Perl.Com alan adı ele geçirildi! Bilinmeyen saldırganlar, 1997’den beri Perl dili hakkında haberler ve makaleler yayınlamak için kullanan Tom Christiansen’in sahibi olduğu perl[.]com etki alanını ele geçirdi.
Geçen hafta siteyle ilgili ilk sorun, Twitter’da alanın beklenmedik bir şekilde bilinmeyen bir kişi tarafından kaydedildiğini yazan editörü Brian Di Foy tarafından fark edildi.
Huh, it looks like there was some snafu with the https://t.co/cM17zmX6Km domain registration and now it's registered under someone else. If you know how to fix this sort of thing, we'd like your help.
— brian d foy (@briandfoy_perl) January 27, 2021
Perl.Com alan adı ele geçirildi!
Kısa süre sonra, IP avukatı John Berryhill gönderiye yanıt vererek alanın Eylül 2020’de kayıt şirketi Network Solutions ile ilişkilendirildiğinde geri çalındığını bildirdi. Daha sonra Noel tatillerinde, alan adı Çin’deki bir kayıt kuruluşuna aktarıldı ve son olarak 27 Ocak 2021’de Key-Systems kayıt kuruluşuna aktarıldı. Ancak o zaman alan adına atanan IP adresi 151.101.2.132’den Google Cloud IP adresi 35.186.238 [.] 101’e değiştirildi.
Şu anda, sitenin ziyaretçileri, kodu, park edilmiş Godaddy etki alanı için tipik olan komut dosyalarını içeren boş bir sayfa ile karşılanmaktadır, ancak aslında bu, anahtar sistemleridir.
Dee Foy, perl[.]com içeriğinin geçici olarak https://perldotcom.perl.org/ adresine taşındığını yazıyor ve perl[.]Com’u şimdilik CPAN aynası olarak kullanmamanızı tavsiye ediyor.
İlgili Haber: Android NoxPlayer Hacklendi!
Dee Foy ayrıca Bleeping Computer gazetecilerine, alan sahibinin hesabının ele geçirilmediğini ve şimdi bu sorunun Ağ çözümleri ve Anahtar Sistemleri uzmanlarıyla birlikte çözüldüğünü söyledi:
“Doğrudan Ağ çözümleri ve Anahtar Sistemleri ile konuştum ve bunun üzerinde çalıştıklarını biliyorum ve şimdiye kadar perl.com etki alanı engellendi. Gerçek sahibi Tom Christiansen şu anda bu kayıt şirketleriyle çalışarak kurtarma [erişim] sürecinden geçiyor.”
İlginç bir şekilde, artık perl [.] Com ile ilişkilendirilen IP adresi uzun zamandır kötü amaçlı kampanyalarda kullanılmaktadır. Bu nedenle, 2019’da 35.186.238 [.] 101 IP adresi, artık kullanılmayan fidye yazılımı Locky için yürütülebilir dosyayı dağıtan etki alanına bağlandı. Son zamanlarda, www.supernetforme [.] Com ve www.superwebbysearch [.] Com adresindeki komut sunucuları kullanılarak reklam tıklayıcı benzeri bir kötü amaçlı yazılım ( VirusTotal ) görüldü ve bu alan adlarının her ikisi de 35.186.238 [.] 101 olarak çözüldü.
Kötü amaçlı yazılım bu etki alanlarının URL’lerine bağlanmaya çalıştığında, şu anda perl [.] Com üzerinde kullanılan aynı park edilmiş etki alanı komut dosyalarını alır. Bu HTML yanıtları komut ve kontrol sunucusundan gelen talimatlara benzemese de, IP adresinin başka bir saldırganın kontrolü altında olduğunu gösterebilir.
Kısacası, perl[.]com’u ziyaret ederken, etki alanı Perl Vakfı’nın kontrolü altına alınana kadar kesinlikle önerilmez.
