In riferimento al caso del noto cantante italiano Roberto Vecchioni, già analizzato precedentemente qui, ho avuto modo di andare un po’ più a fondo sulla questione e mi sono accorto di qualcosa che sembrerebbe ben più grave.
Il sito di Roberto Vecchioni è ospitato sui server di Hosting Solutions, attualmente uno dei più rinomati hoster italiani. Insieme al sito di Vecchioni sono ospitati, sia sullo stesso server che su altri server messi a disposizione dalla società per hosting, moltissimi altri siti web.
Quello che però è balzato all’occhio è stato che molti altri siti sono stati modificati, utilizzando le stesse modalità di attacco portate avanti verso il sito di Vecchioni. Molti siti al momento contengono dunque lo stesso codice malevolo che era contenuto nel sito del cantante italiano.
Il fatto che i siti siano ospitati su server differenti, non riconducibili dunque ad un solo indirizzo IP, potrebbe far pensare due cose:
su tutti questi server sono stati trovati alcuni siti web che utilizzavano qualche script php/asp non sicuro e sono riusciti ad entrare nel server (il che non dovrebbe accadere, teoricamente, se gli spazi sono ben definiti e sicuri l’un l’altro); i server soffrono di qualche falla che ha permesso l’intrusione dall’esterno
In entrambi i casi, vorrei consigliare a tutti i webmaster che hanno un sito web ospitato nei server di Hosting Solutions di controllare i propri siti e il codice html, alla ricerca di iframe che reindirizzano ad indirizzi IP non conosciuti o codici JavaScript offuscati che non sono frutto di un proprio lavoro. Consiglierei inoltre il cambio di tutte le password di accesso, per essere scrupolosi ed evitare che ci siano stati furti di dati personali.
Al momento ho potuto contattare Hosting Solutions, i quali mi hanno rapidamente confermato che hanno applicato tutte le contromisure necessarie per bloccare l’attacco informatico, per cui la/le eventuale/i falla/e dovrebbero essere state del tutto risolte.
Questo è un breve filmato che mostra cosa accade navigando su una pagina infetta.
-------------
Post correlati:
Andrea: ringrazia che se ne parli almeno qui
scherzi a parte, PC Al Sicuro non ha un grande bacino di utenza, per cui probabilmente non se ne sono neanche accorti
tranquilli.Ci penso io a diffondere la notizia con le mie 1000 visite in un mese
mi sa che chiudo baracca e burattini
Maverick non chiudere ASSOLUTAMENTE, il tuo blog e’ una figata.
Well, io scrivo per Punto Informatico, oltre che per MegaLab.it. Ho già segnalato la cosa a chi di dovere, però non ho avuto risposta. Quello che posso fare è ri-segnalare la cosa, e scriverne per MegaLab.it se trovo il tempo…..
TNT sfotti?
. Te ne approfitti perchè hai i mezzi a disposizione 
. Comunque il mio obiettivo è che un virus oscuri il mio blog come successo ad alcuni forum e a questo sito 
Vuol dire che ho dato fastidio almeno un pochino .
Maverick no dicevo sul serio.
Comunque finche’ rimarrai su blogger la vedo dura, non credo si mettano a ddossare quello.
Non parlavo di un attacco ma di un virus che non permette al pc infetto di raggiungerlo. Ovviamente ho scelto blogger proprio per quel motivo. Credo che un ddos in quel caso sarebbe davvero darsi la zappa sui piedi da soli. Anche Gromozon è stato un errore se ci pensi. Un virus troppo astuto e difficile da rimuovere per non destare molta preoccupazione.Mi pare che la tendenza sia di non fare troppo rumore. Gromozon una volta scoperto è stato un terremoto
A proposito di HS e dell’attacco subito. Il mio sito (oltre 15000 visite) è stato coinvolto nell’attacco, a seguito di alcune segnalazioni di visitatori, segnalo l’accaduto a HS che mi risponde della presenza di un redirect a dramcnt.com che dovrei rintracciare in qualche modo. Apprendo ora dal vostro forum di tutto l’accaduto e sinceramente, non riesco a trovare nel sito (portale joomla) ne il link ne il JS oscurato (che non conosco bene come sia).
Sono in cerca di una spiegazione più accurata (=semplificata) per un web master in erba.
guarda nel codice delle pagine web se c’è un IFRAME hidden che ti connette ad un sito estero. C’è, perché stavo controllando due minuti fa, prima che mettessi il sito offline
Ora che è offline non posso sapere esattamente dove sia
Ciao Marco,
ho rimesso on line il sito (sperando di non causare ulteriori danni)
L’IFRAME hidden (quindi nascosto) come faccio a scovarlo?
Vorrei verificare tutti gli altri siti che ho su HS
Se non è in home, controlla i php che vengono caricati dalla home, inclusi. Sicuramente ci trovi un codice tipo < iframe > indirizzo web o alla fine della pagina un JavaScript scritto in maniera strana (parecchi numeri e lettere) che tu sai non essere opera tua
Approfitto ancora,
il sito è stato realizzato con joomla, e io non ho scritto una riga di codice (praticamente), ho provato a cercare tra tutti i rimandi e richiami, ma penso di essermi perso.
Fai una cosa: prova a guardare i file che sono stati ultimamente modificati, ordinali per data, dopo di che controlla all’interno di quelli.
Grazie,
mi rimetto alla ricerca
Anche se molto tardi ho scovato il bas****o, un js oscurato, infilato in fondo ad una pagina del template di joomla che inizia così:
e = ’0×00′ + ’77′;str1 = “%CC%94%9F%82%E8%8 …..
non voglio metterlo tutto visto che la madre degli imbecilli è sempre gravida!
Grazie Marco e grazie al Forum di PC Al Sicuro!
ottimo
Di nulla
Ho trovato questo articolo solo oggi.
I problemi alla hosting… sono moooolto più gravi di quello che sembra.
Non si tratta solo di un malware che ha infettato migliaia di siti.
Ci sono anche parecchie CENTINAIA di MIGLIAIA di domini di terzo livello attivati all’insaputa dei proprietari del dominio base, questi domini abusivi puntano ad altrettante pagine (ben indicizzate in google) con contenuti “molto discutibili”.
Antonio, hai ragione, ho trovato ad esempio: http://www.google.com/search?q=inurl:%22lospaziobianco+it%22 ed e’ un disastro. Per fortuna al momento sono irraggiungibili, l’unico modo di vedere cosa c’era e’ guardare la cache (SCONSIGLIO di farlo se non si e’ adeguatamente protetti). Ce ne sono per caso alcuni ancora attivi?
Mamma mia che roba…
Purtroppo la lista dei domini è molto lunga, io ne ho già trovati parecchie decine ciascuno con 10000-80000 hostnames abusivi.
Su quelli che ho trovato un 30% sono ancora raggiungibili e google sta continuando ad indicizzare migliaia di pagine.
Da notare che ho contattato telefonicamente un paio di proprietari dei domini e questi erano all’oscuro di tutto nonostante i loro record dns fossero stati fixati.
Facendo una query del record SOA si può notare dal seriale che sono stati fixati fra il 10 ed il 15 maggio.
Da notare che alcuni dei record dns abusivi puntano ad un ip nella stessa classe C dell’ iframe di cui si parla all’inizio di questo 3ad.
Una coincidenza??
E’ successo ancora!
altri 8 siti modificati in data 19/5/2007. Stessa tecnica con con JS e con iframe.
Devo proprio cambiare provider?
puoi passarmi maggiori dettagli (siti web) in e-mail? Trovi l’e-mail nella sezione “About me”.
Grazie mille
Umberto e Marco: se non vi spiace, comunicateli anche a me m4u7sih02@sneakemail.com (email che terro’ solo per breve tempo prima di cancellarla)… Oppure Marco se vuoi alla solita email (non la metto qui per evitare che inizi a ricevere spam)…
Ok, ti tengo informato appena so qualcosa
Ciao Marco spesso trovo qualche tuo articolo interessante ogni volta che ho problemi di sicurezza, ora ho un sito web con il tag maledetto
proprio sul’index.htm della root
{src=’http://58.65.239.180/’ width=5 height=5
style=’display:none’}
nonostante che ho rimosso tutta la pagina e sostituita
facendone piu copie htm, html,asp, index ,default ecc..
non c’e’ modo l’indirizzo principale continuia a rimanere bloccato
da diversi giorni
come e’ possibile ????
Grazie e un saluto
Silvio
Mi correggo scopro solo ora che adesso ricaricando la pagina viene quella nuova, probabilmente era dovuto a qualche sistema di cache
tutto a posto sembra che e’ sufficente cancellare quel tag
Grazie