Один из крупнейших мировых интернет-хостеров GoDaddy накануне сообщил, что подвел предварительные итоги расследования инцидента, имевшего место на прошлой неделе. Напомним, что в прошлый уикэнд стало известно о взломе около 400 сайтов, размещенных на площадке этой компании. Хакеры разместили на взломанных проектах систему переадресации на серверы с вредоносными кодами.
В компании говорят, что всего было взломано 445 сайтов, причем все они размещались на серверах Apache, конфигурация которых была модифицирована и отличалась от стандартной. В частности, на серверах были установлены настройки для редиректа через сам Apache. Атакующие также модифицировали служебные файлы .htaccess, используемые для авторизации, разместив там собственный код.
Николас Перкоко, глава компании Trustwave Spider Labs, говорит редиректы применялись необычно: они работали только для тех пользователей, что заходили на сайты через поисковые машины, такие как Bing, Yahoo и Google. Перенаправлялись пользователи-жертвы на сайт по адресу sokoloperkovuskeci.com, зарегистрированный на жителя американского штата Флорида, а также на ряд других ресурсов.
По его словам, часто атаки такого рода проводятся за счет наличия уязвимости в устаревших версиях систем управления контентом, таких как Wordpress или Joomla, однако на сей раз взломано было именно серверное программное обеспечение GoDaddy, тогда как клиенты работали с различными прикладными CMS и разным контентом, следовательно злоумышленники работали либо с клиентской системой GoDaddy, либо, что более вероятно, они стали жертвами фишинговых кампаний, проведенных целенаправленно против клиентов этой компании.
"Технически это (проведение кампании) не представляет проблемы. Не составляет труда вычислить проекты, размещенные на площадке одного и того же хостера, а адреса email пользователи часто указывают прямо в контактных данных на сайтах", - говорит Перкоко.
Источник: CyberSecurity
|