ประกาศเสริมระดับความปลอดภัยเว็บไซต์ และคาดการณ์ผลกระทบ

ตามที่เว็บไซต์ไรท์ติ้งอินไทย ถูกโจมตีเว็บไซต์จากหลากหลายประเทศ ทีมงานได้ดำเนินการแก้ไขและปรับมาตรการเพื่อให้สอดคล้อง รวมถึงรักษาความปลอดภัยกับผู้ใช้ โดยมีรายละเอียดดังต่อไปนี้

สรุปเหตุการณ์

เมื่อช่วงเช้ามืดของวันที่ 23 กรกฏาคม 2562 เวลาประมาณ 02:29 น. ทีมงานได้รับแจ้งจากระบบของเว็บไซต์ว่ามีผู้พยายามทดสอบล็อคอินเข้าสู่ระบบด้วยวิธีการทดลองใส่รหัสผ่านแบบสุ่ม (Brute Force) และเป็นเช่นนี้เรื่อยมา ทีมงานได้วิเคราะห์หาสาเหตุ จนกระทั่งทีมงานได้เริ่มมาตรการควบคุมการเข้าถึง โดยเฉพาะอย่างยิ่งจากเครือข่ายกระจายเนื้อหา (Content Delivery Network: CDN) ในเวลาประมาณ 04:20 น. การโจมตีระบบหลักจึงสิ้นสุด และทำการปรับแต่งมาตรการควบคุมเสร็จสิ้นตอน 05:10 น.

ผลกระทบจากมาตรการดังกล่าว จะทำให้ผู้ใช้ที่มาจากต่างประเทศทั้งหมด หรือใช้ไอพีแอดเดรสที่ไม่ใช่แหล่งกำเนิด (IP Geolocation Origin) จากประเทศไทย จะถูกตรวจสอบ (challenge) โดยมาตรการป้องกันที่ได้ใช้เอาไว้ เป็นระยะเวลานาน 5 วินาที ซึ่งอาจมีผลกระทบต่อประสบการณ์ในการเข้าชมเว็บไซต์ของผู้ใช้


เกิดอะไรขึ้น?

เมื่อเวลาประมาณ 02:29 น. ของวันที่ 23 กรกฏาคม 2562 ตามเวลาในประเทศไทย ระบบเว็บไซต์ไรท์ติ้งอินไทย แจ้งเตือนทีมงานและผู้ดูแลระบบว่ามีผู้พยายามเข้าถึงระบบหลังบ้านและระบบการล็อคอินชื่อผู้ใช้และรหัสผ่านซ้ำๆ กันเป็นจำนวนมาก และกระทำอย่างต่อเนื่อง

ทีมงานตรวจพบว่า รหัสเครื่องไอพีแอดเดรสต้นทางจากการโจมตีมาจากหลากหลายประเทศ ดังต่อไปนี้

  • 02:29 น. – สิงคโปร์ มาจากเครื่อง Droplet บน DigitalOcean
  • 02:35 น. – ฝรั่งเศส
  • 02:57 น. – เวียดนาม ผ่านเครื่อง DigitalOcean Droplet ที่สิงคโปร์
  • 03:21 น. – เยอรมนี แต่เส้นทางการโจมตีมาจากฝรั่งเศส
  • 03:43 น. – เยอรมนี
  • 03:57 น. – เส้นทางออกมาจาก IDC ของ Bangmod Enterprise
  • 04:07 น. – อินเดีย ผ่านเครื่อง DigitalOcean Droplet ที่อินเดีย
  • 04:20 น. – ยูเครน

ความพยายามในการเจาะระบบลักษณะนี้ไม่ใช่เรื่องใหม่ ทีมงานตรวจสอบพบเจอเป็นระยะ แต่ครั้งนี้ถือเป็นความพยายามครั้งแรกที่ทีมงานพบ และกินระยะเวลานานกว่า 2 ชั่วโมง และมาถี่กว่าปกติ

วิเคราะห์สาเหตุการโจมตี

ทีมงานไม่อาจคาดเดาสาเหตุหรือแรงจูงใจในการโจมตีระบบในครั้งนี้ได้

อย่างไรก็ตาม เมื่อวิเคราะห์ความถี่ของการโจมตีระบบในครั้งนี้ที่มีสูงกว่าปกติ อาจเป็นไปได้ว่าเกิดจากเครื่องต้นทางมีการติดมัลแวร์บางตัว หรือเป็นเครื่องที่ถูกตั้งขึ้นมาเพื่อสแกนหาช่องโหว่หรือทางเข้าเว็บไซต์ที่ใช้ WordPress เป็นตัวสร้าง และทำให้เว็บไซต์ไรท์ติ้งอินไทย ที่ใช้ WordPress อยู่ในข่ายของการถูกโจมตีในครั้งนี้

มาตรการแก้ไขและป้องกัน

หลังจากทีมงานทราบและวิเคราะห์สาเหตุ ทีมงานจึงตัดสินใจดำเนินการดังต่อไปนี้

  1. แบน IP Address ต้นทางเหล่านี้ทั้งหมดออกจากระบบแบบไม่มีกำหนด
  2. ตั้งค่าไฟร์วอลล์ของระบบกระจายเนื้อหา (CDN) โดยกำหนดเงื่อนไขเป็นการเฉพาะบางอย่าง

หลังจากใช้มาตรการดังกล่าวตอนเวลา 04:29 น. การโจมตีทั้งหมดจึงยุติลง แต่ยังมีผลกระทบในส่วนอื่น ทีมงานจึงทำการแก้ไขและปรับแต่งมาตรการต่างๆ อย่างต่อเนื่อง จนถึงเวลา 05:10 น. ทีมงานจึงยุติการดำเนินการ เมื่อเห็นว่าสถานการณ์เข้าสู่สภาวะปกติ

ผลกระทบที่เกิดขึ้นแล้ว

ในช่วงเวลาดังกล่าว เว็บไซต์มีการทำงานและอัตราเข้าชมที่มากกว่าปกติ (unusual visits) ทำให้ระบบต่างๆ ทำงานได้ช้าลงเล็กน้อย อย่างไรก็ดี เนื่องจากเป็นช่วงเวลาที่คนเข้าเว็บไซต์น้อย ปัญหาต่างๆ จึงมีจำนวนน้อยลงด้วย

สำหรับข้อมูลต่างๆ ผู้ใช้ไม่ได้รับผลกระทบแต่อย่างใด รวมถึงไม่มีการรายงานถึงการถูกเจาะฐานข้อมูล การเปลี่ยนแปลงของระบบแต่ประการใดจากเครื่องมือที่ตรวจสอบ

ผลกระทบที่อาจเกิดขึ้น

สำหรับผลกระทบที่อาจเกิดขึ้น แบ่งออกเป็น 2 ส่วน ดังนี้

  • ผู้ใช้หรือผู้ชมเว็บไซต์จากประเทศไทยส่วนใหญ่ไม่ได้รับผลกระทบ ยกเว้นบางรายที่จะเข้าชมได้ช้าลงเล็กน้อยในครั้งแรก เนื่องจากมีการหน่วง (delay) เพื่อตรวจสอบประมาณ 5 วินาทีจากระบบ CDN ทีมงานคาดว่าอาจมีผู้ได้รับผลกระทบน้อยมาก (ไม่ควรเกิน 0.5%)
  • ผู้ใช้หรือผู้ชมเว็บไซต์จากต่างประเทศทุกราย จะได้รับผลกระทบจากมาตรการหน่วงการเข้าชม (delay) จากระบบป้องกันของ CDN ประมาณ 5 วินาที ในการเข้าชมครั้งแรก จากนั้นจะสามารถดำเนินการเข้าชมได้ตามปกติโดยไม่มีข้อขัดข้องอื่นใด

ทั้งนี้ ทีมงานยังไม่ได้ทดสอบในกรณีเข้าผ่านแอพลิเคชั่นอื่นๆ ซึ่งมีการเรียกใช้คุณสมบัติพิเศษบางประการ ในกรณีเช่นนี้ทีมงานขอให้ท่านดำเนินการแจ้งมายังทีมงานได้ที่ contact@writing.in.th เพื่อทำงานร่วมกันในการแก้ไขผลกระทบที่อาจจะเกิดขึ้นได้

การดำเนินการเพิ่มเติม

  • ทีมงานได้ดำเนินการแจ้งให้กับ Bangmod Enterprise ถึงปัญหาที่เกิดขึ้นในเวลา 14:42 น. ของวันนี้
  • ทีมงานได้ดำเนินการแจ้งบางส่วนให้กับทาง DigitalOcean แล้วเมื่อช่วงเช้ามืดที่ผ่านมา
  • ทีมงานยังคงพบการโจมตีทั้งจากต่างประเทศและภายในประเทศอยู่เรื่อยๆ อย่างไรก็ตามมาตรการบังคับใช้ดังกล่าวถือว่าป้องกันได้ดี และทีมงานจะตรวจสอบต่อไป
  • ทีมงานเตรียมดำเนินการประสานแจ้งกับทางศูนย์ ThaiCERT ในอีกไม่กี่วันข้างหน้านี้ เพื่อป้องกันปัญหาที่อาจเกิดขึ้นในอนาคต

ในนามของทีมงานและผู้ดูแลระบบ ขอขอบพระคุณทุกท่านที่ให้ความไว้ใจกับทางเว็บไซต์เสมอมา หากมีข้อเสนอหรือแก้ไขใดที่ทีมงานจะช่วยเหลือท่านได้ กรุณาติดต่อมาทาง contact@writing.in.th เพื่อทีมงานจะเร่งดำเนินการได้ทันที

ภัทรนันท์ ลิ้มอุดมพร
ผู้ก่อตั้งและบรรณาธิการร่วม ไรท์ติ้งอินไทย

ประกาศครั้งแรกเมื่อ 23 กรกฏาคม พ.ศ. 2562 เวลา 16:05 น.
ข้อมูลปรับปรุงล่าสุด 23 กรกฏาคม พ.ศ. 2562 เวลา 16:05 น.

Facebook Comments