DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Tên miền Perl.com bị đánh cắp, được sử cho mục đích độc hại
Tên miền perl.com đã bị đánh cắp trong tuần này và hiện trỏ đến một địa chỉ IP được liên kết với các chiến dịch phần mềm độc hại.
Perl.com là một trang web thuộc sở hữu của Tom Christiansen và được sử dụng từ năm 1997 để đăng tin tức và bài báo về ngôn ngữ lập trình Perl.
Vào ngày 27 tháng 1, tác giả ngôn ngữ lập trình Perl và biên tập viên của trang Perl.com, brian d foy đã tweet rằng tên miền perl.com đã bất ngờ được đăng ký bởi một người khác.
Luật sư John Berryhill sau đó đã trả lời trên tweet rằng miền này đã bị đánh cắp vào tháng 9 năm 2020 khi ở Network Solutions, tên miền này được chuyển giao cho một nhà quản lý tên miền ở Trung Quốc vào ngày Giáng sinh và cuối cùng chuyển sang nhà quản lý tên miền Key-Systems vào ngày 27 tháng 1 năm 2020.
Lần chuyển cuối cùng, các địa chỉ IP được gán cho tên miền này được thay đổi từ địa chỉ IP 151.101.2.132 thành địa chỉ IP Google Cloud 35.186.238[.]101.
Khi truy cập trang web, người dùng được chào đón bằng một trang trống. Nội dung của trang HTML này chứa các tập lệnh trỏ hướng tên miền perl.com sang nhà cung cấp tên miền Godaddy ngay cả khi nó đã được đăng ký với nhà cung cấp tên miền key-systems(.)net.
Vào ngày 28, biên tập viên của trang web, d foy đã tweet rằng họ đã tạm thời thiết lập địa chỉ mới, http://perldotcom.perl.org cho những người dùng muốn truy cập trang web cho đến khi tên miền perl.com được khôi phục.
Cho đến khi việc chiếm đoạt tên miền được giải quyết, perl.org khuyến nghị người dùng không sử dụng perl.com làm máy nhân bản CPAN và cập nhật nó bằng lệnh sau:
d foy đã nói với BleepingComputer rằng: tài khoản của chủ sở hữu miền đã bị tấn công là không xảy ra và họ hiện đang làm việc với nhà cung cấp tên miền Key-Systems để giải quyết vấn đề.
"Qua liên lạc trực tiếp với nhà cung cấp tên miền Key-Systems, tôi biết rằng họ đang làm việc này và miền perl.com đã bị khóa. Tom Christiansen, chủ sở hữu tên miền perl.com hợp pháp, đang tiến hành quá trình khôi phục với những nhà cung cấp tên miền đó."
"Cả hai nhà cung cấp tên miền, cùng với một số công ty khác, đã liên hệ với cá nhân tôi để đề nghị trợ giúp và hướng dẫn. Chúng tôi tự tin rằng chúng tôi có thể khôi phục miền, nhưng tôi không có thời gian biểu cho việc đó", d foy nói với BleepingComputer.
Địa chỉ IP mà perl.com hiện đang được lưu trữ đã được sử dụng trong các chiến dịch phần mềm độc hại trong quá khứ và các chiến dịch độc hại gần đây.
Vào năm 2019, địa chỉ IP 35.186.238 [.]101 được liên kết với một tên miền phân phối phần mềm độc hại có thể thực thi cho ransomware Locky hiện không còn tồn tại.
Gần đây, một phần mềm độc hại với mục đích nhấp vào quảng cáo đang sử dụng các miền sau làm máy chủ ra lệnh và kiểm soát (C2).
Cả hai tên miền này đều phân giải thành địa chỉ IP 35.186.238 [.]101, như được hiển thị bên dưới.
Khi phần mềm độc hại cố gắng kết nối với các URL tại các tên miền này, chúng nhận được cùng một tập lệnh tên miền giống với các tệp lệnh tên miền được sử dụng khi truy cập perl.com.
Các phản hồi HTML này, thay vì hướng dẫn từ máy chủ nhận và ra lệnh (C2), có thể chỉ ra rằng địa chỉ IP nằm dưới sự kiểm soát của một nhóm tin tặc khác.
Hiện tại, chúng tôi khuyên bạn không nên truy cập perl.com cho đến khi tên miền này được kiểm soát bởi Perl Foundation, vì những kẻ tấn công có thể rất dễ dàng chuyển nó sang một trang web cho các mục đích xấu hơn.
Perl.com là một trang web thuộc sở hữu của Tom Christiansen và được sử dụng từ năm 1997 để đăng tin tức và bài báo về ngôn ngữ lập trình Perl.
Vào ngày 27 tháng 1, tác giả ngôn ngữ lập trình Perl và biên tập viên của trang Perl.com, brian d foy đã tweet rằng tên miền perl.com đã bất ngờ được đăng ký bởi một người khác.
Luật sư John Berryhill sau đó đã trả lời trên tweet rằng miền này đã bị đánh cắp vào tháng 9 năm 2020 khi ở Network Solutions, tên miền này được chuyển giao cho một nhà quản lý tên miền ở Trung Quốc vào ngày Giáng sinh và cuối cùng chuyển sang nhà quản lý tên miền Key-Systems vào ngày 27 tháng 1 năm 2020.
Lần chuyển cuối cùng, các địa chỉ IP được gán cho tên miền này được thay đổi từ địa chỉ IP 151.101.2.132 thành địa chỉ IP Google Cloud 35.186.238[.]101.
Khi truy cập trang web, người dùng được chào đón bằng một trang trống. Nội dung của trang HTML này chứa các tập lệnh trỏ hướng tên miền perl.com sang nhà cung cấp tên miền Godaddy ngay cả khi nó đã được đăng ký với nhà cung cấp tên miền key-systems(.)net.
Vào ngày 28, biên tập viên của trang web, d foy đã tweet rằng họ đã tạm thời thiết lập địa chỉ mới, http://perldotcom.perl.org cho những người dùng muốn truy cập trang web cho đến khi tên miền perl.com được khôi phục.
Cho đến khi việc chiếm đoạt tên miền được giải quyết, perl.org khuyến nghị người dùng không sử dụng perl.com làm máy nhân bản CPAN và cập nhật nó bằng lệnh sau:
Mã:
# perl -MCPAN -eshell
cpan shell -- CPAN exploration and modules installation (v2.20)
Enter 'h' for help.
cpan[1]> o conf urllist http://www.cpan.org/
Please use 'o conf commit' to make the config permanent!
cpan[2]> o conf commit
commit: wrote '/root/.cpan/CPAN/MyConfig.pm'd foy đã nói với BleepingComputer rằng: tài khoản của chủ sở hữu miền đã bị tấn công là không xảy ra và họ hiện đang làm việc với nhà cung cấp tên miền Key-Systems để giải quyết vấn đề.
"Qua liên lạc trực tiếp với nhà cung cấp tên miền Key-Systems, tôi biết rằng họ đang làm việc này và miền perl.com đã bị khóa. Tom Christiansen, chủ sở hữu tên miền perl.com hợp pháp, đang tiến hành quá trình khôi phục với những nhà cung cấp tên miền đó."
"Cả hai nhà cung cấp tên miền, cùng với một số công ty khác, đã liên hệ với cá nhân tôi để đề nghị trợ giúp và hướng dẫn. Chúng tôi tự tin rằng chúng tôi có thể khôi phục miền, nhưng tôi không có thời gian biểu cho việc đó", d foy nói với BleepingComputer.
Địa chỉ IP mà perl.com hiện đang được lưu trữ đã được sử dụng trong các chiến dịch phần mềm độc hại trong quá khứ và các chiến dịch độc hại gần đây.
Vào năm 2019, địa chỉ IP 35.186.238 [.]101 được liên kết với một tên miền phân phối phần mềm độc hại có thể thực thi cho ransomware Locky hiện không còn tồn tại.
Gần đây, một phần mềm độc hại với mục đích nhấp vào quảng cáo đang sử dụng các miền sau làm máy chủ ra lệnh và kiểm soát (C2).
Cả hai tên miền này đều phân giải thành địa chỉ IP 35.186.238 [.]101, như được hiển thị bên dưới.
Khi phần mềm độc hại cố gắng kết nối với các URL tại các tên miền này, chúng nhận được cùng một tập lệnh tên miền giống với các tệp lệnh tên miền được sử dụng khi truy cập perl.com.
Các phản hồi HTML này, thay vì hướng dẫn từ máy chủ nhận và ra lệnh (C2), có thể chỉ ra rằng địa chỉ IP nằm dưới sự kiểm soát của một nhóm tin tặc khác.
Hiện tại, chúng tôi khuyên bạn không nên truy cập perl.com cho đến khi tên miền này được kiểm soát bởi Perl Foundation, vì những kẻ tấn công có thể rất dễ dàng chuyển nó sang một trang web cho các mục đích xấu hơn.
Theo: bleepingcomputer