạn đang gặp tình trạng tương tự đừng ngại hãy liên hệ với LPTech ngay hôm nay.