في أواخر الأسبوع الماضي [2023-02-16] ، قدمت شركة استضافة المواقع الشهيرة GoDaddy طلبها الإجباري تقرير سنوي 10-ك مع لجنة الأوراق المالية والبورصات الأمريكية (SEC).
تحت العنوان الفرعي مخاطر التشغيلكشف GoDaddy أن:
في ديسمبر 2022 ، تمكن طرف ثالث غير مصرح به من الوصول إلى البرامج الضارة وتثبيتها على خوادم استضافة cPanel الخاصة بنا. أعادت البرامج الضارة بشكل متقطع توجيه مواقع العملاء العشوائية إلى مواقع ضارة. نواصل التحقيق في السبب الجذري للحادث.
إعادة توجيه URL ، والمعروف أيضًا باسم إعادة توجيه URL، هي ميزة غير متوقعة لـ HTTP (ملف بروتوكول نقل النص التشعبي) ، ويستخدم بشكل شائع لمجموعة متنوعة من الأسباب.
على سبيل المثال ، قد تقرر تغيير اسم المجال الرئيسي لشركتك ، ولكنك تريد الاحتفاظ بجميع الروابط القديمة على قيد الحياة ؛ قد يتم الاستحواذ على شركتك وتحتاج إلى تحويل محتوى الويب الخاص بها إلى خوادم المالك الجديد ؛ أو قد ترغب ببساطة في إيقاف تشغيل موقع الويب الحالي الخاص بك للصيانة ، وإعادة توجيه الزوار إلى موقع مؤقت في غضون ذلك.
استخدام آخر مهم لإعادة توجيه عنوان URL هو إخبار الزائرين الذين يصلون إلى موقع الويب الخاص بك عبر بروتوكول HTTP قديم غير مشفر بضرورة زيارتهم باستخدام HTTPS (بروتوكول HTTP الآمن) بدلاً من ذلك.
بعد ذلك ، بمجرد إعادة الاتصال عبر اتصال مشفر ، يمكنك تضمين رأس خاص لإخبار متصفحهم بالبدء باستخدام HTTPS في المستقبل ، حتى إذا نقروا على اتصال قديم http://...
الارتباط أو الكتابة عن طريق الخطأ http://...
باليد.
في الواقع ، تعد عمليات إعادة التوجيه شائعة جدًا لدرجة أنك إذا كنت تتجول حول مطوري الويب على الإطلاق ، فسوف تسمعهم يشيرون إليهم برموز HTTP الرقمية الخاصة بهم ، بالطريقة نفسها التي يتحدث بها الباقون عن "الحصول على 404" عندما حاول زيارة صفحة لم تعد موجودة ، لمجرد أن 404
هو بروتوكول HTTP Not Found
خطا بالكود.
يوجد في الواقع العديد من أكواد إعادة التوجيه المختلفة ، ولكن من المحتمل أن تسمع أكثر ما يُشار إليه بالرقم هو a 301
إعادة التوجيه ، والمعروف أيضًا باسم Moved Permanently
. هذا عندما تعلم أن عنوان URL القديم قد تم إيقافه ومن غير المرجح أن يظهر مرة أخرى كرابط يمكن الوصول إليه مباشرة. يشمل البعض الآخر 303
و 307
عمليات إعادة التوجيه المعروفة باسم See Other
و Temporary Redirect
، يتم استخدامه عندما تتوقع عودة عنوان URL القديم إلى الخدمة النشطة في النهاية.
في ما يلي مثالان نموذجيان لعمليات إعادة التوجيه ذات النمط 301 ، كما هو مستخدم في Sophos.
الأول يخبر الزائرين الذين يستخدمون HTTP بإعادة الاتصال على الفور باستخدام HTTPS بدلاً من ذلك ، والثاني موجود حتى نتمكن من قبول عناوين URL التي تبدأ بـ sophos.com
من خلال إعادة توجيههم إلى اسم خادم الويب الأكثر تقليدية www.sophos.com
.
في كل حالة ، يتم تسمية إدخال الرأس Location:
يخبر عميل الويب إلى أين يتجه بعد ذلك ، والذي تقوم به المتصفحات تلقائيًا بشكل عام:
$ curl -D - --http1.1 http://sophos.com HTTP / 1.1 301 تم نقله بشكل دائم طول المحتوى: 0 الموقع: https://sophos.com/ <- أعد الاتصال هنا (نفس المكان ، ولكن باستخدام TLS ). . . $ curl -D - --http1.1 https://sophos.com HTTP / 1.1 301 تم نقله بشكل دائم طول المحتوى: 0 الموقع: https://www.sophos.com/ <- إعادة التوجيه إلى خادم الويب الخاص بنا فعليًا المحتوى صارم - أمن النقل:. . . <- في المرة القادمة ، يرجى استخدام HTTPS للبدء به. . .
خيار سطر الأوامر -D -
أعلاه يخبرنا curl
برنامج لطباعة رؤوس HTTP في الردود ، وهو ما يهم هنا. كلا الردان عبارة عن عمليات إعادة توجيه بسيطة ، مما يعني أنه ليس لديهم أي محتوى خاص بهم لإرساله مرة أخرى ، والذي يشيرون إليه مع إدخال الرأس Content-Length: 0
. لاحظ أن المتصفحات بشكل عام لها حدود مضمنة على عدد عمليات إعادة التوجيه التي ستتبعها من أي عنوان URL يبدأ ، كإجراء احترازي بسيط ضد الوقوع في مشكلة لا تنتهي أبدًا دورة إعادة التوجيه.
يعتبر التحكم في إعادة التوجيه ضارًا
كما يمكنك أن تتخيل ، فإن الوصول من الداخل إلى إعدادات إعادة توجيه الويب الخاصة بشركة ما يعني أنه يمكنك اختراق خوادم الويب الخاصة بهم دون تعديل محتويات تلك الخوادم مباشرة.
بدلاً من ذلك ، يمكنك إعادة توجيه طلبات الخادم هذه بشكل خفي إلى المحتوى الذي أعددته في مكان آخر ، مع ترك بيانات الخادم نفسها دون تغيير.
أي شخص يتحقق من وصوله وسجلات التحميل بحثًا عن دليل على عمليات تسجيل دخول غير مصرح بها أو تغييرات غير متوقعة في ملفات HTML و CS و PHP و JavaScript التي تشكل المحتوى الرسمي لموقعه ...
... لن يروا شيئًا غير مرغوب فيه ، لأن بياناتهم الخاصة لن يتم لمسها في الواقع.
والأسوأ من ذلك ، إذا أطلق المهاجمون عمليات إعادة توجيه ضارة بين الحين والآخر ، فقد يكون من الصعب اكتشاف الحيلة.
يبدو أن هذا ما حدث لـ GoDaddy ، نظرًا لأن الشركة كتبت في ملف بيان على موقعه الخاص:
في أوائل كانون الأول (ديسمبر) 2022 ، بدأنا في تلقي عدد صغير من شكاوى العملاء حول إعادة توجيه مواقعهم الإلكترونية بشكل متقطع. عند تلقي هذه الشكاوى ، قمنا بالتحقيق ووجدنا أن عمليات إعادة التوجيه المتقطعة كانت تحدث على مواقع الويب التي تبدو عشوائية مستضافة على خوادم الاستضافة المشتركة cPanel ولم يكن من السهل استنساخها بواسطة GoDaddy ، حتى على نفس موقع الويب.
تعقب عمليات الاستحواذ العابرة
هذا هو نفس نوع المشكلة التي يواجهها باحثو الأمن السيبراني عند التعامل مع إعلانات الإنترنت المسمومة التي يتم عرضها بواسطة خوادم إعلانات تابعة لجهات خارجية - ما يُعرف بالمصطلحات malvertising.
من الواضح أن المحتوى الضار الذي يظهر بشكل متقطع لا يظهر في كل مرة تزور فيها موقعًا متأثرًا ، لذلك حتى مجرد تحديث صفحة لست متأكدًا منها من المحتمل أن يؤدي إلى إتلاف الدليل.
قد تقبل بشكل معقول تمامًا أن ما رأيته للتو لم يكن محاولة هجوم ، بل مجرد خطأ عابر.
عادةً ما يؤدي عدم اليقين وعدم القدرة على إعادة الإنتاج إلى تأخير التقرير الأول عن المشكلة ، الأمر الذي يصب في مصلحة المحتالين.
وبالمثل ، فإن الباحثين الذين يتابعون تقارير "الحقد المتقطع" لا يمكنهم التأكد من أنهم سيكونون قادرين على الحصول على نسخة من الأشياء السيئة أيضًا ، حتى لو كانوا يعرفون أين يبحثون.
في الواقع ، عندما يستخدم المجرمون البرامج الضارة من جانب الخادم لتغيير سلوك خدمات الويب ديناميكيًا (إجراء تغييرات في وقت التشغيل، لاستخدام المصطلح الاصطلاحي) ، يمكنهم استخدام مجموعة واسعة من العوامل الخارجية لإرباك الباحثين بشكل أكبر.
على سبيل المثال ، يمكنهم تغيير عمليات إعادة التوجيه الخاصة بهم ، أو حتى قمعها تمامًا ، بناءً على الوقت من اليوم ، والبلد الذي تزوره منه ، سواء كنت تستخدم جهاز كمبيوتر محمول أو هاتفًا ، والمتصفح الذي تستخدمه ...
... وما إذا كانوا اعتقد كنت باحثًا في الأمن السيبراني أم لا.
ماذا ستفعلين.. إذًا؟
لسوء الحظ ، استغرق GoDaddy تقريبًا ثلاثة أشهر لإخبار العالم عن هذا الانتهاك ، وحتى الآن ليس هناك الكثير للاستمرار فيه.
سواء كنت من مستخدمي الويب الذين زاروا موقعًا مستضافًا على GoDaddy منذ ديسمبر 2022 (والذي ربما يشمل معظمنا ، سواء أدركنا ذلك أم لا) ، أو مشغل موقع ويب يستخدم GoDaddy كشركة استضافة ...
... لسنا على علم بأي شيء مؤشرات التسوية (IoCs) ، أو "علامات الهجوم" ، التي ربما تكون قد لاحظتها في ذلك الوقت أو أنه يمكننا أن ننصحك بالبحث عنها الآن.
والأسوأ من ذلك ، على الرغم من أن GoDaddy يصف الاختراق على موقعه على الإنترنت تحت العنوان الرئيسي بيان حول قضايا إعادة توجيه الموقع الأخيرة، تنص في 10-K الايداع أن هذا قد يكون هجمة طويلة المدى مما يبدو أن كلمة "حديثة" تشير إلى:
استنادًا إلى التحقيق الذي أجريناه ، نعتقد أن [هذا الحادث وغيره من الحوادث التي يعود تاريخها إلى آذار (مارس) 2020 على الأقل] جزء من حملة متعددة السنوات من قبل مجموعة جهات تهديد معقدة والتي ، من بين أمور أخرى ، قامت بتثبيت برامج ضارة على أنظمتنا والحصول على أجزاء من رمز متعلق ببعض الخدمات داخل GoDaddy.
كما ذكر أعلاه ، أكد GoDaddy للجنة الأوراق المالية والبورصات "أننا نواصل التحقيق في السبب الجذري للحادث".
دعونا نأمل ألا يستغرق الأمر ثلاثة أشهر أخرى حتى تخبرنا الشركة بما تكتشفه خلال هذا التحقيق ، والذي يبدو أنه يمتد إلى ثلاث سنوات أو أكثر ...
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/
- 1
- 2020
- 2022
- a
- ماهرون
- من نحن
- فوق
- مطلق
- استمر
- الوصول
- المكتسبة
- نشط
- في الواقع
- Ad
- ضد
- الكل
- من بين
- و
- آخر
- حول
- مؤكد
- مهاجمة
- حاول
- المؤلفة
- السيارات
- تلقائيا
- الى الخلف
- خلفية الصورة
- سيئة
- على أساس
- لان
- يجري
- اعتقد
- الحدود
- الملابس السفلية
- خرق
- المتصفح
- المتصفحات
- مدمج
- الحملات
- حقيبة
- اشتعلت
- سبب
- مركز
- تغيير
- التغييرات
- تدقيق
- زبون
- الكود
- اللون
- COM
- تأتي
- عمولة
- مشترك
- عادة
- حول الشركة
- الشركة
- شكاوي
- صلة
- نظرت
- محتوى
- محتويات
- استمر
- مراقبة
- تقليدي
- البلد
- الدورة
- بهيكل
- المجرمين
- حالياًّ
- زبون
- الأمن السيبراني
- البيانات
- التعارف
- يوم
- تعامل
- ديسمبر
- التأخير
- هدم
- المطورين
- مختلف
- مباشرة
- العرض
- لا
- نطاق
- اسم نطاق
- لا
- إلى أسفل
- حيوي
- كل
- في وقت مبكر
- بسهولة
- على نحو فعال
- إما
- في مكان آخر
- مشفرة
- تماما
- دخول
- خطأ
- حتى
- EVER
- كل
- دليل
- مثال
- أمثلة
- تبادل
- موجود
- توقع
- خارجي
- العوامل
- الميزات
- ملفات
- الاسم الأول
- اتباع
- وجدت
- كثيرا
- تبدأ من
- إضافي
- مستقبل
- على العموم
- دولار فقط واحصل على خصم XNUMX% على جميع
- الحصول على
- معطى
- Go
- الذهاب
- انتزاع
- تجمع
- الإختراق
- يد
- العناية باليد
- تعليق
- حدث
- الثابت
- وجود
- رؤوس
- عنوان رئيسي
- سماع
- ارتفاع
- هنا
- ضرب
- أمل
- استضافت
- استضافة
- تحوم
- كيفية
- HTML
- HTTPS
- أهمية
- in
- حادث
- تتضمن
- يشمل
- مطلع
- تثبيت
- بدلًا من ذلك
- Internet
- بحث
- تحقيق
- IT
- نفسها
- رطانة
- جافا سكريبت
- احتفظ
- علم
- معروف
- كمبيوتر محمول
- اسم العائلة
- مغادرة
- على الأرجح
- حدود
- خط
- LINK
- وصلات
- موقع
- يعد
- بحث
- الكثير
- الرئيسية
- صيانة
- جعل
- القيام ب
- البرمجيات الخبيثة
- كثير
- مارس
- مسيرة 2020
- هامش
- المسائل
- ماكس العرض
- معنى
- يعني
- غضون ذلك
- المذكورة
- مجرد
- ربما
- المقبلة.
- الأكثر من ذلك
- أكثر
- موزيلا
- لعدة سنوات
- الاسم
- تقريبا
- حاجة
- جديد
- التالي
- عادي
- عدد
- تم الحصول عليها
- رسمي
- حاليا
- قديم
- ONE
- عامل
- خيار
- أخرى
- أخرى
- الخاصة
- جزء
- حفلة
- بول
- بشكل دائم
- للهواتف
- PHP
- قطعة
- المكان
- عادي
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- من فضلك
- الرائج
- ان يرتفع المركز
- المنشورات
- طباعة
- المحتمل
- المشكلة
- البرنامج
- عشوائية
- نطاق
- الأسباب
- يستلم
- الأخيرة
- إعادة توجيه
- يشار
- ذات صلة
- تقرير
- التقارير
- طلبات
- الباحث
- الباحثين
- REST
- أظهرت
- جذر
- نفسه
- بحث
- ثانية
- الثاني
- تأمين
- ضمانات
- الأوراق المالية وهيئة الأوراق المالية
- يبدو
- خوادم
- الخدمة
- خدماتنا
- طقم
- إعدادات
- عدة
- شاركت
- نقل
- ينبغي
- إظهار
- الاشارات
- ببساطة
- منذ
- الموقع
- المواقع
- صغير
- So
- الصلبة
- بعض
- متطور
- تختص
- بقعة
- بداية
- بدأت
- ابتداء
- المحافظة
- لا يزال
- SVG
- أنظمة
- أخذ
- حديث
- يروي
- مؤقت
- •
- هيئة الأوراق المالية والبورصات الأمريكية
- العالم
- من مشاركة
- الأشياء
- الثالث
- طرف ثالث
- التهديد
- ثلاثة
- الوقت
- إلى
- تيشرت
- لمست
- تحويل
- انتقال
- شفاف
- يثير
- نموذجي
- عادة
- في النهاية
- عدم اليقين
- مع
- غير متوقع
- URL
- us
- هيئة الأوراق المالية والبورصات الأمريكية
- تستخدم
- مستخدم
- تشكيلة
- بواسطة
- وزار
- الزوار
- الويب
- خادم الويب
- خدمات ويب
- الموقع الإلكتروني
- المواقع
- أسبوع
- ابحث عن
- سواء
- التي
- من الذى
- واسع
- مدى واسع
- سوف
- في غضون
- بدون
- كلمة
- العالم
- سنوات
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت