14 дней, которые потрясли GoDaddy

Хроника событий:

GoDaddy взломаны тысячи сайтов
Network Solutions - взломаны сотни сайтов, в том числе официальный сайт Министерства финансов США
Dreamhost, Hostgator и другие, взломаны сотни сайтов

Network Solutions признали, что массовый хак аккаунтов произошел в связи с уязвимостью внутренних приложений на хостинге. В результате атаки заражено около 500 сайтов.

GoDaddy сначала обвинили своих пользователей и некоторое время скрывали общую картину и причины атаки. После второй атаки признали наличие проблем на хостинг платформе.

Общими чертами атаки для всех, является то, что в основном были взломаны сайты на базе Вордпресс и сайты, например Joomla, работающие на php и MySQL базы данных.

Специалисты Sucuri Security в своем блоге пока называют несколько причин:

1. Кража FTP / WP паролей
2. Неизвестные уязвимости Wordpress
3. Уязвимости некоторых старых версий плагинов Wordpress
4. Перебор паролей

После взлома на сайтах было произведены изменения в файлах:

1. Во всех php файлах, вверху текста кода появились две пустые строки
2. В файл footer.php добавлялась строка в кодировке base64
_eval(base64_decode("DQpzZXRfdGltZV9saW1pd.....
3. Добавлялись JavaScript перенаправления на зараженные сайты

Вот некоторые комментарии владельцев сайтов:

- Мой сайт был взломан два раза на этой неделе WordPress GoDaddy
- Один из моих сайтов был взломан GoDaddy во второй раз 1 мая. Первый раз это было 22 апреля
- Третий раз в этом месяце. Я работаю в интернете и зарабатываю себе на жизнь веб-сайтами, и это просто отстой!

GoDaddy:
Ноябрь 2005 года - пострадало почти 600 000 сайтов.
Январь 2009 года - более 10 000 сайтов были недоступны более суток
Март 2007 года - GoDaddy подвергся крупнейшей DoS-атаке

Было еще много более мелких атак и пострадавших, лень искать факты, но их много к сожалению.

Надо признать, что лабораторией Sucuri Security, были предоставлены пострадавшим различные скрипты, для очистки файлов, а также подробнейшие консультации и инструкции. На хостинг площадках срочно появились специальные формы для консультаций и помощи. Были организованы "горячие" тлф линии.

Пока еще я не видел результатов окончательного анализа причин, позволивших взломать огромное количество сайтов, последствия еще устраняются. Но думаю в скором времени мы узнаем, т.к владельцы настроены очень решительно, даже по моему- агрессивно. По крайней мере замолчать эту историю, не удастся!