В конце прошлой недели [2023-02-16] популярная веб-хостинговая компания GoDaddy подала обязательный годовой отчет 10-К с Комиссией по ценным бумагам и биржам США (SEC).
В подзаголовке Операционные риски, GoDaddy сообщил, что:
В декабре 2022 года неавторизованная третья сторона получила доступ к нашим серверам хостинга cPanel и установила вредоносное ПО. Вредоносная программа периодически перенаправляла случайные веб-сайты клиентов на вредоносные сайты. Мы продолжаем расследовать первопричину инцидента.
Перенаправление URL, также известное как Переадресация URL, является неотъемлемым свойством HTTP (т. Протокол передачи гипертекста), и обычно используется по целому ряду причин.
Например, вы можете решить изменить основное доменное имя вашей компании, но при этом сохранить все свои старые ссылки; ваша компания может быть поглощена и ей нужно перенести свой веб-контент на серверы нового владельца; или вы можете просто отключить свой текущий веб-сайт для обслуживания и тем временем перенаправить посетителей на временный сайт.
Еще одно важное использование перенаправления URL-адресов — сообщить посетителям, которые приходят на ваш веб-сайт через старый незашифрованный HTTP, что они должны вместо этого использовать HTTPS (защищенный HTTP).
Затем, как только они снова подключатся через зашифрованное соединение, вы можете включить специальный заголовок, чтобы сообщить их браузеру, что в будущем нужно начинать с HTTPS, даже если они нажмут на старую ссылку. http://...
ссылку или ошибочно введите http://...
рукой.
На самом деле, перенаправления настолько распространены, что если вы общаетесь с веб-разработчиками, вы услышите, как они ссылаются на них по своим числовым HTTP-кодам, почти так же, как остальные говорят о «получении 404», когда мы попытаться посетить страницу, которой больше не существует, просто потому, что 404
это HTTP Not Found
код ошибки.
На самом деле существует несколько различных кодов перенаправления, но тот, который вы, вероятно, чаще всего услышите, называется номером. 301
перенаправление, также известное как Moved Permanently
. Именно тогда вы знаете, что старый URL-адрес был удален и вряд ли когда-либо снова появится в качестве прямой ссылки. Другие включают 303
и 307
перенаправления, широко известные как See Other
и Temporary Redirect
, используемый, когда вы ожидаете, что старый URL-адрес в конечном итоге вернется в активную службу.
Вот два типичных примера перенаправлений в стиле 301, используемых в Sophos.
Первый сообщает посетителям, использующим HTTP, немедленно переподключаться с использованием HTTPS, а второй существует для того, чтобы мы могли принимать URL-адреса, начинающиеся только с sophos.com
перенаправляя их на наше более традиционное имя веб-сервера www.sophos.com
.
В каждом случае запись заголовка с пометкой Location:
сообщает веб-клиенту, куда идти дальше, что браузеры обычно делают автоматически:
$ curl -D --http1.1 http://sophos.com HTTP/1.1 301 Moved Permanently Content-Length: 0 Location: https://sophos.com/ <--повторно подключитесь здесь (то же место, но с использованием TLS ). . . $ curl -D --http1.1 https://sophos.com HTTP/1.1 301 Moved Permanently Content-Length: 0 Location: https://www.sophos.com/ <--перенаправить на наш веб-сервер для фактического контент Строгая транспортная безопасность: . . . <--в следующий раз используйте HTTPS для начала. . .
Параметр командной строки -D -
выше рассказывает curl
программа для распечатки заголовков HTTP в ответах, что здесь важно. Оба этих ответа являются простыми переадресациями, что означает, что у них нет собственного контента для отправки обратно, что они обозначают записью заголовка. Content-Length: 0
. Обратите внимание, что браузеры обычно имеют встроенные ограничения на количество переадресаций, которые они будут выполнять с любого начального URL-адреса, в качестве простой меры предосторожности, чтобы не попасть в бесконечный поток. цикл перенаправления.
Контроль перенаправления считается вредным
Как вы понимаете, наличие инсайдерского доступа к настройкам веб-перенаправления компании фактически означает, что вы можете взломать их веб-серверы без непосредственного изменения содержимого этих серверов.
Вместо этого вы можете незаметно перенаправить эти запросы к серверу на содержимое, которое вы настроили в другом месте, оставив сами данные сервера без изменений.
Любой, кто проверяет свои журналы доступа и загрузки на предмет несанкционированных входов в систему или неожиданных изменений в файлах HTML, CS, PHP и JavaScript, которые составляют официальный контент их сайта…
…не увидит ничего предосудительного, потому что их собственные данные фактически не будут затронуты.
Что еще хуже, если злоумышленники запускают вредоносные перенаправления только время от времени, уловки может быть трудно обнаружить.
Похоже, именно это и произошло с GoDaddy, учитывая, что компания написала в заявление на собственном сайте, который:
В начале декабря 2022 года мы начали получать небольшое количество жалоб клиентов на периодическую переадресацию их веб-сайтов. Получив эти жалобы, мы провели расследование и обнаружили, что прерывистые перенаправления происходили на, казалось бы, случайных веб-сайтах, размещенных на наших серверах общего хостинга cPanel, и GoDaddy не могла легко воспроизвести их даже на том же веб-сайте.
Отслеживание временных поглощений
Это та же самая проблема, с которой исследователи кибербезопасности сталкиваются, когда имеют дело с отравленной интернет-рекламой, обслуживаемой сторонними рекламными серверами — то, что на жаргоне известно как вредоносный.
Очевидно, что вредоносное содержимое, которое появляется только время от времени, не появляется каждый раз, когда вы посещаете уязвимый сайт, поэтому даже простое обновление страницы, в которой вы не уверены, может уничтожить улики.
Вы могли бы даже вполне разумно признать, что то, что вы только что видели, было не попыткой атаки, а просто временной ошибкой.
Эта неопределенность и невоспроизводимость обычно задерживают первое сообщение о проблеме, что играет на руку мошенникам.
Точно так же исследователи, которые следят за сообщениями о «периодическом злонамеренном нападении», не могут быть уверены, что им удастся получить копию плохого материала, даже если они знают, где искать.
Действительно, когда преступники используют вредоносное ПО на стороне сервера для динамического изменения поведения веб-сервисов (внесение изменений во время выполнения, используя жаргонный термин), они могут использовать широкий спектр внешних факторов, чтобы еще больше запутать исследователей.
Например, они могут изменить свои перенаправления или даже полностью отключить их в зависимости от времени суток, страны, из которой вы посещаете, используете ли вы ноутбук или телефон, какой браузер вы используете…
…и будут ли они think вы исследователь кибербезопасности или нет.
Что делать?
К сожалению, GoDaddy занял почти три месяца рассказать миру об этой бреши, и даже сейчас не так много, чтобы продолжать.
Являетесь ли вы веб-пользователем, посетившим сайт, размещенный на GoDaddy, с декабря 2022 года (к которому, вероятно, относится большинство из нас, осознаем мы это или нет), или оператором веб-сайта, который использует GoDaddy в качестве хостинговой компании…
…мы ничего не знаем индикаторы компрометации (IoCs), или «признаки атаки», которые вы могли заметить в то время или которые мы можем посоветовать вам искать сейчас.
Что еще хуже, несмотря на то, что GoDaddy описывает нарушение на своем веб-сайте под заголовком Заявление о недавних проблемах с переадресацией веб-сайта, говорится в его 10-К подача что это может быть гораздо более продолжительным натиском, чем кажется подразумеваемым под словом «недавний»:
Основываясь на нашем расследовании, мы полагаем, [что этот и другие инциденты, датированные по крайней мере мартом 2020 г.] являются частью многолетней кампании изощренной группы злоумышленников, которая, среди прочего, установила вредоносное ПО на наши системы и получила части код, связанный с некоторыми услугами GoDaddy.
Как упоминалось выше, GoDaddy заверил SEC, что «продолжает расследование основной причины инцидента».
Будем надеяться, что компании не потребуется еще три месяца, чтобы рассказать нам, что она обнаружила в ходе этого расследования, которое, похоже, длилось три года или больше…
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/
- 1
- 2020
- 2022
- a
- в состоянии
- О нас
- выше
- Absolute
- Принять
- доступ
- приобретенный
- активный
- на самом деле
- Ad
- объявления
- против
- Все
- среди
- и
- Другой
- около
- уверил
- атаковать
- попытка
- автор
- автоматический
- автоматически
- назад
- Фоновое изображение
- Плохой
- основанный
- , так как:
- не являетесь
- верить
- граница
- Дно
- нарушение
- браузер
- браузеры
- встроенный
- Кампания
- случаев
- пойманный
- Вызывать
- Центр
- изменение
- изменения
- контроль
- клиент
- код
- цвет
- COM
- как
- комиссии
- Общий
- обычно
- Компания
- Компании
- жалобы
- связи
- считается
- содержание
- содержание
- продолжать
- контроль
- обычный
- страна
- "Курс"
- чехол для варгана
- Преступники
- Текущий
- клиент
- Информационная безопасность
- данным
- Знакомства
- день
- занимавшийся
- Декабрь
- задержки
- уничтожить
- застройщиков
- различный
- непосредственно
- Дисплей
- не
- домен
- Имя домена
- Dont
- вниз
- динамично
- каждый
- Рано
- легко
- фактически
- или
- в другом месте
- зашифрованный
- полностью
- запись
- ошибка
- Даже
- НИКОГДА
- Каждая
- , поскольку большинство сенаторов
- пример
- Примеры
- обмена
- существует
- ожидать
- и, что лучший способ
- факторы
- Особенность
- Файлы
- Во-первых,
- следовать
- найденный
- часто
- от
- далее
- будущее
- в общем
- получить
- получающий
- данный
- Go
- будет
- захват
- группы
- мотыга
- рука
- Руки
- Вешать
- произошло
- Жесткий
- имеющий
- Заголовки
- заголовок
- слышать
- высота
- здесь
- Удар
- надежды
- состоялся
- хостинг
- зависать
- Как
- HTML
- HTTPS
- важную
- in
- инцидент
- включают
- включает в себя
- Инсайдер
- установлен
- вместо
- Интернет
- исследовать
- ходе расследования,
- IT
- саму трезвость
- жаргон
- JavaScript
- Сохранить
- Знать
- известный
- портативный компьютер
- Фамилия
- уход
- Вероятно
- рамки
- линия
- LINK
- связи
- расположение
- дольше
- посмотреть
- серия
- Главная
- техническое обслуживание
- сделать
- Создание
- вредоносных программ
- многих
- Март
- Марш 2020
- Маржа
- Вопросы
- макс-ширина
- смысл
- означает
- то время
- упомянутый
- просто
- может быть
- месяцев
- БОЛЕЕ
- самых
- Mozilla
- Многолетняя
- имя
- почти
- Необходимость
- Новые
- следующий
- "обычные"
- номер
- полученный
- Официальный представитель в Грузии
- оффлайн
- Старый
- ONE
- оператор
- Опция
- Другое
- Другое
- собственный
- часть
- вечеринка
- Пол
- постоянно
- Телефон
- PHP
- штук
- Часть
- одноцветный
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пожалуйста
- Популярное
- должность
- Блог
- Печать / PDF
- вероятно
- Проблема
- FitPartner™
- случайный
- ассортимент
- причины
- получение
- последний
- переориентировать
- назвало
- Связанный
- отчету
- Отчеты
- Запросы
- исследователь
- исследователи
- ОТДЫХ
- Показали
- корень
- то же
- Поиск
- SEC / КОМИССИЯ ПО ЦЕННЫМ БУМАГАМ И БИРЖАМ
- Во-вторых
- безопасный
- Ценные бумаги
- Комиссия по ценным бумагам и биржам
- кажется
- Серверы
- обслуживание
- Услуги
- набор
- настройки
- несколько
- общие
- сдвиг
- должен
- показывать
- просто
- просто
- с
- сайте
- Сайтов
- небольшой
- So
- твердый
- некоторые
- сложный
- особый
- Спотовая торговля
- Начало
- и политические лидеры
- Начало
- Области
- По-прежнему
- SVG
- системы
- взять
- Говорить
- говорит
- временный
- Ассоциация
- Комиссия по ценным бумагам и биржам США
- мир
- их
- вещи
- В третьих
- сторонние
- угроза
- три
- время
- в
- топ
- тронутый
- перевод
- переход
- прозрачный
- вызвать
- типичный
- типично
- В конечном счете
- Неопределенность
- под
- Неожиданный
- URL
- us
- Комиссия по ценным бумагам и биржам США
- использование
- Информация о пользователе
- разнообразие
- с помощью
- посетили
- посетителей
- Web
- веб-сервер
- веб-сервисы
- Вебсайт
- веб-сайты
- неделя
- Что
- будь то
- , которые
- КТО
- широкий
- Широкий диапазон
- будете
- в
- без
- Word
- Мир
- лет
- Ты
- ВАШЕ
- зефирнет