A múlt hét végén [2023-02-16] a népszerű GoDaddy webtárhely-szolgáltató benyújtotta kötelező évi 10-K jelentés az Egyesült Államok Értékpapír- és Tőzsdefelügyeletével (SEC).
Alcím alatt Működési kockázatok, GoDaddy felfedte, hogy:
2022 decemberében egy jogosulatlan harmadik fél hozzáfért a cPanel hosting szervereinkhez, és rosszindulatú programokat telepített azokra. A rosszindulatú program időnként véletlenszerű vásárlói webhelyeket irányított át rosszindulatú webhelyekre. Továbbra is vizsgáljuk az incidens kiváltó okát.
URL átirányítás, más néven URL-továbbítás, a HTTP kivételes funkciója (a hipertext átviteli protokoll), és sokféle okból gyakran használják.
Például dönthet úgy, hogy megváltoztatja cége fő domain nevét, de szeretné életben tartani az összes régi hivatkozását; előfordulhat, hogy cége felvásárol, és webes tartalmát át kell helyeznie az új tulajdonos szervereire; vagy egyszerűen csak offline állapotba szeretné helyezni jelenlegi webhelyét karbantartás céljából, és időközben átirányítani a látogatókat egy ideiglenes webhelyre.
Az URL-átirányítás másik fontos felhasználási módja az, hogy a webhelyére egyszerű régi, titkosítatlan HTTP-n keresztül érkező látogatóknak elmondja, hogy ehelyett HTTPS-t (secure HTTP) kell használniuk.
Ezután, miután újracsatlakoztak egy titkosított kapcsolaton keresztül, beilleszthet egy speciális fejlécet, amely jelzi a böngészőjének, hogy a jövőben HTTPS-sel induljon, még akkor is, ha egy régire kattint. http://...
linket, vagy tévedésből írja be http://...
kézzel.
Valójában az átirányítások annyira elterjedtek, hogy ha egyáltalán a webfejlesztők körül ácsorog, hallani fogja, ahogy a numerikus HTTP-kódjaikkal hivatkoznak rájuk, ugyanúgy, ahogy a többiek a „404 megszerzéséről” beszélünk. próbáljon meg felkeresni egy már nem létező oldalt, egyszerűen azért 404
ez a HTTP Not Found
hibakód.
Valójában több különböző átirányítási kód létezik, de valószínűleg a számmal hivatkozva leggyakrabban az a 301
átirányítás, más néven Moved Permanently
. Ekkor tudja, hogy a régi URL-címet megszüntették, és nem valószínű, hogy valaha is megjelenik újra közvetlenül elérhető hivatkozásként. Mások közé tartozik 303
és a 307
átirányítások, közismert nevén See Other
és a Temporary Redirect
, akkor használatos, ha arra számít, hogy a régi URL végül ismét aktív szolgáltatásba kerül.
Íme két tipikus példa a 301-es stílusú átirányításokra, ahogyan azt a Sophos használ.
Az első azt mondja a HTTP-t használó látogatóknak, hogy azonnal csatlakozzanak újra HTTPS használatával, a második pedig azért létezik, hogy elfogadhassuk azokat az URL-eket, amelyek csak sophos.com
úgy, hogy átirányítjuk őket a hagyományos webszerver nevünkre www.sophos.com
.
Minden esetben a fejléc bejegyzése címkézett Location:
megmondja a webkliensnek, hogy merre kell továbbmennie, amit általában a böngészők tesznek automatikusan:
$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Tartalom hossza: 0 Tartalom hossza: 1.1 Hely: https://sophos.com/ <--csatlakoztassa újra ide (ugyanott, de TLS használatával ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/301 0 Tartalom hossza: XNUMX Helyszín: https://www.sophos.com/ <--átirányítás webszerverünkre a tényleges tartalom Szigorú-közlekedés-biztonság: . . . <--legközelebb kezdje a HTTPS-t. . .
A parancssori opció -D -
fent elmondja a curl
program kinyomtatja a HTTP-fejléceket a válaszokban, amelyek itt számítanak. Mindkét válasz egyszerű átirányítás, ami azt jelenti, hogy nincs saját visszaküldhető tartalom, amit a fejlécbejegyzéssel jelölnek. Content-Length: 0
. Vegye figyelembe, hogy a böngészők általában beépített korlátokkal rendelkeznek arra vonatkozóan, hogy hány átirányítást fognak követni bármely kezdő URL-ről, egyszerű óvintézkedésként, hogy ne ragadjanak bele egy soha véget nem érő átirányítási ciklus.
Károsnak ítélt vezérlés átirányítása
Elképzelhető, hogy a bennfentes hozzáférés egy vállalat web-átirányítási beállításaihoz hatékonyan azt jelenti, hogy feltörheti a webszervereiket anélkül, hogy közvetlenül módosítaná a kiszolgálók tartalmát.
Ehelyett rejtetten átirányíthatja ezeket a szerverkéréseket a máshol beállított tartalomra, és magát a szerveradatokat változatlanul hagyhatja.
Bárki, aki ellenőrzi hozzáférését és feltölti a naplókat, keresve a jogosulatlan bejelentkezéseket vagy a webhelye hivatalos tartalmát alkotó HTML-, CS-, PHP- és JavaScript-fájlok váratlan módosításait…
…nem fognak látni semmi kellemetlenséget, mert a saját adataikat valójában nem érintették meg.
Ami még rosszabb, ha a támadók csak hébe-hóba indítanak el rosszindulatú átirányításokat, a trükköt nehéz észrevenni.
Úgy tűnik, ez történt a GoDaddy-vel, tekintettel arra, hogy a cég a nyilatkozat saját honlapján, hogy:
2022 decemberének elején néhány ügyfélpanasz érkezett hozzánk a webhelyek időszakos átirányításával kapcsolatban. A panaszok kézhezvételekor kivizsgáltuk, és megállapítottuk, hogy az időszakos átirányítások látszólag véletlenszerű webhelyeken történtek, amelyeket a cPanel megosztott tárhelyszervereinken tároltak, és a GoDaddy még ugyanazon a webhelyen sem reprodukálhatta őket könnyen.
Az átmeneti átvételek nyomon követése
Ez ugyanaz a fajta probléma, mint amilyennel a kiberbiztonsági kutatók találkoznak, amikor harmadik fél hirdetésszerverei által kiszolgált mérgezett internetes hirdetésekkel foglalkoznak – amit a szakzsargonnak hívnak. rosszindulatú hirdetések.
Nyilvánvaló, hogy a csak időszakosan megjelenő rosszindulatú tartalom nem jelenik meg minden alkalommal, amikor meglátogatja az érintett webhelyet, így egy olyan oldal frissítése is valószínűleg megsemmisíti a bizonyítékokat, amelyekben nem biztos.
Tökéletesen ésszerűen elfogadhatja azt is, hogy amit most látott, az nem támadási kísérlet volt, hanem csupán átmeneti hiba.
Ez a bizonytalanság és reprodukálhatatlanság jellemzően késlelteti a probléma első bejelentését, ami a csalók kezére játszik.
Hasonlóképpen, azok a kutatók, akik nyomon követik az „időszakos rosszindulatúságról” szóló jelentéseket, nem lehetnek biztosak abban, hogy képesek lesznek-e másolatot kapni a rossz dolgokról, még akkor sem, ha tudják, hol keressenek.
Valóban, amikor a bűnözők szerveroldali rosszindulatú programokat használnak a webszolgáltatások viselkedésének dinamikus megváltoztatására (módosítások végrehajtása futási időben, a zsargon kifejezéssel élve), külső tényezők széles skáláját használhatják fel, hogy még jobban megzavarják a kutatókat.
Például módosíthatják az átirányításokat, vagy akár teljesen le is tilthatják azokat a napszaktól, az országtól, ahonnan látogat, akár laptopot, akár telefont használunk, milyen böngészőt használunk…
…és hogy vajon Szerintem kiberbiztonsági kutató vagy, vagy sem.
Mit kell tenni?
Sajnos GoDaddy majdnem elvitte három hónap elmondani a világnak erről a jogsértésről, és még most sincs sok mit tenni.
Legyen szó webfelhasználóról, aki 2022 decembere óta keresett fel egy GoDaddy által üzemeltetett webhelyet (amely valószínűleg a legtöbbünket magába foglal, akár tudjuk, akár nem), akár olyan webhely-üzemeltető, aki a GoDaddy-t tárhelycégként használja…
…egyikről sem tudunk a kompromisszum mutatói (IoCs), vagy „támadás jelei”, amelyeket akkor észrevehetett, vagy tanácsot adhatunk, hogy most keressen.
Ami még rosszabb, még akkor is, ha a GoDaddy a webhelyén a címszó alatt leírja a jogsértést Nyilatkozat a legutóbbi webhely-átirányítási problémákról, áll benne 10-K bejelentés hogy ez egy sokkal hosszabb ideig tartó támadás lehet, mint azt a „legutóbbi” szó sugallni látszik:
Vizsgálatunk alapján úgy gondoljuk, hogy [ez és más, legalább 2020 márciusáig visszanyúló incidensek] egy kifinomult fenyegetési cselekvőcsoport többéves kampányának részei, amelyek többek között rosszindulatú programokat telepítettek rendszereinkre, és megszerezték a a GoDaddy egyes szolgáltatásaihoz kapcsolódó kód.
Ahogy fentebb említettük, GoDaddy biztosította a SEC-et, hogy „továbbra is vizsgáljuk az incidens kiváltó okát”.
Reméljük, nem kell újabb három hónap, hogy a cég elmondja nekünk, mit tár fel a vizsgálat során, amely úgy tűnik, három évre vagy még tovább nyúlik vissza…
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/
- 1
- 2020
- 2022
- a
- Képes
- Rólunk
- felett
- Abszolút
- Elfogad!
- hozzáférés
- szerzett
- aktív
- tulajdonképpen
- Ad
- hirdetések
- ellen
- Minden termék
- között
- és a
- Másik
- körül
- biztosított
- támadás
- megkísérelt
- szerző
- auto
- automatikusan
- vissza
- background-image
- Rossz
- alapján
- mert
- hogy
- Hisz
- határ
- Alsó
- megsértése
- böngésző
- böngészők
- beépített
- Kampány
- eset
- elkapott
- Okoz
- Központ
- változik
- Változások
- ellenőrzése
- vásárló
- kód
- szín
- COM
- hogyan
- jutalék
- Közös
- általában
- vállalat
- Társaságé
- panaszok
- kapcsolat
- figyelembe vett
- tartalom
- tartalom
- folytatódik
- ellenőrzés
- hagyományos
- ország
- Tanfolyam
- terjed
- bűnözők
- Jelenlegi
- vevő
- Kiberbiztonság
- dátum
- Ismerkedés
- nap
- foglalkozó
- december
- késedelmek
- elpusztítani
- fejlesztők
- különböző
- közvetlenül
- kijelző
- Nem
- domain
- Domain név
- ne
- le-
- dinamikusan
- minden
- Korai
- könnyen
- hatékonyan
- bármelyik
- máshol
- titkosított
- teljesen
- belépés
- hiba
- Még
- EVER
- Minden
- bizonyíték
- példa
- példák
- csere
- létezik
- vár
- külső
- tényezők
- Funkció
- Fájlok
- vezetéknév
- következik
- talált
- gyakran
- ból ből
- további
- jövő
- általában
- kap
- szerzés
- adott
- Go
- megy
- megragad
- Csoport
- csapkod
- kéz
- kezek
- Hang
- történt
- Kemény
- tekintettel
- fejlécek
- headline
- hall
- magasság
- itt
- Találat
- remény
- házigazdája
- tárhely
- lebeg
- Hogyan
- HTML
- HTTPS
- fontos
- in
- incidens
- tartalmaz
- magában foglalja a
- Bennfentes
- telepítve
- helyette
- Internet
- vizsgálja
- vizsgálat
- IT
- maga
- zsargon
- JavaScript
- Tart
- Ismer
- ismert
- hordozható számítógép
- keresztnév
- kilépő
- Valószínű
- határértékek
- vonal
- LINK
- linkek
- elhelyezkedés
- hosszabb
- néz
- Sok
- Fő
- karbantartás
- csinál
- Gyártás
- malware
- sok
- március
- március 2020
- Margó
- számít
- max-width
- jelenti
- eszközök
- Addig
- említett
- csupán
- esetleg
- hónap
- több
- a legtöbb
- Mozilla
- többéves
- név
- közel
- Szükség
- Új
- következő
- normális
- szám
- kapott
- hivatalos
- Nem elérhető
- Régi
- ONE
- operátor
- opció
- Más
- Egyéb
- saját
- rész
- párt
- Paul
- tartósan
- telefon
- PHP
- darabok
- Hely
- Egyszerű
- Plató
- Platón adatintelligencia
- PlatoData
- kérem
- Népszerű
- pozíció
- Hozzászólások
- valószínűleg
- Probléma
- Program
- véletlen
- hatótávolság
- miatt
- fogadó
- új
- átirányítás
- említett
- összefüggő
- jelentést
- Jelentések
- kéri
- kutató
- kutatók
- REST
- Revealed
- gyökér
- azonos
- Keresés
- SEC
- Második
- biztonság
- Értékpapír
- Értékpapír- és Tőzsdebizottság
- Úgy tűnik,
- Szerverek
- szolgáltatás
- Szolgáltatások
- készlet
- beállítások
- számos
- megosztott
- váltás
- kellene
- előadás
- Egyszerű
- egyszerűen
- óta
- weboldal
- Webhely (ek)
- kicsi
- So
- szilárd
- néhány
- kifinomult
- speciális
- Spot
- kezdet
- kezdődött
- Kezdve
- Államok
- Még mindig
- SVG
- Systems
- Vesz
- Beszél
- megmondja
- ideiglenes
- A
- Az Egyesült Államok Értékpapír- és Tőzsdefelügyelete
- a világ
- azok
- dolgok
- Harmadik
- harmadik fél
- fenyegetés
- három
- idő
- nak nek
- felső
- érintett
- átruházás
- átmenet
- átlátszó
- kiváltó
- tipikus
- jellemzően
- Végül
- Bizonytalanság
- alatt
- Váratlan
- URL
- us
- USA Értékpapír- és Tőzsdebizottság
- használ
- használó
- fajta
- keresztül
- látogatott
- látogató
- háló
- webszerver
- webes szolgáltatások
- weboldal
- honlapok
- hét
- Mit
- vajon
- ami
- WHO
- széles
- Széleskörű
- lesz
- belül
- nélkül
- szó
- világ
- év
- te
- A te
- zephyrnet