ΑρχικήsecurityΟι hackers λατρεύουν τα domain που έχουν λήξει

Οι hackers λατρεύουν τα domain που έχουν λήξει

Μερικές φορές, οι κάτοχοι των website δεν θέλουν να συνεχίσουν να έχουν στην κατοχή τους ένα domain name και του επιτρέπουν να λήξει χωρίς να προσπαθήσουν να το ανανεώσουν.

Αυτό συμβαίνει συνεχώς και είναι απολύτως φυσιολογικό, αλλά είναι σημαντικό να θυμάστε ότι οι εισβολείς παρακολουθούν τακτικά τα ληγμένα domain και ενδέχεται να στοχεύουν συγκεκριμένα domain που πληρούν συγκεκριμένα κριτήρια.

domain

Οι προμηθευτές domain μπορεί να είναι μια πολύ καλή επιλογή

Ένας «vendor dοmain» (προμηθευτής) ορίζεται ως ιστότοπος που χρησιμοποιείται για τη φιλοξενία και φόρτωση resources Javascript τρίτων. Αυτό περιλαμβάνει και dοmain που χρησιμοποιούνται για τη φόρτωση κάποιων “Javascript sources” για συγκεκριμένα plugin του WordPress.

Για οποιονδήποτε λόγο, ένας προμηθευτής μπορεί να επιτρέψει τη λήξη της εγγραφής του dοmain του, πράγμα που σημαίνει ότι μπορεί να είναι διαθέσιμο προς καταχώρηση από έναν εισβολέα (ή οποιονδήποτε άλλον).

Οι επιτιθέμενοι εκτελούν συνήθως reconnaissance για να εξακριβώσουν εάν ένα domain είναι πολύτιμο ή όχι για αυτούς. Για παράδειγμα, εάν ένα domain που έχει λήξει χρησιμοποιείται μέσα σε ένα plugin για τη φόρτωση ενός resource Javascript, τότε τους είναι πολύτιμο.

Πρόσφατα εντοπίστηκε αυτό το σενάριο με το ανενεργό plugin του visual-website-editor και το domain tidioelements [.] Com. Το περιστατικό ανέφερε ο ιδιοκτήτης ενός ιστότοπου στο Sucuri blog που αντιμετώπισε ύποπτη δραστηριότητα κατά τη χρήση του.

Η στρατηγική του εισβολέα βασίζεται στο γεγονός ότι ορισμένοι ιστότοποι ενδέχεται να έχουν ακόμη εγκατεστημένο και ενεργοποιημένο τo plugin και συνεχίζει να φορτώνει resources από το dοmain που έχει λήξει.

Μόλις ο εισβολέας “αναλάβει” το domain, τότε μπορεί να “πάρει” τον έλεγχο αντικαθιστώντας τυχόν νόμιμα resources Javascript με κάτι κακόβουλο.

Το plugin δεν θα γνωρίζει ότι το domain έχει λήξει ή ότι το Javascript resource φορτώνεται τώρα από τον server ενός εισβολέα – η μόνη πληροφορία που έχει είναι η διεύθυνση URL του Javascript resource, την οποία προσπαθεί να συμπεριλάβει όπου φορτώνεται το plugin.

Το συγκεκριμένο plugin δεν είναι πια διαθέσιμο στο repository του WordPress.

Οι εισβολείς μπόρεσαν να επωφεληθούν από το domain που έχει λήξει για να φορτώσουν αυθαίρετο περιεχόμενο, το οποίο υπογραμμίζει τη σημασία της ενημέρωσης όλων των software και της κατάργησης τυχόν παλιών plugin που δεν χρησιμοποιούνται ενεργά στο περιβάλλον σας. Μια άλλη σημαντική συμβουλή είναι να χρησιμοποιείτε μόνο resources από επίσημες και αξιόπιστες πηγές.

Πηγή: blog.sucuri.net

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS