GoDaddy نے اعتراف کیا: بدمعاشوں نے ہمیں مالویئر، زہر آلود کسٹمر ویب سائٹس سے نشانہ بنایا

گزشتہ ہفتے کے آخر میں [2023-02-16]، مقبول ویب ہوسٹنگ کمپنی GoDaddy نے اپنی لازمی فائل کی سالانہ 10-K رپورٹ یو ایس سیکیورٹیز اینڈ ایکسچینج کمیشن (SEC) کے ساتھ۔

ذیلی عنوان کے تحت آپریشنل رسک، GoDaddy نے انکشاف کیا کہ:

دسمبر 2022 میں، ایک غیر مجاز فریق ثالث نے ہمارے cPanel ہوسٹنگ سرورز پر میلویئر تک رسائی حاصل کی اور اسے انسٹال کیا۔ میلویئر نے وقفے وقفے سے کسٹمر کی بے ترتیب ویب سائٹس کو نقصان دہ سائٹس پر بھیج دیا۔ ہم واقعے کی اصل وجہ کی تحقیقات جاری رکھے ہوئے ہیں۔

یو آر ایل ری ڈائریکشن، جسے بھی کہا جاتا ہے۔ یو آر ایل فارورڈنگ، HTTP کی ایک غیر مستثنی خصوصیت ہے۔ ہائیپر ٹیکسٹ ٹرانسفر پروٹوکول)، اور عام طور پر مختلف وجوہات کے لیے استعمال ہوتا ہے۔

مثال کے طور پر، آپ اپنی کمپنی کا مرکزی ڈومین نام تبدیل کرنے کا فیصلہ کر سکتے ہیں، لیکن اپنے تمام پرانے لنکس کو زندہ رکھنا چاہتے ہیں۔ آپ کی کمپنی حاصل کر سکتی ہے اور اسے اپنے ویب مواد کو نئے مالک کے سرورز پر منتقل کرنے کی ضرورت ہے۔ یا آپ صرف اپنی موجودہ ویب سائٹ کو دیکھ بھال کے لیے آف لائن لے جانا چاہتے ہیں، اور اس دوران مہمانوں کو کسی عارضی سائٹ پر بھیجنا چاہتے ہیں۔

یو آر ایل ری ڈائریکشن کا ایک اور اہم استعمال یہ ہے کہ آپ کی ویب سائٹ پر سادہ پرانے غیر خفیہ کردہ HTTP کے ذریعے آنے والے زائرین کو بتانا ہے کہ وہ اس کے بجائے HTTPS (محفوظ HTTP) کا استعمال کرتے ہوئے ملاحظہ کریں۔

پھر، ایک بار جب وہ ایک انکرپٹڈ کنکشن پر دوبارہ جڑ جاتے ہیں، تو آپ ان کے براؤزر کو مستقبل میں HTTPS کے ساتھ شروع کرنے کے لیے بتانے کے لیے ایک خصوصی ہیڈر شامل کر سکتے ہیں، چاہے وہ کسی پرانے پر کلک کریں۔ http://... لنک، یا غلطی سے ٹائپ کریں۔ http://... ہاتھ سے.

درحقیقت، ری ڈائریکٹ اتنے عام ہیں کہ اگر آپ ویب ڈویلپرز کے ارد گرد گھومتے ہیں، تو آپ انہیں ان کے عددی HTTP کوڈز کے ذریعے ان کا حوالہ دیتے ہوئے سنیں گے، بالکل اسی طرح جیسے ہم میں سے باقی لوگ "404 حاصل کرنے" کے بارے میں بات کرتے ہیں جب ہم کسی ایسے صفحے پر جانے کی کوشش کریں جو اب موجود نہیں ہے، صرف اس وجہ سے 404 HTTP کا ہے۔ Not Found غلط کوڈ.

درحقیقت بہت سے مختلف ری ڈائریکٹ کوڈز ہیں، لیکن جس کو آپ نے اکثر سنا ہوگا وہ نمبر کے ذریعے حوالہ دیا جاتا ہے 301 ری ڈائریکٹ، کے نام سے بھی جانا جاتا ہے۔ Moved Permanently. اس وقت جب آپ کو معلوم ہوتا ہے کہ پرانا URL ریٹائر ہو چکا ہے اور براہ راست قابل رسائی لنک کے طور پر دوبارہ ظاہر ہونے کا امکان نہیں ہے۔ دیگر شامل ہیں۔ 303 اور 307 ری ڈائریکٹ، جسے عام طور پر جانا جاتا ہے۔ See Other اور Temporary Redirect، استعمال کیا جاتا ہے جب آپ توقع کرتے ہیں کہ پرانا URL بالآخر فعال سروس میں واپس آجائے گا۔

یہاں 301 طرز کے ری ڈائریکٹس کی دو عام مثالیں ہیں، جیسا کہ سوفوس میں استعمال ہوتا ہے۔

پہلا HTTP استعمال کرنے والے زائرین کو کہتا ہے کہ وہ HTTPS کا استعمال کرتے ہوئے فوراً دوبارہ رابطہ کریں، اور دوسرا موجود ہے تاکہ ہم ایسے URLs کو قبول کر سکیں جو صرف sophos.com انہیں ہمارے مزید روایتی ویب سرور نام پر بھیج کر www.sophos.com.

ہر معاملے میں، ہیڈر اندراج کا لیبل لگا ہوا ہے۔ Location: ویب کلائنٹ کو بتاتا ہے کہ آگے کہاں جانا ہے، جو براؤزر عام طور پر خود بخود کرتے ہیں:

$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 مستقل طور پر منتقل کیا گیا مواد کی لمبائی: 0 مقام: https://sophos.com/ <--یہاں دوبارہ جڑیں (ایک ہی جگہ، لیکن TLS استعمال کرتے ہوئے ) . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 مستقل طور پر منتقل کیا گیا مواد کی لمبائی: 0 مقام: https://www.sophos.com/ <--اصل کے لیے ہمارے ویب سرور پر ری ڈائریکٹ مواد سخت-ٹرانسپورٹ-سیکیورٹی: . . . <--اگلی بار، براہ کرم شروع کرنے کے لیے HTTPS استعمال کریں۔ . .

کمانڈ لائن آپشن -D - اوپر بتاتا ہے curl جوابات میں HTTP ہیڈر پرنٹ کرنے کے لیے پروگرام، جو یہاں اہم ہے۔ یہ دونوں جوابات سادہ ری ڈائریکٹ ہیں، یعنی ان کے پاس واپس بھیجنے کے لیے اپنا کوئی مواد نہیں ہے، جسے وہ ہیڈر کے اندراج سے ظاہر کرتے ہیں۔ Content-Length: 0. نوٹ کریں کہ عام طور پر براؤزرز کے پاس پہلے سے طے شدہ حد ہوتی ہے کہ وہ کسی بھی شروع ہونے والے یو آر ایل سے کتنی ری ڈائریکٹس کی پیروی کریں گے، ایک سادہ احتیاط کے طور پر جو کبھی ختم نہ ہونے والے میں پھنس جائیں ری ڈائریکٹ سائیکل.

ری ڈائریکٹ کنٹرول کو نقصان دہ سمجھا جاتا ہے۔

جیسا کہ آپ تصور کر سکتے ہیں، کسی کمپنی کی ویب ری ڈائریکشن سیٹنگز تک اندرونی رسائی کا مؤثر طریقے سے مطلب یہ ہے کہ آپ ان سرورز کے مواد کو براہ راست تبدیل کیے بغیر ان کے ویب سرورز کو ہیک کر سکتے ہیں۔

اس کے بجائے، آپ ان سرور کی درخواستوں کو چپکے سے کسی اور جگہ ترتیب دیے گئے مواد کی طرف ری ڈائریکٹ کر سکتے ہیں، سرور کے ڈیٹا کو خود ہی کوئی تبدیلی نہیں چھوڑتے۔

کوئی بھی شخص اپنی رسائی کی جانچ کر رہا ہے اور لاگ ان کو اپ لوڈ کرنے کے لیے غیر مجاز لاگ ان یا HTML، CS، PHP اور JavaScript فائلوں میں غیر متوقع تبدیلیوں کے ثبوت کے لیے جو ان کی سائٹ کا آفیشل مواد بناتا ہے…

…کوئی بھی ناخوشگوار نظر نہیں آئے گا، کیونکہ ان کے اپنے ڈیٹا کو حقیقت میں چھوا نہیں گیا ہوگا۔

اس سے بھی بدتر بات یہ ہے کہ اگر حملہ آور صرف وقتاً فوقتاً بدنیتی پر مبنی ری ڈائریکٹس کو متحرک کرتے ہیں، تو سبٹرفیوج کو تلاش کرنا مشکل ہو سکتا ہے۔

ایسا لگتا ہے کہ GoDaddy کے ساتھ ایسا ہی ہوا ہے، یہ دیکھتے ہوئے کہ کمپنی نے ایک میں لکھا ہے۔ بیان اس کی اپنی سائٹ پر کہ:

دسمبر 2022 کے اوائل میں، ہمیں صارفین کی ان کی ویب سائٹس کو وقفے وقفے سے ری ڈائریکٹ کیے جانے کے بارے میں بہت کم شکایات موصول ہونا شروع ہوئیں۔ ان شکایات کو موصول ہونے پر، ہم نے چھان بین کی اور پایا کہ وقفے وقفے سے ری ڈائریکٹس بظاہر بے ترتیب ویب سائٹس پر ہو رہی ہیں جو ہمارے cPanel کے مشترکہ ہوسٹنگ سرورز پر ہوسٹ ہو رہی ہیں اور GoDaddy کے ذریعے آسانی سے دوبارہ پیدا نہیں کی جا سکتی ہیں، یہاں تک کہ اسی ویب سائٹ پر بھی۔

عارضی قبضے کا سراغ لگانا

یہ اسی قسم کا مسئلہ ہے جس کا سامنا سائبرسیکیوریٹی کے محققین کو تیسرے فریق کے اشتہار سرورز کے ذریعہ پیش کیے جانے والے زہریلے انٹرنیٹ اشتہارات سے نمٹنے کے دوران ہوتا ہے۔ اشتہارات.

---

---

ظاہر ہے، بدنیتی پر مبنی مواد جو صرف وقفے وقفے سے ظاہر ہوتا ہے ہر بار جب آپ کسی متاثرہ سائٹ پر جاتے ہیں تو ظاہر نہیں ہوتا، اس لیے صرف ایک ایسے صفحہ کو ریفریش کرنا جس کے بارے میں آپ کو یقین نہیں ہے کہ شواہد کو تباہ کرنے کا امکان ہے۔

ہو سکتا ہے کہ آپ بالکل معقول طور پر قبول کر لیں کہ جو آپ نے ابھی دیکھا وہ حملہ کرنے کی کوشش نہیں تھی، بلکہ محض ایک عارضی غلطی تھی۔

یہ غیر یقینی صورتحال اور غیر تولیدی صلاحیت عام طور پر مسئلے کی پہلی رپورٹ میں تاخیر کرتی ہے، جو بدمعاشوں کے ہاتھ میں جاتی ہے۔

اسی طرح، محققین جو " وقفے وقفے سے بدکاری" کی رپورٹوں پر عمل کرتے ہیں اس بات کا یقین نہیں کر سکتے ہیں کہ وہ خراب چیزوں کی ایک کاپی حاصل کرنے کے قابل ہو جائیں گے، چاہے وہ جانتے ہوں کہ کہاں دیکھنا ہے۔

درحقیقت، جب مجرم ویب سروسز کے رویے کو متحرک طور پر تبدیل کرنے کے لیے سرور سائیڈ میلویئر استعمال کرتے ہیں (تبدیلیاں کرنا رن ٹائم میںجرگن اصطلاح استعمال کرنے کے لیے)، وہ محققین کو مزید الجھانے کے لیے بیرونی عوامل کی ایک وسیع رینج کا استعمال کر سکتے ہیں۔

مثال کے طور پر، وہ دن کے وقت، آپ جس ملک سے جا رہے ہیں، چاہے آپ لیپ ٹاپ پر ہو یا فون پر، آپ کون سا براؤزر استعمال کر رہے ہیں، کی بنیاد پر وہ اپنی ری ڈائریکٹ کو تبدیل کر سکتے ہیں، یا انہیں مکمل طور پر دبا بھی سکتے ہیں…

…اور چاہے وہ لگتا ہے کہ آپ سائبر سیکیورٹی کے محقق ہیں یا نہیں۔

---

---

کیا کیا جائے؟

بدقسمتی سے، GoDaddy نے تقریباً لے لیا۔ تین ماہ دنیا کو اس خلاف ورزی کے بارے میں بتانے کے لیے، اور اب بھی بہت کچھ نہیں ہے۔

چاہے آپ ایک ویب صارف ہیں جس نے دسمبر 2022 سے GoDaddy کی میزبانی کی ہوئی سائٹ کا دورہ کیا ہے (جس میں شاید ہم میں سے اکثر شامل ہیں، چاہے ہمیں اس کا احساس ہو یا نہ ہو)، یا ایک ویب سائٹ آپریٹر جو GoDaddy کو بطور ہوسٹنگ کمپنی استعمال کرتا ہے…

…ہم کسی سے آگاہ نہیں ہیں۔ سمجھوتہ کے اشارے (IoCs)، یا "حملے کی علامات"، جو آپ نے اس وقت محسوس کی ہوں گی یا ہم آپ کو ابھی تلاش کرنے کا مشورہ دے سکتے ہیں۔

اس سے بھی بدتر، اگرچہ GoDaddy نے عنوان کے تحت اپنی ویب سائٹ پر خلاف ورزی کی وضاحت کی ہے۔ حالیہ ویب سائٹ ری ڈائریکٹ مسائل پر بیان، یہ اس میں بیان کرتا ہے۔ 10-K فائلنگ کہ یہ لفظ "حالیہ" سے کہیں زیادہ لمبے عرصے تک چلنے والا حملہ ہو سکتا ہے جس کا مطلب لگتا ہے:

ہماری تحقیقات کی بنیاد پر، ہمیں یقین ہے کہ [یہ اور دیگر واقعات جو کم از کم مارچ 2000 کے ہیں] ایک نفیس دھمکی آمیز اداکار گروپ کی کئی سالہ مہم کا حصہ ہیں جس نے دیگر چیزوں کے ساتھ ساتھ ہمارے سسٹمز پر میلویئر انسٹال کیا اور اس کے ٹکڑے حاصل کیے GoDaddy کے اندر کچھ خدمات سے متعلق کوڈ۔

جیسا کہ اوپر ذکر کیا گیا ہے، GoDaddy نے SEC کو یقین دلایا ہے کہ "ہم واقعے کی اصل وجہ کی تحقیقات جاری رکھیں گے"۔

آئیے امید کرتے ہیں کہ کمپنی کو ہمیں یہ بتانے میں مزید تین ماہ نہیں لگیں گے کہ اس نے اس تحقیقات کے دوران کیا انکشاف کیا ہے، جو تین سال یا اس سے زیادہ پیچھے لگتا ہے…

---

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/