TABATECH' Technical Blog

Hiểu về tấn công DDoS UDP

Tấn công DDoS UDP là gì?

Tương tự như dạng tấn công ddos gây ngập lụt gói ICMP, dạng tấn công UDP xảy ra khi kẻ tấn công gửi một lượng lớn các gói tin UDP với địa chỉ nguồn giả mạo là IP máy bị tấn công (Victim). Theo giao thức, các máy tính nhận được các gói tin UDP này sẽ đọc thông tin header trong gói và gửi theo địa chỉ đích là máy bị tấn công, máy tính vô tình gửi 1 gói UDP trả lời (UDP Datagram response) tới máy bị tấn công.

Theo đó khi khối lượng máy tính tham gia trả gói UDP response rất lớn khoảng 10.000 máy, chúng sẽ làm máy nạn nhân bị quá tải, không còn khả năng phục vụ, thậm chí CPU tăng đột biến do phải xử lý gói UDP quá lớn.

Cách phòng chống tấn công DDoS UDP

Trên Router/SW/Firewall:

  • Chỉ mở các kết nối UDP cần thiết, ví dụ UDP port 80 không dùng thì cần tắt bỏ.
  • Limit lượng pps trên mỗi nguồn IP hoặc nhiều nguồn IP, khi qúa ngưỡng request tiếp theo sẽ không phục vụ nữa.   Ví dụ giới hạn 500 packet UDP trên giây bằng iptables, dùng lệnh sau:
#Outbound UDP Flood protection in a user defined chain.
iptables -N udp-flood
iptables -A OUTPUT -p udp -j udp-flood
iptables -A udp-flood -p udp -m limit --limit 50/s -j RETURN
iptables -A udp-flood -j LOG --log-level 4 --log-prefix 'UDP-flood attempt: '
iptables -A udp-flood -j DROP


Trên server:

  • Tắt các dịch vụ không sử dụng, ví dụ: tắt DNS nếu không cần thiết
  • Rào chính sách bảo mật trên firewall, chỉ allow một số port cần thiết.

Xem thêm bài viết tổng quan về tấn công DDoS: https://tabatech.vn/cach-phong-chong-tan-cong-ddos/ 

Read More

Lỗ hổng bảo mật leo thang quyền CVE-2017-1000253

CVE-2017-1000253

Lỗ hổng leo thang quyền mang số hiệu CVE-2017-1000253 vừa được Redhat công bố,
Lỗ hổng được tìm thấy trong cách mà Linux kernel thực hiện load các file ELF  (Executable and Linkable Format), một hiện tượng stack corruption xay ra khi cấp phát bộ nhớ thiếu.

Lỗ hổng được cho là rất quan trọng!

An application is built as Position Independent Executable (PIE), the loader can allow part of that application’s data segment to map over the memory area reserved for its stack resulting in corruption of the stack, with possible privilege escalation.

<< from Redhat site

Các phiên bản bị ảnh hưởng, bao gồm:

All versions of CentOS 7 before 1708 (released on September 13, 2017)
All versions of Red Hat Enterprise Linux 7 before7.4 (released on August 1, 2017)
All versions of CentOS 6 and RedHat Enterprise Linux 6

Phiên bản không bị ảnh hưởng:

Kernel 3.10.0-693 and later

Cách fix CVE-2017-1000253

Cách 1: – Upgrade Kernel tới phiên bản mới nhất trong dòng bạn đang dùng.

yum update

Cách 2: set thông số sysctl trong kernel, chú ý khi set thông số này vì có thể ảnh hưởng tới ứng dụng của bạn đang chạy.

vm.legacy_va_layout=1

  

Thông tin tham khảo:

https://access.redhat.com/security/cve/cve-2017-1000253https://access.redhat.com/security/vulnerabilities/3189592

 

Read More

Bảo mật wordpress tốt nhất

    Website sử dụng nền tảng WordPress giờ đã là một xu thế trên thế giới, cộng đồng người dùng hay các công ty sử dụng nó, đóng góp hay kinh doanh qua các plugin, code, theme,..

WordPress có tính mở, và chắc chắn rồi code của nó luôn có lỗ hổng, điều này được minh chứng qua nhiều phiên bản wordpress phát hành luôn đi kèm với bản vá security fix, và hầu hết các lỗ hổng này chúng tôi thấy đều rất quan trọng.

     Để bảo mật một website cần những bước can thiệp tới hệ điều hành, phần cứng, dịch vụ khá phức tạp, đó còn chưa kể tới quá trình kiểm thử hệ thống. Tuy nhiên bảo vệ wordpress có những cách khá dễ dàng mà chỉ cần qua một số click chuột.

 

Bảo mật wordpress như thế nào?

(more…)

Read More

CVE-2017-6074: Lỗ hổng kernel nghiêm trọng tồn tại suốt 11 năm

Lỗ hổng CVE-2017-6074 được tìm ra bởi nhà nghiên cứu bảo mật Andrey Konovalo. Lỗ hổng này đặt ở mức nghiêm trọng, nó khiến máy chủ bị leo thang quyền hạn, tấn công từ chối dịch vụ DoS, và còn những ảnh hưởng khác.

Lỗ hổng này là một dạng lỗ hổng user-after-free, xuất hiện trong code triển khai DCCP (Datagram Congestion Control Protocol). Qúa trình giải phóng bộ nhớ DCCP 2 lần khiến người dùng có thể thay đổi bộ nhớ Kernel, điều này làm hệ điều hành bị đơ, người dùng vượt quyền hạn từ người dùng thường lên root.

Các server nằm trên hệ thống của TABATECH đã được vá lỗ hổng nghiêm trọng này!

Cách vá lỗ hổng

  • Nâng cấp kernel (recommend).
  • Đối với các hệ thống không load DCCP module thì có thể xử lý bằng cách tắt module này đi bằng lệnh:
echo >> /etc/modprobe.d/disable-dccp.conf

 

TABATECH.VN sẵn sàng lắng nghe và tư vấn miễn phí cho bạn, đứng ngần ngại liên hệ với chúng tôi!
Thành công của chúng tôi là giải quyết được vấn đề của bạn!

TABATECH.VN

Read More

Lỗ hổng bảo mật Dirty Cow leo quyền trong hầu hết kernel - CVE-2016-5195

Lỗ hổng DirtyCow đang tồn tại trên hầu hết các kernel linux, bao gồm cả Android.
Lỗ hổng này cho phép Hacker tấn công leo thang đặc quyền. Nghĩa là từ người dùng có quyền thường (normal users) có thể viết và chỉnh sửa các file mà lẽ ra người dùng Admin mới chỉnh sửa được (admin users). Ví dụ các file /etc/passwd, /etc/shadow,.. sẽ có thể thay đổi bởi những người dùng thường.

Các server nằm trên hệ thống của TABATECH đã được vá lỗ hổng nghiêm trọng này!

Các distro bị ảnh hưởng bao gồm:

  1. Red Hat Enterprise Linux 7.x
  2. Red Hat Enterprise Linux 6.x
  3. Red Hat Enterprise Linux 5.x
  4. CentOS Linux 7.x
  5. CentOS Linux 6.x
  6. CentOS Linux 5.x
  7. Debian Linux wheezy
  8. Debian Linux jessie
  9. Debian Linux stretch
  10. Debian Linux sid
  11. Ubuntu Linux precise (LTS 12.04)
  12. Ubuntu Linux trusty
  13. Ubuntu Linux xenial (LTS 16.04)
  14. Ubuntu Linux yakkety
  15. Ubuntu Linux vivid/ubuntu-core
  16. SUSE Linux Enterprise 11 and 12.

Làm thế nào để vá lỗ hổng DirtyCow?

(more…)

Read More

Cách phòng chống tấn công DDoS hiệu quả

Hôm nay TABATECH.VN đưa ra cách nhìn nhận tổng quát về dạng tấn công DDoS và đi sâu vào giải pháp để phòng chống dạng tấn công này. Đây là những kinh nghiệm vận hành từ đội ngũ chuyên gia bảo mật TABATECH.VN, mong có thể mang đến cộng đồng cách nhìn rộng và tổng quan về cách phòng chống tấn công DDoS.

Ở Việt Nam có rất nhiều website từng bị tấn công DDoS gây thiệt hại rất lớn, có những lúc bị tiêu thụ hết 10Gbps thậm chí 30Gbps băng thông Internet tiêu biểu như dantri.com.vn, vietnamnet.vn, muachung.vn, tuoitre.com.vn,.. Tấn công DDoS tấn công vào hạ tầng dịch vụ của các báo lớn, các tổ chức chỉnh phủ,.. nhằm một mục đích nào đó.
Đối với những Sysadmin quản trị hệ thống có nhiều kinh nghiệm cũng không khỏi lúng túng khi gặp loại tấn công DDoS trên hệ thống mình quản lý. Lý do: vì chúng đa dạng, thực hiện trên quy mô lớn, tính chất phân tán và có thể kẻ tấn công thực hiện nhiều loại tấn công cùng một lúc. Do vậy hiện cũng không có giải pháp toàn diện cụ thể nào để ngăn chặn loai tấn công này.

(more…)
Read More

Cách bảo mật website hiệu quả

    Bảo mật website là 1 khái niệm rộng, để làm được tốt công việc này đòi hỏi hiểu biết rộng và sâu về nhiều lĩnh vực như mạng (network), hệ thống thông tin (information system) và lập trình (programming).
Nhiều hệ thống thông tin hiện nay thường chỉ áp dụng 1 cách thức bảo mật nào đó như sử dụng tường lửa (firewall) hay đơn giản cài antivirus thì cho rằng hệ thống của họ đã an toàn, có thể chống chọi được hầu hết các mối nguy hại.

Chỉ như vậy thôi chưa đủ, những kẻ tấn công thường am hiểu về bảo mật. chúng có những cách thức tấn công rất tinh vi nhằm vào một mục đích cụ thể. Cho dù chúng sử dụng cách nào đi nữa, công việc của những nhà quản trị, những người vận hành hệ thống hãy thiệt lập các cơ chế bảo mật để hệ thống được hoạt động an toàn và hiệu quả.

 

Cách bảo mật website hiệu quả? Làm thế nào để bảo mật website tốt nhất?

(more…)
Read More