Geçen haftanın sonlarında [2023-02-16], popüler web barındırma şirketi GoDaddy zorunlu başvurusunu yaptı yıllık 10-K raporu ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) ile.
Alt başlık altında Operasyonel Riskler, GoDaddy şunları açıkladı:
Aralık 2022'de, yetkisiz bir üçüncü taraf cPanel barındırma sunucularımıza erişim sağladı ve kötü amaçlı yazılım yükledi. Kötü amaçlı yazılım, rastgele müşteri web sitelerini zaman zaman kötü amaçlı sitelere yönlendirdi. Olayın temel nedenini araştırmaya devam ediyoruz.
olarak da bilinen URL yönlendirmesi URL yönlendirme, HTTP'nin istisnasız bir özelliğidir ( Üstmetin transfer protokolü) ve çok çeşitli nedenlerle yaygın olarak kullanılır.
Örneğin, şirketinizin ana alan adını değiştirmeye karar verebilirsiniz, ancak tüm eski bağlantılarınızı canlı tutmak isteyebilirsiniz; şirketiniz satın alınabilir ve web içeriğini yeni sahibinin sunucularına taşıması gerekebilir; veya mevcut web sitenizi bakım için çevrimdışı duruma getirmek ve bu arada ziyaretçileri geçici bir siteye yönlendirmek isteyebilirsiniz.
URL yeniden yönlendirmenin bir diğer önemli kullanımı, web sitenize eski şifrelenmemiş HTTP yoluyla gelen ziyaretçilere bunun yerine HTTPS (güvenli HTTP) kullanarak ziyaret etmeleri gerektiğini söylemektir.
Ardından, şifreli bir bağlantı üzerinden yeniden bağlandıklarında, tarayıcılarına eski bir bağlantıya tıklasalar bile gelecekte HTTPS ile başlamalarını söylemek için özel bir başlık ekleyebilirsiniz. http://... bağlantı veya yanlışlıkla yazın http://... elle.
Aslında, yönlendirmeler o kadar yaygındır ki, web geliştiricileri ile biraz takılırsanız, sayısal HTTP kodlarıyla onlardan bahsettiklerini duyacaksınız, tıpkı geri kalanımızın "404 almaktan" bahsettiğimiz gibi. artık var olmayan bir sayfayı ziyaret etmeyi deneyin, çünkü 404 HTTP'ler Not Found hata kodu.
Aslında birkaç farklı yönlendirme kodu vardır, ancak muhtemelen en sık olarak numarayla anıldığını duyacaksınız. 301 olarak da bilinen yönlendirme Moved Permanently. İşte o zaman, eski URL'nin kullanımdan kaldırıldığını ve doğrudan erişilebilir bir bağlantı olarak yeniden görünme olasılığının düşük olduğunu anlarsınız. Diğerleri şunları içerir: 303 ve 307 yaygın olarak bilinen yönlendirmeler See Other ve Temporary Redirect, eski URL'nin nihayetinde etkin hizmete geri dönmesini beklediğinizde kullanılır.
Sophos'ta kullanılan 301 tarzı yönlendirmelerin iki tipik örneğini burada bulabilirsiniz.
İlki, HTTP kullanan ziyaretçilere bunun yerine HTTPS kullanarak hemen yeniden bağlanmalarını söyler ve ikincisi, sadece ile başlayan URL'leri kabul edebilmemiz için vardır. sophos.com onları daha geleneksel web sunucusu adımıza yönlendirerek www.sophos.com.
Her durumda, etiketli başlık girişi Location: web istemcisine bundan sonra nereye gideceğini söyler, hangi tarayıcılar genellikle otomatik olarak yapar:
$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Kalıcı Olarak Taşındı İçerik-Uzunluk: 0 Konum: https://sophos.com/ <--buraya yeniden bağlanın (aynı yer, ancak TLS kullanıyor) ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Kalıcı Olarak Taşındı İçerik-Uzunluk: 0 Konum: https://www.sophos.com/ <--gerçek için web sunucumuza yönlendirin içerik Sıkı Taşıma Güvenliği: . . . <--bir dahaki sefere, lütfen ile başlamak için HTTPS kullanın. . .
Komut satırı seçeneği -D - yukarıda anlatıyor curl Burada önemli olan yanıtlardaki HTTP başlıklarını yazdırma programı. Bu yanıtların her ikisi de basit yönlendirmelerdir, yani geri gönderecekleri kendi içerikleri yoktur, bunu başlık girişiyle belirtirler Content-Length: 0. Tarayıcıların genellikle herhangi bir başlangıç URL'sinden kaç yönlendirme izleyeceklerine ilişkin yerleşik sınırları olduğunu unutmayın; yönlendirme döngüsü.
Yönlendirme denetimi zararlı kabul edildi
Tahmin edebileceğiniz gibi, bir şirketin web yeniden yönlendirme ayarlarına içeriden erişime sahip olmak, bu sunucuların içeriğini doğrudan değiştirmeden web sunucularını hackleyebileceğiniz anlamına gelir.
Bunun yerine, bu sunucu isteklerini başka bir yerde oluşturduğunuz içeriğe gizlice yönlendirebilir ve sunucu verilerini değiştirmeden bırakabilirsiniz.
Sitelerinin resmi içeriğini oluşturan HTML, CS , PHP ve JavaScript dosyalarında yetkisiz girişler veya beklenmeyen değişiklikler olduğuna dair kanıt için erişimlerini ve yükleme günlüklerini kontrol eden herkes…
...aleyhte hiçbir şey görmeyecek çünkü kendi verilerine fiilen dokunulmamış olacak.
Daha da kötüsü, saldırganlar yalnızca ara sıra kötü amaçlı yeniden yönlendirmeler tetiklerse, hileyi tespit etmek zor olabilir.
Şirketin bir mektupta yazdığı göz önüne alındığında, GoDaddy'nin başına gelen bu gibi görünüyor. ifade kendi sitesinde:
Aralık 2022'nin başlarında, web sitelerinin aralıklı olarak yeniden yönlendirilmesiyle ilgili az sayıda müşteri şikayeti almaya başladık. Bu şikayetleri aldıktan sonra, aralıklı yönlendirmelerin cPanel paylaşımlı barındırma sunucularımızda barındırılan görünüşte rastgele web sitelerinde olduğunu ve aynı web sitesinde bile GoDaddy tarafından kolayca yeniden üretilemeyeceğini tespit ettik.
Geçici devralmaların takibi
Bu, siber güvenlik araştırmacılarının üçüncü taraf reklam sunucuları tarafından sunulan zehirli internet reklamlarıyla uğraşırken karşılaştıkları sorunun aynısıdır - jargonda şu şekilde bilinir: amaçlı reklamcılık.
Açıkçası, yalnızca aralıklı olarak görünen kötü amaçlı içerik, etkilenen bir siteyi her ziyaret ettiğinizde ortaya çıkmaz, bu nedenle emin olmadığınız bir sayfayı yenilemeniz bile muhtemelen kanıtları yok edecektir.
Az önce gördüğünüz şeyin bir saldırı girişimi olmadığını, yalnızca geçici bir hata olduğunu da tamamen makul bir şekilde kabul edebilirsiniz.
Bu belirsizlik ve yeniden üretilemezlik, tipik olarak, dolandırıcıların eline geçen sorunun ilk raporunu geciktirir.
Aynı şekilde, "aralıklı kötü niyet" raporlarını takip eden araştırmacılar da nereye bakacaklarını bilseler bile kötü şeylerin bir kopyasını ele geçirebileceklerinden emin olamazlar.
Gerçekten de, suçlular web hizmetlerinin davranışını dinamik olarak değiştirmek için sunucu taraflı kötü amaçlı yazılım kullandığında (değişiklik yapma işlem esnasında, jargon terimini kullanacak olursak), araştırmacıların kafasını daha da karıştırmak için çok çeşitli dış faktörleri kullanabilirler.
Örneğin, günün saatine, ziyaret ettiğiniz ülkeye, dizüstü bilgisayarda mı yoksa telefonda mı kullandığınıza, hangi tarayıcıyı kullandığınıza bağlı olarak yönlendirmelerini değiştirebilir, hatta tamamen engelleyebilirler…
…ve onlar düşünmek siber güvenlik araştırmacısısın ya da değilsin.
Ne yapalım?
Ne yazık ki, GoDaddy neredeyse üç ay dünyaya bu ihlali anlatmak için ve şimdi bile devam edecek pek bir şey yok.
İster Aralık 2022'den beri GoDaddy tarafından barındırılan bir siteyi ziyaret etmiş bir web kullanıcısı olun (farkında olalım ya da olmayalım, muhtemelen çoğumuz dahil), veya bir barındırma şirketi olarak GoDaddy kullanan bir web sitesi operatörü olun…
… hiçbirinin farkında değiliz uzlaşma göstergeleri (IoC'ler) veya "saldırı işaretleri", o sırada fark etmiş olabileceğiniz veya şimdi aramanızı tavsiye edebileceğimiz.
Daha da kötüsü, GoDaddy ihlali web sitesinde başlığı altında açıklasa da Son web sitesi yönlendirme sorunlarıyla ilgili açıklama, kendisinde belirtiyor 10-K dosyalama bunun "yakın zaman" kelimesinin ima ettiğinden çok daha uzun süreli bir saldırı olabileceği:
Araştırmamıza dayanarak, [bu ve en az Mart 2020'e kadar uzanan diğer olayların], diğer şeylerin yanı sıra, sistemlerimize kötü amaçlı yazılım yükleyen ve bazı parçalar ele geçiren gelişmiş bir tehdit aktörü grubu tarafından yürütülen çok yıllı bir kampanyanın parçası olduğuna inanıyoruz. GoDaddy içindeki bazı hizmetlerle ilgili kod.
Yukarıda bahsedildiği gibi GoDaddy, SEC'e "olayın temel nedenini araştırmaya devam ettiğimize" dair güvence verdi.
En az üç yıl öncesine uzanan bu soruşturmada şirketin ortaya çıkardıklarını bize anlatması umarız üç ay daha sürmez…
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/
- 1
- 2020
- 2022
- a
- Yapabilmek
- Hakkımızda
- yukarıdaki
- kesin
- Kabul et
- erişim
- edinilen
- aktif
- aslında
- Ad
- İlanlarım
- karşı
- Türkiye
- arasında
- ve
- Başka
- etrafında
- emin
- saldırı
- teşebbüs
- yazar
- Oto
- otomatik olarak
- Arka
- background-image
- Kötü
- merkezli
- Çünkü
- olmak
- Inanmak
- sınır
- Alt
- ihlal
- tarayıcı
- tarayıcılar
- yerleşik
- Kampanya
- dava
- yakalandı
- Sebeb olmak
- Merkez
- değişiklik
- değişiklikler
- denetleme
- müşteri
- kod
- renk
- COM
- nasıl
- alın
- ortak
- çoğunlukla
- şirket
- Şirketin
- şikayetleri
- bağ
- kabul
- içerik
- içindekiler
- devam etmek
- kontrol
- geleneksel
- ülke
- Kurs
- kapak
- Suçlular
- akım
- müşteri
- Siber güvenlik
- veri
- Bayan
- gün
- ilgili
- Aralık
- gecikmeleri
- yıkmak
- geliştiriciler
- farklı
- direkt olarak
- ekran
- Değil
- domain
- Alan Adı
- Dont
- aşağı
- dinamik
- her
- Erken
- kolayca
- etkili bir şekilde
- ya
- başka yerde
- şifreli
- Baştan sona
- giriş
- hata
- Hatta
- hİÇ
- Her
- kanıt
- örnek
- örnekler
- takas
- var
- beklemek
- dış
- faktörler
- Özellikler(Hazırlık aşamasında)
- dosyalar
- Ad
- takip et
- bulundu
- sık sık
- itibaren
- daha fazla
- gelecek
- genellikle
- almak
- alma
- verilmiş
- Go
- gidiş
- kapmak
- grup
- kesmek
- el
- Eller
- Asmak
- olmuş
- Zor
- sahip olan
- başlıkları
- başlık
- duymak
- yükseklik
- okuyun
- vurmak
- umut
- ev sahipliği yaptı
- hosting
- duraksamak
- Ne kadar
- HTML
- HTTPS
- önemli
- in
- olay
- dahil
- içerir
- içerideki
- yüklü
- yerine
- Internet
- araştırmak
- soruşturma
- IT
- kendisi
- jargon
- JavaScript
- tutmak
- Bilmek
- bilinen
- dizüstü bilgisayar
- Soyad
- ayrılma
- Muhtemelen
- sınırları
- çizgi
- LINK
- bağlantılar
- yer
- uzun
- Bakın
- Çok
- Ana
- bakım
- yapmak
- Yapımı
- kötü amaçlı yazılım
- çok
- Mart
- mart 2020
- Kenar
- Önemlidir
- maksimum genişlik
- anlam
- anlamına geliyor
- bu arada
- adı geçen
- sadece
- olabilir
- ay
- Daha
- çoğu
- mozilla
- çok yıllık
- isim
- neredeyse
- gerek
- yeni
- sonraki
- normal
- numara
- elde
- resmi
- çevrimdışı
- Eski
- ONE
- Şebeke
- seçenek
- Diğer
- Diğer
- kendi
- Bölüm
- Parti
- Paul
- kalıcı olarak
- telefon
- PHP
- parçalar
- yer
- Sade
- Platon
- Plato Veri Zekası
- PlatoVeri
- Lütfen
- Popüler
- pozisyon
- Mesajlar
- muhtemelen
- Sorun
- Programı
- rasgele
- menzil
- nedenleri
- alma
- son
- yönlendirme
- Referans
- ilgili
- rapor
- Raporlar
- isteklerinizi
- araştırmacı
- Araştırmacılar
- DİNLENME
- Açığa
- kök
- aynı
- Ara
- SEC
- İkinci
- güvenli
- Senetler
- Menkul Kıymetler ve Borsa Komisyonu
- görünüyor
- Sunucular
- hizmet
- Hizmetler
- set
- ayarlar
- birkaç
- Paylaşılan
- çalışma
- meli
- şov
- Basit
- sadece
- beri
- yer
- Yer
- küçük
- So
- katı
- biraz
- sofistike
- özel
- Spot
- başlama
- başladı
- XNUMX dakika içinde!
- Devletler
- Yine
- SVG
- Sistemler
- Bizi daha iyi tanımak için
- Konuşmak
- anlatır
- geçici
- The
- ABD Menkul Kıymetler ve Borsa Komisyonu
- Dünya
- ve bazı Asya
- işler
- Üçüncü
- üçüncü şahıslara ait
- tehdit
- üç
- zaman
- için
- üst
- müteessir
- transfer
- geçiş
- şeffaf
- tetikleyebilir
- tipik
- tipik
- eninde sonunda
- Belirsizlik
- altında
- Beklenmedik
- URL
- us
- ABD Güvenlik ve Değişim Komisyonu
- kullanım
- kullanıcı
- çeşitlilik
- üzerinden
- ziyaret
- ziyaretçi
- ağ
- web sunucusu
- web hizmetleri
- Web sitesi
- web siteleri
- hafta
- Ne
- olup olmadığını
- hangi
- DSÖ
- geniş
- Geniş ürün yelpazesi
- irade
- içinde
- olmadan
- Word
- Dünya
- yıl
- Sen
- zefirnet
![S3 Ep101: Uber ve LastPass ihlalleri – 2FA'nın tamamı bu kadar mı? [Ses + Metin] PlatoBlockchain Veri Zekası. Dikey Arama. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/s3-ep101-1200-360x188.jpg "S3 Ep101: Uber ve LastPass ihlalleri - kırılması gereken tek şey 2FA mı? [Ses + Metin]")
![S3 Ep122: Her ihlali "sofistike" olarak adlandırmayı bırakın! [Ses + Metin]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep122-stop-calling-every-breach-sophisticated-audio-text-300x145.png "S3 Ep122: Her ihlali \"sofistike\" olarak adlandırmayı bırakın! [Ses + Metin]")
