पिछले कुछ दिनों में, वेबसाइट के मालिक, विशेष रूप से वे जो GoDaddy पर होस्टिंग कर रहे हैं, विभिन्न वेबसाइटों पर अजीब तरह के रीडायरेक्ट का अनुभव कर रहे हैं। ये रीडायरेक्ट हर समय नहीं होते हैं, लेकिन ऐसा तब होता है जब कोई उपयोगकर्ता पहली बार किसी पृष्ठ पर जाता है या इसे ट्रिगर करने के लिए पर्याप्त बार रीफ्रेश करता है। मैं पहली बार इस मुद्दे पर तब ठोकर खाई जब मैं अपने पसंदीदा रेस्तरां की वेबसाइट पर गया। भोजन, मेनू आदि की तस्वीरों वाला एक पृष्ठ देखने के बजाय, मुझे एक   प्रस्तुत किया गया। नकली AV पृष्ठ  यह काम किस प्रकार करता है  मुझे पता चलता है कि अन्य सुरक्षा मुद्दों की तरह, मैं यह जांचने के लिए खरगोश के छेद से नीचे कूदता हूं कि यह क्या है, यह कैसे काम करता है, और क्या इससे बचने का कोई तरीका है। दुर्भाग्य से, इस घटना के लिए, मैं जो सबसे अच्छा परिप्रेक्ष्य दे सकता हूं वह एक बाहरी व्यक्ति के रूप में है। एक हैक की गई GoDaddy वेबसाइट इस जाँच को आसान बना देगी, लेकिन इसके बिना यह असंभव नहीं है।  उच्च स्तर पर, परीक्षण और अन्य अवलोकनों के आधार पर घटनाओं का क्रम इस प्रकार है:  1. उपयोगकर्ता GoDaddy पर होस्ट की गई छेड़छाड़ की गई वेबसाइट पर जाता है।  मेरी तरह, उपयोगकर्ता स्थानीय व्यापार की वेबसाइट पर जा सकते हैं जिससे वे परिचित हैं।  2. प्रारंभिक रीडायरेक्ट होता है  कुछ ब्लैक बॉक्स लॉजिक के माध्यम से (आमतौर पर पहली बार आने वाले या संयोग से), GoDaddy सर्वर उपयोगकर्ता को हमलावर की वेबसाइट पर पुनर्निर्देशित करने के लिए   भेजते हैं। मैंने पाया है कि प्रत्येक छेड़छाड़ की गई वेबसाइट   पर रीडायरेक्ट करती है। 302 46.4.68.136  वर्तमान में, ऐसी अटकलें हैं कि GoDaddy के लोड बैलेंसरों से समझौता किया गया है। विशिष्ट अनुरोध आपको हमलावर के पृष्ठ पर पुनर्निर्देशित करेंगे, लेकिन यह अपेक्षा से कम बार होता है। इन छेड़छाड़ की गई साइटों के कैश्ड संस्करण HTTP प्रतिक्रिया के शीर्षलेख में रीडायरेक्ट दिखाते हैं। यह शीर्ष लेख ब्राउज़र को   चर में निर्दिष्ट वेबसाइट पर रीडायरेक्ट करने का कारण बनेगा। path  नीचे कुछ उदाहरण दिए गए हैं।   HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 22:23:24 GMT Server: Apache P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM" Cache-Control: no-cache Pragma: no-cache Set-Cookie: b64618f79bd8f79428b7f1f80c1abceb=qtjmovs3948hi5t1m2shhambr4; path=/ Location: http://46.4.68.136/[REDACTED]?DOM=www.vocationalvisions.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/HTML; charset=utf-8   HTTP/1.1 302 Found Date: Sat, 17 Dec 2022 17:21:14 GMT Server: Apache X-Pingback: http://www.bookkeepingservicesclt.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=www.bookkeepingservicesclt.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8   HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 14:43:04 GMT Server: Apache Location: http://46.4.68.136/[REDACTED]?DOM=www.daria-snadowsky.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Length: 0 Content-Type: text/html; charset=UTF-8   HTTP/1.1 302 Found Date: Tue, 13 Dec 2022 14:00:31 GMT Server: Apache X-Powered-By: PHP/5.6.40 Link: <http://saslist.com/wp-json/>; rel="https://api.w.org/" Location: http://46.4.68.136/[REDACTED]?DOM=saslist.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8   HTTP/1.1 302 Found Date: Wed, 14 Dec 2022 00:20:15 GMT Server: Apache X-Powered-By: PHP/5.6.40 X-Pingback: http://paypointeinc.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=paypointeinc.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8  ये वेबसाइटें अपाचे-संचालित सर्वर से प्रतिक्रिया प्राप्त करती हैं और उपयोगकर्ता को उसी दुर्भावनापूर्ण आईपी पते पर पुनर्निर्देशित करेंगी - चाहे वे वर्डप्रेस का उपयोग करें या न करें, कोई कारक नहीं है।  प्रत्येक उपयोगकर्ता जो हमलावर के मेजबान पर पुनर्निर्देशित हो जाता है, उसके बाद प्रतिक्रिया शीर्षलेख से कुकी सेट के साथ टैग किया जाता है। उस होस्ट के बाद के प्रत्येक अनुरोध में पीड़ित की पहचान करने के लिए वह कुकी भी शामिल होगी।   Set-Cookie: a8163=<JWT looking token>  3. दूसरा रीडायरेक्ट होता है  पुनर्निर्देशन उपयोगकर्ता को हमलावर की वेबसाइट पर एक विशिष्ट पृष्ठ पर ले जाता है। यह पृष्ठ उन्हें फ़िशिंग या अश्लील सामग्री पर पुनर्निर्देशित करने के लिए जावास्क्रिप्ट चलाता है। हमारे द्वारा देखे जाने वाले पृष्ठ की मूल संरचना इस प्रकार है:   <html> <head> <script type="application/javascript"> function process() { if (window.location !== window.parent.location ) { top.location = "http://bad.website"; } else { window.location = "http://bad.website"; } } window.onerror = process; process();</script> </head> <body> The Document has moved <a href="http://bad.website">here</a> </body> </html>  विशेष रूप से, आप जीथब पर बहुत ही समान स्निपेट पा सकते हैं। उपरोक्त रीडायरेक्ट उपयोगकर्ताओं को रीडायरेक्ट करने के लिए उपयोग की जाने वाली कोई नई युक्ति नहीं है। इस पुनर्निर्देशन के बाद, उपयोगकर्ता हमलावर के अंतिम गंतव्य पर होता है।  हमलावर की साइट के बारे में  मैंने हमलावर साइट के साथ खेला है। मजेदार तथ्य: रीडायरेक्ट पृष्ठ आपके आईपी/स्थान के आधार पर बदलता है। यदि मैं उत्तरी अमेरिका में होता तो पृष्ठ मुझे नकली AV स्कैनर पर पुनर्निर्देशित कर देता। अगर मैं यूरोप, एशिया, दक्षिण अमेरिका आदि में होता, तो प्रत्येक मुझे कम-से-वांछनीय सामग्री दिखाने वाले विभिन्न पृष्ठों पर पुनर्निर्देशित करता। क्या यह जानबूझकर हमले के पेलोड को स्थान के अनुसार प्रभावशीलता के कुछ स्तर के आधार पर विशेषज्ञ बनाने के लिए किया गया है, या यह सिर्फ यादृच्छिक रूप से किया गया है?  यह गंभीर क्यों है  सामान्य तौर पर, हमला व्यापक रूप से होता है, जहां हम हमलावर वेबसाइट के आईपी पते की एक साधारण Google खोज के साथ कई छेड़छाड़ की गई वेबसाइटों को ढूंढ सकते हैं। कई वेबसाइट मालिक इससे प्रभावित हैं, जैसा कि इस   समर्थन प्रश्न से स्पष्ट होता है। विशेष रूप से, यहां तक कि इस   को भी SvelteKit डॉक्स के लिंक में से एक में अपना रास्ता मिल गया।  क्लाउडफ्लेयर मुद्दे  यह स्पष्ट नहीं है कि हमला वर्डप्रेस प्लगइन्स को प्रभावित करता है, जैसा कि   ने प्रदर्शित किया। वेबसाइट पर कोई सामग्री अपलोड न होने के बावजूद नए प्रावधानित खाते भी प्रभावित होते हैं। @ColinQuarello  इससे, हम मान सकते हैं कि यह होस्टिंग प्रदाता के लिए सिस्टम-वाइड समस्या हो सकती है।      आपके लोड बैलेंसरों से साझा होस्टिंग अवसंरचना पर स्पैम/पोर्न साइटों पर 302 रीडायरेक्ट हो रहे हैं। मैंने एक नए खाते का प्रावधान   होने पर तुरंत 302 रीडायरेक्ट प्राप्त किया। हेडर भी जाली लग रहे थे। यह गंभीर है। @GoDaddyHelp @GoDaddy किया और साइट पर कोई सामग्री नहीं  – कॉलिन क्वारेलो (@ColinQuarello)  19 दिसंबर, 2022  एक बार जब कोई उपयोगकर्ता हमलावर की वेबसाइट पर जाकर हमलावर के हाथों में आ जाता है, तो वह सोशल इंजीनियरिंग, फ़िशिंग आदि का शिकार हो सकता है।   से कंपनियों और आम जनता को प्रति वर्ष अरबों का नुकसान होता है। फ़िशिंग घोटालों  मानवीय पक्ष पर, यह घटना न केवल GoDaddy के लिए बल्कि छोटे से मध्यम आकार के व्यवसायों के लिए भी उपयोगकर्ता के भरोसे को नुकसान पहुंचा सकती है जो अपनी कंपनी की वेबसाइट, ई-कॉमर्स स्टोर आदि को होस्ट करने के लिए प्लेटफॉर्म पर निर्भर हैं। इन दिनों, उपयोगकर्ता उपयोगकर्ता वृद्धि और व्यवसाय विस्तार को बढ़ावा देने के लिए विश्वास पहले से कहीं अधिक महत्वपूर्ण है।   द्वारा किए गए एक अध्ययन के अनुसार, "84% उपभोक्ता यदि उद्यम में विश्वास खो देते हैं तो एक प्रतियोगी की ओर रुख करेंगे"। एक ही घटना, बार-बार होने वाली घटनाओं को छोड़ दें, उपयोगकर्ता के भरोसे को तेजी से कम कर देगा, एक व्यवसाय की तुलना में इसे जल्दी से पुनः प्राप्त कर सकता है। DigiCert  नवीनतम घटनाक्रम  2022-12-20 तक, GoDaddy वर्तमान में इस घटना पर काम कर रहा है (INC-5492776)। मुझे यकीन नहीं है कि यह एक आंतरिक घटना ट्रैकिंग नंबर है या कुछ GoDaddy ग्राहक एक्सेस कर सकते हैं।  हम समस्या से अवगत हैं और अभी इसे ठीक करने के लिए कार्य कर रहे हैं. मैं आपको आश्वस्त कर सकता हूं कि हमारी टीमें सेवा को जल्द से जल्द बहाल करने के लिए लगन से काम कर रही हैं। ^ तटरक्षक  — GoDaddy मदद (@GoDaddyHelp)  20 दिसंबर, 2022  पहले, यह फ़ायरवॉल से संबंधित समस्या होने का संदेह था, लेकिन यह तब से अस्वीकृत हो गया है। GoDaddy के इंजीनियरों और उपयोगकर्ताओं ने फ़ायरवॉल कॉन्फ़िगरेशन की परवाह किए बिना इस समस्या को पाया है।   पढ़ने के लिए धन्यवाद!  💎 इस पोस्ट को देखने के लिए समय निकालने के लिए धन्यवाद। इस तरह की और सामग्री के लिए, मेरे वास्तविक   ।   पर मुझसे बेझिझक संपर्क करें और   पर मुझे फॉलो करें। ब्लॉग पर जाएँ लिंक्डइन जीथब

👋 Hi, I'm Stanley! I'm a software engineer at Snap and an avid contributor to open source.

2021 - HackerNoon Contributor of the Year - ANGULAR

2022 - HackerNoon Contributor of the Year - Css

2022 - HackerNoon Contributor of the Year - Monitoring

2022 - HackerNoon Contributor of the Year - Phishing

2022 - HackerNoon Contributor of the Year - Testing

2021 - HackerNoon Contributor of the Year - WEBDEV

Nominated for 2022 - HackerNoon Contributor of the Year - Phishing

Nominated for 2022 - HackerNoon Contributor of the Year - Css

Nominated for 2022 - HackerNoon Contributor of the Year - Monitoring

Nominated for 2022 - HackerNoon Contributor of the Year - Testing

यह ऑडियो कहानी की मूल भाषा में निर्मित है!

बहुत लंबा; पढ़ने के लिए

Boost your HackerNoon story @ $159.99! 🚀

व्यापक रीडायरेक्ट हैक के साथ GoDaddy हिट

About Author

टिप्पणियाँ

लेबल

इस लेख में चित्रित किया गया था

Related Stories

HackerNoon लेखन प्रतियोगिता जीतना चाहते हैं? #crypto-api प्रतियोगिता के विजेताओं की सलाह यहाँ पढ़ें

सफल क्लाउड माइग्रेशन के लिए संपूर्ण गाइड: रणनीतियाँ और सर्वोत्तम अभ्यास

फ़ोरम से फ़ीड तक: सोशल मीडिया एल्गोरिदम डिजिटल इंटरैक्शन को कैसे आकार देते हैं

HackerNoon एक बहुभाषी प्लेटफ़ॉर्म है: सभी शीर्ष कहानियाँ अब 13 भाषाओं में उपलब्ध हैं

HackerNoon लेखन प्रतियोगिता जीतना चाहते हैं? #crypto-api प्रतियोगिता के विजेताओं की सलाह यहाँ पढ़ें

सफल क्लाउड माइग्रेशन के लिए संपूर्ण गाइड: रणनीतियाँ और सर्वोत्तम अभ्यास

फ़ोरम से फ़ीड तक: सोशल मीडिया एल्गोरिदम डिजिटल इंटरैक्शन को कैसे आकार देते हैं

HackerNoon एक बहुभाषी प्लेटफ़ॉर्म है: सभी शीर्ष कहानियाँ अब 13 भाषाओं में उपलब्ध हैं

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps