Backdoor là gì? Webshell nguy hiểm đến mức nào?

Muốn hiểu backdoor là gì, trước hết, bạn cần hiểu tại sao tin tặc lại dùng đến nó.

Mỗi ngày có hàng ngàn website bị các tin tặc tấn công, mục đích cuối cùng của tin tặc là có thể chiếm được quyền điều khiển máy chủ và làm chủ hoàn toàn hệ thống. Máy chủ là một máy tính, nhưng được thiết kế với nhiều tính năng vượt trội và năng lực lưu trữ và xử lí dữ liệu lớn hơn máy tính thông thường rất nhiều. Máy chủ là nền tảng của mọi dịch vụ trên internet – bất kỳ một dịch vụ nào trên internet như website, ứng dụng, trò chơi,… muốn vận hành cũng đều phải thông qua một máy chủ nào đó. Sau mỗi cuộc tấn công, tin tặc sẽ tìm cách để có thể xâm nhập lại máy chủ một cách dễ dàng hơn mà không bị phát hiện.

Backdoor là gì Webshell nguy hiểm đến mức nào cystack

Backdoor là gì?

Để có thể giải quyết vấn đề trên, tin tặc sử dụng một phương pháp gọi là backdoor (cửa hậu). Backdoor là một chương trình (program) được tin tặc cài đặt trên hệ thống mục tiêu, nhằm mục đích giúp hắn truy cập trở lại vào lần sau một cách dễ dàng hơn. Bạn có thể hiểu backdoor đơn giản như sau:

  • Tạo một tài khoản trên máy dành riêng cho tin tặc, để lần sau xâm nhập, tin tặc sẽ đăng nhập bằng tài khoản này.
  • Cài một chương trình độc hại âm thầm nhận lệnh điều khiển của tin tặc để từ đó truyền các dữ liệu cho tin tặc.

Backdoor là gì Webshell nguy hiểm đến mức nào cystack

Webshell là gì?

Một hình thức của backdoor mà tin tặc hay sử dụng đó là webshell. Webshell là một giao diện web đơn giản được dùng để quản lí file, thực thi các lệnh, quản lí cơ sở dữ liệu, đọc mail, quản lí các tài khoản: thêm, sửa, xoá tài khoản,… . Ban đầu webshell được sinh ra để giúp các quản trị viên tương tác với máy chủ dễ dàng hơn. Nhưng sau đó, các tin tặc đã lợi dụng webshell để phục vụ cho các mục đích xấu của mình. Hiện nay có rất nhiều webshell đang được sử dụng, nhưng phổ biến nhất vẫn là webshell webadmin, r57 và c99.
Dưới đây là một ví dụ cho webshell b374k:

Backdoor là gì Webshell nguy hiểm đến mức nào cystack

Webshell này có các tiện ích cho phép thực hiện các lệnh trên hệ thống (Terminal), truy cập và thao tác với các cơ sở dữ liệu (Database), gửi mail (mail), … .

Vậy các tin tặc sử dụng webshell để tấn công như thế nào?

Giả sử bạn có một trang web xyz.com có một lỗ hổng bảo mật nào đó. Các tin tặc biết và khai thác lỗ hổng đó. Sau đó các tin tặc tìm cách xâm nhập vào máy chủ và upload lên một webshell tên là “b347k.php“. Như vậy từ lần sau khi các tin tặc muốn quay trở lại, chỉ cần truy cập theo địa chỉ xyz.com/b347k.php là có thể xâm nhập vào được máy chủ.

Backdoor là gì Webshell nguy hiểm đến mức nào cystack

Tác hại của webshell khi nó được tải lên máy chủ

Một khi các tin tặc upload được webshell lên máy chủ của bạn, tin tặc sẽ gần như kiểm soát hoàn toàn máy chủ website của bạn. Webshell được sử dụng với các mục đích dưới đây:

  • Thu thập và lọc dữ liệu nhạy cảm, các thông tin quan trọng
  • Tải lên các phần mềm độc hại
  • Thêm, sửa, xoá các tài khoản

Nói cách khác, tin tặc có thể làm bất cứ thứ gì mình muốn trên máy chủ website của bạn.

Các biện pháp xử lí và phòng chống backdoor và webshell

Backdoor, webshell là những công cụ đáng sợ giúp tin tặc âm thầm xâm nhập vào hệ thống. Vì vậy cần phải có những biện pháp xử lí, phòng chống một cách kịp thời như:

  • Tìm các file lạ, xem các file lạ có phải là các file gốc vốn có từ ban đầu hay không – nếu không phải, cần loại bỏ ngay.
  • Kiểm tra lại tất các các tài khoản trên máy chủ, thấy tài khoản nào lạ cũng cần loại bỏ ngay.

Tuy nhiên đó cũng chỉ là các giải pháp tạm thời, việc tồn tại các backdoor/webshell trên máy chủ chính là do các lỗ hổng trên website hay máy chủ của bạn. Vì vậy, cần phải rà soát, phát hiện tất cả các lỗ hổng trên máy chủ của bạn (Xem thêm tại bài viết Định nghĩa lỗ hổng bảo mật và các ví dụ) và tìm cách vá những lỗ hổng đó.

Nếu như không biết cách xử lý, bạn có thể tìm đến các chuyên gia bảo mật để được hỗ trợ. Tuy nhiên, cách nhanh chóng và hiệu quả nhất chính là sử dụng các công cụ tự động phát hiện lỗ hổng và loại bỏ mã độc trên website của bạn.

Với CyStack Platform, bạn có thể:

  • Quét và phát hiện lỗ hổng bảo mật trên website với CyStack Scanning.
  • Phát hiện và loại bỏ mã độc, webshell trên website với CyStack Responding.

> Sử dụng miễn phí toàn bộ các ứng dụng thuộc CyStack Platform trong 14 ngày. <

CyStack