Несколько сотен веб-сайтов, обслуживаемых хостером GoDaddy, были взломаны неизвестными злоумышленниками. На всех взломанных сайтах стояли системы редиректа посетителей на злонамеренные серверы, где было размещено злонамеренное программное обеспечение. Тодд Редфут, директор по информационной безопасности GoDaddy, говорит, что взлом, скорее всего, был проведен в среду. Согласно доступной на сегодня информации, хакерам удалось получить доступ к 445 хостинг-аккаунтам. Редфут говорит, что хакерам пока невыясненным способом удалось получить доступ в клиентской системе компании и получить оттуда логины и пароли клиентов. После этого злоумышленники по полученным реквизитам вошли на серверы и провели дефейс. Редфут говорит, что реквизиты для доступа могли быть получены в результате как технической атаки, так и фишинг-кампании, когда клиентов GoDaddy банально ввели в заблуждение и они сами предоставили хакерам реквизиты. "Мы еще не завершили расследование, но пока можно говорить о том, что данный инцидент не является инфраструктурной проблемой и он, скорее всего, не должен затронуть других наших клиентов. Мы быстро удалили злонамеренный код и начали помогать нашим клиентам, аккаунты которых были затронуты проблемой", - говорит он. На данный момент в GoDaddy говорят, что самой серьезной проблемой является отсутствие информации о том, где и как злоумышленники получили доступ к клиентским реквизитам. Редфут говорит, что GoDaddy сейчас обслуживает около 5 млн аккаунтов, но сейчас злонамеренных кодов нет ни на одном из них. "Скорее всего, хакерам удалось каким-то образом разместить на компьютерах наших клиентов клавиатурные шпионы или провести мошеннические атаки", - полагают в GoDaddy. 17.09.2011 http://cybersecurity.ru/crypto/132754.html
Клиенты GoDaddy, скорее всего, стали жертвами фишеров Один из крупнейших мировых интернет-хостеров GoDaddy накануне сообщил, что подвел предварительные итоги расследования инцидента, имевшего место на прошлой неделе. Напомним, что в прошлый уикэнд стало известно о взломе около 400 сайтов, размещенных на площадке этой компании. Хакеры разместили на взломанных проектах систему переадресации на серверы с вредоносными кодами. В компании говорят, что всего было взломано 445 сайтов, причем все они размещались на серверах Apache, конфигурация которых была модифицирована и отличалась от стандартной. В частности, на серверах были установлены настройки для редиректа через сам Apache. Атакующие также модифицировали служебные файлы .htaccess, используемые для авторизации, разместив там собственный код. Николас Перкоко, глава компании Trustwave Spider Labs, говорит редиректы применялись необычно: они работали только для тех пользователей, что заходили на сайты через поисковые машины, такие как Bing, Yahoo и Google. Перенаправлялись пользователи-жертвы на сайт по адресу sokoloperkovuskeci.com, зарегистрированный на жителя американского штата Флорида, а также на ряд других ресурсов. По его словам, часто атаки такого рода проводятся за счет наличия уязвимости в устаревших версиях систем управления контентом, таких как Wordpress или Joomla, однако на сей раз взломано было именно серверное программное обеспечение GoDaddy, тогда как клиенты работали с различными прикладными CMS и разным контентом, следовательно злоумышленники работали либо с клиентской системой GoDaddy, либо, что более вероятно, они стали жертвами фишинговых кампаний, проведенных целенаправленно против клиентов этой компании. "Технически это (проведение кампании) не представляет проблемы. Не составляет труда вычислить проекты, размещенные на площадке одного и того же хостера, а адреса email пользователи часто указывают прямо в контактных данных на сайтах", - говорит Перкоко. 24.09.2011 http://cybersecurity.ru/crypto/133341.html