In riferimento al caso del noto cantante italiano Roberto Vecchioni, già analizzato precedentemente qui, ho avuto modo di andare un po’ più a fondo sulla questione e mi sono accorto di qualcosa che sembrerebbe ben più grave.
Il sito di Roberto Vecchioni è ospitato sui server di Hosting Solutions, attualmente uno dei più rinomati hoster italiani. Insieme al sito di Vecchioni sono ospitati, sia sullo stesso server che su altri server messi a disposizione dalla società per hosting, moltissimi altri siti web.
Quello che però è balzato all’occhio è stato che molti altri siti sono stati modificati, utilizzando le stesse modalità di attacco portate avanti verso il sito di Vecchioni. Molti siti al momento contengono dunque lo stesso codice malevolo che era contenuto nel sito del cantante italiano.
Il fatto che i siti siano ospitati su server differenti, non riconducibili dunque ad un solo indirizzo IP, potrebbe far pensare due cose:
su tutti questi server sono stati trovati alcuni siti web che utilizzavano qualche script php/asp non sicuro e sono riusciti ad entrare nel server (il che non dovrebbe accadere, teoricamente, se gli spazi sono ben definiti e sicuri l’un l’altro); i server soffrono di qualche falla che ha permesso l’intrusione dall’esterno
In entrambi i casi, vorrei consigliare a tutti i webmaster che hanno un sito web ospitato nei server di Hosting Solutions di controllare i propri siti e il codice html, alla ricerca di iframe che reindirizzano ad indirizzi IP non conosciuti o codici JavaScript offuscati che non sono frutto di un proprio lavoro. Consiglierei inoltre il cambio di tutte le password di accesso, per essere scrupolosi ed evitare che ci siano stati furti di dati personali.
Al momento ho potuto contattare Hosting Solutions, i quali mi hanno rapidamente confermato che hanno applicato tutte le contromisure necessarie per bloccare l’attacco informatico, per cui la/le eventuale/i falla/e dovrebbero essere state del tutto risolte.
Questo è un breve filmato che mostra cosa accade navigando su una pagina infetta.
-------------
Post correlati:
Non vorrei sembrare uno che fa polemiche gratuite, ma mi chiedo quando si iniziera’ a prendere sul serio la sicurezza in Italia. Gia’ oggi e’ uno dei paesi presi maggiormente di mira dalla criminalita’ informatica (anzi, io direi quello preso maggiormente di mira in assoluto, insieme al Brasile). Bisognera’ aspettare che l’intera rete Internet diventi inutilizzabile per gli utenti italiani prima che si faccia qualcosa?
Approfitto per un msg diretto: ciao TNT, è una vita che non ci si sente
che fine hai fatto? 
Sul caso non mi espongo ancor più per oggi, quello che dovevo dire l’ho detto sopra
Però in linea generale sai che concordo totalmente con te 
Marco, stasera ti scrivo via e-mai…
Tanto so che ti trovo fino a tardi. 
non so come mai, ma mi dite tutti così
sono un tipo notturno forse 
eh lo so, qui in Italia ci vorrebero gli stessi sistemisti che ha la prevx e la sunblet, ma fatemi il piacere!!!!!!!
Non sono un sistemista e non ho detto questo
Sistemista: cosa c’entra? Mi vuoi spiegare tu la ragione per cui l’Italia e’ presa cosi’ di mira, per antipatia nei confronti della pizza? :\
per gli attacchi verso i server di hosting mi astengo. Non faccio il sistemista per cui non mi esprimo su come in realta’ sia la situazione italiana. Per quanto riguarda l’utenza casalinga diciamo che ci sono molti passi avanti da fare. Basterebbe fare una leggina per i numeri a volore aggiunto o anche semplicimente l’abilitazione su richiesta e gia’ si potrebber far fuori gli infami dialer (che credo in questo possiamo vanatre un primato mondiale). Per i keylogger e gli altri malware che trasformano il pc in bot , spyware ecc. bisogna metterci un po’ di impegno ma questo dipende dal fatto che win è un s.o. che offre molte possibilita’ di essere infettato.
Maverick, si’ per i dialer siamo i primi al mondo. Un primato che non fa certo onore.
Per quanto riguarda la sicurezza dei siti… guarda, o sono stato sfortunato io beccando tutti quelli insicuri quando ho dovuto fare degli auditing, oppure siamo VERAMENTE messi male. E sto parlando di siti che erano su da mesi o addirittura anni, non certo di siti ancora da mettere online o appena messi online.
TNT
che mito … una volta ho beccato un tuo post, “cazziandolo”, in cui informavi un tizio che il suo server era stato violato. Secondo me una perfetta conoscenza della lingua inglese è determinante per la sicurezza. E anche la voglia di aggiornarsi continuamente il che costa molta fatica.
ops il “cazziandolo” va dopo tizio …. scrivo malissimo
Maverick, questa non me la ricordo… che post era… dove?
non lo ricordo neppure io esattamente dove fosse. C’era un tizio che aveva un problema analogo a quello che è successo con il sito di vecchioni (un iframe mi pare , non un javascript) e si lavementava del fatto che i visitatori venivano infettati e non riusciva a capire perche’ e tu gli hai detto dov’era il problema è chie si doveva preoccupare principalmente del fatto il sito era stato violato. A meno che non ci sia un altro Tnt ,ma lo stile era il tuo
che uomo risoluto 
.
P.s. il fatto che lavori per un’azienda famosa ed importante provoca sempre l’invidia di qualcuno
http://www.gaveli.it. L’add-on per i domini di Firefox stasera non mi funziona, e sono troppo pigro per mettermi a cercare altrove. Per caso qualcuno mi può dire se fa anch’esso parte del servizio di hosting attaccato?
No perché la schifezza che tenta di scaricarmi sul PC, accedendoci con IE (devo disinstallarla, IE Tab, assolutamente…..), è la stessa del sito di Vecchioni, il worm Nurech. Fortuna che AVS blocca tutto in tempo, evitando all’HIPS di dover intervenire alla bisogna…..
Si, identico. Fa parte di Hosting Solutions
Ah perfetto, direi che è un attacco di quelli potenzialmente dirompenti. Gromozon ha fatto scuola, altro che Brasile……Ci stima facendo la nomea di essere un paese cuscino per i malware e i malware writer….
Come detto nell’articolo, ho già avuto contatti con Hosting Solutions e mi hanno assicurato di aver applicato adeguate contromisure.
Personalmente, pensiero mio personale, temo per la privacy degli utenti e il rischio malware, un attacco di questa portata non è da sottovalutare.
Marco, secondo me ti han detto un po’ una cosa non vera riguardo le contromisure prese. Se il sito gaveli fa parte dello stesso servizio di Hosting, e il suddetto gaveli risulta ancora bello pregno di worm, ne consegue che le contromisure suddette sono aria fritta
Io già m’immagino, nei giorni prossimi morti, feriti e isterismi di massa causati da un attacco a tappeto del worm….. *esagerazione filmica, devo smetterla di dedicarmi al catastrofismo con contorno di olocausti zombeschi…..*
Beh, le contromisure vengono applicate per evitare che possano di nuovo effettuare l’attacco. Bonificare poi i siti già attaccati è opera dei webmaster oppure dello stesso hoster che se li passa tutti in rassegna
Posta per te
http://www.hwupgrade.it/forum/showthread.php?t=1463144
E’ la solita e-mail di un presunto avvocato di una messa in mora eccetera Nod32 e prevx non riconoscono il dialer.
Hella peppa, un malware nuovo nuovo. Con le definizioni aggiornate ad un paio di giorni fa (schifo di auto-update) l’antivirus non me lo riconosce. Fatto l’update è saltato fuori il solito cavallo di troia, così nomato: Trojan-Clicker.Win32.Agent.ip
Si, tra due minuti c’è l’articolo pronto su PC Al Sicuro, lo sto scrivendo
Buongiorno a tutti, e buon rientro a lavoro per chi come me rientra oggi a lavoro dopo i vari ponti.
Non parlo per sentito dire, ma per esperienza diretta confortata anche da colleghi che lavorano in HS. Chi lesse il mio profilo, sa che sono di Firenze pure io, e la HS la conoscno fin dagli albori.
Sui server fallati non ci metterei la mano sul fuoco, anche se tutto può essere. Imho tutto è molto più probabile che ci sia qualche script “iniettabile” allo scopo.. Non sarebbe la prima volta che qualche codice PHP (e non per questo accuso PHP anzi) si fa tramite per questi infami giochetti..
Non so se qui c’è chi fa il furbo oppure no.
Questa mattina (02/05) i nostri siti appoggiati presso HS erano tutti modificati con lo script infetto.
Ho parlato con HS e anche a me hanno garantito che avrebbero effettuato il ripristino e i controlli, e mi hanno chiesto di cambiare le password FTP.
La cosa che mi preoccupa è che la stessa cosa è avvenuta in forma diversa anche alcune settimane fa.
Ah, i nostri siti sono in ASP, ASP.NET e solo html.
Possibile che non vi siano responsabilità a riguardo?
Se sono stati modificati di nuovo quest’oggi evidentemente allora non sono state prese tutte le contromisure necessarie, a quanto sembrerebbe.
Sarebbe necessario un comunicato generale, PC Al Sicuro non ha tutto questo grande pubblico, sono circa 1000 visitatori unici al giorno.
Pin, se gli iframe appaiono anche nelle pagine solo html e’ stato bucato il server, poco ma sicuro.
Marco: esatto. Sto controllando i vari siti (trovati con un reverse dns) con una macchina che verifica automaticamente i “drive by download” su un browser vulnerabile, e non solo ce ne sono parecchi che infettano, ce ne sono anche molti che non infettano semplicemente perche’ i server remoti malefici in questo momento non funzionano. :\
Confermo, ho alcuni siti su questi server e in tutte le pagine è stato inserito l’ iframe, indipendentemente dal fatto che queste siano dinamiche o meno
se la societa’ di hosting non è in grado di risolvere il problema deve mettere il server offline. E’ una cosa troppo grave. Stanno rischiando grosso. Direi che potrebbero essere denunciati se sanno e non risolvono la situazione
e.c. i server
se penso a quanti pc potrei infettare con i miei sito mi viene la pelle d’ oca!!
e non posso fare niente, non posso connettermi in ftp che sembra disattivato!
L’IP che hanno piazzato più frequentemente nell’iframe, il 58., fa da ponte poi per i redirect che gestiscono loro.
Meno frequentemente hanno piazzato dei JS offuscati.
Non è assolutamente una bella situazione
I siti sono ancora “infettanti”. Bella debacle.
Temo che per aver risolto, come dicevo sopra, vogliano dire che hanno trovato la falla da cui sono entrati gli attacker e l’hanno chiusa. La bonifica però dei siti sto avendo dubbi che l’abbiano lasciata agli utenti, senza avvertire nessuno…perlomeno così sembrerebbe da chi scrive qui, cioè che non ci sia stata nessuna comunicazione ufficiale.
assurdo… dovevano eliminare le modifiche delle pagine.E’ loro responsabilita’. E’ molto grave quello che sta accadendo
Tre giorni senza risolvere alcunche’ su centinaia di siti mi sembrano effettivamente eccessivi… vediamo come si mettono le cose…
Che tristezza pero’…
beh non si stanno facendo una bella pubblicita’. Non metterei mai un mio sito su un hoster del genere. E se l’avessi, disdetta non appena scade il contratto. Potrei anche fargli causa o addirittura denunciarli.
A questo punto pare evidente una bella epidemia pero’ a basso livello.. Sarei curioso di vedere l’incidenza dei sistemi operativi, sempre che le macchine usate per hosting, non siano PC dedicati, bensi degli “enormi” VPS.. Sarei curioso di conoscere il software di base per fare questi serveroni..
Come dice Fabrizio sarebbe importante capire quali S.O. siano stati attaccati e soprattutto quale vulnerabilità sia stata sfruttata…
qualcuno parlava di ASP, ASP.NET e html puro…
è stato aggiunto che l’FTP è stato disabilitato….
quindi una 0-day sull’ftp di microsoft ?
o semplicemente una patch non passata ?
Io credo che sia stato bucato il server.
Da HS dicono che l’accesso è avvenuto via FTP con password regolari (e per questo cercavano anche di dare la colpa a noi). Ho dovuto fargli notare che diversi altri siti non nostri erano stati modificati per ricevere un generico “facciamo una verifica”.
Quello che mi chiedo è se vi possano essere delle responsabilità per una gestione del genere (a noi è la seconda volta che capita in un paio di mesi).
Certo che ci sono delle responsabilita’.Non capisco perche’ non rimuovono il codice infetto. Assurdo
@pin: che sia stato “bucato” il server, o che sia stato un problema di sistema operativo, la cosa è simile ma non uguale.
Sarebbe infatti necessario capire, anzitutto la causa, e imho, stanno brancolando nel buio. Questo mi fa pero’ pensare e sospettare sempre più che adottino dei mega VPS “preconfezionati” tutti uguali per diversi server di hosting. Soluzione utile, soprattutto per prblemi di HA e Failover, quindi non sarebbe proprio impensabile.
Di conseguenza, se così fosse, ci sarebbe da capire se è il software di base dei VPS ad esser portatore di infezione, o la “scatola all’esterno” che è stata infettata e ha poi ramificato la cosa ai server sotto emulati.
Le responsabilità ci sono e determinanti, e imho, visto quanto successo, la prima cosa è stabilirne con certezza la causa, patchare, e poi nel caso, daccordo con il cliente ripristinare un backup a prima del fattaccio.
Non occorre troppa scienza infusa, solo un po’ di attitudine al problem solving.
Per la cronaca, i miei vecchi datori di lavoro usano tutt’ora hostingsolutions. Bene hosting su piattaforma linux con php, non è stato intaccato. Quello di un altro dominio “riservato” su piattaforma ASP o ASPx salvo il vero, si.
giusto per la cronaca, ho trovato fra i miei log queste richieste (fanno riferimento a pagine esistenti) ma i parametri sono da ijection…. o cosa ?
Cioè: che cosa stanno tentando di fare ? cosa cercano di sfruttare ?
Ecco il log:
?regione=&provincia=AQ&sistemazione=1 HTTP/1.0″
?regione=10&provincia=AQ&sistemazione= HTTP/1.0″
scusate, ma mi taglia la parte: in pratica ci sono una serie di richieste che sostituiscono, a turno, ad uno dei parametri un valore che inizia con iframe src= poi tra virgolette data:text/html base64,(stringa encodata).
da quello che capisco vorrebbero cercare di vedere se i parametri di queste URL vengono per caso memorizzati e soprattutto mostrati da qualche pagina sul sito… giusto ? e immagino che questo iframe encodato scateni l’inferno….
Francesco, scusa se viene tagliato e ti dà errore, ho dei meccanismi di protezione
immaginavo, ma pensavo che facesse un “escape” dei caratteri, cioè che li rappresentasse a video trasformando lui in & lt ;
Viene passato al controllo ogni POST con ciò che ne contiene, per questo viene identificato. È un pò restrittiva come cosa, ma visti gli ultimi mesi se non si alzano un pò le difese
Scusate, sono arrivato qua da un link sul forum di Punto Informatico. Ma possibile che di una cosa così grave se ne parli solo qui? Io se non ci capitavo per caso neanche l’avrei mai saputo.
Andrea: beh si’… possibilissimo… d’altronde di Gromozon, forse l’infezione piu’ grave del 2006, per mesi se n’e’ parlato solo qui e su pochissimi altri forum.