Sáng nay nhà em có thông báo chuyện này bên hvaonline.net
http://www.hvaonline.net/hvaonline/posts/list/360/39025.hva#239814 Admin bên đó có ý kiến như sau
http://www.hvaonline.net/hvaonline/posts/list/360/39025.hva#239814 :
Về domain-website quansuvn.net (Quân sử Việt nam-Lịch sử Quân đôi VN), sau khi khảo sát, kiểm tra trên mạng, tôi tóm tắt lại diễn biến tình hình và có kèm theo bình luận-đề nghị như sau:
1- Khoảng năm 2007 bộ phân biên soan Quân sử VN nhờ Viethost (Công ty cổ phần công nghệ Hồng Sơn) Ba đình -Hà nội đăng ký tên miền quansuvn.net. Đây có thể là dịch vụ trọn gói: Đăng ký tên miền, hosting tên miên và create host (create host là dùng các name server để phân giải tên miền, tạo A record, để tên miền trỏ về IP của webserver sẽ hosting [chứa] website-forum quansuvn.net), rồi thậm chí công ty dịch vụ còn đảm nhận việc hosting website và thiết kế forum cho khách hàng luôn.
Bình luận-đề nghị
- Công ty Viethost đã chọn công ty cung cấp-quản lý tên miền (registrar) là ENOM. Công ty ENOM cũng dùng các name servers do chính mình quản lý để phân giải (resolve) tên miền quansuvn.net. Các name server này là DNS1.NAME-SERVICES.COM, DNS2.NAME-SERVICES.COM, DNS3.NAME-SERVICES.COM, DNS4.NAME-SERVICES.COM, DNS1.NAME-SERVICES.COM.
Theo đánh giá của các chuyên gia bảo mật thì công ty ENOM làm chưa tốt công tác bảo mật hệ thống của họ, trong khi họ quản lý quá nhiều tên miền. Thí dụ 1 name server của họ chịu trách nhiệm phân giải tới trên dưới 3 triệu tên miền.
- Lần sau các anh bên quansuvn.net, nên đề nghị Viethost để cho mình quản lý tên miền của mình (quansuvn.net), nghỉa là có quyền Domain Administrator và Technical Administrator, thay vì hiện nay là Viethost. Vì Viethost đang làm dịch vụ quản lý tới trên dưới 1800 domain, nên có thể coi và theo dõi khó xuể.
2- Website (forum) được hosting trên 1 webserver của FPT, sử dung 1 WAN static IP là 118.70.161.162, thuộc AS18430, cũng do chinh FPT quản lý. Cho đến nay website cũng vẫn "nằm" trên webserver này của FPT.
Không có bình luận gì (nếu có cũng không dám phát, sợ bác PhuongDong- HVA Advisor mắng cho thì chết)
3- Môt hay một nhóm China hacker đã tìm cách chiếm quyền sở hữu domain này từ tay Viethost và họ đã làm được việc này.
Bình luận
Về cơ bản có 2 cách chiếm quyền sử dụng domain:
- Hack thẳng vào server của ENOM để lấy thông tin của domain: password vào Domain control panel
Việc này rất khó, rất, rất ít hacker làm được việc này và cũng chỉ làm được với các registrar quản lý hệ thống kém.
- Lấy trộm password của email liên hệ với ENOM liên quan đến việc update domain. Thí dụ, trong trường hợp này, hacker lén cài một mã độc (keylogger-trojan...)vào máy của một nhân viên Viethost. Trojan sẽ cho hiện lên một cửa sổ thông báo cần update tài khoản email. Khi click vào cửa sổ này thì một cửa sổ khác hiện ra và đề nghi user đánh password của email vào để cập nhật thông tin. Sau đó 1 thông báo hiện ra là user đã đánh password sai, dù anh/chi ta đánh hoàn toàn đúng.User (nạn nhân) thấy khó hiểu và nghĩ mình có thể quên pass., hay đánh phím sai. Nhưng sau đó password đã bị một keylogger ghi lại và chuyển về 1 server của hacker.. Cách này hầu hết các hacker hay làm (Các bác STL là chuyên gia của cách làm này, hay tương tự).
* Có một vấn đề cần nghiên cứu thêm là hacker hay Viethost update domain vào tháng 3-2011. Vì nếu xem đươc full update history của domain này thì thấy trong 2 ngày 5-6-2011 và 6-6-2011 domain này cũng được update mỗi ngày một lần.
4- Trong 1,2 ngày vừa qua có thể hacker đã:
- Thay đổi host (trong tiện ích create host) trong Domain control panel, cho tên miền trỏ về một IP khác và lập một miniwebsite tại đây có trang chủ ghi dòng chữ "Hacked", hay "hacked by China hacker" (quá trình create host mới thường mất 24-48h)
- Dùng email cùa Viethost mà hacker biết password để lấy pass. vào Cpanel (thí dụ thế) của webserver của FPT đang hosting website này. Nếu làm được như vậy có thể hacker đã xoá hết nội dung của website
Theo tôi việc cần làm ngay là:
a- Trực tiếp hay thông qua Viethost báo gấp ngay cho FPT để đóng băng (stop) account "quansuvn.net". Cố gắng giữ nôi dung của website vì website có nhiều thông tin và có những thông tin quý (Việc này xin anh Phuongdong cũng giúp gấp cho một tay. Cám ơn Phuongdong)
b- Đăng ký một tên miền mới của Việt nam (thí dụ nên là quansuvn.vn) để thay thế cho quansuvn.net và cho trỏ về webserver cũ của FPT
Các phân tích khoa học của bác PXMMRF luôn cực kì nhiều thông tin quí giá, và chuẩn mực, đọc mà thèm được như bác quá
Mình kiến nghị các bạn quản trị quansuvn.net thêm một chuyện nữa như sau.
Theo thông tin WHOIS
Domain Name: QUANSUVN.NET
Registrar: ENOM, INC.Whois Server: whois.enom.com
Referral URL:
http://www.enom.comName Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
Status: clientTransferProhibitedUpdated Date: 15-mar-2011
Creation Date: 16-apr-2007
Expiration Date: 16-apr-2012
Cho thấy tình trạng hiện nay của domain quansuvn.net, vẫn còn trong khả năng can thiệp. Domain vẫn còn nằm tại registrar
ENOM, INC và status của domain đang là
clientTransferProhibited , vậy khả năng là hacker chỉ lấy được password quản lý thông qua keylogger như bác PXMMRF đã đề cập là rất cao, chúng không tấn công được vào registrar ENOM , do đó không thể tranfer domain đi chỗ khác được, bên Viethost có thể hỗ trợ quansuvn.net liên lạc với registrar , cung cấp các giấy tờ chứng minh cần thiết và yêu cầu bên Registrar trao trả quyền quản lý domain cho quansuvn.net. Ngay sau khi registrar đó trao trả lại quyền quản lý thì cố gắng tranfer domain này sang một registrar khác an toàn hơn, ENOM quả thực rất ít an toàn, hệ thống bị tấn công liên miên
Chút góp ý cho quansuvn.net