-
06/07/2013
-
796
-
1.304 bài viết
Tôi đã phát hiện website bị chèn mã độc nhờ tiếng quạt CPU như thế nào?
Một tối nọ, như mọi khi tôi lại ngồi vào bàn bật máy lên làm việc… Giữa không gian lặng im, chỉ có tôi và cô người yêu không bao giờ cưới là em laptop bé bỏng.
Chuyện chẳng có gì để kể khi đột nhiên quạt CPU của tôi quay tít mù như máy bay sắp cất cánh. Thỉnh thoảng khi Windows cập nhật quạt CPU của tôi vẫn quay tít như thế, nhưng rồi 1 phút, 3 phút trôi qua quạt vẫn quay hết tốc độ.
Lúc này tôi quyết định mở Process Explorer lên để xem chuyện gì đang xảy ra. Không có process liên quan đến Windows Update đang sử dụng nhiều CPU mà là một process của Chrome với PID:956 đang dùng gần 50% CPU.
Để tìm hiểu rõ hơn tôi bật Task Manager của Chrome lên và sắp xếp cột CPU giảm dần. Đứng đầu vẫn là Process ID:956, đáng chú ý là ở process này mở một subframe đến https://autofaucet[.]org. Sau khi tìm hiểu thì tôi được biết đây là một website cho phép người dùng thực hiện các nhiệm vụ hoặc chèn mã vào các website để nhận tiền điện tử. Tuy nhiên trước đó tôi không có truy cập hay đăng ký gì với website này, vậy điều gì đang xảy ra?
Tôi tiếp tục double click vào Process ID:956 trên và được chuyển đến một tab Chrome đã mở trước đó. Để kiểm tra tôi bật DevTools lên, chuyển sang tab Network và reload lại website đang mở.
Thì ra là đây, khi website này được load đã có những request đến https://autofaucet[.]org như trước đó đã thấy trong Task Manager.
Chuyển qua tab Elements, không khó để phát hiện website phát triển dựa trên WordPress 5.3.2 một phiên bản đã cũ và tồn tại nhiều lỗ hổng.
Đến đây tôi đã có thể hình dung phần nào vấn đề ban đầu: website sử dụng Wordpress phiên bản cũ tồn tại lỗ hổng > bị khai thác chèn mã độc đào tiền ảo > khi tôi truy cập website thì mã độc được kích hoạt để đào tiền ảo ngay từ trình duyệt dẫn đến quạt CPU quay tít mù.
Khoan đã, có gì đó hay hay ở đây… phần tô vàng, chính là username được đăng ký tại https://autofaucet[.]org, đây có thể là người đã khai thác web và chèn mã.
Dựa vào username này không khó để lần ra các tài khoản khác có liên quan:
Dựa vào Tiktok có thể xác định người này ở tỉnh X. Thật trùng hợp là doanh nghiệp sở hữu website bị chèn mã bên trên cũng có trụ sở ở tỉnh này.
Để kết luận chính xác sẽ cần kết hợp thêm các yếu tố khác, tuy nhiên tôi chỉ vô tình lướt qua trang web trên với vai trò khách nên bài viết sẽ dừng tại đây, hi vọng sẽ giúp các bạn phần nào cách phát hiện bất thường trên máy tính cũng như cách tìm kiếm trên không gian mạng.
Chuyện chẳng có gì để kể khi đột nhiên quạt CPU của tôi quay tít mù như máy bay sắp cất cánh. Thỉnh thoảng khi Windows cập nhật quạt CPU của tôi vẫn quay tít như thế, nhưng rồi 1 phút, 3 phút trôi qua quạt vẫn quay hết tốc độ.
Lúc này tôi quyết định mở Process Explorer lên để xem chuyện gì đang xảy ra. Không có process liên quan đến Windows Update đang sử dụng nhiều CPU mà là một process của Chrome với PID:956 đang dùng gần 50% CPU.
Để tìm hiểu rõ hơn tôi bật Task Manager của Chrome lên và sắp xếp cột CPU giảm dần. Đứng đầu vẫn là Process ID:956, đáng chú ý là ở process này mở một subframe đến https://autofaucet[.]org. Sau khi tìm hiểu thì tôi được biết đây là một website cho phép người dùng thực hiện các nhiệm vụ hoặc chèn mã vào các website để nhận tiền điện tử. Tuy nhiên trước đó tôi không có truy cập hay đăng ký gì với website này, vậy điều gì đang xảy ra?
Tôi tiếp tục double click vào Process ID:956 trên và được chuyển đến một tab Chrome đã mở trước đó. Để kiểm tra tôi bật DevTools lên, chuyển sang tab Network và reload lại website đang mở.
Thì ra là đây, khi website này được load đã có những request đến https://autofaucet[.]org như trước đó đã thấy trong Task Manager.
Chuyển qua tab Elements, không khó để phát hiện website phát triển dựa trên WordPress 5.3.2 một phiên bản đã cũ và tồn tại nhiều lỗ hổng.
Đến đây tôi đã có thể hình dung phần nào vấn đề ban đầu: website sử dụng Wordpress phiên bản cũ tồn tại lỗ hổng > bị khai thác chèn mã độc đào tiền ảo > khi tôi truy cập website thì mã độc được kích hoạt để đào tiền ảo ngay từ trình duyệt dẫn đến quạt CPU quay tít mù.
Ai đã chèn mã độc?
Tiếp tục xem xét tại tab Elements tôi tìm thấy đoạn iframe đến https://autofaucet[.]org được chèn vào website này:Khoan đã, có gì đó hay hay ở đây… phần tô vàng, chính là username được đăng ký tại https://autofaucet[.]org, đây có thể là người đã khai thác web và chèn mã.
Dựa vào username này không khó để lần ra các tài khoản khác có liên quan:
Dựa vào Tiktok có thể xác định người này ở tỉnh X. Thật trùng hợp là doanh nghiệp sở hữu website bị chèn mã bên trên cũng có trụ sở ở tỉnh này.
Đến đây có một giả thuyết khác, người chèn mã có thể chính là nhân viên / quản trị viên của chính website này.Để kết luận chính xác sẽ cần kết hợp thêm các yếu tố khác, tuy nhiên tôi chỉ vô tình lướt qua trang web trên với vai trò khách nên bài viết sẽ dừng tại đây, hi vọng sẽ giúp các bạn phần nào cách phát hiện bất thường trên máy tính cũng như cách tìm kiếm trên không gian mạng.
whf - whitehat.vn
Chỉnh sửa lần cuối:
