Viime viikon lopulla [2023-02-16] suosittu web-hosting-yritys GoDaddy jätti pakollisen vuosikertomus 10-K Yhdysvaltojen Securities and Exchange Commissionin (SEC) kanssa.
Alaotsikon alla Operatiiviset riskit, GoDaddy paljasti, että:
Joulukuussa 2022 luvaton kolmas osapuoli sai pääsyn ja asensi haittaohjelmia cPanel-isännöintipalvelimillemme. Haittaohjelma ohjasi ajoittain satunnaisia asiakkaiden verkkosivustoja haitallisille sivustoille. Jatkamme tapahtuman perimmäisen syyn selvittämistä.
URL-uudelleenohjaus, joka tunnetaan myös nimellä URL-osoitteen edelleenlähetys, on HTTP:n poikkeuksellinen ominaisuus ( hypertekstin siirtoprotokolla), ja sitä käytetään yleisesti monista eri syistä.
Saatat esimerkiksi päättää muuttaa yrityksesi pääverkkotunnusta, mutta haluat pitää kaikki vanhat linkit hengissä. yrityksesi saattaa joutua hankituksi ja joutua siirtämään verkkosisältönsä uuden omistajan palvelimille; tai saatat haluta vain ottaa nykyisen verkkosivustosi offline-tilaan huoltoa varten ja ohjata vierailijat sillä välin väliaikaiselle sivustolle.
Toinen tärkeä URL-osoitteiden uudelleenohjauksen käyttötarkoitus on kertoa vierailijoille, jotka saapuvat verkkosivustollesi tavallisen vanhan salaamattoman HTTP:n kautta, että heidän tulisi vierailla käyttämällä HTTPS:ää (secure HTTP).
Sitten, kun he ovat muodostaneet yhteyden uudelleen salatun yhteyden kautta, voit lisätä erityisen otsikon, joka kertoo selaimensa aloittavan HTTPS:llä tulevaisuudessa, vaikka he napsauttaisivat vanhaa http://... linkki tai kirjoita vahingossa http://... käsin.
Itse asiassa uudelleenohjaukset ovat niin yleisiä, että jos olet ylipäänsä verkkokehittäjien kanssa, kuulet heidän viittaavan heihin numeerisilla HTTP-koodeilla, aivan samalla tavalla kuin me muut puhumme "404:n saamisesta" yritä vierailla sivulla, jota ei enää ole, yksinkertaisesti siksi 404 on HTTP:tä Not Found virhekoodi.
Itse asiassa on olemassa useita erilaisia uudelleenohjauskoodeja, mutta se, johon kuulet useimmiten viitattavan numerolla, on a 301 uudelleenohjaus, joka tunnetaan myös nimellä Moved Permanently. Silloin tiedät, että vanha URL-osoite on poistettu käytöstä, eikä se todennäköisesti enää koskaan tule näkyviin suoraan tavoitettavana linkkinä. Muita ovat mm 303 ja 307 uudelleenohjaukset, jotka tunnetaan yleisesti nimellä See Other ja Temporary Redirect, käytetään, kun oletat, että vanha URL-osoite tulee lopulta takaisin aktiiviseen käyttöön.
Tässä on kaksi tyypillistä esimerkkiä 301-tyylisistä uudelleenohjauksista, joita käytetään Sophosissa.
Ensimmäinen käskee HTTP:tä käyttäviä vierailijoita muodostamaan välittömästi yhteyden uudelleen käyttämällä HTTPS:ää, ja toinen on olemassa, jotta voimme hyväksyä URL-osoitteet, jotka alkavat vain sophos.com ohjaamalla heidät perinteisempään verkkopalvelimeemme www.sophos.com.
Jokaisessa tapauksessa otsikkomerkintä on merkitty Location: kertoo verkkoasiakkaalle, minne mennä seuraavaksi, mitä selaimet yleensä tekevät automaattisesti:
$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Siirretty pysyvästi Sisältö-Pituus: 0 Sijainti: https://sophos.com/ <--yhdistä tähän (samaan paikkaan, mutta TLS:llä ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Siirretty pysyvästi Sisällön pituus: 0 Sijainti: https://www.sophos.com/ <--ohjaa verkkopalvelimellemme todellista sisältö Tiukka liikenneturvallisuus: . . . <--Seuraavan kerran käytä HTTPS:ää aluksi . . .
Komentorivivaihtoehto -D - yllä kertoo curl ohjelma tulostaa vastausten HTTP-otsikot, jotka ovat tärkeitä tässä. Molemmat vastaukset ovat yksinkertaisia uudelleenohjauksia, mikä tarkoittaa, että niillä ei ole mitään omaa takaisinlähetettävää sisältöä, jonka ne ilmaisevat otsikkomerkinnällä Content-Length: 0. Huomaa, että selaimilla on yleensä sisäänrakennetut rajoitukset sille, kuinka monta uudelleenohjausta ne seuraavat mistä tahansa aloitus-URL-osoitteesta yksinkertaisena varotoimenpiteenä, jotta et joutuisi loputtomiin uudelleenohjaussykli.
Ohjauksen uudelleenohjaus katsottiin haitalliseksi
Kuten voit kuvitella, yrityksen Web-uudelleenohjausasetuksiin sisäpiiriläisen pääsy tarkoittaa käytännössä sitä, että voit hakkeroida heidän verkkopalvelimiaan muuttamatta suoraan näiden palvelimien sisältöä.
Sen sijaan voit ohjata ne palvelinpyynnöt lujasti sisältöön, jonka olet määrittänyt muualle, jolloin palvelintiedot eivät muutu.
Kaikki, jotka tarkistavat pääsynsä ja lataavat lokejaan todisteiden luvattomista kirjautumisista tai odottamattomista muutoksista HTML-, CS-, PHP- ja JavaScript-tiedostoihin, jotka muodostavat heidän sivustonsa virallisen sisällön…
…eivät näe mitään epämiellyttävää, koska heidän omiin tietoihinsa ei itse asiassa ole koskettu.
Vielä pahempaa on, että jos hyökkääjät käynnistävät haitallisia uudelleenohjauksia vain silloin tällöin, salakavala voi olla vaikea havaita.
Näin näyttää tapahtuneen GoDaddylle, koska yritys kirjoitti a selvitys omalla sivustollaan:
Aloimme joulukuun 2022 alussa saada pienen määrän asiakkailta valituksia heidän verkkosivustojensa ajoittaisesta uudelleenohjauksesta. Saatuamme nämä valitukset tutkimme ja havaitsimme, että ajoittaiset uudelleenohjaukset tapahtuivat näennäisesti satunnaisilla verkkosivustoilla, joita isännöivät cPanel-jaetut isännöintipalvelimemme, eikä GoDaddy voinut toistaa niitä helposti edes samalla verkkosivustolla.
Ohimenevien haltuunottojen jäljittäminen
Tämä on samanlainen ongelma, jonka kybserturvallisuustutkijat kohtaavat käsitellessään myrkyllisiä Internet-mainoksia, joita kolmannen osapuolen mainospalvelimet näyttävät – mikä on ammattikieltä. malvertising.
Ilmeisesti haitallinen sisältö, joka näkyy vain ajoittain, ei näy joka kerta, kun vierailet kyseisellä sivustolla, joten jopa pelkkä sivun päivittäminen, josta et ole varma, todennäköisesti tuhoaa todisteet.
Saatat jopa täysin kohtuudella hyväksyä sen, että näkemäsi ei ollut hyökkäysyritys, vaan vain ohimenevä virhe.
Tämä epävarmuus ja toistettavuus viivästyttää tyypillisesti ensimmäisen ongelman ilmoittamista, mikä pelaa huijareiden käsissä.
Samoin tutkijat, jotka seuraavat raportteja "ajoittain pahantahtoisuudesta", eivät voi olla varmoja pystyvänsä nappaamaan kopion huonoista asioista, vaikka he tietäisivät mistä etsiä.
Todellakin, kun rikolliset käyttävät palvelinpuolen haittaohjelmia muuttaakseen verkkopalveluiden käyttäytymistä dynaamisesti (tekemällä muutoksia ajon aikana, käyttääkseen ammattikieltä), he voivat käyttää monenlaisia ulkoisia tekijöitä hämmentääkseen tutkijoita entisestään.
He voivat esimerkiksi muuttaa uudelleenohjauksiaan tai jopa estää ne kokonaan riippuen kellonajasta, maasta, josta vierailet, käytätkö kannettavaa tietokonetta tai puhelinta, mitä selainta käytät…
…ja ovatko he ajatella oletko kyberturvallisuuden tutkija vai et.
Mitä tehdä?
Valitettavasti GoDaddy kesti melkein kolme kuukautta kertoa maailmalle tästä rikkomuksesta, ja vieläkään ei ole paljon asiaa.
Oletpa sitten web-käyttäjä, joka on käynyt GoDaddy-isännöimällä sivustolla joulukuusta 2022 lähtien (johon luultavasti kuuluu suurin osa meistä, tajuammepa sitä tai emme), tai verkkosivuston ylläpitäjä, joka käyttää GoDaddya isännöintiyrityksenä…
…emme ole tietoisia mistään kompromissin indikaattorit (IoC) tai "hyökkäyksen merkkejä", jotka olet ehkä huomannut tuolloin tai jotka voimme neuvoa sinua etsimään nyt.
Vielä pahempaa, vaikka GoDaddy kuvailee rikkomusta verkkosivuillaan otsikon alla Lausunto viimeaikaisista verkkosivustojen uudelleenohjausongelmista, siinä todetaan 10-K arkistointi että tämä voi olla paljon pidempi hyökkäys kuin sana "äskettäin" näyttää viittaavan:
Tutkimuksemme perusteella uskomme [että tämä ja muut tapahtumat, jotka ovat peräisin ainakin maaliskuulta 2000] ovat osa monivuotista kampanjaa, jonka on toteuttanut kehittynyt uhkatoimijaryhmä, joka muun muassa asensi järjestelmiimme haittaohjelmia ja hankki osia joihinkin GoDaddyn palveluihin liittyvää koodia.
Kuten edellä mainittiin, GoDaddy on vakuuttanut SEC:lle, että "jatkamme tapauksen perimmäisen syyn tutkimista".
Toivotaan, että ei kestä enää kolmea kuukautta ennen kuin yhtiö kertoo meille, mitä se paljastaa tämän tutkimuksen aikana, joka näyttää venyvän kolme vuotta tai kauemmaksi…
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/
- 1
- 2022
- a
- pystyy
- Meistä
- edellä
- absoluuttinen
- Hyväksyä
- pääsy
- hankittu
- aktiivinen
- todella
- Ad
- mainokset
- vastaan
- Kaikki
- keskuudessa
- ja
- Toinen
- noin
- varma
- hyökkäys
- yritettiin
- kirjoittaja
- auto
- automaattisesti
- takaisin
- background-image
- Huono
- perustua
- koska
- ovat
- Uskoa
- reunus
- pohja
- rikkominen
- selain
- selaimet
- sisäänrakennettu
- Kampanja
- tapaus
- kiinni
- Aiheuttaa
- keskus
- muuttaa
- Muutokset
- tarkkailun
- asiakas
- koodi
- Koodit
- väri
- KOM
- Tulla
- provision
- Yhteinen
- yleisesti
- yritys
- Yrityksen
- valitukset
- liitäntä
- harkittu
- pitoisuus
- sisältö
- jatkaa
- ohjaus
- tavanomainen
- maa
- kurssi
- kattaa
- rikolliset
- Crooks
- cs
- Nykyinen
- asiakas
- tietoverkkojen
- tiedot
- Tapailla
- päivä
- tekemisissä
- joulukuu
- viiveet
- tuhota
- kehittäjille
- eri
- suoraan
- näyttö
- ei
- verkkotunnuksen
- Domain Name
- Dont
- alas
- dynaamisesti
- kukin
- Varhainen
- helposti
- tehokkaasti
- myöskään
- muualla
- kohdata
- salattu
- täysin
- merkintä
- virhe
- Jopa
- EVER
- Joka
- näyttö
- esimerkki
- Esimerkit
- Vaihdetaan
- olemassa
- odottaa
- ulkoinen
- tekijät
- Ominaisuus
- Asiakirjat
- Etunimi
- seurata
- löytyi
- usein
- alkaen
- edelleen
- tulevaisuutta
- yleensä
- saada
- saada
- tietty
- Go
- menee
- napata
- Ryhmä
- hakata
- käsi
- käsissä
- Ripustaa
- tapahtui
- Kova
- ottaa
- otsikot
- otsikko
- kuulla
- korkeus
- tätä
- Osuma
- toivoa
- isännöi
- hotellit
- liihottaa
- Miten
- HTML
- HTTPS
- tärkeä
- in
- tapaus
- sisältää
- sisältää
- Insider
- asennetaan
- sen sijaan
- Internet
- tutkia
- tutkimus
- IT
- itse
- ammattikieli
- JavaScript
- Pitää
- Tietää
- tunnettu
- kannettava tietokone
- Sukunimi
- jättäen
- Todennäköisesti
- rajat
- linja
- LINK
- linkit
- sijainti
- kauemmin
- katso
- Erä
- tärkein
- huolto
- tehdä
- Tekeminen
- haittaohjelmat
- monet
- maaliskuu
- Marginaali
- Matters
- max-width
- merkitys
- välineet
- sillä välin
- mainitsi
- vain
- ehkä
- kk
- lisää
- eniten
- mozilla
- monivuotisissa
- nimi
- lähes
- Tarve
- Uusi
- seuraava
- normaali
- numero
- saatu
- virallinen
- offline
- Vanha
- ONE
- operaattori
- Vaihtoehto
- Muut
- Muuta
- oma
- osa
- puolue
- Paavali
- vakinaisesti
- puhelin
- PHP
- kappaletta
- Paikka
- tavallinen
- Platon
- Platonin tietotieto
- PlatonData
- Ole hyvä
- Suosittu
- sijainti
- Viestejä
- Painaa
- todennäköisesti
- Ongelma
- Ohjelma
- satunnainen
- alue
- syistä
- vastaanottava
- äskettäinen
- kääntää
- tarkoitettuja
- liittyvä
- raportti
- Raportit
- pyynnöt
- tutkija
- Tutkijat
- REST
- Revealed
- juuri
- sama
- Haku
- SEK
- Toinen
- turvallinen
- Arvopaperit
- Securities and Exchange Commission
- näyttää
- servers
- palvelu
- Palvelut
- setti
- settings
- useat
- yhteinen
- siirtää
- shouldnt
- näyttää
- Yksinkertainen
- yksinkertaisesti
- koska
- paikka
- Sivustot
- pieni
- So
- vankka
- jonkin verran
- hienostunut
- erityinen
- Kaupallinen
- Alkaa
- alkoi
- Aloita
- Valtiot
- Yhä
- SVG
- järjestelmät
- ottaa
- Puhua
- kertoo
- tilapäinen
- -
- Yhdysvaltain arvopaperi- ja pörssikomissio
- maailma
- heidän
- asiat
- kolmas
- kolmannen osapuolen
- uhkaus
- kolmella
- aika
- TLS
- että
- ylin
- liikuttunut
- siirtää
- siirtyminen
- läpinäkyvä
- laukaista
- tyypillinen
- tyypillisesti
- Lopulta
- Epävarmuus
- varten
- Odottamaton
- URL
- us
- käyttää
- käyttäjä
- lajike
- kautta
- vieraili
- Vierailijat
- verkko
- web-kehittäjät
- Web-hotellit
- Web-palvelin
- verkkopalvelut
- Verkkosivu
- sivustot
- viikko
- Mitä
- onko
- joka
- KUKA
- leveä
- Laaja valikoima
- tulee
- sisällä
- ilman
- sana
- maailman-
- vuotta
- Sinun
- zephyrnet
