Vụ việc VCCorp: Bị DDOS, lỗi Datacenter hay bị tấn công xoá dữ liệu ?

python

VIP Members
20/06/2013
12
61 bài viết
Vụ việc VCCorp: Bị DDOS, lỗi Datacenter hay bị tấn công xoá dữ liệu ?
Bắt đầu từ sáng ngày 13/10, người dùng Internet khi truy cập các website như Dân Trí, Soha News, Kenh14, VNEconomy, CafeF, Muachung, Người lao động, Giadinh.net.vn… hoặc tải trang quá chậm, nhận được thông báo "Không tìm thấy", hoặc "Data center đang gặp sự cố, vui lòng quay lại sau". Ngoài ra, một số trang web được tải về với một tốc độ chậm chạp, không đầy đủ.


14908930901341932.jpg


Đây là ý kiến của đại diện VCCorp:

Trên Thanh Niên Online, ông Nguyễn Thế Tân, Phó tổng giám đốc Công ty cổ phần truyền thông Việt Nam (VCCorp) cho biết các trang web thuộc VCCorp hoặc là đối tác của VCCorp hôm nay (ngày 13/10/2014) bị tê liệt là do sự cố hệ thống, nhưng từ chối giải thích chi tiết. Ông Tân cũng khẳng định không có dấu hiệu về việc hệ thống của VCCorp bị tấn công DDoS.

Nhưng cũng có thông tin cho rằng đây là dấu hiệu của tấn công DDOS hay bị hacker xâm nhập xoá dữ liệu


Hiện tại(14/10) thì một số trang web của VCCorp đã hoạt động lại hình thường

một vài thông tin liên quan:

http://www.vn-zoom.com/f731/cung-phan-tich-he-thong-vccorp-bi-sap-3006513.html
....
Theo các nguồn tin không chính thức thì lý do:
- VC đã bị DDoS
- Lỗi hệ thống Data center
- Hỏng server : (cháy nổ , hỏng ổ cứng...)

thậm chí có cả tin đồn VC bị chơi xấu , có kẻ phá hoại đã lấy cắp dữ liệu gây khó khăn trong việc backup
.....

http://www.baomoi.com/Ngay-Doanh-nh...25-ty-dong-vi-loi-data-center/76/15033403.epi

Theo ghi nhận của Dân Việt, đến rạng sáng 14.10, một số trang lớn như Dân Trí, Kênh 14, AFamily... vẫn chưa thể truy cập. Đã có một số báo điện tử sử dụng dịch vụ hosting của VC Corp đã khôi phục lại hoạt động. Tuy nhiên, dù đã có thể truy cập nhưng một số trang web chưa thể hiển thị đầy đủ dữ liệu.

Nói về thiệt hại của sự cố này, ông Tân cho biết: "Thiệt hại mỗi ngày của VC Corp nếu hệ thống không hoạt động là khoảng 2,5 tỷ đồng".

http://ictnews.vn/internet/loi-data...i-soha-vn-genk-khong-truy-cap-duoc-120304.ict

ICTnews – Đại diện VCCorp cho biết, hệ thống Data Center của công ty đang bị sự cố nên tất cả các sản phẩm của công ty đang vận hành đã xảy ra tình trạng không thể truy cập được.


Theo mọi người thì nguyên nhân là gì ?
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: Vụ việc VCCorp: Bị DDOS, lỗi Datacenter hay bị tấn công xoá dữ liệu ?

Các trang điện tử lớn trên cùng data center của vcorp nên chỉ phân tích ban đầu một website.
nslookup dantri.com.vn ta được 4 ip.
1490893090ns.jpg

Gõ từng ip lên trình hiện tại lúc bình thường ta được mã
[h=1]503 Service Unavailable[/h] No server is available to handle this request.

Theo kinh nghiệm làm hệ thống thì đây mà mô hình phân tải DNS + proxy.
Domain trỏ tới nhiều server mỗi server là một con proxy có cấu trúc:
1490893090vccorp.jpg

Mô hình này gọi to tát là cloud.(ví dụ ngx và lsws)
Với mô hình này có thể đáp ứng một lượng truy cập rất lớn cùng một lúc và dễ dàng thêm hay thay thế server phân tải.
Thời gian sáng 13/10 mình có ping tới dantri.com.vn thì không ping được, thời gian này kéo dài vài giờ.
Sau đó ping được tới các ip của các dantri bình thường.
Nguyên nhân thực sự thì mình chưa dám nói nhưng theo nhiều nguồn tin không chính thống thì nội bộ system vccorp có vấn đề.
->Nếu bị ddos không thì thời gian gián đoạn dịch vụ sẽ thấp vì bên data center sẽ phối hợp với isp chặn các luồng tấn công trong time ngắn.
-> Nguyên nhân bị xóa dữ liệu có khả năng lớn nhất còn do nội bộ bên ngoài hay hacker thì cái này ngang bằng nhau.
Mình nhớ vụ Ngân Khánh thuê hacker hạ kênh 14.ns.jpg

vccorp.jpg
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ việc VCCorp: Bị DDOS, lỗi Datacenter hay bị tấn công xoá dữ liệu ?

DiepNV88;16328 đã viết:
Mình nhớ vụ Ngân Khánh thuê hacker hạ kênh 14.

Vụ này thế nào vậy bạn ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ việc VCCorp: Bị DDOS, lỗi Datacenter hay bị tấn công xoá dữ liệu ?

DiepNV88;16328 đã viết:
Các trang điện tử lớn trên cùng data center của vcorp nên chỉ phân tích ban đầu một website.
nslookup dantri.com.vn ta được 4 ip.
1490893090ns.jpg

Gõ từng ip lên trình hiện tại lúc bình thường ta được mã
503 Service Unavailable

No server is available to handle this request.

Theo kinh nghiệm làm hệ thống thì đây mà mô hình phân tải DNS + proxy.
Domain trỏ tới nhiều server mỗi server là một con proxy có cấu trúc:
1490893090vccorp.jpg

Mô hình này gọi to tát là cloud.(ví dụ ngx và lsws)
Với mô hình này có thể đáp ứng một lượng truy cập rất lớn cùng một lúc và dễ dàng thêm hay thay thế server phân tải.
Thời gian sáng 13/10 mình có ping tới dantri.com.vn thì không ping được, thời gian này kéo dài vài giờ.
Sau đó ping được tới các ip của các dantri bình thường.
Nguyên nhân thực sự thì mình chưa dám nói nhưng theo nhiều nguồn tin không chính thống thì nội bộ system vccorp có vấn đề.
->Nếu bị ddos không thì thời gian gián đoạn dịch vụ sẽ thấp vì bên data center sẽ phối hợp với isp chặn các luồng tấn công trong time ngắn.
-> Nguyên nhân bị xóa dữ liệu có khả năng lớn nhất còn do nội bộ bên ngoài hay hacker thì cái này ngang bằng nhau.
Mình nhớ vụ Ngân Khánh thuê hacker hạ kênh 14.

http://dantri.com.vn không phải là cloud nha bạn. Dân Trí sử dụng 1 cái gọi là HA Proxy để thực hiện chia tải nha bạn. Bạn nên tìm hiểu cái này trước khi phát ngôn nha.
Theo mình biết, đa phần các máy chủ của Dân trí và 1 số trang web khác không có firewall bảo vệ (FW cứng hay iptables trên Linux hoàn toàn không dùng). Khả năng bị DDOS hay tấn công gì đó là có thể.
Nhưng vụ VCCORP này hoàn toàn ko phải DDOS, bị lỗi gì đó từ VCCORP thôi :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ việc VCCorp: Bị DDOS, lỗi Datacenter hay bị tấn công xoá dữ liệu ?

Khả năng nội bộ có vấn đề cũng lớn mà các bạn :D. Biết đâu bất ngờ, ăn chia không đều cũng có thể là lý do :D.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ việc VCCorp: Bị DDOS, lỗi Datacenter hay bị tấn công xoá dữ liệu ?

Theo mình,

Rất nhiều khả năng việc này bị tấn công trên sever. Mục đích thì chưa rõ. Nhưng việc có nội gián bên trong hay không thì theo kinh nghiệm, chỉ là có thể thôi. Mọi cái phải có thời gian minh chứng.

Nhưng dấu hiệu cho thấy các sever như dantri.com.vn đã cũ và bị lỗ hổng khá nặng. Việc thay đổi chính sách quá chậm chễ. Và đây mới chính là nguyên nhân để khiến bị tấn công liên tục trong thời gian qua. Nhiều khả năng, máy chủ đã được hacker cài một tiệp và gửi lên sever này. Sau đó âm thầm nhận lệnh.

Một điều nữa các dịch vụ web của VN thì cùng chung hạ tầng sever. Ví như FPT... cho nên chỉ cần 1 hệ thống máy chủ trong hạ tầng này bị nhiễm. Thì các website sử dụng chung server này sẽ dễ bị dính chưởng hơn. Nhất là hạ tầng bảo mật của từng website không đồng nhất về phương án bảo đảm an toàn. Có máy thì cập nhật, có máy thì vẫn còn lỗi thời vì bản vá vẫn dùng phiên bản cũ...
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ việc VCCorp: Bị DDOS, lỗi Datacenter hay bị tấn công xoá dữ liệu ?

Defcon;16333 đã viết:
Khả năng nội bộ có vấn đề cũng lớn mà các bạn :D. Biết đâu bất ngờ, ăn chia không đều cũng có thể là lý do :D.

Đắng nhất là cái này, thật đau khi thằng đâm mình lại là người nhà. Có cần làm tổn thương nhau thế không!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ việc VCCorp: Bị DDOS, lỗi Datacenter hay bị tấn công xoá dữ liệu ?

Đã có nguồn tin xác nhận nhé, nhân viên VCC mang hộp nước quả đào vào room data để tranh thủ vừa làm vừa bồi bổ sức khỏe (ngồi lâu trong phòng lạnh 16 độ). Vô tình hộp nước quả đào đổ hết vào con core làm tê liệt hệ thống hạ tầng, sau vụ việc hôm qua VCC đã đặt hàng mua lại 1 con khác cũ hơn tạm sài chữa cháy được vẫn hơn là đợi hàng chính thức từ Mỹ về :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ việc VCCorp: Bị DDOS, lỗi Datacenter hay bị tấn công xoá dữ liệu ?

PNThai88;16346 đã viết:
Đã có nguồn tin xác nhận nhé, nhân viên VCC mang hộp nước quả đào vào room data để tranh thủ vừa làm vừa bồi bổ sức khỏe (ngồi lâu trong phòng lạnh 16 độ). Vô tình hộp nước quả đào đổ hết vào con core làm tê liệt hệ thống hạ tầng, sau vụ việc hôm qua VCC đã đặt hàng mua lại 1 con khác cũ hơn tạm sài chữa cháy được vẫn hơn là đợi hàng chính thức từ Mỹ về :D
Bất cẩn quá, các công ty khác ngay từ bây giờ phải chú ý nhắc nhở nhân viên của mình khi làm việc ở các room quan trọng như vậy.
P/S: Hộp nước quả đào đổ hết không còn tí nào hả anh? Phí quá! :cool:
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ việc VCCorp: Bị DDOS, lỗi Datacenter hay bị tấn công xoá dữ liệu ?

1 site con vẫn lỗi.

1490893090503dantri.png
503dantri.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ việc VCCorp: Bị DDOS, lỗi Datacenter hay bị tấn công xoá dữ liệu ?

3:10 pm 16/10/2014
504 Gateway Time-out

1490893090dantri101614.png
dantri101614.png
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ việc VCCorp: Bị DDOS, lỗi Datacenter hay bị tấn công xoá dữ liệu ?

Lỗi này là do web server hoặc phía sau web server lỗi. Reverse Proxy/Internet work không sao nên có báo lỗi Unavailable hoặc Timeout. Ít có khả năng bị tấn công.

Có 2 khả năng:
1. Data center có sự cố, có thể là sự cố về điện, ví dụ cúp điện giữa đêm mà máy phát trục trặc không chạy tự động, quy trình tắt cho người trực không có nên sau 30 phút chẳng hạn, UPS hết pin là tèo. Tèo này có thể khiến DB server chính bị hỏng, SAN lưu dữ liệu chính bị hỏng, crash (rất dễ xảy ra nếu cúp điện), khiến các web proxy hoặc web server có bật lên cũng không có gì mà thể hiện cả. Khả năng này là cao nhất vì thực ra đã có 1, 2 DC của VN dính lỗi này và thiệt hại khá nặng về thiết bị.
2. Thao tác nhầm hoặc có sự cố về switching, ví dụ core switch tự nhiên hỏng hoặc mất cấu hình mà không lần lại được ngay (ít xảy ra hơn).

Nói chung nó là biểu hiện của VCCorp chưa tốt về mặt vận hành dịch vụ công nghệ, nhất là ở một quy mô lớn và phát triển nóng không quy hoạch được. Họ lúng túng với sự cố và không có kế hoạch dự phòng rủi ro (thuật ngữ gọi là Business Continuety Plan) nên không ứng phó được với sự cố bất khả kháng hoặc rủi ro không ngờ.

Thật ra việc này không quá ngạc nhiên, nó cũng là việc mà nhiều ISP/OSP ở VN đều đã từng dính đòn và đều lúng túng vì thiếu BCP hoặc không đầy đủ. Những bất cập này không loại trừ kể cả với những ông lớn như Viettel, FPT, BKAV, VNPT hay VCCorp..., mà có khi các ông lớn quá mới bị chứ nhỏ ít bị hơn do hệ thống đơn giản việc phục hồi dễ hơn so với hệ thống với hàng trăm máy chủ nhằng nhịt dây nhợ và thiếu tài liệu.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ việc VCCorp: Bị DDOS, lỗi Datacenter hay bị tấn công xoá dữ liệu ?

sunny;16400 đã viết:
3:10 pm 16/10/2014
504 Gateway Time-out
Đang bị lỗi "503 Service Unavailable
No server is available to handle this request." rồi bác ơi.

Có khi nào là DDOS?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ việc VCCorp: Bị DDOS, lỗi Datacenter hay bị tấn công xoá dữ liệu ?

Update:

Từ sáng sớm nay, một loạt các website đối tác và web của VCCorp như Dân Trí, VnEconomy, Muachung, Soha News, Kenh14, CafeF, Giadinh.net.vn… lại tiếp tục gặp sự cố không truy cập được. Ông Phạm Huy Hoàn, Tổng biên tập báo điện tử Dân Trí cho biết, bộ phận kỹ thuật hứa sẽ khắc phục xong trong vòng 2 giờ nữa.

Hiện nay vào các trang trên vẫn có thông báo:

Mã:
Chúng tôi đang bảo trì hệ thống trong 2h. Xin lỗi độc giả về sự bất tiện này!
Xin trân trọng cảm ơn!

Mong các bạn bên VCC và các bên liên quan sớm khắc phục được sự cố cũng như công bố nguyên nhân để mọi người cùng rút kinh nghiệm.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ việc VCCorp: Bị DDOS, lỗi Datacenter hay bị tấn công xoá dữ liệu ?

Hôm nay có thêm sự kiện một số trang của VCcorp bị redirect về trang http://vccorpnews.blogspot.com/
Một số bạn có chia sẻ là bị nội bộ phá, dữ liệu còn bị xoá bằng DoD wipe ... không rõ nguồn từ đâu.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên