GoDaddy хакі WordPress сайти, каже, що це "Моніторинг продуктивності"

Наша команда-партнер Artmisto

Як ви його називаєте, коли неавторизований користувач вводить код на кожну сторінку вашого веб-сайту? Я називаю це злом.

Ну, це саме те, що GoDaddy зробив для двох з моїх сайтів клієнта вчора. Зламав їх. Введений код без нашого знання або схвалення.

Ось як це відбувалося ...

Я прокинувся від цієї електронної пошти від GoDaddy Pro, тому що я використовую їхню службу Pro Sites (ManageWP) для моніторингу часу безперебійної роботи та безпеки сайтів клієнта:

Я вхожу в інформаційну панель Pro Sites, і ось що я бачу:

Я перевіряю його у своєму веб-переглядачі. Нижче наведено введений код між тегами </body> і </html>:

</body>
<script> 'undefined' === typeof _trfq || (window._trfq = []); 'undefined' === typeof _trfd && (window._trfd = []), _ trfd.push ({'tccl.baseHost': 'secureserver.net'}), _ trfd.push ( {'ap': 'cpsh'}, {'server': 'a2plcpnl0551'}) // Моніторинг продуктивності, щоб зробити ваш сайт швидшим. Якщо ви бажаєте відмовитися, зверніться до служби підтримки веб-хостингу. </script> <script src = 'https: //img1.wsimg.com/tcc/tcc_l.combined.1.0.6.min.js'> </ скрипт> </html>

Особливу увагу я звернув на коментар:

// Моніторинг продуктивності, щоб зробити ваш сайт швидшим. Якщо ви бажаєте відмовитися, зверніться до служби підтримки веб-хостингу.

�� думав про себе: «Якщо це не звучить як соціальна інженерія, щоб ви залишили цей код на самоті, що ж?»

Я шукаю в Інтернеті і не можу знайти жодних посилань на цей код, тому я вважаю його новим шкідливим програмним забезпеченням і проходжу звичайний тренінг:

• Повідомте клієнтів
• Змініть всі паролі адміністратора WordPress
• Змініть всі паролі FTP
• Зі схваленням клієнта, почніть пошуки зараженого файлу PHP десь в установці

Я скорочу історію, щоб сказати, що після кількох годин перегляду файлів PHP я вирішив взяти інший хід і дослідити цей домен "wsimg.com". Виявляється, wsimg.com є власником GoDaddy . Це може бути? Може GoDaddy Pro бути попереджає мене код GoDaddy Хостинг таємно вводять на наш сайт? Я зателефонував за підтримку GoDaddy Pro, розмовляв з хорошим репутацією JP і після того, як говорив з вище, він дізнався, що він був правдивий! Розмова про іронію - GoDaddy пацюки на себе!

Я був розлючений, і я дав респонденту знати (так само стримано, як я міг зібратися за цих обставин).

Так ось історія. Введений код не є шкідливим (наскільки я знаю). Про це не повідомляється (якщо ви не стежите за такими змінами). Немає можливості вимкнути його з cPanel. Замість цього, якщо ви виявите це, ви можете зателефонувати дружньому представнику підтримки GoDaddy, дати їм частину розуму і попросити вручну відмовитися. Ох, і скажи, що послав тебе Ларрі.

11 жовтня 2017 р. Добрі новини Оновлення: Див коментар від Mario Frith і моя відповідь для вказівки про те, як перетворити цей "хак" без необхідності викликати GoDaddy.