GoDaddy hakuje witryny WordPress, mówi, że „monitoruje wydajność”

Наша команда-партнер Artmisto

Jak to nazywacie, gdy nieupoważniony użytkownik wprowadza kod do każdej strony w witrynie? Nazywam to hakowaniem.

To jest dokładnie to, co GoDaddy zrobił wczoraj dwóm moim klientom. Zhakowałem ich. Wstrzykiwany kod bez naszej wiedzy lub zgody.

Oto jak to się stało…

Obudziłem się do tego e-maila od GoDaddy Pro, ponieważ używam ich usługi Pro Sites (ManageWP) do monitorowania czasu pracy i bezpieczeństwa witryn klientów:

Loguję się do pulpitu Pro Sites i oto co widzę:

Sprawdzam to w mojej przeglądarce. Oto wstrzyknięty kod między tagami </body> i </html>:

</body>
<script> 'undefined' === typeof _trfq || (window._trfq = []); 'undefined' === typ _trfd && (window._trfd = []), _ trfd.push ({'tccl.baseHost': 'secureserver.net'}), _ trfd.push ( {'ap': 'cpsh'}, {'server': 'a2plcpnl0551'}) // Monitorowanie wydajności w celu przyspieszenia działania witryny. Jeśli chcesz zrezygnować, skontaktuj się z obsługą hostingową. </script> <script src = 'https: //img1.wsimg.com/tcc/tcc_l.combined.1.0.6.min.js'> </ skrypt> </html>

Zwróciłem szczególną uwagę na komentarz:

// Monitorowanie wydajności w celu przyspieszenia działania witryny. Jeśli chcesz zrezygnować, skontaktuj się z obsługą hostingową.

i pomyślałem sobie: „jeśli to nie brzmi jak inżynieria społeczna, żebyś mógł zostawić ten kod sam, co?”

Przeszukuję Internet i nie mogę znaleźć żadnych odniesień do tego kodu, więc uważam go za rodzaj nowego złośliwego oprogramowania i przechodzę przez zwykłe ćwiczenie:

• Powiadom klientów
• Zmień wszystkie hasła administratora WordPress
• Zmień wszystkie hasła FTP
• Za zgodą klienta rozpocznij polowanie na zainfekowany plik PHP gdzieś w instalacji

Skrócę historię, aby powiedzieć, że po godzinach oglądania plików PHP postanowiłem zająć się jeszcze jedną sprawą i zbadać tę domenę „wsimg.com”. Okazuje się, że wsimg.com jest WŁASNY przez GoDaddy . Mogłoby to być? Czy GoDaddy Pro może ostrzegać mnie przed kodowaniem GoDaddy Hosting potajemnie wstrzykniętym do naszej witryny? Zadzwoniłem do działu wsparcia GoDaddy Pro, rozmawiałem z miłym przedstawicielem JP i po rozmowie z wyższym specjalistą dowiedział się, że było to PRAWDZIWE! Mów o ironii - szczury GoDaddy na siebie!

Byłem wściekły i powiedziałem reporterowi (w tak powściągliwy sposób, w jaki mogłem zebrać się w tych okolicznościach).

Więc to jest ta historia. Wstrzykiwany kod nie jest szkodliwy (o ile wiem). Nie ma powiadomienia o tym, że zostało to zrobione (chyba że monitorujesz takie zmiany). Nie ma możliwości wyłączenia go z cPanel. Zamiast tego, jeśli go wykryjesz, możesz zadzwonić do przyjaznego przedstawiciela pomocy technicznej GoDaddy, dać mu trochę myśli i poprosić o ręczne wycofanie się. Oh i powiedz im, że Larry cię przysłał.

11 października 2017 r. Aktualizacja dobrych wiadomości: zobacz komentarz Mario Fritha i moja odpowiedź po instrukcje, jak wyłączyć ten „hack” bez konieczności dzwonienia do GoDaddy.