ここ数日、Web サイトの所有者、特に GoDaddy でホスティングしている所有者は、さまざまな Web サイトへの奇妙なリダイレクトを経験しています。これらのリダイレクトは常に発生するわけではありませんが、ユーザーが最初にページにアクセスしたとき、またはページをトリガーするのに十分な回数更新したときに発生するようです.私のお気に入りのレストランのウェブサイトにアクセスしたとき、私は最初にこの問題に出くわしました.料理やメニューなどの写真が掲載されたページではなく、  が表示されました。 偽のAVページ 使い方 私が発見した他のセキュリティ問題と同様に、これが何であるか、どのように機能するか、およびそれを回避する方法があるかどうかを調査するために、うさぎの穴に飛び込むことになります。残念ながら、この事件に関して、私が提供できる最善の視点は部外者としてのものです.侵害された GoDaddy Web サイトがあれば、この調査は容易になりますが、それなしでは不可能ではありません。 大まかなイベントの順序は、テストやその他の観察に基づいて次のようになります。  1.ユーザーは、GoDaddy でホストされている侵害された Web サイトにアクセスします。 私のように、ユーザーはよく知っているローカル ビジネスの Web サイトにアクセスできます。  2. 最初のリダイレクトが発生する いくつかのブラック ボックス ロジック (通常は初めての訪問者または偶然) を通じて、GoDaddy サーバーはユーザーに を送信して、ユーザーを攻撃者の Web サイトにリダイレクトします。私が見つけた侵害されたすべての Web サイトは にリダイレクトされます。 302 46.4.68.136 現在、GoDaddy のロード バランサーが侵害されているという憶測があります。特定の要求によって攻撃者のページにリダイレクトされますが、これは予想よりも頻繁に発生しません。これらの侵害されたサイトのキャッシュ バージョンでは、HTTP 応答のヘッダーにリダイレクトが表示されます。このヘッダーにより、ブラウザーは 変数で指定された Web サイトにリダイレクトされます。 path 以下にいくつかの例を示します。   HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 22:23:24 GMT Server: Apache P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM" Cache-Control: no-cache Pragma: no-cache Set-Cookie: b64618f79bd8f79428b7f1f80c1abceb=qtjmovs3948hi5t1m2shhambr4; path=/ Location: http://46.4.68.136/[REDACTED]?DOM=www.vocationalvisions.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/HTML; charset=utf-8   HTTP/1.1 302 Found Date: Sat, 17 Dec 2022 17:21:14 GMT Server: Apache X-Pingback: http://www.bookkeepingservicesclt.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=www.bookkeepingservicesclt.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8   HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 14:43:04 GMT Server: Apache Location: http://46.4.68.136/[REDACTED]?DOM=www.daria-snadowsky.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Length: 0 Content-Type: text/html; charset=UTF-8   HTTP/1.1 302 Found Date: Tue, 13 Dec 2022 14:00:31 GMT Server: Apache X-Powered-By: PHP/5.6.40 Link: <http://saslist.com/wp-json/>; rel="https://api.w.org/" Location: http://46.4.68.136/[REDACTED]?DOM=saslist.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8   HTTP/1.1 302 Found Date: Wed, 14 Dec 2022 00:20:15 GMT Server: Apache X-Powered-By: PHP/5.6.40 X-Pingback: http://paypointeinc.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=paypointeinc.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8 これらの Web サイトは、Apache を搭載したサーバーから応答を受信し、ユーザーを同じ悪意のある IP アドレスにリダイレクトします。WordPress を使用しているかどうかは関係ありません。 最終的に攻撃者のホストにリダイレクトされるすべてのユーザーは、応答ヘッダーから設定された Cookie でタグ付けされます。そのホストでの後続のすべてのリクエストにも、被害者を識別するためにその Cookie が含まれます。   Set-Cookie: a8163=<JWT looking token>  3. 2 回目のリダイレクトが発生する リダイレクトは、ユーザーを攻撃者の Web サイトの特定のページに誘導します。次に、このページは JavaScript を実行して、ユーザーをフィッシングまたはポルノ コンテンツにリダイレクトします。表示されるページの基本構造は次のとおりです。   <html> <head> <script type="application/javascript"> function process() { if (window.location !== window.parent.location ) { top.location = "http://bad.website"; } else { window.location = "http://bad.website"; } } window.onerror = process; process();</script> </head> <body> The Document has moved <a href="http://bad.website">here</a> </body> </html> 特に、Github で非常によく似たスニペットを見つけることができます。上記のリダイレクトは、ユーザーをリダイレクトするために使用される新しい戦術ではありません。このリダイレクトの後、ユーザーは攻撃者の最終目的地にいます。 攻撃者のサイトについて 攻撃サイトをいじってみました。興味深い事実: リダイレクト ページは、IP や場所によって変わります。北米にいる場合、このページは偽の AV スキャナーにリダイレクトします。私がヨーロッパ、アジア、南アメリカなどにいた場合、それぞれが望ましくないコンテンツを表示する別のページにリダイレクトされます.これは、場所に応じてある程度の有効性に基づいて攻撃ペイロードを特殊化するために意図的に行われているのでしょうか、それとも単にランダムに行われているのでしょうか? なぜこれが深刻なのか 一般に、攻撃は広範囲に及んでおり、攻撃している Web サイトの IP アドレスを Google で検索するだけで、多くの侵害された Web サイトを見つけることができます。この サポートの質問で明らかなように、多くのWebサイト所有者がこれの影響を受けています.特に、この でさえ、SvelteKit ドキュメント内のリンクの 1 つに行き着きました。  Cloudflare 問題   が示したように、攻撃が WordPress プラグインに影響を与えることは明らかではありません。 Web サイトにコンテンツがアップロードされていなくても、新しくプロビジョニングされたアカウントも影響を受けます。 @ColinQuarello このことから、これはホスティング プロバイダーのシステム全体の問題である可能性があると推測できます。      302 リダイレクトが、ロード バランサーから共有ホスティング インフラストラクチャ上のスパム/ポルノ サイトに発生しています。新しいアカウントをプロビジョニングしたところ たときにすぐに 302 リダイレクトが発生しました。ヘッダーも偽造されたように見えました。これは深刻です。 @GoDaddyHelp @GoDaddy 、サイトにコンテンツがなかっ  — コリン・クアレロ (@ColinQuarello)  2022 年 12 月 19 日 ユーザーが攻撃者の Web サイトにアクセスして攻撃者の手に渡ると、ソーシャル エンジニアリングや などに屈する可能性があります。 フィッシング 人的側面では、この事件は、GoDaddy だけでなく、会社の Web サイトや e コマース ストアなどをホストするプラットフォームに依存している中小企業のユーザーの信頼を失うことにつながる可能性があります。ユーザーの成長とビジネスの拡大を促進するためには、信頼がこれまで以上に重要になっています。  が実施した調査によると、「消費者の 84% は、企業に対する信頼を失った場合、競合他社に乗り換えるだろう」.インシデントが 1 回発生しただけで、企業が迅速に回復するよりも早くユーザーの信頼を低下させてしまいます。 DigiCert 最新の開発 2022 年 12 月 20 日現在、GoDaddy は現在このインシデントに取り組んでいます (INC-5492776)。これが社内のインシデント追跡番号なのか、GoDaddy の顧客がアクセスできるものなのかはわかりません。 私たちはこの問題を認識しており、現在修正に取り組んでいます。私たちのチームは、できるだけ早くサービスを復旧するために熱心に取り組んでいることを保証できます. ^CG  — GoDaddy ヘルプ (@GoDaddyHelp)  2022 年 12 月 20 日 以前は、ファイアウォール関連の問題であると疑われていましたが、これは反証されています。 GoDaddy のエンジニアとユーザーは、ファイアウォールの設定に関係なく、この問題が発生することを発見しました。 読んでくれてありがとう！  💎 この投稿をチェックしていただきありがとうございます。このようなその他のコンテンツについては、実際の にアクセスしてください。  でお気軽にご連絡ください でフォローしてください。 ブログ LinkedIn 。Github

👋 Hi, I'm Stanley! I'm a software engineer at Snap and an avid contributor to open source.

2021 - HackerNoon Contributor of the Year - ANGULAR

2022 - HackerNoon Contributor of the Year - Css

2022 - HackerNoon Contributor of the Year - Monitoring

2022 - HackerNoon Contributor of the Year - Phishing

2022 - HackerNoon Contributor of the Year - Testing

2021 - HackerNoon Contributor of the Year - WEBDEV

Nominated for 2022 - HackerNoon Contributor of the Year - Phishing

Nominated for 2022 - HackerNoon Contributor of the Year - Css

Nominated for 2022 - HackerNoon Contributor of the Year - Monitoring

Nominated for 2022 - HackerNoon Contributor of the Year - Testing

このオーディオは、ストーリーの元の言語で制作されています。

長すぎる; 読むには

Boost your HackerNoon story @ $159.99! 🚀

GoDaddy がリダイレクトハッキングの被害に遭う

About Author

コメント

ラベル

この記事は

Related Stories

フロキのヴァルハラがインドのスリランカツアーのアソシエイトスポンサーに加わる

18 種類の開発者ツールで生産性を向上しましょう 🚀🔥

HackerNoon Coded: HackerNoonが最も活発に活動している上位10カ国

Claude Sonnet 3.5 システムプロンプトの漏洩: 法医学的分析

フロキのヴァルハラがインドのスリランカツアーのアソシエイトスポンサーに加わる

18 種類の開発者ツールで生産性を向上しましょう 🚀🔥

HackerNoon Coded: HackerNoonが最も活発に活動している上位10カ国

Claude Sonnet 3.5 システムプロンプトの漏洩: 法医学的分析

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps

GoDaddy がリダイレクト ハッキングの被害に遭う