Hack website sử dụng IIS 5.0 và WEBDAV

Trong những năm gần đây, rất nhiều website của VN, thậm chí là các website có đuôi là gov.vn bị các Hacker Ả rập tấn công rất nhiều. Những lỗi phổ biến nhất vẫn là SQL injection, Brute Force, WEBDAV . . . Trong đó hầu như đa số các website chạy trên server windows phiên bản cũ đều thường bị tấn công qua lỗi WEBDAV, đây là lỗi khá phổ biến xảy ra trên các site chạy windows server và IIS 5.0 . Hiện nay rất ít server còn chạy IIS 5.0, nhưng một số server của các website gov.vn vẫn còn chạy webserver này. Nhóm VNSecurity.vn đã rất nhiều lần cảnh báo về lỗi này!
(tìm hiểu về Webdav: http://vi.wikipedia.org/wiki/WebDAV)

Nguyên nhân xảy ra lỗi là IIS 5.0 ở chế độ mặc định sẽ mở service WEBDAV, ở những phiên bản cũ nó cho phép 1 người dùng bình thường có thể PUT File lên server hoặc view được folder và code của website. Một số server giới hạn đuôi file upload lên (chỉ cho phép những file không thực thi) tuy nhiên một số server lại ko giới hạn, có thể upload file có đuôi .asp lên.

Cách thức up thì có nhiều các khác nhau, có thể sử dụng cmd, Acunetix . . . để upload file. Cách đơn giản nhất trên WINXP là vào RUN, chạy dòng lệnh:

%WINDIR%\EXPLORER.EXE ,::{20D04FE0-3AEA-1069-A2D8-08002B30309D}\::{BDEADF00-C265-11d0-BCED-00A0C90AB50F}

Sau khi hiện ra màn hình quản trị WEB folder, người ta có thể upload hay rename file trên website bình thường!

Chúng tôi đã cảnh báo rất nhiều lần về lỗi này và đã gửi thông báo đến các quản trị viên, tuy nhiên trên zone-h.org vẫn còn rất nhiều website bị lỗi này! Dấu hiệu dễ nhận ra nhất là các website bị để 1 file .txt hoặc .htm của hacker Ả rập!

Nhóm VNSecurity.vn