व्यापक रीडायरेक्ट हैक के साथ GoDaddy हिट

पिछले कुछ दिनों में, वेबसाइट के मालिक, विशेष रूप से वे जो GoDaddy पर होस्टिंग कर रहे हैं, विभिन्न वेबसाइटों पर अजीब तरह के रीडायरेक्ट का अनुभव कर रहे हैं। ये रीडायरेक्ट हर समय नहीं होते हैं, लेकिन ऐसा तब होता है जब कोई उपयोगकर्ता पहली बार किसी पृष्ठ पर जाता है या इसे ट्रिगर करने के लिए पर्याप्त बार रीफ्रेश करता है। मैं पहली बार इस मुद्दे पर तब ठोकर खाई जब मैं अपने पसंदीदा रेस्तरां की वेबसाइट पर गया। भोजन, मेनू आदि की तस्वीरों वाला एक पृष्ठ देखने के बजाय, मुझे एक नकली AV पृष्ठ प्रस्तुत किया गया।

यह काम किस प्रकार करता है

मुझे पता चलता है कि अन्य सुरक्षा मुद्दों की तरह, मैं यह जांचने के लिए खरगोश के छेद से नीचे कूदता हूं कि यह क्या है, यह कैसे काम करता है, और क्या इससे बचने का कोई तरीका है। दुर्भाग्य से, इस घटना के लिए, मैं जो सबसे अच्छा परिप्रेक्ष्य दे सकता हूं वह एक बाहरी व्यक्ति के रूप में है। एक हैक की गई GoDaddy वेबसाइट इस जाँच को आसान बना देगी, लेकिन इसके बिना यह असंभव नहीं है।

उच्च स्तर पर, परीक्षण और अन्य अवलोकनों के आधार पर घटनाओं का क्रम इस प्रकार है:

1. उपयोगकर्ता GoDaddy पर होस्ट की गई छेड़छाड़ की गई वेबसाइट पर जाता है।

मेरी तरह, उपयोगकर्ता स्थानीय व्यापार की वेबसाइट पर जा सकते हैं जिससे वे परिचित हैं।

2. प्रारंभिक रीडायरेक्ट होता है

कुछ ब्लैक बॉक्स लॉजिक के माध्यम से (आमतौर पर पहली बार आने वाले या संयोग से), GoDaddy सर्वर उपयोगकर्ता को हमलावर की वेबसाइट पर पुनर्निर्देशित करने के लिए 302 भेजते हैं। मैंने पाया है कि प्रत्येक छेड़छाड़ की गई वेबसाइट 46.4.68.136 पर रीडायरेक्ट करती है।

वर्तमान में, ऐसी अटकलें हैं कि GoDaddy के लोड बैलेंसरों से समझौता किया गया है। विशिष्ट अनुरोध आपको हमलावर के पृष्ठ पर पुनर्निर्देशित करेंगे, लेकिन यह अपेक्षा से कम बार होता है। इन छेड़छाड़ की गई साइटों के कैश्ड संस्करण HTTP प्रतिक्रिया के शीर्षलेख में रीडायरेक्ट दिखाते हैं। यह शीर्ष लेख ब्राउज़र को path चर में निर्दिष्ट वेबसाइट पर रीडायरेक्ट करने का कारण बनेगा।

नीचे कुछ उदाहरण दिए गए हैं।

 HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 22:23:24 GMT Server: Apache P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM" Cache-Control: no-cache Pragma: no-cache Set-Cookie: b64618f79bd8f79428b7f1f80c1abceb=qtjmovs3948hi5t1m2shhambr4; path=/ Location: http://46.4.68.136/[REDACTED]?DOM=www.vocationalvisions.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/HTML; charset=utf-8

 HTTP/1.1 302 Found Date: Sat, 17 Dec 2022 17:21:14 GMT Server: Apache X-Pingback: http://www.bookkeepingservicesclt.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=www.bookkeepingservicesclt.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8

 HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 14:43:04 GMT Server: Apache Location: http://46.4.68.136/[REDACTED]?DOM=www.daria-snadowsky.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Length: 0 Content-Type: text/html; charset=UTF-8

 HTTP/1.1 302 Found Date: Tue, 13 Dec 2022 14:00:31 GMT Server: Apache X-Powered-By: PHP/5.6.40 Link: <http://saslist.com/wp-json/>; rel="https://api.w.org/" Location: http://46.4.68.136/[REDACTED]?DOM=saslist.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8

 HTTP/1.1 302 Found Date: Wed, 14 Dec 2022 00:20:15 GMT Server: Apache X-Powered-By: PHP/5.6.40 X-Pingback: http://paypointeinc.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=paypointeinc.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8

ये वेबसाइटें अपाचे-संचालित सर्वर से प्रतिक्रिया प्राप्त करती हैं और उपयोगकर्ता को उसी दुर्भावनापूर्ण आईपी पते पर पुनर्निर्देशित करेंगी - चाहे वे वर्डप्रेस का उपयोग करें या न करें, कोई कारक नहीं है।

प्रत्येक उपयोगकर्ता जो हमलावर के मेजबान पर पुनर्निर्देशित हो जाता है, उसके बाद प्रतिक्रिया शीर्षलेख से कुकी सेट के साथ टैग किया जाता है। उस होस्ट के बाद के प्रत्येक अनुरोध में पीड़ित की पहचान करने के लिए वह कुकी भी शामिल होगी।

 Set-Cookie: a8163=<JWT looking token>

3. दूसरा रीडायरेक्ट होता है

पुनर्निर्देशन उपयोगकर्ता को हमलावर की वेबसाइट पर एक विशिष्ट पृष्ठ पर ले जाता है। यह पृष्ठ उन्हें फ़िशिंग या अश्लील सामग्री पर पुनर्निर्देशित करने के लिए जावास्क्रिप्ट चलाता है। हमारे द्वारा देखे जाने वाले पृष्ठ की मूल संरचना इस प्रकार है:

 <html> <head> <script type="application/javascript"> function process() { if (window.location !== window.parent.location ) { top.location = "http://bad.website"; } else { window.location = "http://bad.website"; } } window.onerror = process; process();</script> </head> <body> The Document has moved <a href="http://bad.website">here</a> </body> </html>

विशेष रूप से, आप जीथब पर बहुत ही समान स्निपेट पा सकते हैं। उपरोक्त रीडायरेक्ट उपयोगकर्ताओं को रीडायरेक्ट करने के लिए उपयोग की जाने वाली कोई नई युक्ति नहीं है। इस पुनर्निर्देशन के बाद, उपयोगकर्ता हमलावर के अंतिम गंतव्य पर होता है।

हमलावर की साइट के बारे में

मैंने हमलावर साइट के साथ खेला है। मजेदार तथ्य: रीडायरेक्ट पृष्ठ आपके आईपी/स्थान के आधार पर बदलता है। यदि मैं उत्तरी अमेरिका में होता तो पृष्ठ मुझे नकली AV स्कैनर पर पुनर्निर्देशित कर देता। अगर मैं यूरोप, एशिया, दक्षिण अमेरिका आदि में होता, तो प्रत्येक मुझे कम-से-वांछनीय सामग्री दिखाने वाले विभिन्न पृष्ठों पर पुनर्निर्देशित करता। क्या यह जानबूझकर हमले के पेलोड को स्थान के अनुसार प्रभावशीलता के कुछ स्तर के आधार पर विशेषज्ञ बनाने के लिए किया गया है, या यह सिर्फ यादृच्छिक रूप से किया गया है?

यह गंभीर क्यों है

सामान्य तौर पर, हमला व्यापक रूप से होता है, जहां हम हमलावर वेबसाइट के आईपी पते की एक साधारण Google खोज के साथ कई छेड़छाड़ की गई वेबसाइटों को ढूंढ सकते हैं। कई वेबसाइट मालिक इससे प्रभावित हैं, जैसा कि इस क्लाउडफ्लेयर समर्थन प्रश्न से स्पष्ट होता है। विशेष रूप से, यहां तक कि इस मुद्दे को भी SvelteKit डॉक्स के लिंक में से एक में अपना रास्ता मिल गया।

यह स्पष्ट नहीं है कि हमला वर्डप्रेस प्लगइन्स को प्रभावित करता है, जैसा कि @ColinQuarello ने प्रदर्शित किया। वेबसाइट पर कोई सामग्री अपलोड न होने के बावजूद नए प्रावधानित खाते भी प्रभावित होते हैं।

इससे, हम मान सकते हैं कि यह होस्टिंग प्रदाता के लिए सिस्टम-वाइड समस्या हो सकती है।

@GoDaddyHelp @GoDaddy आपके लोड बैलेंसरों से साझा होस्टिंग अवसंरचना पर स्पैम/पोर्न साइटों पर 302 रीडायरेक्ट हो रहे हैं। मैंने एक नए खाते का प्रावधान किया और साइट पर कोई सामग्री नहीं होने पर तुरंत 302 रीडायरेक्ट प्राप्त किया। हेडर भी जाली लग रहे थे। यह गंभीर है।

– कॉलिन क्वारेलो (@ColinQuarello) 19 दिसंबर, 2022

एक बार जब कोई उपयोगकर्ता हमलावर की वेबसाइट पर जाकर हमलावर के हाथों में आ जाता है, तो वह सोशल इंजीनियरिंग, फ़िशिंग आदि का शिकार हो सकता है। फ़िशिंग घोटालों से कंपनियों और आम जनता को प्रति वर्ष अरबों का नुकसान होता है।

मानवीय पक्ष पर, यह घटना न केवल GoDaddy के लिए बल्कि छोटे से मध्यम आकार के व्यवसायों के लिए भी उपयोगकर्ता के भरोसे को नुकसान पहुंचा सकती है जो अपनी कंपनी की वेबसाइट, ई-कॉमर्स स्टोर आदि को होस्ट करने के लिए प्लेटफॉर्म पर निर्भर हैं। इन दिनों, उपयोगकर्ता उपयोगकर्ता वृद्धि और व्यवसाय विस्तार को बढ़ावा देने के लिए विश्वास पहले से कहीं अधिक महत्वपूर्ण है। DigiCert द्वारा किए गए एक अध्ययन के अनुसार, "84% उपभोक्ता यदि उद्यम में विश्वास खो देते हैं तो एक प्रतियोगी की ओर रुख करेंगे"। एक ही घटना, बार-बार होने वाली घटनाओं को छोड़ दें, उपयोगकर्ता के भरोसे को तेजी से कम कर देगा, एक व्यवसाय की तुलना में इसे जल्दी से पुनः प्राप्त कर सकता है।

नवीनतम घटनाक्रम

2022-12-20 तक, GoDaddy वर्तमान में इस घटना पर काम कर रहा है (INC-5492776)। मुझे यकीन नहीं है कि यह एक आंतरिक घटना ट्रैकिंग नंबर है या कुछ GoDaddy ग्राहक एक्सेस कर सकते हैं।

हम समस्या से अवगत हैं और अभी इसे ठीक करने के लिए कार्य कर रहे हैं. मैं आपको आश्वस्त कर सकता हूं कि हमारी टीमें सेवा को जल्द से जल्द बहाल करने के लिए लगन से काम कर रही हैं। ^ तटरक्षक

— GoDaddy मदद (@GoDaddyHelp) 20 दिसंबर, 2022

पहले, यह फ़ायरवॉल से संबंधित समस्या होने का संदेह था, लेकिन यह तब से अस्वीकृत हो गया है। GoDaddy के इंजीनियरों और उपयोगकर्ताओं ने फ़ायरवॉल कॉन्फ़िगरेशन की परवाह किए बिना इस समस्या को पाया है।

पढ़ने के लिए धन्यवाद!

💎 इस पोस्ट को देखने के लिए समय निकालने के लिए धन्यवाद। इस तरह की और सामग्री के लिए, मेरे वास्तविक ब्लॉग पर जाएँ । लिंक्डइन पर मुझसे बेझिझक संपर्क करें और जीथब पर मुझे फॉलो करें।