GoDaddy मानता है: बदमाशों ने हम पर मालवेयर से हमला किया, ग्राहक वेबसाइटों को ज़हर दिया

GoDaddy मानता है: बदमाशों ने हम पर मालवेयर से हमला किया, ग्राहक वेबसाइटों को ज़हर दिया

समय टिकट: 19 फरवरी, 2023 अपराह्न 8:36 बजे
GoDaddy admits: Crooks hit us with malware, poisoned customer websites PlatoBlockchain Data Intelligence. Vertical Search. Ai.
by पॉल डकलिन

पिछले सप्ताह के अंत में [2023-02-16], लोकप्रिय वेब होस्टिंग कंपनी GoDaddy ने अपनी अनिवार्यता दायर की वार्षिक 10-के रिपोर्ट अमेरिकी प्रतिभूति और विनिमय आयोग (एसईसी) के साथ।

उप-शीर्षक के तहत संचालन जोखिम, GoDaddy ने खुलासा किया कि:

दिसंबर 2022 में, एक अनाधिकृत तृतीय पक्ष ने हमारे cPanel होस्टिंग सर्वर पर मैलवेयर इंस्टॉल किया और एक्सेस किया। मैलवेयर रुक-रुक कर यादृच्छिक ग्राहक वेबसाइटों को दुर्भावनापूर्ण साइटों पर पुनर्निर्देशित करता है। हम घटना के मूल कारण की जांच करना जारी रखते हैं।

URL पुनर्निर्देशन, के रूप में भी जाना जाता है यूआरएल अग्रेषण, HTTP की एक असाधारण विशेषता है (the हाइपरटेक्स्ट ट्रांसफ़र प्रोटोकॉल), और आमतौर पर कई कारणों से उपयोग किया जाता है।

उदाहरण के लिए, आप अपनी कंपनी का मुख्य डोमेन नाम बदलने का निर्णय ले सकते हैं, लेकिन अपने सभी पुराने लिंक को जीवित रखना चाहते हैं; आपकी कंपनी का अधिग्रहण हो सकता है और उसे अपनी वेब सामग्री को नए स्वामी के सर्वर पर स्थानांतरित करने की आवश्यकता होगी; या हो सकता है कि आप रखरखाव के लिए बस अपनी वर्तमान वेबसाइट को ऑफ़लाइन करना चाहें, और इस दौरान आगंतुकों को किसी अस्थायी साइट पर पुनर्निर्देशित करें।

URL पुनर्निर्देशन का एक अन्य महत्वपूर्ण उपयोग उन आगंतुकों को बताना है जो सादे पुराने अनएन्क्रिप्टेड HTTP के माध्यम से आपकी वेबसाइट पर आते हैं कि उन्हें इसके बजाय HTTPS (सुरक्षित HTTP) का उपयोग करना चाहिए।

फिर, एक बार जब वे एक एन्क्रिप्टेड कनेक्शन पर फिर से जुड़ जाते हैं, तो आप उनके ब्राउज़र को भविष्य में HTTPS के साथ शुरू करने के लिए बताने के लिए एक विशेष हेडर शामिल कर सकते हैं, भले ही वे किसी पुराने पर क्लिक करें http://... लिंक, या गलती से टाइप करें http://... हाथ से।

वास्तव में, रीडायरेक्ट इतने सामान्य हैं कि यदि आप वेब डेवलपर्स के आसपास रहते हैं, तो आप उन्हें उनके संख्यात्मक HTTP कोड द्वारा उनका जिक्र करते हुए सुनेंगे, ठीक उसी तरह जैसे कि हममें से बाकी लोग "404 प्राप्त करने" के बारे में बात करते हैं जब हम किसी ऐसे पृष्ठ पर जाने का प्रयास करें जो अब मौजूद नहीं है, केवल इसलिए 404 एचटीटीपी है Not Found एरर कोड।

वास्तव में कई अलग-अलग रीडायरेक्ट कोड हैं, लेकिन आप शायद सबसे अधिक बार संख्या द्वारा संदर्भित एक को सुनेंगे 301 पुनर्निर्देशन, के रूप में भी जाना जाता है Moved Permanently. तभी आप जानते हैं कि पुराना URL समाप्त कर दिया गया है और सीधे पहुंच योग्य लिंक के रूप में इसके दोबारा प्रकट होने की संभावना नहीं है। अन्य शामिल हैं 303 और 307 रीडायरेक्ट, आमतौर पर के रूप में जाना जाता है See Other और Temporary Redirect, तब उपयोग किया जाता है जब आप उम्मीद करते हैं कि पुराना URL अंततः सक्रिय सेवा में वापस आ जाएगा।

यहां 301-शैली के रीडायरेक्ट के दो विशिष्ट उदाहरण दिए गए हैं, जैसा कि सोफोस में उपयोग किया गया है।

पहला HTTP का उपयोग करने वाले विज़िटर को इसके बजाय HTTPS का उपयोग करके तुरंत पुन: कनेक्ट करने के लिए कहता है, और दूसरा मौजूद है ताकि हम ऐसे URL स्वीकार कर सकें जो केवल से शुरू होते हैं sophos.com उन्हें हमारे अधिक पारंपरिक वेब सर्वर नाम पर पुनर्निर्देशित करके www.sophos.com.

प्रत्येक मामले में, हेडर प्रविष्टि लेबल की गई Location: वेब क्लाइंट को बताता है कि आगे कहां जाना है, कौन से ब्राउज़र आमतौर पर स्वचालित रूप से करते हैं:

$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 स्थायी रूप से स्थानांतरित सामग्री-लंबाई: 0 स्थान: https://sophos.com/ <--यहां फिर से कनेक्ट करें (वही स्थान पर, लेकिन TLS का उपयोग करके ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 स्थायी रूप से स्थानांतरित सामग्री-लंबाई: 0 स्थान: https://www.sophos.com/ <--वास्तविक के लिए हमारे वेब सर्वर पर रीडायरेक्ट करें सामग्री सख्त-परिवहन-सुरक्षा:। . . <--अगली बार, कृपया शुरू करने के लिए HTTPS का उपयोग करें। . .

कमांड लाइन विकल्प -D - ऊपर बताता है curl प्रोग्राम उत्तरों में HTTP शीर्षलेख मुद्रित करने के लिए, जो यहां मायने रखता है। ये दोनों उत्तर सरल रीडायरेक्ट हैं, जिसका अर्थ है कि उनके पास वापस भेजने के लिए स्वयं की कोई सामग्री नहीं है, जिसे वे हेडर प्रविष्टि के साथ दर्शाते हैं Content-Length: 0. ध्यान दें कि ब्राउज़र में आम तौर पर अंतर्निहित सीमाएं होती हैं कि वे किसी भी प्रारंभिक यूआरएल से कितने रीडायरेक्ट का पालन करेंगे, कभी न खत्म होने वाले जाल में फंसने के खिलाफ एक साधारण सावधानी के रूप में रीडायरेक्ट चक्र.

पुनर्निर्देशित नियंत्रण हानिकारक माना जाता है

जैसा कि आप कल्पना कर सकते हैं, किसी कंपनी की वेब रीडायरेक्शन सेटिंग्स तक इनसाइडर एक्सेस होने का प्रभावी अर्थ है कि आप उन सर्वरों की सामग्री को सीधे संशोधित किए बिना उनके वेब सर्वरों को हैक कर सकते हैं।

इसके बजाय, आप उन सर्वर अनुरोधों को चुपके से उस सामग्री पर पुनर्निर्देशित कर सकते हैं जिसे आपने कहीं और सेट किया है, सर्वर डेटा को अपरिवर्तित छोड़कर।

कोई भी व्यक्ति जो अपनी साइट की आधिकारिक सामग्री बनाने वाले HTML, CS , PHP और JavaScript फ़ाइलों में अनधिकृत लॉगिन या अप्रत्याशित परिवर्तनों के प्रमाण के लिए अपनी पहुंच और अपलोड लॉग की जांच कर रहा है ...

...कुछ भी अनहोनी नहीं दिखेगी, क्योंकि उनके खुद के डेटा को वास्तव में छुआ नहीं गया होगा।

इससे भी बदतर, अगर हमलावर दुर्भावनापूर्ण रीडायरेक्ट को हर बार ट्रिगर करते हैं, तो छल का पता लगाना मुश्किल हो सकता है।

ऐसा लगता है कि गोडैडी के साथ क्या हुआ, यह देखते हुए कि कंपनी ने एक में लिखा था कथन अपनी साइट पर कि:

दिसंबर 2022 की शुरुआत में, हमें ग्राहकों की कुछ शिकायतें मिलनी शुरू हुईं कि उनकी वेबसाइटों को बीच-बीच में रीडायरेक्ट किया जा रहा है। इन शिकायतों को प्राप्त करने पर, हमने जांच की और पाया कि रुक-रुक कर रीडायरेक्ट हमारे cPanel साझा होस्टिंग सर्वरों पर होस्ट की जाने वाली प्रतीत होने वाली यादृच्छिक वेबसाइटों पर हो रहे थे और GoDaddy द्वारा आसानी से प्रतिलिपि प्रस्तुत करने योग्य नहीं थे, यहां तक ​​कि उसी वेबसाइट पर भी।

अस्थायी अधिग्रहणों को ट्रैक करना

यह उसी तरह की समस्या है जिसका सामना साइबर सुरक्षा शोधकर्ताओं को तीसरे पक्ष के विज्ञापन सर्वरों द्वारा पेश किए गए ज़हरीले इंटरनेट विज्ञापनों से निपटने के दौरान होता है - जिसे शब्दजाल के रूप में जाना जाता है malvertising.

स्पष्ट रूप से, दुर्भावनापूर्ण सामग्री जो केवल रुक-रुक कर दिखाई देती है, हर बार जब आप किसी प्रभावित साइट पर जाते हैं तो वह दिखाई नहीं देती है, इसलिए किसी ऐसे पृष्ठ को ताज़ा करने से भी सबूत नष्ट होने की संभावना है जिसके बारे में आप सुनिश्चित नहीं हैं।

आप पूरी तरह से यथोचित रूप से स्वीकार कर सकते हैं कि आपने जो देखा वह एक प्रयास किया गया हमला नहीं था, बल्कि केवल एक क्षणिक त्रुटि थी।

यह अनिश्चितता और अप्रस्तुतता आमतौर पर समस्या की पहली रिपोर्ट में देरी करती है, जो बदमाशों के हाथों में होती है।

इसी तरह, शोधकर्ता जो "आंतरायिक पुरुषत्व" की रिपोर्ट का पालन करते हैं, यह सुनिश्चित नहीं हो सकता है कि वे खराब सामग्री की एक प्रति प्राप्त करने में सक्षम होने जा रहे हैं, भले ही वे जानते हों कि कहां देखना है।

दरअसल, जब अपराधी वेब सेवाओं के व्यवहार को गतिशील रूप से बदलने के लिए सर्वर-साइड मैलवेयर का उपयोग करते हैं (परिवर्तन करना चलने के समय पर, शब्दजाल शब्द का उपयोग करने के लिए), वे शोधकर्ताओं को और भी भ्रमित करने के लिए बाहरी कारकों की एक विस्तृत श्रृंखला का उपयोग कर सकते हैं।

उदाहरण के लिए, दिन के समय के आधार पर, आप जिस देश से जा रहे हैं, चाहे आप लैपटॉप पर हों या फ़ोन पर, आप किस ब्राउज़र का उपयोग कर रहे हैं, वे अपने रीडायरेक्ट को बदल सकते हैं, या उन्हें पूरी तरह से दबा भी सकते हैं...

… और चाहे वे सोचना आप साइबर सुरक्षा शोधकर्ता हैं या नहीं।

क्या करना है?

दुर्भाग्य से, GoDaddy ने लगभग ले लिया तीन महीने दुनिया को इस उल्लंघन के बारे में बताने के लिए, और अभी भी बहुत कुछ करने के लिए नहीं है।

चाहे आप एक वेब उपयोगकर्ता हैं जो दिसंबर 2022 से GoDaddy द्वारा होस्ट की गई साइट पर गए हैं (जिसमें शायद हम में से अधिकांश शामिल हैं, चाहे हमें पता हो या नहीं), या एक वेबसाइट ऑपरेटर जो एक होस्टिंग कंपनी के रूप में GoDaddy का उपयोग करता है...

…हम किसी के बारे में नहीं जानते हैं समझौता के संकेतक (IoCs), या "हमले के संकेत", जिसे आपने उस समय देखा होगा या जिसे हम आपको अभी खोजने की सलाह दे सकते हैं।

इससे भी बदतर, भले ही GoDaddy अपनी वेबसाइट पर हेडलाइन के तहत उल्लंघन का वर्णन करता है हाल की वेबसाइट पुनर्निर्देशन मुद्दों पर वक्तव्य, यह अपने में बताता है 10-के फाइलिंग कि यह "हालिया" शब्द की तुलना में बहुत अधिक समय तक चलने वाला हमला हो सकता है:

हमारी जांच के आधार पर, हम मानते हैं [कि यह और अन्य घटनाएं कम से कम मार्च 2020 तक की हैं] एक परिष्कृत खतरे वाले अभिनेता समूह द्वारा बहु-वर्षीय अभियान का हिस्सा हैं, जो अन्य बातों के अलावा, हमारे सिस्टम पर मैलवेयर स्थापित करता है और इसके टुकड़े प्राप्त करता है GoDaddy के भीतर कुछ सेवाओं से संबंधित कोड।

जैसा कि ऊपर उल्लेख किया गया है, GoDaddy ने SEC को आश्वासन दिया है कि "हम घटना के मूल कारण की जांच करना जारी रखेंगे"।

आइए आशा करते हैं कि कंपनी को हमें यह बताने में तीन महीने नहीं लगेंगे कि इस जांच के दौरान वह क्या उजागर करती है, जो तीन साल या उससे अधिक समय तक चलती है ...

समय टिकट:

से अधिक नग्न सुरक्षा