GoDaddy 承认：骗子用恶意软件攻击我们，使客户网站中毒

上周晚些时候 [2023-02-16]，流行的网络托管公司 GoDaddy 提交了强制性文件 年度 10-K 报告 与美国证券交易委员会（SEC）合作。

在副标题下 操作风险, GoDaddy 透露：

2022 年 XNUMX 月，未经授权的第三方获得了访问权限并在我们的 cPanel 托管服务器上安装了恶意软件。 该恶意软件间歇性地将随机客户网站重定向到恶意网站。 我们继续调查事件的根本原因。

URL 重定向，也称为 网址转发, 是 HTTP 的一个无可例外的特性（ 超文本传输​​协议), 并且由于多种原因而被普遍使用。

例如，您可能决定更改公司的主域名，但希望保留所有旧链接； 您的公司可能会被收购并需要将其 Web 内容转移到新所有者的服务器上； 或者您可能只想让您当前的网站脱机进行维护，同时将访问者重定向到一个临时站点。

URL 重定向的另一个重要用途是告诉通过普通旧式未加密 HTTP 访问您网站的访问者他们应该使用 HTTPS（安全 HTTP）访问。

然后，一旦他们通过加密连接重新连接，您可以包含一个特殊的标头，告诉他们的浏览器将来使用 HTTPS，即使他们点击旧的 http://... 链接，或错误输入 http://... 用手。

事实上，重定向是如此普遍，以至于如果你在 Web 开发人员身边闲逛，你会听到他们通过数字 HTTP 代码来引用它们，就像我们其他人在我们谈论“获得 404”时所用的方式一样尝试访问一个不再存在的页面，仅仅是因为 404 是 HTTP 的 Not Found 错误代码。

实际上有几种不同的重定向代码，但您可能听到的最常被数字引用的代码是 301 重定向，也称为 Moved Permanently. 那时您知道旧 URL 已经停用并且不太可能作为可直接访问的链接重新出现。 其他包括 303 和 307 重定向，通常称为 See Other 和 Temporary Redirect, 当您期望旧 URL 最终会重新投入使用时使用。

以下是 Sophos 使用的 301 样式重定向的两个典型示例。

第一个告诉使用 HTTP 的访问者立即使用 HTTPS 重新连接，第二个存在以便我们可以接受以 just 开头的 URL sophos.com 通过将它们重定向到我们更传统的网络服务器名称 www.sophos.com.

在每种情况下，标题条目标有 Location: 告诉 Web 客户端下一步去哪里，浏览器通常会自动执行：

$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 永久移动内容长度：0 位置：https://sophos.com/ <--在此处重新连接（同一个地方，但使用 TLS ) 。 . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 永久移动内容长度：0 位置：https://www.sophos.com/ <--重定向到我们的网络服务器以获取实际内容严格传输安全：。 . . <--下次，请使用 HTTPS 开始。 . .

命令行选项 -D - 上面告诉 curl 打印出回复中的 HTTP 标头的程序，这在这里很重要。 这两个回复都是简单的重定向，这意味着它们没有自己的任何内容要发回，它们用标题条目表示 Content-Length: 0. 请注意，浏览器通常对它们从任何起始 URL 遵循的重定向次数有内置限制，作为一种简单的预防措施，防止陷入永无止境的 重定向周期.

重定向控制被认为是有害的

可以想象，拥有对公司 Web 重定向设置的内部访问权意味着您可以黑掉他们的 Web 服务器，而无需直接修改这些服务器的内容。

相反，您可以偷偷地将这些服务器请求重定向到您在别处设置的内容，而服务器数据本身保持不变。

任何人检查他们的访问和上传日志以寻找未经授权登录或对构成其网站官方内容的 HTML、CS、PHP 和 JavaScript 文件进行意外更改的证据……

……不会看到任何异常情况，因为他们自己的数据实际上并没有被触及。

更糟糕的是，如果攻击者只是时不时地触发恶意重定向，那么这个诡计就很难被发现。

这似乎是 GoDaddy 发生的事情，因为该公司在一份 声明 在其自己的网站上：

2022 年 XNUMX 月初，我们开始收到少量客户投诉，称他们的网站被间歇性重定向。 收到这些投诉后，我们进行了调查，发现间歇性重定向发生在我们的 cPanel 共享托管服务器上托管的看似随机的网站上，GoDaddy 无法轻易重现，即使是在同一网站上也是如此。

追踪短暂的接管

这与网络安全研究人员在处理由第三方广告服务器提供的有毒互联网广告时遇到的问题相同——用行话来说就是 恶意广告.

---

---

显然，只是间歇性出现的恶意内容不会在您每次访问受影响的站点时都出现，因此即使只是刷新您不确定的页面也可能会破坏证据。

您甚至可以完全合理地接受您刚刚看到的不是企图攻击，而只是一个暂时性错误。

这种不确定性和不可再现性通常会延迟问题的首次报告，从而落入骗子之手。

同样，跟进“间歇性恶意”报告的研究人员也不能确定他们是否能够获取坏东西的副本，即使他们知道去哪里找。

实际上，当犯罪分子使用服务器端恶意软件动态改变 Web 服务的行为（进行更改 在运行时，用行话来说），他们可以使用范围广泛的外部因素来进一步混淆研究人员。

例如，他们可以根据一天中的时间、您访问的国家/地区、您使用的是笔记本电脑还是手机、您使用的浏览器来更改重定向，甚至完全禁止它们……

……以及他们是否 认为 你是不是网络安全研究员。

---

---

怎么办呢？

不幸的是，GoDaddy 几乎拿走了 三个月 告诉全世界这个漏洞，即使是现在也没什么可做的。

无论您是自 2022 年 XNUMX 月以来访问过 GoDaddy 托管网站的网络用户（可能包括我们大多数人，无论我们是否意识到），还是使用 GoDaddy 作为托管公司的网站运营商……

......我们不知道任何 妥协指标 (IoC)，或“攻击迹象”，您当时可能已经注意到，或者我们可以建议您现在搜索。

更糟糕的是，尽管 GoDaddy 在其网站上以标题描述了违规行为 关于近期网站重定向问题的声明, 它在其 10 K归档 这可能是一场持续时间比“最近”这个词所暗示的要长得多的攻击：

根据我们的调查，我们认为 [这起事件和其他事件至少可以追溯到 2020 年 XNUMX 月] 是一个复杂的威胁行为者组织多年活动的一部分，该组织除其他外，在我们的系统上安装了恶意软件并获得了部分与 GoDaddy 中某些服务相关的代码。

如上所述，GoDaddy 已向 SEC 保证“我们将继续调查事件的根本原因”。

让我们希望公司不会再花三个月时间告诉我们它在这次调查过程中发现了什么，这似乎可以追溯到三年或更长时间……

---

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/