Tự nhiên một ngày đẹp trời mở log con firewall lên check, ông anh sysadmin tí sặc ngụm cà phê khi thấy gần một nửa traffic trong ngày là từ mấy pháp sư Brazil không mời mà tới. Dạo này Nam Mỹ đổi món hay sao mà cắn RAM, bú tài nguyên thiết bị của anh em kinh thế?
Chuyện là một tay to bên Mỹ xài con hàng Unifi UDM SE xịn sò, cắm đường truyền cáp quang xịn (có cả IP tĩnh /27). Rảnh rỗi lôi data ra soi thì thấy thông số toang thực sự:
.0 đến .255 của 18 dải mạng /24 liên tiếp nhau.Chủ thớt phân tích ngay: Cái trò quét sạch 100% IP trong dải subnet thế này chứng tỏ không phải máy người dùng bị nhiễm virus. Đây là biểu hiện của việc toàn bộ hạ tầng cốt lõi (core router, CGNAT) của hai cái ISP kia đã bị hacker lấy cả chì lẫn chài.
Anh em IT trên Reddit rần rần bay vào mổ xẻ, và chúng ta có vài luồng quan điểm cực kỳ bánh cuốn:
1. Mổ xẻ hạ tầng mạng lởm: Vài lão làng lôi ngay Shodan ra rà quét thử mấy dải IP kia thì thấy lòi ra một đống thiết bị Mikrotik đang mở tớ hê. Đa số anh em đều chốt kèo: Mấy ông ISP cỏ này xài đồ Mikrotik nhưng lười update firmware, không vá lỗ hổng. Mà Mikrotik đợt trước vừa có mấy cái bug chí mạng bị khai thác tơi bời. Kết quả là bọn hacker chiếm luôn router tổng, biến nguyên cả nhà mạng thành một cái botnet khổng lồ.
2. Cú twist từ pháp sư ẩn danh: "Các ông nhầm cmnr!" Đang chửi bọn ISP lởm thì một cao nhân nhảy vào vỗ mặt: "Đây đéo phải port scan đâu!". Thực ra, đây là một vụ tấn công DDoS mang tên SYN-ACK reflection. Kịch bản như này: Có thằng hacker nào đó đang ghét cái ISP ở Brazil kia, muốn dập sập mạng bọn nó. Thay vì tự bắn, thằng hacker gửi các gói tin SYN đến port 443 đang mở của chủ thớt, nhưng nó giả mạo IP nguồn (spoofed IP) thành IP của bọn Brazil.
Kết quả? Con firewall Unifi ngây thơ của chủ thớt nhận được SYN, liền nhiệt tình trả lời bằng một đống gói tin SYN-ACK gửi thẳng sang Brazil. Vì bên kia không phản hồi, Unifi lại tiếp tục gửi lại vài lần nữa (Khuếch đại traffic lên gấp 5 lần). Bùm! Mạng nhà chủ thớt tự dưng biến thành công cụ đi DDoS thuê miễn phí cho hacker. Quá đắng!
3. Cách giải quyết sặc mùi thực dụng: Anh em sysadmin đồng thanh khuyên: Tốt nhất là chặn mẹ nó luôn (Geo-block Brazil inbound). Rảnh đâu mà tiếp. Nhưng chiêu hay nhất không phải là "Block/Reject" (vì firewall vẫn phải tốn tài nguyên trả lời), mà là cấu hình firewall sang chế độ DROP. Bơ luôn mọi gói tin, kệ xác nó không thèm trả lời.
Từ một vụ ôm cục tức check log, lòi ra một rổ bài học xương máu cho anh em dev và sysadmin:
Thế nên, thỉnh thoảng đang rảnh rảnh, thử chui vào log server hay log router nhà mình xem có anh bạn nào ở nửa vòng trái đất đang gõ cửa không nhé!
Nguồn hóng hớt: Reddit
Đang yên đang lành check log firewall thấy gần nửa traffic là rác từ các pháp sư Brazil nã vào port 443. Tưởng là botnet scan bình thường, ai ngờ lòi ra cú twist ảo ma.
Support Adobe khuyên khách hàng không nên dùng InDesign cho tài liệu bảo mật vì tính năng AI tự động gửi ảnh lên server. Anh em Sysadmin kêu trời vì không thể tắt hàng loạt.