Au cours des derniers jours, les propriétaires de sites Web, en particulier ceux qui hébergent sur GoDaddy, ont été confrontés à d'étranges redirections vers divers sites Web. Ces redirections ne se produisent pas tout le temps, mais elles semblent se produire lorsqu'un utilisateur visite une page pour la première fois ou l'actualise suffisamment de fois pour la déclencher. Je suis tombé sur ce problème pour la première fois en visitant le site Web d'un de mes restaurants préférés. Au lieu de voir une page avec des photos de plats, de menus, etc., on m'a présenté une   . fausse page AV  Comment ça fonctionne  Comme avec d'autres problèmes de sécurité que je découvre, je finis par sauter dans le terrier du lapin pour enquêter sur ce que c'est, comment cela fonctionne et s'il existe un moyen de l'éviter. Malheureusement, pour cet incident, la meilleure perspective que je puisse donner est en tant qu'étranger. Un site Web GoDaddy compromis faciliterait cette enquête, mais ce n'est pas impossible sans lui.  À un niveau élevé, la séquence des événements est la suivante, basée sur des tests et d'autres observations :  1. L'utilisateur visite un site Web compromis hébergé sur GoDaddy.  Comme moi, les utilisateurs peuvent visiter le site Web d'une entreprise locale qu'ils connaissent.  2. La redirection initiale se produit  Grâce à une logique de boîte noire (généralement pour les nouveaux visiteurs ou par hasard), les serveurs GoDaddy envoient un   à l'utilisateur pour le rediriger vers le site Web de l'attaquant. Chaque site Web compromis que j'ai trouvé redirige vers   . 302 46.4.68.136  Actuellement, il y a des spéculations selon lesquelles les équilibreurs de charge de GoDaddy sont compromis. Des requêtes spécifiques vous redirigeront vers la page de l'attaquant, mais cela se produit moins souvent que prévu. Les versions mises en cache de ces sites compromis affichent une redirection dans l'en-tête de la réponse HTTP. Cet en-tête entraînera la redirection du navigateur vers le site Web spécifié dans la variable de   . path  Voici quelques exemples.   HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 22:23:24 GMT Server: Apache P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM" Cache-Control: no-cache Pragma: no-cache Set-Cookie: b64618f79bd8f79428b7f1f80c1abceb=qtjmovs3948hi5t1m2shhambr4; path=/ Location: http://46.4.68.136/[REDACTED]?DOM=www.vocationalvisions.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/HTML; charset=utf-8   HTTP/1.1 302 Found Date: Sat, 17 Dec 2022 17:21:14 GMT Server: Apache X-Pingback: http://www.bookkeepingservicesclt.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=www.bookkeepingservicesclt.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8   HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 14:43:04 GMT Server: Apache Location: http://46.4.68.136/[REDACTED]?DOM=www.daria-snadowsky.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Length: 0 Content-Type: text/html; charset=UTF-8   HTTP/1.1 302 Found Date: Tue, 13 Dec 2022 14:00:31 GMT Server: Apache X-Powered-By: PHP/5.6.40 Link: <http://saslist.com/wp-json/>; rel="https://api.w.org/" Location: http://46.4.68.136/[REDACTED]?DOM=saslist.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8   HTTP/1.1 302 Found Date: Wed, 14 Dec 2022 00:20:15 GMT Server: Apache X-Powered-By: PHP/5.6.40 X-Pingback: http://paypointeinc.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=paypointeinc.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8  Ces sites Web reçoivent une réponse d'un serveur alimenté par Apache et redirigent l'utilisateur vers la même adresse IP malveillante - qu'ils utilisent ou non WordPress ne joue aucun rôle.  Chaque utilisateur qui finit par être redirigé vers l'hôte de l'attaquant est alors étiqueté avec un cookie défini à partir de l'en-tête de réponse. Chaque demande ultérieure sur cet hôte inclura également ce cookie pour identifier la victime.   Set-Cookie: a8163=<JWT looking token>  3. La deuxième redirection se produit  La redirection dirige l'utilisateur vers une page spécifique du site Web de l'attaquant. Cette page exécute ensuite JavaScript pour les rediriger vers du contenu de phishing ou pornographique. La structure de base de la page que nous voyons est la suivante :   <html> <head> <script type="application/javascript"> function process() { if (window.location !== window.parent.location ) { top.location = "http://bad.website"; } else { window.location = "http://bad.website"; } } window.onerror = process; process();</script> </head> <body> The Document has moved <a href="http://bad.website">here</a> </body> </html>  Vous pouvez notamment trouver des extraits très similaires sur Github. La redirection ci-dessus n'est pas une nouvelle tactique utilisée pour rediriger les utilisateurs. Après cette redirection, l'utilisateur se trouve à la destination finale de l'attaquant.  À propos du site de l'attaquant  J'ai joué avec le site attaquant. Fait amusant : la page de redirection change en fonction de votre adresse IP/localisation. La page me redirigerait vers le faux scanner AV si j'étais en Amérique du Nord. Si j'étais en Europe, en Asie, en Amérique du Sud, etc., chacun me redirigerait vers différentes pages affichant un contenu moins que souhaitable. Est-ce fait intentionnellement pour spécialiser les charges utiles d'attaque en fonction d'un certain niveau d'efficacité en fonction de l'emplacement, ou est-ce simplement fait au hasard ?  Pourquoi c'est sérieux  En général, l'attaque est généralisée, où nous pouvons trouver de nombreux sites Web compromis avec une simple recherche Google de l'adresse IP du site Web attaquant. De nombreux propriétaires de sites Web sont concernés par cela, comme en témoigne cette question d'assistance   . Notamment, même ce   trouvé son chemin vers l'un des liens de la documentation SvelteKit.  Cloudflare problème a  Il n'est pas évident que l'attaque affecte les plugins WordPress, comme l'a démontré   . Les comptes nouvellement provisionnés sont également affectés même si aucun contenu n'est téléchargé sur le site Web. @ColinQuarello  À partir de là, nous pouvons supposer que cela pourrait être un problème à l'échelle du système pour le fournisseur d'hébergement.      302 redirections se produisent de vos équilibreurs de charge vers des sites de spam/porno sur l'infrastructure d'hébergement partagé. J'ai provisionné un nouveau compte et j'ai immédiatement reçu une redirection 302 lorsqu'il n'y avait   . Les en-têtes semblaient également falsifiés. C'est sérieux. @GoDaddyHelp @GoDaddy pas de contenu sur le site  – Colin Quarello (@ColinQuarello)  19 décembre 2022  Une fois qu'un utilisateur est entre les mains de l'attaquant en étant sur le site Web de l'attaquant, il peut succomber à l'ingénierie sociale, au phishing, etc.   coûtent à elles seules des milliards aux entreprises et au grand public par an. Les escroqueries par phishing  Sur le plan humain, cet incident peut entraîner une perte de confiance des utilisateurs non seulement pour GoDaddy, mais également pour les petites et moyennes entreprises qui s'appuient sur la plate-forme pour héberger le site Web de leur entreprise, leur boutique en ligne, etc. De nos jours, l'utilisateur la confiance est plus importante que jamais pour favoriser la croissance des utilisateurs et l'expansion de l'entreprise. Selon une étude réalisée par   , "84% des consommateurs passeraient à un concurrent s'ils perdaient confiance en l'entreprise". Un seul incident, sans parler des occurrences répétées, dégradera la confiance des utilisateurs plus rapidement qu'une entreprise ne pourra la regagner rapidement. DigiCert  Derniers développements  Depuis le 2022-12-20, GoDaddy travaille actuellement sur cet incident (INC-5492776). Je ne sais pas s'il s'agit d'un numéro de suivi d'incident interne ou d'un élément auquel les clients GoDaddy peuvent accéder.  Nous sommes conscients du problème et nous nous efforçons de le corriger maintenant. Je peux vous assurer que nos équipes travaillent avec diligence pour rétablir le service dans les plus brefs délais. ^CG  – Aide GoDaddy (@GoDaddyHelp)  20 décembre 2022  Auparavant, on soupçonnait qu'il s'agissait d'un problème lié au pare-feu, mais cela a depuis été réfuté. Les ingénieurs et les utilisateurs de GoDaddy ont constaté que ce problème se produisait indépendamment des configurations de pare-feu.   Merci d'avoir lu!  💎 Merci d'avoir pris le temps de consulter cet article. Pour plus de contenu comme celui-ci, rendez-vous sur mon   actuel. N'hésitez pas à me contacter sur   et à me suivre sur   . blog LinkedIn Github

👋 Hi, I'm Stanley! I'm a software engineer at Snap and an avid contributor to open source.

2021 - HackerNoon Contributor of the Year - ANGULAR

2022 - HackerNoon Contributor of the Year - Css

2022 - HackerNoon Contributor of the Year - Monitoring

2022 - HackerNoon Contributor of the Year - Phishing

2022 - HackerNoon Contributor of the Year - Testing

2021 - HackerNoon Contributor of the Year - WEBDEV

Nominated for 2022 - HackerNoon Contributor of the Year - Phishing

Nominated for 2022 - HackerNoon Contributor of the Year - Css

Nominated for 2022 - HackerNoon Contributor of the Year - Monitoring

Nominated for 2022 - HackerNoon Contributor of the Year - Testing

Cet audio est produit dans la langue originale de l'histoire !

Trop long; Pour lire

Boost your HackerNoon story @ $159.99! 🚀

GoDaddy Hit avec un piratage de redirection généralisé

About Author

COMMENTAIRES

ÉTIQUETTES

CET ARTICLE A ÉTÉ PARU DANS

Related Stories

Libérer la puissance de l’IA. Une revue systématique des techniques de pointe : résumé et introduction

Le guide complet pour réussir une migration vers le cloud : stratégies et bonnes pratiques

Les couches invisibles : pourquoi les entretiens avec les utilisateurs sont un atout irremplaçable

Vous voulez gagner un concours d’écriture HackerNoon ? Voici ce que recommandent les gagnants du concours #crypto-api

Libérer la puissance de l’IA. Une revue systématique des techniques de pointe : résumé et introduction

Le guide complet pour réussir une migration vers le cloud : stratégies et bonnes pratiques

Les couches invisibles : pourquoi les entretiens avec les utilisateurs sont un atout irremplaçable

Vous voulez gagner un concours d’écriture HackerNoon ? Voici ce que recommandent les gagnants du concours #crypto-api

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps