ปลายสัปดาห์ที่แล้ว [2023-02-16] บริษัทเว็บโฮสติ้งยอดนิยม GoDaddy ได้ยื่นฟ้องต่อศาล รายงานประจำปี 10-K กับสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์แห่งสหรัฐอเมริกา (ก.ล.ต.)
ภายใต้หัวข้อย่อย ความเสี่ยงในการดำเนินงานGoDaddy เปิดเผยว่า:
ในเดือนธันวาคม 2022 บุคคลที่สามที่ไม่ได้รับอนุญาตเข้าถึงและติดตั้งมัลแวร์บนเซิร์ฟเวอร์โฮสติ้ง cPanel ของเรา มัลแวร์เปลี่ยนเส้นทางเว็บไซต์ของลูกค้าแบบสุ่มไปยังไซต์ที่เป็นอันตรายเป็นระยะๆ เรายังคงตรวจสอบสาเหตุของเหตุการณ์ต่อไป
การเปลี่ยนเส้นทาง URL หรือที่เรียกว่า การส่งต่อ URLเป็นคุณสมบัติที่ยกเว้นไม่ได้ของ HTTP (the โปรโตคอลการถ่ายโอนไฮเปอร์เท็กซ์) และมักใช้ด้วยเหตุผลหลายประการ
ตัวอย่างเช่น คุณอาจตัดสินใจเปลี่ยนชื่อโดเมนหลักของบริษัท แต่ต้องการให้ลิงก์เก่าทั้งหมดของคุณยังคงอยู่ บริษัทของคุณอาจถูกซื้อกิจการและจำเป็นต้องย้ายเนื้อหาเว็บไปยังเซิร์ฟเวอร์ของเจ้าของรายใหม่ หรือคุณอาจต้องการทำให้เว็บไซต์ปัจจุบันของคุณออฟไลน์เพื่อการบำรุงรักษา และเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังไซต์ชั่วคราวในระหว่างนี้
การใช้การเปลี่ยนเส้นทาง URL ที่สำคัญอีกประการหนึ่งคือการบอกผู้เยี่ยมชมที่มาถึงเว็บไซต์ของคุณผ่าน HTTP แบบเก่าที่ไม่ได้เข้ารหัสว่าควรเข้าชมโดยใช้ HTTPS (HTTP ที่ปลอดภัย) แทน
จากนั้น เมื่อพวกเขาเชื่อมต่อใหม่ผ่านการเชื่อมต่อที่เข้ารหัสแล้ว คุณสามารถใส่ส่วนหัวพิเศษเพื่อบอกให้เบราว์เซอร์ของพวกเขาเริ่มต้นด้วย HTTPS ในอนาคต แม้ว่าพวกเขาจะคลิกที่ข้อความเก่า http://...
ลิงค์หรือพิมพ์ผิด http://...
ด้วยมือ.
ในความเป็นจริง การเปลี่ยนเส้นทางเป็นเรื่องปกติมาก จนหากคุณไปไหนมาไหนกับนักพัฒนาเว็บ คุณจะได้ยินพวกเขาอ้างถึงพวกเขาด้วยรหัส HTTP ที่เป็นตัวเลข ในลักษณะเดียวกับที่พวกเราที่เหลือพูดถึง "การได้รับ 404" เมื่อเรา ลองไปที่หน้าที่ไม่มีอยู่อีกต่อไป เพียงเพราะว่า 404
เป็น HTTP ของ Not Found
รหัสข้อผิดพลาด
จริงๆ แล้วมีรหัสการเปลี่ยนเส้นทางที่แตกต่างกันหลายรหัส แต่รหัสที่คุณอาจได้ยินบ่อยที่สุดคือรหัสเปลี่ยนเส้นทางคือ a 301
เปลี่ยนเส้นทางหรือที่เรียกว่า Moved Permanently
. นั่นคือเมื่อคุณรู้ว่า URL เก่าถูกยกเลิกแล้วและไม่น่าจะปรากฏขึ้นอีกเป็นลิงก์ที่เข้าถึงได้โดยตรง อื่นๆ ได้แก่ 303
และ 307
การเปลี่ยนเส้นทางหรือที่เรียกกันทั่วไปว่า See Other
และ Temporary Redirect
ใช้เมื่อคุณคาดว่า URL เก่าจะกลับมาใช้งานในท้ายที่สุด
ต่อไปนี้คือสองตัวอย่างทั่วไปของการเปลี่ยนเส้นทางแบบ 301 ซึ่งใช้ใน Sophos
แบบแรกบอกให้ผู้เยี่ยมชมใช้ HTTP เพื่อเชื่อมต่อใหม่ทันทีโดยใช้ HTTPS แทน และแบบที่สองมีอยู่เพื่อให้เราสามารถยอมรับ URL ที่ขึ้นต้นด้วย sophos.com
โดยเปลี่ยนเส้นทางไปยังชื่อเว็บเซิร์ฟเวอร์ทั่วไปของเรา www.sophos.com
.
ในแต่ละกรณี รายการส่วนหัวจะมีป้ายกำกับ Location:
บอกเว็บไคลเอ็นต์ว่าจะไปที่ไหนต่อไป ซึ่งโดยทั่วไปแล้วเบราว์เซอร์ใดจะทำโดยอัตโนมัติ:
$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 ย้ายอย่างถาวร ความยาวเนื้อหา: 0 ตำแหน่ง: https://sophos.com/ <--เชื่อมต่อใหม่ที่นี่ (ที่เดิม แต่ใช้ TLS ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 ย้ายอย่างถาวร ความยาวเนื้อหา: 0 ตำแหน่ง: https://www.sophos.com/ <--เปลี่ยนเส้นทางไปยังเว็บเซิร์ฟเวอร์ของเราตามจริง เนื้อหา เข้มงวด-ขนส่ง-รักษาความปลอดภัย: . . . <-- ครั้งต่อไป โปรดใช้ HTTPS เพื่อขึ้นต้นด้วย . . .
ตัวเลือกบรรทัดคำสั่ง -D -
ด้านบนบอก curl
โปรแกรมพิมพ์ส่วนหัว HTTP ในการตอบกลับ ซึ่งเป็นสิ่งสำคัญที่นี่ การตอบกลับทั้งสองนี้เป็นการเปลี่ยนเส้นทางอย่างง่าย หมายความว่าพวกเขาไม่มีเนื้อหาของตนเองที่จะส่งกลับ ซึ่งพวกเขาแสดงด้วยรายการส่วนหัว Content-Length: 0
. โปรดทราบว่าโดยทั่วไปแล้วเบราว์เซอร์มีขีดจำกัดในตัวว่าจะมีการเปลี่ยนเส้นทางกี่ครั้งที่พวกเขาจะติดตามจาก URL เริ่มต้น เพื่อเป็นการป้องกันง่ายๆ รอบการเปลี่ยนเส้นทาง.
การควบคุมการเปลี่ยนเส้นทางถือว่าเป็นอันตราย
อย่างที่คุณสามารถจินตนาการได้ การมีบุคคลวงในเข้าถึงการตั้งค่าการเปลี่ยนเส้นทางเว็บของบริษัทได้อย่างมีประสิทธิภาพ หมายความว่าคุณสามารถแฮ็กเว็บเซิร์ฟเวอร์ของพวกเขาโดยไม่ต้องแก้ไขเนื้อหาของเซิร์ฟเวอร์เหล่านั้นโดยตรง
คุณสามารถแอบเปลี่ยนเส้นทางคำขอของเซิร์ฟเวอร์เหล่านั้นไปยังเนื้อหาที่คุณตั้งค่าไว้ที่อื่นได้ โดยปล่อยให้ข้อมูลเซิร์ฟเวอร์ไม่เปลี่ยนแปลง
ใครก็ตามที่ตรวจสอบการเข้าถึงและอัปโหลดบันทึกเพื่อหาหลักฐานการเข้าสู่ระบบที่ไม่ได้รับอนุญาตหรือการเปลี่ยนแปลงที่ไม่คาดคิดกับไฟล์ HTML, CS , PHP และ JavaScript ที่ประกอบขึ้นเป็นเนื้อหาทางการของเว็บไซต์...
…จะไม่เห็นอะไรที่ไม่ดี เพราะข้อมูลของตัวเองจะไม่ถูกแตะต้อง
ยิ่งไปกว่านั้น หากผู้โจมตีเรียกใช้การเปลี่ยนเส้นทางที่เป็นอันตรายเป็นระยะๆ เท่านั้น กลอุบายนี้อาจตรวจจับได้ยาก
ดูเหมือนว่าจะเป็นสิ่งที่เกิดขึ้นกับ GoDaddy เนื่องจากบริษัทได้เขียนไว้ใน คำสั่ง บนเว็บไซต์ของตนเองว่า:
ในช่วงต้นเดือนธันวาคม 2022 เราเริ่มได้รับการร้องเรียนจากลูกค้าจำนวนเล็กน้อยเกี่ยวกับการเปลี่ยนเส้นทางเว็บไซต์ของพวกเขาเป็นระยะๆ เมื่อได้รับข้อร้องเรียนเหล่านี้ เราได้ตรวจสอบและพบว่าการเปลี่ยนเส้นทางเป็นระยะๆ เกิดขึ้นบนเว็บไซต์ที่ดูเหมือนจะสุ่มที่โฮสต์บนเซิร์ฟเวอร์โฮสติ้งที่ใช้ร่วมกันของ cPanel และ GoDaddy ไม่สามารถทำซ้ำได้ง่ายๆ แม้แต่บนเว็บไซต์เดียวกัน
ติดตามการครอบครองชั่วคราว
นี่เป็นปัญหาประเภทเดียวกับที่นักวิจัยด้านความปลอดภัยทางไซเบอร์พบเมื่อต้องรับมือกับโฆษณาทางอินเทอร์เน็ตที่เป็นพิษซึ่งแสดงโดยเซิร์ฟเวอร์โฆษณาของบุคคลที่สาม ซึ่งเรียกว่าศัพท์แสง มัลแวร์โฆษณา.
เห็นได้ชัดว่า เนื้อหาที่เป็นอันตรายซึ่งปรากฏขึ้นเป็นระยะๆ ไม่ได้ปรากฏขึ้นทุกครั้งที่คุณเยี่ยมชมไซต์ที่ได้รับผลกระทบ ดังนั้นแม้แต่การรีเฟรชหน้าเว็บที่คุณไม่แน่ใจก็มีแนวโน้มที่จะทำลายหลักฐานได้
คุณอาจยอมรับได้อย่างสมเหตุสมผลว่าสิ่งที่คุณเพิ่งเห็นไม่ใช่การพยายามโจมตี แต่เป็นเพียงข้อผิดพลาดชั่วคราว
ความไม่แน่นอนและการผลิตซ้ำไม่ได้นี้มักทำให้การรายงานปัญหาครั้งแรกล่าช้า ซึ่งมักตกอยู่ในมือของมิจฉาชีพ
ในทำนองเดียวกัน นักวิจัยที่ติดตามรายงานเกี่ยวกับ "ความมุ่งร้ายชั่วขณะ" ไม่สามารถแน่ใจได้ว่าพวกเขาจะสามารถคว้าสำเนาของสิ่งที่ไม่ดีได้ แม้ว่าพวกเขาจะรู้ว่าควรหาจากที่ใด
เมื่ออาชญากรใช้มัลแวร์ฝั่งเซิร์ฟเวอร์เพื่อเปลี่ยนแปลงพฤติกรรมของบริการบนเว็บแบบไดนามิก (ทำการเปลี่ยนแปลง ที่รันไทม์เพื่อใช้ศัพท์เฉพาะ) พวกเขาสามารถใช้ปัจจัยภายนอกที่หลากหลายเพื่อสร้างความสับสนให้กับนักวิจัยมากยิ่งขึ้น
ตัวอย่างเช่น พวกเขาสามารถเปลี่ยนการเปลี่ยนเส้นทาง หรือแม้แต่ระงับทั้งหมด โดยขึ้นอยู่กับช่วงเวลาของวัน ประเทศที่คุณไปเยี่ยมชม ไม่ว่าคุณจะใช้แล็ปท็อปหรือโทรศัพท์ เบราว์เซอร์ใดที่คุณใช้...
…และไม่ว่าพวกเขาจะ คิด คุณเป็นนักวิจัยด้านความปลอดภัยในโลกไซเบอร์หรือไม่
จะทำอย่างไร?
น่าเสียดายที่ GoDaddy ใช้เวลาเกือบ สามเดือน เพื่อบอกให้โลกรู้เกี่ยวกับการละเมิดนี้ และถึงตอนนี้ก็ยังไม่มีอะไรต้องดำเนินการมากนัก
ไม่ว่าคุณจะเป็นผู้ใช้เว็บที่เข้าชมไซต์ที่โฮสต์โดย GoDaddy ตั้งแต่เดือนธันวาคม 2022 (ซึ่งอาจรวมถึงพวกเราส่วนใหญ่ด้วย ไม่ว่าเราจะทราบหรือไม่ก็ตาม) หรือผู้ดำเนินการเว็บไซต์ที่ใช้ GoDaddy เป็นบริษัทโฮสติ้ง...
…เราไม่รู้อะไรเลย ตัวชี้วัดของการประนีประนอม (IoCs) หรือ “สัญญาณของการโจมตี” ที่คุณอาจสังเกตเห็นในขณะนั้น หรือที่เราแนะนำให้คุณค้นหาในตอนนี้
ยิ่งไปกว่านั้น แม้ว่า GoDaddy จะอธิบายถึงการละเมิดบนเว็บไซต์ภายใต้บรรทัดแรก คำชี้แจงเกี่ยวกับปัญหาการเปลี่ยนเส้นทางเว็บไซต์ล่าสุดมันระบุไว้ในของมัน การยื่น 10-K ว่านี่อาจเป็นการโจมตีที่กินเวลานานกว่าคำว่า "ล่าสุด" ดูเหมือนจะหมายถึง:
จากการสืบสวนของเรา เราเชื่อว่า [เหตุการณ์นี้และเหตุการณ์อื่นๆ ย้อนหลังไปถึงอย่างน้อยเดือนมีนาคม 2000] เป็นส่วนหนึ่งของการรณรงค์หลายปีโดยกลุ่มผู้คุกคามที่มีความซับซ้อน ซึ่งเหนือสิ่งอื่นใด ติดตั้งมัลแวร์บนระบบของเรา และได้รับชิ้นส่วนของ รหัสที่เกี่ยวข้องกับบริการบางอย่างภายใน GoDaddy
ตามที่กล่าวไว้ข้างต้น GoDaddy ให้ความมั่นใจกับ ก.ล.ต. ว่า “เราจะดำเนินการตรวจสอบสาเหตุของเหตุการณ์ต่อไป”
หวังว่าบริษัทจะไม่ใช้เวลาอีกสามเดือนในการบอกเราว่าเปิดเผยอะไรในระหว่างการสืบสวนนี้ ซึ่งดูเหมือนจะยืดเยื้อไปถึงสามปีหรือมากกว่านั้น...
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/
- 1
- 2022
- a
- สามารถ
- เกี่ยวกับเรา
- ข้างบน
- แน่นอน
- ยอมรับ
- เข้า
- ที่ได้มา
- คล่องแคล่ว
- จริง
- Ad
- โฆษณา
- กับ
- ทั้งหมด
- ในหมู่
- และ
- อื่น
- รอบ
- มั่นใจ
- โจมตี
- พยายาม
- ผู้เขียน
- รถยนต์
- อัตโนมัติ
- กลับ
- background-image
- ไม่ดี
- ตาม
- เพราะ
- กำลัง
- เชื่อ
- ชายแดน
- ด้านล่าง
- ช่องโหว่
- เบราว์เซอร์
- เบราว์เซอร์
- built-in
- รณรงค์
- กรณี
- จับ
- ก่อให้เกิด
- ศูนย์
- เปลี่ยนแปลง
- การเปลี่ยนแปลง
- การตรวจสอบ
- ไคลเอนต์
- รหัส
- รหัส
- สี
- COM
- อย่างไร
- คณะกรรมาธิการ
- ร่วมกัน
- อย่างธรรมดา
- บริษัท
- บริษัท
- ร้องเรียน
- การเชื่อมต่อ
- ถือว่า
- เนื้อหา
- เนื้อหา
- ต่อ
- ควบคุม
- ตามธรรมเนียม
- ประเทศ
- หลักสูตร
- หน้าปก
- อาชญากร
- Crooks
- cs
- ปัจจุบัน
- ลูกค้า
- cybersecurity
- ข้อมูล
- การนัดหมาย
- วัน
- การซื้อขาย
- ธันวาคม
- ความล่าช้า
- ทำลาย
- นักพัฒนา
- ต่าง
- โดยตรง
- แสดง
- ไม่
- โดเมน
- ชื่อโดเมน
- Dont
- ลง
- แบบไดนามิก
- แต่ละ
- ก่อน
- อย่างง่ายดาย
- มีประสิทธิภาพ
- ทั้ง
- ที่อื่น ๆ
- พบ
- ที่มีการเข้ารหัส
- อย่างสิ้นเชิง
- การเข้า
- ความผิดพลาด
- แม้
- เคย
- ทุกๆ
- หลักฐาน
- ตัวอย่าง
- ตัวอย่าง
- ตลาดแลกเปลี่ยน
- ที่มีอยู่
- คาดหวัง
- ภายนอก
- ปัจจัย
- ลักษณะ
- ไฟล์
- ชื่อจริง
- ปฏิบัติตาม
- พบ
- มัก
- ราคาเริ่มต้นที่
- ต่อไป
- อนาคต
- โดยทั่วไป
- ได้รับ
- ได้รับ
- กำหนด
- Go
- ไป
- คว้า
- บัญชีกลุ่ม
- สับ
- มือ
- มือ
- แขวน
- ที่เกิดขึ้น
- ยาก
- มี
- ส่วนหัว
- พาดหัว
- ได้ยิน
- ความสูง
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- ตี
- ความหวัง
- เป็นเจ้าภาพ
- โฮสติ้ง
- โฉบ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- HTML
- HTTPS
- สำคัญ
- in
- อุบัติการณ์
- ประกอบด้วย
- รวมถึง
- คนวงใน
- การติดตั้ง
- แทน
- อินเทอร์เน็ต
- สอบสวน
- การสอบสวน
- IT
- ตัวเอง
- ศัพท์แสง
- JavaScript
- เก็บ
- ทราบ
- ที่รู้จักกัน
- แล็ปท็อป
- ชื่อสกุล
- การออกจาก
- น่าจะ
- ขีด จำกัด
- Line
- LINK
- การเชื่อมโยง
- ที่ตั้ง
- อีกต่อไป
- ดู
- Lot
- หลัก
- การบำรุงรักษา
- ทำ
- การทำ
- มัลแวร์
- หลาย
- มีนาคม
- ขอบ
- เรื่อง
- ความกว้างสูงสุด
- ความหมาย
- วิธี
- ขณะ
- กล่าวถึง
- แค่
- อาจ
- เดือน
- ข้อมูลเพิ่มเติม
- มากที่สุด
- Mozilla
- หลายปี
- ชื่อ
- เกือบทั้งหมด
- จำเป็นต้อง
- ใหม่
- ถัดไป
- ปกติ
- จำนวน
- ที่ได้รับ
- เป็นทางการ
- ออฟไลน์
- เก่า
- ONE
- ผู้ประกอบการ
- ตัวเลือกเสริม (Option)
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- ของตนเอง
- ส่วนหนึ่ง
- พรรค
- พอล
- รูปแบบไฟล์ PDF
- อย่างถาวร
- โทรศัพท์
- PHP
- ชิ้น
- สถานที่
- ที่ราบ
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- กรุณา
- ยอดนิยม
- ตำแหน่ง
- โพสต์
- พิมพ์
- อาจ
- ปัญหา
- โครงการ
- สุ่ม
- พิสัย
- เหตุผล
- การได้รับ
- เมื่อเร็ว ๆ นี้
- เปลี่ยนเส้นทาง
- เรียกว่า
- ที่เกี่ยวข้อง
- รายงาน
- รายงาน
- การร้องขอ
- นักวิจัย
- นักวิจัย
- REST
- เปิดเผย
- ราก
- เดียวกัน
- ค้นหา
- สำนักงานคณะกรรมการ ก.ล.ต.
- ที่สอง
- ปลอดภัย
- หลักทรัพย์
- สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์
- ดูเหมือนว่า
- เซิร์ฟเวอร์
- บริการ
- บริการ
- ชุด
- การตั้งค่า
- หลาย
- ที่ใช้ร่วมกัน
- เปลี่ยน
- น่า
- โชว์
- ง่าย
- ง่ายดาย
- ตั้งแต่
- เว็บไซต์
- สถานที่ทำวิจัย
- เล็ก
- So
- ของแข็ง
- บาง
- ซับซ้อน
- พิเศษ
- จุด
- เริ่มต้น
- ข้อความที่เริ่ม
- ที่เริ่มต้น
- สหรัฐอเมริกา
- ยังคง
- SVG
- ระบบ
- เอา
- คุย
- บอก
- ชั่วคราว
- พื้นที่
- สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐอเมริกา
- โลก
- ของพวกเขา
- สิ่ง
- ที่สาม
- ของบุคคลที่สาม
- การคุกคาม
- สาม
- เวลา
- TLS
- ไปยัง
- ด้านบน
- สัมผัส
- โอน
- การเปลี่ยนแปลง
- โปร่งใส
- เรียก
- ตามแบบฉบับ
- เป็นปกติ
- ในที่สุด
- ความไม่แน่นอน
- ภายใต้
- ไม่คาดฝัน
- URL
- us
- ใช้
- ผู้ใช้งาน
- ความหลากหลาย
- ผ่านทาง
- เข้าเยี่ยมชม
- ผู้เข้าชม
- เว็บ
- นักพัฒนาเว็บ
- เว็บโฮสติ้ง
- เว็บเซิร์ฟเวอร์
- บริการเว็บ
- Website
- เว็บไซต์
- สัปดาห์
- อะไร
- ว่า
- ที่
- WHO
- กว้าง
- ช่วงกว้าง
- จะ
- ภายใน
- ไม่มี
- คำ
- โลก
- ปี
- ของคุณ
- ลมทะเล