Ende letzter Woche [2023-02-16] reichte das beliebte Webhosting-Unternehmen GoDaddy seine Pflicht ein jährlicher 10-K-Bericht mit der US Securities and Exchange Commission (SEC).
Unter der Überschrift Operationelle Risiken, GoDaddy enthüllte Folgendes:
Im Dezember 2022 verschaffte sich ein unbefugter Dritter Zugriff auf unsere cPanel-Hosting-Server und installierte Malware auf diesen. Die Malware leitete zeitweise zufällige Kundenwebsites auf bösartige Websites um. Wir untersuchen weiterhin die Ursache des Vorfalls.
URL-Umleitung, auch bekannt als URL-Weiterleitung, ist eine tadellose Eigenschaft von HTTP (die Hypertext Transfer Protocol) und wird häufig aus einer Vielzahl von Gründen verwendet.
Beispielsweise könnten Sie sich entscheiden, den Hauptdomänennamen Ihres Unternehmens zu ändern, möchten aber alle Ihre alten Links am Leben erhalten; Ihr Unternehmen wird möglicherweise übernommen und muss seine Webinhalte auf die Server des neuen Eigentümers verschieben. oder Sie möchten vielleicht einfach Ihre aktuelle Website zu Wartungszwecken offline nehmen und Besucher in der Zwischenzeit auf eine temporäre Website umleiten.
Eine weitere wichtige Verwendung der URL-Umleitung besteht darin, Besuchern, die über das einfache, alte, unverschlüsselte HTTP auf Ihre Website gelangen, mitzuteilen, dass sie stattdessen HTTPS (sicheres HTTP) verwenden sollten.
Sobald sie sich dann über eine verschlüsselte Verbindung wieder verbunden haben, können Sie einen speziellen Header einfügen, um ihren Browser anzuweisen, in Zukunft mit HTTPS zu starten, selbst wenn sie auf eine alte klicken http://... verlinken oder versehentlich eingeben http://... von Hand.
Tatsächlich sind Umleitungen so verbreitet, dass Sie, wenn Sie sich überhaupt mit Webentwicklern herumtreiben, sie mit ihren numerischen HTTP-Codes auf sie verweisen hören werden, ähnlich wie der Rest von uns davon spricht, „einen 404 zu bekommen“, wenn wir versuchen, eine Seite zu besuchen, die nicht mehr existiert, einfach weil 404 ist HTTP Not Found Fehlercode.
Es gibt tatsächlich mehrere verschiedene Umleitungscodes, aber der Code, auf den Sie wahrscheinlich am häufigsten hören werden, ist a 301 Umleitung, auch bekannt als Moved Permanently. Dann wissen Sie, dass die alte URL zurückgezogen wurde und wahrscheinlich nie wieder als direkt erreichbarer Link angezeigt wird. Andere beinhalten 303 und 307 Umleitungen, allgemein bekannt als See Other und Temporary Redirect, wird verwendet, wenn Sie davon ausgehen, dass die alte URL letztendlich wieder aktiv wird.
Hier sind zwei typische Beispiele für Weiterleitungen im 301-Stil, wie sie bei Sophos verwendet werden.
Die erste weist Besucher, die HTTP verwenden, an, sich sofort wieder mit HTTPS zu verbinden, und die zweite existiert, damit wir URLs akzeptieren können, die mit just beginnen sophos.com indem Sie sie auf unseren konventionelleren Webservernamen umleiten www.sophos.com.
In jedem Fall ist der Header-Eintrag beschriftet Location: teilt dem Webclient mit, wohin er als nächstes gehen soll, was Browser im Allgemeinen automatisch tun:
$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Permanently Moved Content-Length: 0 Location: https://sophos.com/ <--reconnect here (gleicher Ort, aber mit TLS ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Permanently Moved Content-Length: 0 Location: https://www.sophos.com/ <--Redirect auf unseren Webserver für aktuelle Inhalt Strict-Transport-Security: . . . <--verwenden Sie beim nächsten Mal bitte HTTPS, um mit zu beginnen. . .
Die Befehlszeilenoption -D - oben sagt die curl Programm, um die HTTP-Header in den Antworten auszugeben, worauf es hier ankommt. Diese beiden Antworten sind einfache Weiterleitungen, dh sie haben keinen eigenen Inhalt, den sie zurücksenden können, was sie mit dem Header-Eintrag kennzeichnen Content-Length: 0. Beachten Sie, dass Browser im Allgemeinen eingebaute Beschränkungen dafür haben, wie vielen Weiterleitungen sie von jeder Start-URL folgen, als einfache Vorsichtsmaßnahme, damit Sie nicht in einem nie endenden gefangen werden Umleitungszyklus.
Umleitungskontrolle als schädlich angesehen
Wie Sie sich vorstellen können, bedeutet der Zugriff von Insidern auf die Webumleitungseinstellungen eines Unternehmens effektiv, dass Sie dessen Webserver hacken können, ohne den Inhalt dieser Server direkt zu ändern.
Stattdessen können Sie diese Serveranfragen heimlich auf Inhalte umleiten, die Sie an anderer Stelle eingerichtet haben, und die Serverdaten selbst unverändert lassen.
Jeder, der seine Zugriffs- und Upload-Protokolle auf Beweise für unbefugte Anmeldungen oder unerwartete Änderungen an den HTML-, CS-, PHP- und JavaScript-Dateien überprüft, die den offiziellen Inhalt seiner Website ausmachen …
… werden nichts Ungewöhnliches sehen, weil ihre eigenen Daten nicht wirklich angerührt worden sind.
Schlimmer noch, wenn Angreifer nur hin und wieder böswillige Weiterleitungen auslösen, kann die List schwer zu erkennen sein.
Das scheint GoDaddy passiert zu sein, da das Unternehmen in a schrieb Aussage auf seiner eigenen Website, die:
Anfang Dezember 2022 erhielten wir eine kleine Anzahl von Kundenbeschwerden darüber, dass ihre Websites zeitweise umgeleitet wurden. Als wir diese Beschwerden erhielten, untersuchten wir und stellten fest, dass die zeitweiligen Weiterleitungen auf scheinbar zufälligen Websites erfolgten, die auf unseren gemeinsam genutzten cPanel-Hosting-Servern gehostet wurden, und von GoDaddy nicht einfach reproduziert werden konnten, selbst auf derselben Website.
Transiente Übernahmen aufspüren
Dies ist die gleiche Art von Problem, auf das Forscher von Cybsersecurity stoßen, wenn sie es mit vergifteten Internetanzeigen zu tun haben, die von Ad-Servern von Drittanbietern bereitgestellt werden – was im Fachjargon als bezeichnet wird Malvertising.
Offensichtlich werden bösartige Inhalte, die nur zeitweise erscheinen, nicht jedes Mal angezeigt, wenn Sie eine betroffene Website besuchen, sodass selbst das Aktualisieren einer Seite, bei der Sie sich nicht sicher sind, wahrscheinlich die Beweise vernichtet.
Sie könnten sogar vernünftigerweise akzeptieren, dass das, was Sie gerade gesehen haben, kein Angriffsversuch war, sondern lediglich ein vorübergehender Fehler.
Diese Ungewissheit und Unreproduzierbarkeit verzögert typischerweise die erste Meldung des Problems, was den Gaunern in die Hände spielt.
Ebenso können Forscher, die Berichten über „zeitweilige Böswilligkeit“ nachgehen, nicht sicher sein, dass sie in der Lage sein werden, eine Kopie des schlechten Zeugs zu bekommen, selbst wenn sie wissen, wo sie suchen müssen.
Wenn Kriminelle serverseitige Malware verwenden, um das Verhalten von Webdiensten dynamisch zu ändern (Änderungen vornehmen zur Laufzeit, um den Fachjargon zu verwenden), können sie eine Vielzahl externer Faktoren nutzen, um Forscher noch mehr zu verwirren.
Sie können beispielsweise ihre Weiterleitungen ändern oder sogar ganz unterdrücken, je nach Tageszeit, dem Land, aus dem Sie kommen, ob Sie einen Laptop oder ein Telefon verwenden, welchen Browser Sie verwenden …
…und ob sie think ob Sie ein Cybersicherheitsforscher sind oder nicht.
Was ist zu tun?
Leider hat GoDaddy fast gedauert drei Monate der Welt von diesem Bruch zu erzählen, und selbst jetzt gibt es nicht viel zu tun.
Egal, ob Sie ein Webbenutzer sind, der seit Dezember 2022 eine von GoDaddy gehostete Website besucht hat (was wahrscheinlich die meisten von uns betrifft, ob uns das bewusst ist oder nicht), oder ein Website-Betreiber, der GoDaddy als Hosting-Unternehmen nutzt …
… uns sind keine bekannt Indikatoren für Kompromisse (IoCs) oder „Angriffszeichen“, die Ihnen damals vielleicht aufgefallen sind oder nach denen wir Ihnen raten können, jetzt zu suchen.
Schlimmer noch, obwohl GoDaddy den Verstoß auf seiner Website unter der Überschrift beschreibt Erklärung zu den jüngsten Problemen mit der Website-Weiterleitung, heißt es in seinem 10-K-Einreichung dass dies ein viel länger anhaltender Angriff sein könnte, als das Wort „kürzlich“ zu implizieren scheint:
Basierend auf unserer Untersuchung glauben wir, [dass dieser und andere Vorfälle, die mindestens bis März 2020 zurückreichen] Teil einer mehrjährigen Kampagne einer raffinierten Gruppe von Bedrohungsakteuren sind, die unter anderem Malware auf unseren Systemen installiert und Teile davon erhalten hat Code, der sich auf einige Dienste innerhalb von GoDaddy bezieht.
Wie oben erwähnt, hat GoDaddy der SEC versichert, dass „wir die eigentliche Ursache des Vorfalls weiter untersuchen“.
Hoffen wir, dass es nicht weitere drei Monate dauert, bis das Unternehmen uns mitteilt, was es im Verlauf dieser Untersuchung aufdeckt, die drei Jahre oder länger zurückreicht …
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/
- 1
- 2020
- 2022
- a
- Fähig
- Über Uns
- oben
- Absolute
- Akzeptieren
- Zugang
- erworben
- aktiv
- berührt das Schneidwerkzeug
- Ad
- Siehe Werbung
- gegen
- Alle
- unter
- und
- Ein anderer
- um
- gesichert
- Attacke
- Versuche
- Autor
- Auto
- Im Prinzip so, wie Sie es von Google Maps kennen.
- Zurück
- background-image
- Badewanne
- basierend
- weil
- Sein
- Glauben
- Grenze
- Boden
- Verletzung
- Browser
- Browsern
- eingebaut
- Kampagnen (Campaign)
- Häuser
- gefangen
- Verursachen
- Center
- Übernehmen
- Änderungen
- Überprüfung
- Auftraggeber
- Code
- Farbe
- COM
- wie die
- Provision
- gemeinsam
- häufig
- Unternehmen
- Unternehmen
- Beschwerden
- Verbindung
- betrachtet
- Inhalt
- Inhalt
- fortsetzen
- Smartgeräte App
- konventionellen
- Land
- Kurs
- Abdeckung
- Criminals
- Strom
- Kunde
- Internet-Sicherheit
- technische Daten
- Partnersuche
- Tag
- Behandlung
- Dezember
- Verzögerungen
- zerstören
- Entwickler
- anders
- Direkt
- Display
- Tut nicht
- Domain
- Domain Name
- Nicht
- nach unten
- dynamisch
- jeder
- Früh
- leicht
- effektiv
- entweder
- anderswo
- verschlüsselt
- vollständig
- Eintrag
- Fehler
- Sogar
- ÜBERHAUPT
- Jedes
- Beweis
- Beispiel
- Beispiele
- Austausch-
- existiert
- erwarten
- extern
- Faktoren
- Merkmal
- Mappen
- Vorname
- folgen
- gefunden
- häufig
- für
- weiter
- Zukunft
- allgemein
- bekommen
- bekommen
- gegeben
- Go
- gehen
- greifen
- Gruppe an
- hacken
- Pflege
- Hände
- Aufhängen
- passiert
- hart
- mit
- Überschriften
- Schlagzeile
- hören
- Höhe
- hier
- Hit
- ein Geschenk
- gehostet
- Hosting
- schweben
- Ultraschall
- HTML
- HTTPS
- wichtig
- in
- Zwischenfall
- das
- Dazu gehören
- Insider
- installiert
- beantragen müssen
- Internet
- untersuchen
- Untersuchung
- IT
- selbst
- Jargon
- JavaScript
- Behalten
- Wissen
- bekannt
- Laptop
- Nachname
- Verlassen
- wahrscheinlich
- Grenzen
- Line
- LINK
- Links
- Standorte
- länger
- aussehen
- Los
- Main
- Wartung
- um
- Making
- Malware
- viele
- März
- März 2020
- Marge
- Angelegenheiten
- max-width
- Bedeutung
- Mittel
- inzwischen
- erwähnt
- nur
- könnte
- Monat
- mehr
- vor allem warme
- Mozilla
- mehrjährigen
- Name
- fast
- Need
- Neu
- weiter
- normal
- Anzahl
- erhalten
- offiziell
- Offline-Bereich.
- Alt
- EINEM
- Operator
- Option
- Andere
- Anders
- besitzen
- Teil
- Party
- Alexander
- permanent
- Telefon
- PHP
- Stücke
- Ort
- Ebene
- Plato
- Datenintelligenz von Plato
- PlatoData
- Bitte
- Beliebt
- Position
- BLOG-POSTS
- wahrscheinlich
- Aufgabenstellung:
- Programm
- zufällig
- Angebot
- Gründe
- Empfang
- kürzlich
- umleiten
- bezeichnet
- bezogene
- berichten
- Meldungen
- Zugriffe
- Forscher
- Forscher
- REST
- Revealed
- Wurzel
- gleich
- Suche
- SEK
- Zweite
- Verbindung
- Securities
- Securities and Exchange Commission
- scheint
- Fertige Server
- Lösungen
- kompensieren
- Einstellungen
- mehrere
- von Locals geführtes
- verschieben
- sollte
- erklären
- Einfacher
- einfach
- da
- am Standort
- Seiten
- klein
- So
- solide
- einige
- anspruchsvoll
- besondere
- Spot
- Anfang
- begonnen
- Beginnen Sie
- Staaten
- Immer noch
- SVG
- Systeme und Techniken
- Nehmen
- Reden
- erzählt
- vorübergehend
- Das
- Die US-amerikanische Börsenaufsichtsbehörde
- die Welt
- ihr
- Dritte
- basierte Online-to-Offline-Werbezuordnungen von anderen gab.
- Bedrohung
- nach drei
- Zeit
- zu
- Top
- gerührt
- privaten Transfer
- Übergang
- transparent
- auslösen
- typisch
- typisch
- Letztlich
- Unsicherheit
- für
- Unerwartet
- URL
- us
- US-Wertpapieraufsichtsbehörde
- -
- Mitglied
- Vielfalt
- besucht
- Besucher
- Netz
- Web-Server
- Web-Services
- Webseite
- Webseiten
- Woche
- Was
- ob
- welche
- WHO
- breit
- Große Auswahl
- werden wir
- .
- ohne
- Word
- weltweit wie ausgehandelt und gekauft ausgeführt wird.
- Jahr
- Du
- Ihr
- Zephyrnet
![S3 Ep101: Verstöße gegen Uber und LastPass – ist 2FA alles, worauf es ankommt? [Audio + Text] PlatoBlockchain-Datenintelligenz. Vertikale Suche. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/s3-ep101-1200-360x188.jpg "S3 Ep101: Verstöße gegen Uber und LastPass – ist 2FA alles, worauf es ankommt? [Audio + Text]")
![S3 Ep122: Hören Sie auf, jeden Verstoß als „ausgefeilt“ zu bezeichnen! [Audio + Text]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep122-stop-calling-every-breach-sophisticated-audio-text-300x145.png "S3 Ep122: Hören Sie auf, jeden Verstoß als „ausgefeilt“ zu bezeichnen! [Audio + Text]")
