Nos últimos dias, os proprietários de sites, especificamente aqueles que hospedam no GoDaddy, experimentaram redirecionamentos estranhos para vários sites. Esses redirecionamentos não acontecem o tempo todo, mas parecem acontecer quando um usuário visita uma página pela primeira vez ou a atualiza o suficiente para acioná-la. Eu me deparei com esse problema pela primeira vez ao visitar o site de um restaurante favorito meu. Em vez de ver uma página com fotos de comida, menus, etc., fui presenteado com uma   . página AV falsa  Como funciona  Como com outros problemas de segurança que descubro, acabo entrando na toca do coelho para investigar o que é isso, como funciona e se há uma maneira de evitá-lo. Infelizmente, para este incidente, a melhor perspectiva que posso dar é como alguém de fora. Um site da GoDaddy comprometido tornaria essa investigação mais fácil, mas não é impossível sem ela.  Em um nível alto, a sequência de eventos é a seguinte com base em testes e outras observações:  1. O usuário visita um site comprometido hospedado no GoDaddy.  Como eu, os usuários podem visitar o site de uma empresa local com o qual estão familiarizados.  2. O redirecionamento inicial ocorre  Por meio de alguma lógica de caixa preta (geralmente para visitantes de primeira viagem ou por acaso), os servidores GoDaddy enviam um   ao usuário para redirecioná-lo ao site do invasor. Todos os sites comprometidos que encontrei redirecionam para   . 302 46.4.68.136  Atualmente, há especulações de que os balanceadores de carga do GoDaddy estão comprometidos. Solicitações específicas irão redirecioná-lo para a página do invasor, mas isso ocorre com menos frequência do que o esperado. As versões em cache desses sites comprometidos mostram um redirecionamento no cabeçalho da resposta HTTP. Este cabeçalho fará com que o navegador redirecione para o site especificado na variável de   . path  Abaixo estão alguns exemplos.   HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 22:23:24 GMT Server: Apache P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM" Cache-Control: no-cache Pragma: no-cache Set-Cookie: b64618f79bd8f79428b7f1f80c1abceb=qtjmovs3948hi5t1m2shhambr4; path=/ Location: http://46.4.68.136/[REDACTED]?DOM=www.vocationalvisions.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/HTML; charset=utf-8   HTTP/1.1 302 Found Date: Sat, 17 Dec 2022 17:21:14 GMT Server: Apache X-Pingback: http://www.bookkeepingservicesclt.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=www.bookkeepingservicesclt.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8   HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 14:43:04 GMT Server: Apache Location: http://46.4.68.136/[REDACTED]?DOM=www.daria-snadowsky.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Length: 0 Content-Type: text/html; charset=UTF-8   HTTP/1.1 302 Found Date: Tue, 13 Dec 2022 14:00:31 GMT Server: Apache X-Powered-By: PHP/5.6.40 Link: <http://saslist.com/wp-json/>; rel="https://api.w.org/" Location: http://46.4.68.136/[REDACTED]?DOM=saslist.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8   HTTP/1.1 302 Found Date: Wed, 14 Dec 2022 00:20:15 GMT Server: Apache X-Powered-By: PHP/5.6.40 X-Pingback: http://paypointeinc.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=paypointeinc.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8  Esses sites recebem uma resposta de um servidor Apache e redirecionam o usuário para o mesmo endereço IP malicioso - se eles usam o WordPress ou não, isso não importa.  Todo usuário que acaba sendo redirecionado para o host do invasor é marcado com um cookie definido no cabeçalho de resposta. Cada solicitação subsequente nesse host também incluirá esse cookie para identificar a vítima.   Set-Cookie: a8163=<JWT looking token>  3. O segundo redirecionamento ocorre  O redirecionamento leva o usuário a uma página específica no site do invasor. Esta página executa o JavaScript para redirecioná-los para conteúdo de phishing ou pornográfico. A estrutura básica da página que vemos é a seguinte:   <html> <head> <script type="application/javascript"> function process() { if (window.location !== window.parent.location ) { top.location = "http://bad.website"; } else { window.location = "http://bad.website"; } } window.onerror = process; process();</script> </head> <body> The Document has moved <a href="http://bad.website">here</a> </body> </html>  Notavelmente, você pode encontrar snippets muito semelhantes no Github. O redirecionamento acima não é uma nova tática usada para redirecionar usuários. Após esse redirecionamento, o usuário está no destino final do invasor.  Sobre o site do invasor  Eu brinquei com o site de ataque. Curiosidade: a página de redirecionamento muda dependendo do seu IP/localização. A página me redirecionaria para o scanner AV falso se eu estivesse na América do Norte. Se eu estivesse na Europa, Ásia, América do Sul, etc., cada um me redirecionaria para páginas diferentes com conteúdo abaixo do desejável. Isso é feito intencionalmente para especializar as cargas de ataque com base em algum nível de eficácia de acordo com a localização ou é feito apenas aleatoriamente?  Por que isso é sério  Em geral, o ataque é generalizado, onde podemos encontrar muitos sites comprometidos com uma simples pesquisa no Google do endereço IP do site atacante. Muitos proprietários de sites são afetados por isso, conforme evidenciado por esta pergunta de suporte da   . Notavelmente, até mesmo esse   chegou a um dos links nos documentos do SvelteKit.  Cloudflare problema  Não é aparente que o ataque afete os plugins do WordPress, como   demonstrou. Contas recém-provisionadas também são afetadas mesmo sem conteúdo carregado no site. @ColinQuarello  A partir disso, podemos supor que isso pode ser um problema de todo o sistema para o provedor de hospedagem.      302 redirecionamentos estão acontecendo de seus balanceadores de carga para sites de spam/pornografia na infraestrutura de hospedagem compartilhada. Eu provisionei uma nova conta e recebi imediatamente um redirecionamento 302 quando não   . Os cabeçalhos também pareciam forjados. Isso é sério. @GoDaddyHelp @GoDaddy havia conteúdo no site  — Colin Quarello (@ColinQuarello)  19 de dezembro de 2022  Uma vez que um usuário está nas mãos do invasor por estar no site do invasor, ele pode sucumbir à engenharia social, phishing etc. Somente os   custam às empresas e ao público em geral bilhões por ano. golpes de phishing  Do lado humano, esse incidente pode levar a uma perda de confiança do usuário não apenas para GoDaddy, mas também para pequenas e médias empresas que dependem da plataforma para hospedar o site de sua empresa, loja de comércio eletrônico etc. a confiança é mais importante do que nunca para promover o crescimento do usuário e a expansão dos negócios. Segundo estudo feito pela   , "84% dos consumidores mudariam para um concorrente se perdessem a confiança na empresa". Um único incidente, muito menos ocorrências repetidas, degradará a confiança do usuário mais rapidamente do que uma empresa pode recuperá-la rapidamente. DigiCert  Ultimos desenvolvimentos  A partir de 2022-12-20, GoDaddy está trabalhando neste incidente (INC-5492776). Não tenho certeza se este é um número de rastreamento de incidente interno ou algo que os clientes da GoDaddy podem acessar.  Estamos cientes do problema e trabalhando para corrigi-lo agora. Posso garantir que nossas equipes estão trabalhando diligentemente para restaurar o serviço o mais rápido possível. ^CG  — Ajuda GoDaddy (@GoDaddyHelp)  20 de dezembro de 2022  Anteriormente, suspeitava-se que fosse um problema relacionado ao firewall, mas isso foi refutado. Os engenheiros e usuários da GoDaddy descobriram que esse problema ocorre independentemente das configurações do firewall.   Obrigado por ler!  💎 Obrigado por reservar um tempo para conferir esta postagem. Para mais conteúdo como este, acesse meu   atual. Sinta-se à vontade para entrar em contato comigo no   e me seguir no   . blog LinkedIn Github

👋 Hi, I'm Stanley! I'm a software engineer at Snap and an avid contributor to open source.

2021 - HackerNoon Contributor of the Year - ANGULAR

2022 - HackerNoon Contributor of the Year - Css

2022 - HackerNoon Contributor of the Year - Monitoring

2022 - HackerNoon Contributor of the Year - Phishing

2022 - HackerNoon Contributor of the Year - Testing

2021 - HackerNoon Contributor of the Year - WEBDEV

Nominated for 2022 - HackerNoon Contributor of the Year - Phishing

Nominated for 2022 - HackerNoon Contributor of the Year - Css

Nominated for 2022 - HackerNoon Contributor of the Year - Monitoring

Nominated for 2022 - HackerNoon Contributor of the Year - Testing

Este áudio é produzido no idioma original da história!

Muito longo; Para ler

GoDaddy é atingido com hack de redirecionamento generalizado

GoDaddy é atingido com hack de redirecionamento generalizado

About Author

COMENTARIOS

Rótulos

ESTE ARTIGO FOI APRESENTADO EM

Related Stories

Quer ganhar um concurso de redação do HackerNoon? Aqui está o que os vencedores do concurso #crypto-api recomendam

As camadas invisíveis: por que as entrevistas com usuários são um ativo insubstituível

Toque para ganhar: Telegram pode integrar os próximos 10 bilhões de usuários criptográficos antes de Solana

O guia completo para uma migração bem-sucedida para a nuvem: estratégias e práticas recomendadas

Quer ganhar um concurso de redação do HackerNoon? Aqui está o que os vencedores do concurso #crypto-api recomendam

As camadas invisíveis: por que as entrevistas com usuários são um ativo insubstituível

Toque para ganhar: Telegram pode integrar os próximos 10 bilhões de usuários criptográficos antes de Solana

O guia completo para uma migração bem-sucedida para a nuvem: estratégias e práticas recomendadas

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps