Cuối tuần trước [2023-02-16], công ty lưu trữ web nổi tiếng GoDaddy đã nộp đơn bắt buộc báo cáo 10-K hàng năm với Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC).
Dưới tiêu đề phụ Rủi ro hoạt động, GoDaddy tiết lộ rằng:
Vào tháng 2022 năm XNUMX, một bên thứ ba trái phép đã có quyền truy cập và cài đặt phần mềm độc hại trên các máy chủ lưu trữ cPanel của chúng tôi. Phần mềm độc hại liên tục chuyển hướng các trang web khách hàng ngẫu nhiên đến các trang web độc hại. Chúng tôi tiếp tục điều tra nguyên nhân gốc rễ của vụ việc.
Chuyển hướng URL, còn được gọi là Chuyển tiếp URL, là một tính năng không thể bỏ qua của HTTP (các giao thức truyền siêu văn bản), và thường được sử dụng vì nhiều lý do.
Ví dụ: bạn có thể quyết định thay đổi tên miền chính của công ty mình, nhưng muốn giữ tất cả các liên kết cũ của mình tồn tại; công ty của bạn có thể bị mua lại và cần chuyển nội dung web của mình sang máy chủ của chủ sở hữu mới; hoặc bạn có thể chỉ muốn đưa trang web hiện tại của mình ngoại tuyến để bảo trì và chuyển hướng khách truy cập đến một trang web tạm thời trong thời gian chờ đợi.
Một cách sử dụng quan trọng khác của chuyển hướng URL là thông báo cho những khách truy cập đến trang web của bạn thông qua HTTP cũ không được mã hóa đơn giản rằng họ nên truy cập bằng HTTPS (HTTP bảo mật) thay thế.
Sau đó, khi họ đã kết nối lại qua một kết nối được mã hóa, bạn có thể bao gồm một tiêu đề đặc biệt để thông báo cho trình duyệt của họ bắt đầu với HTTPS trong tương lai, ngay cả khi họ nhấp vào một kết nối cũ. http://...
link hay gõ nhầm http://...
bằng tay.
Trên thực tế, các chuyển hướng phổ biến đến mức nếu bạn tiếp xúc với các nhà phát triển web, bạn sẽ nghe thấy họ đề cập đến chúng bằng các mã HTTP dạng số, giống như cách mà phần còn lại của chúng ta nói về việc “nhận được 404” khi chúng ta cố gắng truy cập một trang không còn tồn tại, đơn giản vì 404
là của HTTP Not Found
mã lỗi.
Trên thực tế, có một số mã chuyển hướng khác nhau, nhưng mã mà bạn có thể nghe thấy nhiều nhất được gọi bằng số là 301
chuyển hướng, còn được gọi là Moved Permanently
. Đó là khi bạn biết rằng URL cũ đã bị loại bỏ và không bao giờ xuất hiện lại dưới dạng liên kết có thể truy cập trực tiếp. những người khác bao gồm 303
và 307
chuyển hướng, thường được gọi là See Other
và Temporary Redirect
, được sử dụng khi bạn mong đợi rằng URL cũ cuối cùng sẽ hoạt động trở lại.
Dưới đây là hai ví dụ điển hình về chuyển hướng kiểu 301, được sử dụng tại Sophos.
Cái đầu tiên cho khách truy cập sử dụng HTTP kết nối lại ngay lập tức bằng HTTPS và cái thứ hai tồn tại để chúng tôi có thể chấp nhận các URL bắt đầu bằng chỉ sophos.com
bằng cách chuyển hướng chúng đến tên máy chủ web thông thường hơn của chúng tôi www.sophos.com
.
Trong mỗi trường hợp, mục nhập tiêu đề được dán nhãn Location:
cho máy khách web biết nơi tiếp theo, trình duyệt nào thường tự động thực hiện:
$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Đã di chuyển vĩnh viễn Độ dài nội dung: 0 Vị trí: https://sophos.com/ <--kết nối lại tại đây (cùng một địa điểm, nhưng sử dụng TLS ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Đã di chuyển vĩnh viễn Độ dài nội dung: 0 Vị trí: https://www.sophos.com/ <--chuyển hướng đến máy chủ web của chúng tôi để thực tế nội dung Nghiêm ngặt-Giao thông-An ninh: . . . <--lần sau, vui lòng sử dụng HTTPS để bắt đầu với . . .
Tùy chọn dòng lệnh -D -
ở trên nói với curl
chương trình in ra các tiêu đề HTTP trong các câu trả lời, đó là những gì quan trọng ở đây. Cả hai câu trả lời này đều là các chuyển hướng đơn giản, nghĩa là chúng không có bất kỳ nội dung nào của riêng chúng để gửi lại, mà chúng biểu thị bằng mục nhập tiêu đề Content-Length: 0
. Lưu ý rằng các trình duyệt thường có giới hạn tích hợp về số lượng chuyển hướng mà chúng sẽ theo dõi từ bất kỳ URL bắt đầu nào, như một biện pháp phòng ngừa đơn giản để tránh bị cuốn vào một chuỗi không bao giờ kết thúc. chu kỳ chuyển hướng.
Kiểm soát chuyển hướng được coi là có hại
Như bạn có thể tưởng tượng, việc có quyền truy cập nội bộ vào cài đặt chuyển hướng web của công ty có nghĩa là bạn có thể hack máy chủ web của họ mà không cần trực tiếp sửa đổi nội dung của các máy chủ đó.
Thay vào đó, bạn có thể lén lút chuyển hướng các yêu cầu máy chủ đó đến nội dung mà bạn đã thiết lập ở nơi khác, khiến dữ liệu máy chủ không thay đổi.
Bất kỳ ai đang kiểm tra nhật ký truy cập và tải lên của họ để tìm bằng chứng về các lần đăng nhập trái phép hoặc các thay đổi không mong muốn đối với các tệp HTML, CS , PHP và JavaScript tạo nên nội dung chính thức của trang web của họ…
…sẽ không thấy gì ngoài ý muốn, bởi vì dữ liệu của chính họ sẽ không thực sự bị chạm vào.
Tệ hơn nữa, nếu những kẻ tấn công chỉ thỉnh thoảng kích hoạt các chuyển hướng độc hại, thủ đoạn phụ có thể khó bị phát hiện.
Đó dường như là những gì đã xảy ra với GoDaddy, vì công ty đã viết trong một tuyên bố trên trang web riêng của mình rằng:
Vào đầu tháng 2022 năm XNUMX, chúng tôi bắt đầu nhận được một số lượng nhỏ khiếu nại của khách hàng về việc trang web của họ bị chuyển hướng không liên tục. Khi nhận được những khiếu nại này, chúng tôi đã điều tra và phát hiện ra rằng các chuyển hướng không liên tục đã xảy ra trên các trang web dường như ngẫu nhiên được lưu trữ trên các máy chủ lưu trữ dùng chung cPanel của chúng tôi và GoDaddy không dễ tái tạo lại, ngay cả trên cùng một trang web.
Theo dõi các vụ thâu tóm tạm thời
Đây là cùng một loại vấn đề mà các nhà nghiên cứu an ninh mạng gặp phải khi xử lý các quảng cáo internet bị nhiễm độc do các máy chủ quảng cáo của bên thứ ba cung cấp – biệt ngữ này được gọi là quảng cáo độc hại.
Rõ ràng, nội dung độc hại chỉ xuất hiện không liên tục không xuất hiện mỗi khi bạn truy cập trang web bị ảnh hưởng, do đó, thậm chí chỉ cần làm mới một trang mà bạn không chắc chắn cũng có khả năng phá hủy bằng chứng.
Bạn thậm chí có thể chấp nhận một cách hoàn toàn hợp lý rằng những gì bạn vừa thấy không phải là một cuộc tấn công có chủ đích, mà chỉ là một lỗi nhất thời.
Sự không chắc chắn và không thể tái tạo này thường làm chậm trễ báo cáo đầu tiên về sự cố, khiến cho kẻ gian có lợi.
Tương tự như vậy, các nhà nghiên cứu theo dõi các báo cáo về “ác ý không liên tục” không thể chắc chắn rằng họ sẽ có thể lấy được bản sao của những thứ xấu, ngay cả khi họ biết tìm ở đâu.
Thật vậy, khi bọn tội phạm sử dụng phần mềm độc hại phía máy chủ để thay đổi động hành vi của các dịch vụ web (làm thay đổi trong thời gian chạy, để sử dụng thuật ngữ biệt ngữ), họ có thể sử dụng một loạt các yếu tố bên ngoài để gây nhầm lẫn cho các nhà nghiên cứu hơn nữa.
Ví dụ: họ có thể thay đổi các chuyển hướng của mình hoặc thậm chí chặn chúng hoàn toàn, dựa trên thời gian trong ngày, quốc gia bạn đang truy cập, cho dù bạn đang sử dụng máy tính xách tay hay điện thoại, trình duyệt bạn đang sử dụng…
…và liệu họ nghĩ bạn có phải là nhà nghiên cứu an ninh mạng hay không.
Phải làm gì?
Thật không may, GoDaddy đã mất gần ba tháng để nói với thế giới về vi phạm này, và thậm chí bây giờ không có nhiều điều để tiếp tục.
Cho dù bạn là người dùng web đã truy cập trang web do GoDaddy lưu trữ kể từ tháng 2022 năm XNUMX (có thể bao gồm hầu hết chúng ta, cho dù chúng ta có nhận ra điều đó hay không) hay nhà điều hành trang web sử dụng GoDaddy làm công ty lưu trữ…
…chúng tôi không biết về bất kỳ các chỉ số của sự thỏa hiệp (IoC) hoặc "dấu hiệu tấn công", mà bạn có thể đã nhận thấy vào thời điểm đó hoặc chúng tôi có thể khuyên bạn nên tìm kiếm ngay bây giờ.
Tệ hơn nữa, mặc dù GoDaddy mô tả vi phạm trên trang web của mình dưới tiêu đề Tuyên bố về các vấn đề chuyển hướng trang web gần đây, nó tuyên bố trong nó Nộp 10-K rằng đây có thể là một cuộc tấn công dữ dội kéo dài hơn nhiều so với từ "gần đây" dường như ngụ ý:
Dựa trên cuộc điều tra của mình, chúng tôi tin rằng [rằng sự cố này và các sự cố khác xảy ra ít nhất từ tháng 2020 năm XNUMX] là một phần trong chiến dịch kéo dài nhiều năm của một nhóm tác nhân đe dọa tinh vi. Nhóm này, cùng với những hành vi khác, đã cài đặt phần mềm độc hại vào hệ thống của chúng tôi và lấy được các phần của mã liên quan đến một số dịch vụ trong GoDaddy.
Như đã đề cập ở trên, GoDaddy đã đảm bảo với SEC rằng “chúng tôi tiếp tục điều tra nguyên nhân cốt lõi của vụ việc”.
Hãy hy vọng rằng sẽ không mất thêm ba tháng nữa để công ty cho chúng ta biết những gì họ phát hiện ra trong quá trình điều tra này, dường như kéo dài từ ba năm trở lên…
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/
- 1
- 2020
- 2022
- a
- Có khả năng
- Giới thiệu
- ở trên
- Tuyệt đối
- Chấp nhận
- truy cập
- mua lại
- hoạt động
- thực sự
- Ad
- quảng cáo
- chống lại
- Tất cả
- trong số
- và
- Một
- xung quanh
- yên tâm
- tấn công
- đã cố gắng
- tác giả
- tự động
- tự động
- trở lại
- background-image
- Bad
- dựa
- bởi vì
- được
- Tin
- biên giới
- đáy
- vi phạm
- trình duyệt
- trình duyệt
- được xây dựng trong
- Chiến dịch
- trường hợp
- bị bắt
- Nguyên nhân
- Trung tâm
- thay đổi
- Những thay đổi
- kiểm tra
- khách hàng
- mã
- màu sắc
- COM
- Đến
- hoa hồng
- Chung
- thông thường
- công ty
- Của công ty
- khiếu nại
- liên quan
- xem xét
- nội dung
- nội dung
- tiếp tục
- điều khiển
- thông thường
- đất nước
- Khóa học
- che
- Tội phạm
- Current
- khách hàng
- An ninh mạng
- dữ liệu
- hò
- ngày
- xử lý
- Tháng mười hai
- sự chậm trễ
- phá hủy
- phát triển
- khác nhau
- trực tiếp
- Giao diện
- Không
- miền
- Tên miền
- dont
- xuống
- năng động
- mỗi
- Đầu
- dễ dàng
- hiệu quả
- hay
- nơi khác
- mã hóa
- hoàn toàn
- nhập
- lôi
- Ngay cả
- BAO GIỜ
- Mỗi
- bằng chứng
- ví dụ
- ví dụ
- Sàn giao dịch
- tồn tại
- mong đợi
- ngoài
- các yếu tố
- Đặc tính
- Các tập tin
- Tên
- theo
- tìm thấy
- thường xuyên
- từ
- xa hơn
- tương lai
- nói chung
- được
- nhận được
- được
- Go
- đi
- lấy
- Nhóm
- tấn
- tay
- Tay bài
- Treo
- đã xảy ra
- Cứng
- có
- tiêu đề
- tiêu đề
- Nghe
- cao
- tại đây
- Đánh
- mong
- tổ chức
- lưu trữ
- di chuột
- Độ đáng tin của
- HTML
- HTTPS
- quan trọng
- in
- sự cố
- bao gồm
- bao gồm
- Insider
- cài đặt
- thay vì
- Internet
- điều tra
- điều tra
- IT
- chính nó
- biệt ngữ
- JavaScript
- Giữ
- Biết
- nổi tiếng
- máy tính xách tay
- Họ
- để lại
- Có khả năng
- giới hạn
- Dòng
- LINK
- liên kết
- địa điểm thư viện nào
- còn
- Xem
- Rất nhiều
- Chủ yếu
- bảo trì
- làm cho
- Làm
- phần mềm độc hại
- nhiều
- Tháng Ba
- march 2020
- Lợi nhuận
- Vấn đề
- max-width
- có nghĩa là
- có nghĩa
- trong khi đó
- đề cập
- chỉ đơn thuần là
- Might
- tháng
- chi tiết
- hầu hết
- Mozilla
- nhiều năm
- tên
- gần
- Cần
- Mới
- tiếp theo
- bình thường
- con số
- thu được
- chính thức
- Ngoại tuyến
- Xưa
- ONE
- nhà điều hành
- Tùy chọn
- Nền tảng khác
- Khác
- riêng
- một phần
- bên
- paul
- vĩnh viễn
- điện thoại
- PHP
- miếng
- Nơi
- Trơn
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- xin vui lòng
- Phổ biến
- vị trí
- bài viết
- In
- có lẽ
- Vấn đề
- chương trình
- ngẫu nhiên
- phạm vi
- lý do
- nhận
- gần đây
- chuyển hướng
- gọi
- liên quan
- báo cáo
- Báo cáo
- yêu cầu
- nhà nghiên cứu
- nhà nghiên cứu
- REST của
- Tiết lộ
- nguồn gốc
- tương tự
- Tìm kiếm
- SEC
- Thứ hai
- an toàn
- Chứng khoán
- Ủy ban chứng khoán
- dường như
- Các máy chủ
- dịch vụ
- DỊCH VỤ
- định
- thiết lập
- một số
- chia sẻ
- thay đổi
- nên
- hiển thị
- Đơn giản
- đơn giản
- kể từ khi
- website
- Các trang web
- nhỏ
- So
- rắn
- một số
- tinh vi
- đặc biệt
- Spot
- Bắt đầu
- bắt đầu
- Bắt đầu
- Bang
- Vẫn còn
- SVG
- hệ thống
- Hãy
- Thảo luận
- nói
- tạm thời
- Sản phẩm
- Ủy ban Chứng khoán và Giao dịch Hoa Kỳ
- thế giới
- cung cấp their dịch
- điều
- Thứ ba
- của bên thứ ba
- mối đe dọa
- số ba
- thời gian
- đến
- hàng đầu
- xúc động
- chuyển
- quá trình chuyển đổi
- minh bạch
- kích hoạt
- điển hình
- thường
- Cuối cùng
- Không chắc chắn
- Dưới
- Bất ngờ
- URL
- us
- Ủy ban Chứng khoán và Trao đổi Hoa Kỳ
- sử dụng
- người sử dang
- nhiều
- thông qua
- đến thăm
- du khách
- web
- máy chủ web
- các dịch vụ web
- Website
- trang web
- tuần
- Điều gì
- liệu
- cái nào
- CHÚNG TÔI LÀ
- rộng
- Phạm vi rộng
- sẽ
- ở trong
- không có
- Từ
- thế giới
- năm
- Bạn
- trên màn hình
- zephyrnet