En los últimos días, los propietarios de sitios web, específicamente aquellos que alojan en GoDaddy, han estado experimentando extraños redireccionamientos a varios sitios web. Estos redireccionamientos no ocurren todo el tiempo, pero parecen ocurrir cuando un usuario visita una página por primera vez o la actualiza suficientes veces para activarla. Me topé con este problema por primera vez cuando visité el sitio web de un restaurante mío favorito. En lugar de ver una página con imágenes de comida, menús, etc., se me presentó una   . página AV falsa  Cómo funciona  Al igual que con otros problemas de seguridad que descubro, termino saltando por la madriguera del conejo para investigar qué es esto, cómo funciona y si hay alguna forma de evitarlo. Desafortunadamente, para este incidente, la mejor perspectiva que puedo dar es como un extraño. Un sitio web de GoDaddy comprometido facilitaría esta investigación, pero no es imposible sin él.  A un alto nivel, la secuencia de eventos es la siguiente basada en pruebas y otras observaciones:  1. El usuario visita un sitio web comprometido alojado en GoDaddy.  Al igual que yo, los usuarios pueden visitar el sitio web de una empresa local con la que estén familiarizados.  2. Se produce la redirección inicial  A través de una lógica de caja negra (generalmente para visitantes primerizos o por casualidad), los servidores de GoDaddy envían un   al usuario para redirigirlo al sitio web del atacante. Todos los sitios web comprometidos que he encontrado redireccionan a   . 302 46.4.68.136  Actualmente, se especula que los balanceadores de carga de GoDaddy están comprometidos. Las solicitudes específicas lo redirigirán a la página del atacante, pero esto ocurre con menos frecuencia de lo esperado. Las versiones almacenadas en caché de estos sitios comprometidos muestran una redirección en el encabezado de la respuesta HTTP. Este encabezado hará que el navegador redirija al sitio web especificado en la variable de   . path  A continuación se muestran algunos ejemplos.   HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 22:23:24 GMT Server: Apache P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM" Cache-Control: no-cache Pragma: no-cache Set-Cookie: b64618f79bd8f79428b7f1f80c1abceb=qtjmovs3948hi5t1m2shhambr4; path=/ Location: http://46.4.68.136/[REDACTED]?DOM=www.vocationalvisions.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/HTML; charset=utf-8   HTTP/1.1 302 Found Date: Sat, 17 Dec 2022 17:21:14 GMT Server: Apache X-Pingback: http://www.bookkeepingservicesclt.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=www.bookkeepingservicesclt.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8   HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 14:43:04 GMT Server: Apache Location: http://46.4.68.136/[REDACTED]?DOM=www.daria-snadowsky.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Length: 0 Content-Type: text/html; charset=UTF-8   HTTP/1.1 302 Found Date: Tue, 13 Dec 2022 14:00:31 GMT Server: Apache X-Powered-By: PHP/5.6.40 Link: <http://saslist.com/wp-json/>; rel="https://api.w.org/" Location: http://46.4.68.136/[REDACTED]?DOM=saslist.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8   HTTP/1.1 302 Found Date: Wed, 14 Dec 2022 00:20:15 GMT Server: Apache X-Powered-By: PHP/5.6.40 X-Pingback: http://paypointeinc.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=paypointeinc.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8  Estos sitios web reciben una respuesta de un servidor Apache y redirigirán al usuario a la misma dirección IP maliciosa; si usan WordPress o no, no influye.  Cada usuario que termina siendo redirigido al host del atacante se etiqueta con un conjunto de cookies del encabezado de respuesta. Cada solicitud posterior en ese host también incluirá esa cookie para identificar a la víctima.   Set-Cookie: a8163=<JWT looking token>  3. Se produce la segunda redirección  La redirección lleva al usuario a una página específica en el sitio web del atacante. Luego, esta página ejecuta JavaScript para redirigirlos a contenido de phishing o pornográfico. La estructura básica de la página que vemos es la siguiente:   <html> <head> <script type="application/javascript"> function process() { if (window.location !== window.parent.location ) { top.location = "http://bad.website"; } else { window.location = "http://bad.website"; } } window.onerror = process; process();</script> </head> <body> The Document has moved <a href="http://bad.website">here</a> </body> </html>  En particular, puedes encontrar fragmentos muy similares en Github. La redirección anterior no es una nueva táctica utilizada para redirigir a los usuarios. Después de esta redirección, el usuario se encuentra en el destino final del atacante.  Sobre el sitio del atacante  He jugado un poco con el sitio atacante. Dato curioso: la página de redireccionamiento cambia según su IP/ubicación. La página me redirigiría al escáner AV falso si estuviera en América del Norte. Si estuviera en Europa, Asia, América del Sur, etc., cada uno me redirigiría a diferentes páginas que mostrarían contenido menos que deseable. ¿Se hace esto intencionalmente para especializar las cargas de ataque en función de algún nivel de efectividad según la ubicación, o simplemente se hace al azar?  porque esto es serio  En general, el ataque es generalizado, donde podemos encontrar muchos sitios web comprometidos con una simple búsqueda en Google de la dirección IP del sitio web atacante. Muchos propietarios de sitios web se ven afectados por esto, como lo demuestra esta pregunta de soporte de   . En particular, incluso este   llegó a uno de los enlaces en los documentos de SvelteKit.  Cloudflare problema  No es evidente que el ataque afecte a los complementos de WordPress, como demostró   . Las cuentas recién aprovisionadas también se ven afectadas incluso si no se carga contenido en el sitio web. @ColinQuarello  A partir de esto, podemos suponer que esto podría ser un problema de todo el sistema para el proveedor de alojamiento.    Los redireccionamientos 302 de   están ocurriendo desde sus balanceadores de carga a sitios de spam/pornografía en la infraestructura de alojamiento compartido. Aprovisioné una nueva cuenta e inmediatamente obtuve una redirección 302 cuando no   . Los encabezados también parecían falsificados. Esto es serio. @GoDaddyHelp @GoDaddy había contenido en el sitio  — Colin Quarello (@ColinQuarello)  19 de diciembre de 2022  Una vez que un usuario está en manos del atacante al estar en el sitio web del atacante, puede sucumbir a la ingeniería social, el phishing, etc. Solo las   cuestan a las empresas y al público en general miles de millones por año. estafas de phishing  Desde el punto de vista humano, este incidente puede generar una pérdida de confianza del usuario no solo para GoDaddy, sino también para las pequeñas y medianas empresas que confían en la plataforma para alojar el sitio web de su empresa, la tienda de comercio electrónico, etc. En estos días, el usuario la confianza es más importante que nunca para fomentar el crecimiento de los usuarios y la expansión del negocio. Según un estudio realizado por   , "el 84 % de los consumidores cambiaría a un competidor si perdiera la confianza en la empresa". Un solo incidente, por no hablar de los casos repetidos, degradará la confianza del usuario más rápido de lo que una empresa puede recuperarla rápidamente. DigiCert  Últimos desarrollos  A partir del 2022-12-20, GoDaddy está trabajando en este incidente (INC-5492776). No estoy seguro de si se trata de un número de seguimiento de incidente interno o de algo a lo que puedan acceder los clientes de GoDaddy.  Somos conscientes del problema y estamos trabajando para corregirlo ahora. Les puedo asegurar que nuestros equipos están trabajando diligentemente para restablecer el servicio lo antes posible. ^CG  — Ayuda de GoDaddy (@GoDaddyHelp)  20 de diciembre de 2022  Anteriormente, se sospechaba que se trataba de un problema relacionado con el firewall, pero desde entonces se ha desmentido. Los ingenieros y usuarios de GoDaddy han descubierto que este problema ocurre independientemente de las configuraciones del firewall.   ¡Gracias por leer!  💎 Gracias por tomarse el tiempo para revisar esta publicación. Para obtener más contenido como este, diríjase a mi   real. Siéntete libre de contactarme en   y seguirme en   . blog LinkedIn Github

👋 Hi, I'm Stanley! I'm a software engineer at Snap and an avid contributor to open source.

2021 - HackerNoon Contributor of the Year - ANGULAR

2022 - HackerNoon Contributor of the Year - Css

2022 - HackerNoon Contributor of the Year - Monitoring

2022 - HackerNoon Contributor of the Year - Phishing

2022 - HackerNoon Contributor of the Year - Testing

2021 - HackerNoon Contributor of the Year - WEBDEV

Nominated for 2022 - HackerNoon Contributor of the Year - Phishing

Nominated for 2022 - HackerNoon Contributor of the Year - Css

Nominated for 2022 - HackerNoon Contributor of the Year - Monitoring

Nominated for 2022 - HackerNoon Contributor of the Year - Testing

Este audio es producido en el idioma original de la historia!

Demasiado Largo; Para Leer

Boost your HackerNoon story @ $159.99! 🚀

GoDaddy golpeó con redirección generalizada Hack

About Author

COMENTARIOS

ETIQUETAS

ESTE ARTÍCULO FUE PRESENTADO EN

Related Stories

La guía completa para una migración exitosa a la nube: estrategias y mejores prácticas

De los foros a los feeds: cómo los algoritmos de las redes sociales influyen en la interacción digital

Toque para ganar: Telegram puede incorporar a los próximos 10 mil millones de usuarios de criptomonedas antes de Solana

Crecimiento de las criptomonedas: creación de perfiles de usuarios eficaces

La guía completa para una migración exitosa a la nube: estrategias y mejores prácticas

De los foros a los feeds: cómo los algoritmos de las redes sociales influyen en la interacción digital

Toque para ganar: Telegram puede incorporar a los próximos 10 mil millones de usuarios de criptomonedas antes de Solana

Crecimiento de las criptomonedas: creación de perfiles de usuarios eficaces

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps