[Virus] Virus xuất hiện trên các website lớn, tại sao ?

(Tác giả:Phạm Đức Hải) Mấy ngày gần đây xuất hiện nhiều site lớn ở Việt nam có tình trạng như sau:
Search trên Google thì bị cảnh báo có virus "Trang web này có thể gây hại cho máy tính của bạn",
ví dụ như trang vtc.com.vn


Sau khi bấm vào link thì nó cảnh báo tiếp :


Ngoài trang này còn có một số trang khác như : vnexpress.net,saigontimes.com.vn,www.hoahoctro.vn,... đặc điểm là có khi bị vào một số giờ trong ngày, không phải tất cả thời gian.
Về mặt cảnh báo thì nó có hiện tượng tương tự như tôi đã cảnh báo trong bài : Một vài kiểu lợi dụng của hacker sau khi tấn công
có nghĩa là một số trang nó chèn vào các đoạn iframe trỏ đến trang của Trung Quốc có chứa mã độc nên Google cảnh báo.
Ở đây có một đặc điểm cần lưu ý là thời gian xuất hiện và hiện tượng này một số server kiểm tra thì khi view-code trên server không thấy xuất hiện thẻ iframe, nhưng người dùng đầu cuối thì lại thấy có, tại sao ?

Một lần tôi đã đề cập đến Man in the middle attack ở đây khả năng này là rất cao. Điều này có thể dễ dàng thực hiện bằng cách tấn công như sau :
- hacker kiểm soát một server sau đó cài virus có khả năng tấn công Man in the middle attack
- virus này có thể có khả năng lây qua mạng
- virus này sẽ tấn công các server cùng mạng

Tôi có thể tóm tắt nhiệm vụ con virus khi MIMT như sau :
- đầu tiên nó tấn công ARP Posioning (ví dụ Packet sniffing with Ettercap (arp spoofing basics)) làm cho các server cùng mạng nhầm tưởng nó là gateway --> tất cả dữ liệu sẽ đi qua server bị nhiễm virus trc khi đi ra ngoài
- nó biến server bị nhiễm thành 1 proxy, sau khi dữ liệu của các server đi qua nó sẽ thay đổi dữ liệu, như hiện tượng ta thấy là nó thêm vào thẻ iframe
--> Như vậy khi đến người sử dụng thì dữ liệu đã thay đổi.

Về thời gian thì có thể giải thích là virus được đặt lịch làm việc đó. Một điểm nữa là khi làm như vậy tốc độ của các trang web bị giảm xuống trông thấy.

Một khả năng khác là có gateway thực sự bị tấn công và nó làm việc tương tự.

Cách khắc phục : liên hệ nhà cung cấp dịch vụ, mô tả hiện tượng để họ giám sát và phát hiện server chứa virus và ngắt ra khỏi mạng.
Với người quản trị mạng của nhà cung cấp DV có thể dùng Wireshark để bắt gói tin và phân tích.
Tôi sẽ tiếp tục cập nhật khi có thông tin mới
Với người dùng Internet : nên cẩn thận khi vào các trang nó bảo download hay click cái gì đấy