About me

Meta

Possibile intrusione nei sistemi Aruba

Avevamo già parlato lo scorso mese di un’intrusione avvenuta nei sistemi Hosting Solutions, intrusione che aveva permesso a degli attacker di modificare le home page di svariati siti web includendo un IFRAME che permettesse il redirect degli utenti verso siti web contenenti malware.

Hosting Solutions aveva comunicato di aver scoperto la falla e di averla sistemata, sebbene giorni dopo questa dichiarazione un utente ci aveva informato che i suoi siti hostati su Hosting Solutions erano stati di nuovo modificati.

A giorni di distanza il team è tornato a colpire, questa volta con un altro grande hoster italiano, Aruba.

Sembrerebbe, infatti, che diversi siti web hostati su differenti server del noto provider italiano siano stati modificati utilizzando la stessa tecnica dell’IFRAME. È lecito, dunque, sospettare nuovamente di un’intrusione nei sistemi di Aruba, così come è successo nei sistemi di Hosting Solutions.

Gli autori di questi attacchi sembra utilizzino, come comunicato da Symantec che sta indagando anch’essa ora sul caso, un kit già pronto per sferrare attacchi di malware denominato MPack e venduto in Russia.

Si raccomanda al momento di bloccare i seguenti indirizzi IP, oltre a quelli che avevo già comunicato nell’articolo pubblicato riguardo l’intrusione nel sito web di Roberto Vecchioni:

58.65.239.180 (già inserito nella pagina sopra linkata)
64.38.33.13
64.62.137.149
194.146.207.129
194.146.207.18

*** UPDATE ***

Sono migliaia i siti web compromessi su diversi server Aruba, mentre continuano ad essere presenti siti web infetti hostati su Hosting Solutions.

Il kit MPack utilizzato non è ben chiaro se sia la versione 0.86 (come indicato nel pannello delle statistiche) o l’ultima versione 0.90 come indicato nel readme del pacchetto (rilasciata il 27 Maggio 2007).

Come già indicato, il paese che più sta fruttando è l’Italia, con un’efficienza attuale del 28%. Una volta che uno degli exploit eseguiti dal kit caricato sul server riesce a funzionare, viene loggato l’IP e la nazione di provenienza, a scopo di statistica e per bloccare ulteriori infezioni a danno dello stesso IP.

Dopo ciò, viene scaricato un Trojan.Downloader che si occupa - iniettandosi in svchost.exe - di scaricare ulteriore malware.

Attenzione dunque, al momento molti server di Aruba sembra siano stati violati così come più di un mese fa, su queste stesse pagine, avevamo avvertito di una stessa violazione avvenuta ai server di Hosting Solutions.

Ulteriori aggiornamenti nei prossimi giorni.

*** UPDATE ***

Sta aumentando l’elenco dei siti web infetti, la maggior parte di questi ospitati su Aruba. Ora il server centrale riporta quasi 10.000 siti web infetti (referer), sebbene fortunatamente l’efficacia dell’attacco stia diminuendo grazie al fatto che le società di antivirus e antimalware (Prevx 2.0 incluso, ovviamente) stanno prendendo provvedimenti per il riconoscimento del trojan. Di fatto al momento i tre antivirus free riconoscono il trojan, cosí come Kaspersky, Nod32, Symantec dovrebbe riconoscere l’iframe, Prevx 2.0 (non basarsi su VirusTotal, l’engine che é sul servizio web non é aggiornato e sta per essere implementata la nuova versione).

Rimane grave la situazione su Aruba. Si consiglia al momento di cambiare le password di accesso al proprio sito web e di contattare l’hoster immediatamente.

*** UPDATE *** (19 Giugno 2007)

Sembra che Aruba stia gestendo la situazione, eliminando gli iframe dai siti web infetti. Sarebbe interessante conoscere come sia potuto accadere un attacco del genere, ma dubito che sia possibile venirlo a sapere ufficialmente.

Dopo Hosting Solutions, dunque, Aruba. Si accettano scommesse sul prossimo hoster che verrá attaccato.

*** UPDATE *** (19 Giugno 2007)

Alcune buone notizie. Il server centrale é stato messo offline, per cui il rischio attuale é stato soppresso. Tuttavia, l’indirizzo che l’iframe conteneva rimanda ad un server che fa da ponte. Da quest’ultimo gli utenti venivano reindirizzati al server centrale. Chi vuole puó tranquilamente mettere su un nuovo server centrale e reindirizzare lí. Proprio per questo é importante bloccare comunque almeno l’indirizzo IP 58.65.239.180, almeno finché resta attivo.
I server di Aruba coinvolti sono stati circa 199.

*** UPDATE *** (20 Giugno 2007)

Symantec ha rilasciato alcune informazioni su come gli iframe vengano iniettati all’interno dei siti web, cioè attraverso un tool automatico che utilizza username e password dei siti web per accedere e modificare le pagine. Quindi cambiare i dati di accesso, ciò che avevano suggerito Hosting Solutions e ora Aruba agli utenti, sembrerebbe una mossa valida.

La domanda che però sorge è: in che modo gli attacker si sono procurati questa gran quantità di password di accesso? Installando un keylogger su migliaia di pc dei webmaster che gestiscono i siti web? Li hanno beccati quasi tutti che gestiscono siti web su Aruba (e quasi tutti prima che gestivano siti web su Hosting Solutions)? Se anche così fosse, cioè sono riusciti ad avere accesso a così tanti pc direttamente, evidentemente dovrebbero aver utilizzato una tecnica particolarmente efficace per iniettarlo all’interno dei pc delle vittime webmaster. A cosa servirebbe dunque l’utilizzo di MPack se sono riusciti ad attaccare direttamente già così tanti pc con una tecnica così efficace? Per colpire molti altri pc? Potevano utilizzare la stessa tecnica.

Questi webmaster utilizzano forse password deboli, di semplice individuazione? (pcalsicuro:pcalsicuro ad esempio). Potrebbe essere una valida opzione, anche se sinceramente - rimanendo in buona fede - spero impossibile che migliaia di utenti abbiano simili password di accesso.

O sono riusciti in qualche modo ad avere accesso al database degli utenti riuscendo a recuperare le credenziali di accesso? E, se questo è successo, come è successo e quando è successo? Sarebbe interessante verificare se ci sono siti modificati con iframe che sono stati pubblicati di recente, cioè sono clienti da poco tempo. Se ci fosse un denominatore comune si potrebbe anche forse capire quando possa essere avvenuta la probabile intrusione.

*** UPDATE *** (25 Giugno 2007)

Come era facilmente prevedibile, ed avevo scritto precedentemente, il server centrale è stato spostato all’IP 64.62.137.149. Bloccare anche questo IP. Prevx 2.0 riconosce il trojan downloader.

Scritto il 16 Giugno 2007

93 Responses to “Possibile intrusione nei sistemi Aruba”

1. 
   Ercolino
   Giugno 16th, 2007 at 19:59

   Ciao Marco ho trovato diversi IP da bloccare segnalati anche qui

   http://www.spamhaus.org/sbl/sbl.lasso?query=SBL51152

   http://www.spamhaus.org/sbl/sbl.lasso?query=SBL54249

   http://www.spamhaus.org/sbl/sbl.lasso?query=SBL43489

2. 
   m4v3rick
   Giugno 17th, 2007 at 12:53

   S C A N D A L O S O

   Se quelli di hosting solutions e aruba non rimuovono gli iframe e i jscript incriminati e tappano sta cacchio di falla sui server windows faccio una denuncia alla polizia postale.
   Onestamente mi sono rotto i c…….

3. 
   L’Italia sotto pesante attacco malware!! - PianetaPc blog
   Giugno 17th, 2007 at 19:32

   […] Dopo l’incredibile vicenda di Hosting solutions e’ la notissima societa’ Aruba a fare le spese della violenza e dell’abilita’ della nuova cyber-criminalita’ organizzata. Tutti i dettagli li potete trovare sul sito della symantec ad opera dell’ottimo Elia Florio e sul sito pcalsicuro http://www.symantec.com/enterprise/security_response/weblog/2007/06/italy_under_attack_mpack_gang.html http://www.pcalsicuro.com/main/2007/06/possibile-intrusione-nei-sistemi-aruba/ http://www.hwupgrade.it/forum/showthread.php?t=1494289 Un’intrusione davvero preoccupante visto la mole di siti web coinvolti e l’importanza dell’aziende sul panorama italiano. Ma […] […]

4. 
   Fabrizio
   Giugno 18th, 2007 at 09:25

   maverik la penso assolutamente come te.

   E’ l’ora di finirla! Aruba poi è da tempo che imho dovrebbe chiudere.

5. 
   Valeria Olivati
   Giugno 18th, 2007 at 10:53

   Io gestisco una 40ina di siti web su Seeweb e ho subìto l’attacco sopra descritto in tutti i miei domini hostati su Seeweb ancora nel mese di aprile 2007. Da subito ho segnalato il problema a Seeweb e la sua risposta, dopo una settimana di attesa e il cambio di tutte le password di accesso FTP per sicurezza, è stata che la colpa era la mia che probabilmente avevo un malware sul PC….Niente di più sbagliato, il PC era pulito e ricontrollato molte volte…Non si sono comportati a mio avviso molto correttamente, nè hanno ascoltato/letto tutto quello che gli avevo segnalato fin da subito, altrimenti non mi avrebbero “accusato” di essere l’origine del mio problema. Ho altrettanti siti web si diversi altri provider e su quelli, fino ad oggi, nessunissimo problema e li gestisco nello stesso modo degli altri. Ho anche siti web su Aruba, e ho controllato ora, non sembra siano stati toccati fino ad ora…E’ proprio un attacco subdolo perchè a questo punto non esistono più siti web sicuri, nemmeno quelli conosciuti. Una soluzione home-made che mi hanno suggerito è quella di mettere i permessi delle index tutti a 444, così da evitare la scrittura indesiderata. L’impressione è quella che possa funzionare, ma la certezza non ce l’ho. Passo la palla a qualcuno più esperto di me in queste cose.
   Saluti a tutti.

6. 
   Migliaia di siti Italiani sotto attacco | Networking - Reti, adsl, voip, wireless,firewalling
   Giugno 18th, 2007 at 11:03

   […] Pc Al Sicuro ci segnala che anche i server di Aruba, uno dei più importanti hoster italiani, sono stati compromessi. […]

7. 
   Valeria Olivati
   Giugno 18th, 2007 at 11:19

   Volevo anche precisare che i server di Seeweb su cui sono ospitati tutti i siti da me gestiti che sono stati attaccati ad aprile 2007 dovrebbero essere tutti linux come da contratto da me richiesto…

8. 
   Valeria Olivati
   Giugno 18th, 2007 at 11:27

   Aggiungete anche questi IP 81.29.241.234 81.29.241.236 all’elenco di quelli da bloccare, erano negli iframe dell’attacco sui server Seeweb di aprile 2007 e non li ho trovati segnalati nei vari links qui riportati…

9. 
   Marco
   Giugno 18th, 2007 at 11:32

   Ciao Valeria,

   quegli IP sono relativi al Rootkit.DialCall, giá segnalati negli articoli dedicati

   In effetti avevo notato sabato una relazione tra le due infezioni, non l’ho scritta perché volevo controllare meglio prima.

10. 
    m4v3rick
    Giugno 18th, 2007 at 11:49

    valeria
    qui c’è la mia blacklist. Dalle un’occhiata

    maipiugromozon.blogspot.com

11. 
    m4v3rick
    Giugno 18th, 2007 at 11:52

    Ah alessandro recchia riporta integralmente un post del mio blog
    Ho acquisito un certa credibilita’ finalmente )
    Ho fatto carriera

12. 
    Valeria Olivati
    Giugno 18th, 2007 at 13:26

    Grazie mille a Marco e m4v3rick per la segnalazione, io non li avevo visti i miei IP negli elenchi
    Ho ricontrollato ancora i siti ospitati su aruba e ne ho trovato solo uno infettato su 7, che tra l’altro non ho registrato io per cui non so se sia su server Win o Linux. Gli altri che ho sotto controllo sono 5 su server win (tutti registrati più di 4 anni fa) e 1 su server linux registrato di recente. Potete darmi qualche notizia in più sul suggerimento di mettere a 444 il permesso della index di un sito per proteggerlo dall’inserimento del codice iframe malevolo? E’ una precauzione che può proteggere?
    Grazie ancora a tutti

13. 
    Giando
    Giugno 18th, 2007 at 15:23

    anche il mio sito era stato colpito.
    un rimedio è togliere i permessi di scrittura ai principali file del tuo host, tipo i file index. impostate gli attributi a 555

    ciao

14. 
    Fabrizio
    Giugno 18th, 2007 at 16:19

    Riguardo i permessi sui files… Beh oddio, imho andrebbe visto come questo IFRAME si inietta e cosa sfrutta. Se usa qualche zeroday che permette di aver privilegi di root su di una macchina linux, non penso serva a niente fare una cosa del genere. Certo che da “professionisti” informatici sentirsi rispondere che la colpa è propria per qualche malware sul proprio PC, quando invece sono i server ad essere bucati..

    Quello che ancora non riesco a capire, è cosa sia stato sfruttato per avere così tante possibilità di diffusione.

15. 
    Ercolino
    Giugno 18th, 2007 at 18:32

    Sopra ho messo anche alcuni link di Spamhaus e sabato pomeriggio ho avvisato un cliente di Aruba che aveva il sito
    infettatto

    Ad Oggi Aruba non ha ancora avvisato i suoi clienti

    http://community.aruba.it/forums/ultimatebb.php?ubb=get_topic;f=58;t=000218

    http://www.digital-forum.it/showthread.php?t=34869

16. 
    TNT
    Giugno 18th, 2007 at 20:21

    Ah ecco, andiamo bene…

17. 
    Valeria Olivati
    Giugno 18th, 2007 at 20:45

    @Fabrizio: Neanche a me l’hanno poi spiegato, ovviamente…per quanto riguarda l’accusa in effetti di primo acchito mi sono messa io per prima in dubbio, ma dopo aver fatto passare Norton AV, Panda AV online, SpyBot S&D, HiJackThis che non hanno rivelato nulla di anomalo, e dopo aver corretto tutte le index e cambiato tutte le password FTP da un PC fuori dalla mia rete e pulito, e ritrovarmi di nuovo tutti i siti Seeweb infettati dopo due giorni, anche quelli appena registrati e mai pubblicati, e solo quelli, a me il dubbio che ci fosse qualcosa sui loro server era venuto…a loro no perchè hanno proseguito imperterriti ad incolparmi…

    Mi spiace solo che ovviamente sui contratti di hosting ci sono clausule che li sollevano da questi problemi (giustamente) e anche dalle loro negligenze quando accadono (ingiustamente secondo me…). E dire che server Seeweb dovrebbero essere Linux e che secondo Netcraft stanno fra i 30 migliori provider al mondo…Come Aruba nell’ultimo anno daltronde…Devo dire che sinceramente non mi ha deluso tanto il fatto che i server di Seeweb siano stati attaccati, anche se sicuramente è segno di una loro debolezza interna, ma quanto il loro comportamento accusatorio nonstante le prove tecniche contrarie e il loro silenzio nei confronti dei loro clienti. Infatti non mi risulta che abbiano avvisato nessuno, nemmeno con un “System Alert” sul loro sito web. E vedo che è un comportamento comune fra i provider…Chissà quanto siti web saranno rimasti infetti allora, a meno che non si siano presi la briga di correggere loro tutte le index infette….Lo spero proprio, anche se io me le son dovute pulire tutte da sola…Come ho letto da queste parti in un commento ad altro post: la sincerità paga sempre. Peccato che pochi lo capiscano…
    A questo punto dovrò cercarmi un altro provider, forse piccolo e scoosciuto così non verrà preso di mira…ma con quali garanzie di servizio poi? Peccato non avere forza economica e competenze per mettermi su un server da sola….
    Scusate lo sfogo, ma ancora mi bruciano le 40 ore perse a cercare di risolver un problema che non dipendeva da me…Mi preparerò psicologicamente ad altre ore perse per i server Aruba.
    Saluti a tutti

18. 
    TNT
    Giugno 19th, 2007 at 03:14

    Pare che la situazione normale sia stata ripristinata, almeno in parte. Molti siti infetti non mostrano piu’ l’iframe… speriamo bene…

19. 
    Marco
    Giugno 19th, 2007 at 03:18

    Si, confermo

20. 
    Ugo Giaquinto’s Web Log » Italia sotto attacco: Mpack colpisce ancora!
    Giugno 19th, 2007 at 05:37

    […] La notizia proviene dal sito PC al Sicuro ed è stata confermata da Symantec. […]

21. 
    .:: Securnetwork.net Blog - Massimo Rabbi ::. » Server Aruba sotto attacco: siti web italiani nel mirino!
    Giugno 19th, 2007 at 10:45

    […] In questi ultimi giorni sui blog e sui siti web più disparati, non si è fatto altro che parlare del massiccio attacco subito da numerosi siti web hostati su server Aruba. Il modus operandi rispecchia in pieno  quanto avvenuto  lo scorso mese per i sistemi di Hosting Solutions. L’intrusione ha infatti consentito a degli attacker di modificare le pagine web di svariati siti web inserendo un IFRAME che effettuasse il redirect degli utenti verso siti web contenenti malware. Di seguito riporto il link a tre articoli che spiegano molto bene l’accaduto: - Server Aruba sotto attacco, allarme in Italia - Possibile intrusione nei sistemi Aruba - L’italia sotto pesante attacco malware Dalle cose lette qui e in altre pagine sembra sia stato sfruttato un tool automatizzato per lanciare attacchi malware: il software in questione è chiamato MPACK. Panda Software ha pubblicato un interessantissimo report che analizza nel dettaglio questo tool: lo potete scaricare qui. […]

22. 
    Enrico Giammaria
    Giugno 19th, 2007 at 13:18

    Ciao a tutti.
    Io solo il primo cliente Aruba ad essermi accorto dell’infezione e ad aver rimosso l’IFRAME (questo il 15 giugno)…ho capito quello che succedeva solo dopo la segnalazione di Ercolino (via telefono!!Ancora Grazie!!) visto che il ticket aperto da me in assistenza ha ricevuto una risposta ridicola solo ieri sera (18 giugno)…

    Nella risposta di ARUBA mi dicono che faranno degli accertamenti sul server, mi consigliano di cambiare le pass e che mi faranno sapere come mai sono riusciti ad entrare nel sito…

    Su aruba ancora ora non esiste una comunicazione ufficiale o un allarme lanciato dallo staff…solo il mio topic nel forum annuncia l’attacco che per ora sembra riguardare solo hosting win…

    Reputo irresponsabile nonché vergognoso la gestione dell’emergenza da parte di ARUBA.

23. 
    Ercolino
    Giugno 19th, 2007 at 13:36

    Ciao Enrico è stato un piacere

    Altri casi simili molto pericolosi

    http://www.repubblica.it/2005/b/sezioni/scienza_e_tecnologia/sicurezzaweb/italian-job/italian-job.html

24. 
    m4v3rick
    Giugno 19th, 2007 at 13:38

    @ Enrico Giammaria

    Guarda che hosting solutions ha avuto il problema qualche tempo prima e ancora ci sono le pagine con l’iframe.
    SCANDALOSO
    Fossi un di quelli la starei dalla mattina alla sera ad attaccare societa italiane. Tanto se ne fregano anche se avvertiti

    Questi hoster italiani? Dilettanti allo sbaraglio

    Andate alla corrida

25. 
    m4v3rick
    Giugno 19th, 2007 at 13:56

    Ne parla il tg1 delle 13.30 riprendendo l’articolo di repubblica

26. 
    Ercolino
    Giugno 19th, 2007 at 14:09

    Anche punto informatico oggi ha pubblicato la notizia

    http://punto-informatico.it/p.aspx?id=2022019

27. 
    Luigi
    Giugno 19th, 2007 at 15:38

    Non ci risultano problemi ad alcun sito da noi ospitato.

    I nostri tecnici sono sempre e comunque in allerta

    Luigi Corbacella
    HostingSolutions

28. 
    Marco
    Giugno 19th, 2007 at 15:40

    Aruba ha i suoi precedenti:
    “La polizia postale, con la scusa dell’indagine su crocenera anarchica,
    ha avuto modo di spiare per un anno le comunicazioni personali
    di tutti gli utenti del server autistici.org / inventati.org ” gestiti da Aruba.
    http://www.autistici.org/ai/crackdown/

29. 
    m4v3rick
    Giugno 19th, 2007 at 15:42

    @Luigi Corbacella

    alporto.it è pulito?

    Controllate meglio

    e come quello ce ne sono altri

    Distinti Saluti

30. 
    m4v3rick
    Giugno 19th, 2007 at 15:46

    @ luigi corbacella

    affittiinsardegna.it è pulito?

    (iframe e script)

    http://maipiugromozon.blogspot.com/2007/05/ancora-gravissima-la-situazione-di.html

    il post è del 2 maggio!!

31. 
    TNT
    Giugno 19th, 2007 at 15:53

    Luigi, controllate meglio. Ci sono un sacco di siti ancora infetti sui vostri server:

    http://img98.imageshack.us/img98/5904/untitledau9.png

32. 
    ChillOut
    Giugno 19th, 2007 at 16:00

    hxxp://www.affittiinsardegna.it controllato adesso ancora infetto
    Ciao

33. 
    m4v3rick
    Giugno 19th, 2007 at 16:01

    Certo che si
    che l’ho messo a fare allora?

34. 
    m4v3rick
    Giugno 19th, 2007 at 16:04

    http://maipiugromozon.blogspot.com/search?q=alporto

    così vedono anche gli screenshot dell’exploit ma ormai lo sanno pure i bimbi come funziona

35. 
    Marco
    Giugno 19th, 2007 at 16:24

    Ragazzi, non aggredite le persone. Siamo qui per aiutare, non per scannarci a vicenda dai.

    Gentilissimo Luigi,

    innanzitutto grazie per essere intervenuto qui. In effetti non é propriamente vero che non sono piú presenti siti web che contengono iframe infetti nei vostri server.

    Questa lista, non del tutto completa, riporta esattamente 63 domini localizzati su 7 vostri indirizzi IP:

    [194.242.61.175]
    [0] => santeodoro.com
    [1] => esperiaristorazione.it
    [2] => savethequeencircus.com
    [3] => gutenbergweb.com
    [4] => gianelline.net

    [194.242.61.210]

    [0] => thesaraceno.com
    [1] => cinemacity.it
    [2] => golfugolino.it
    [3] => rcv.it
    [4] => metamorfosi.info
    [5] => maremmapromotion.it
    [6] => blumaremma.it
    [7] => valextra.it
    [8] => ilportalesardo.it
    [9] => veteracar.it
    [10] => villasarah.it
    [11] => residencemediterranee.it
    [12] => lalunadisco.com
    [13] => quibert.it
    [14] => altracitta.org
    [15] => girsacrew.it
    [16] => caprillina.it
    [17] => aparthotelprimo.com
    [18] => agriturismo.sicomoro.toscana.it
    [19] => campustelecom.it
    [20] => gourmet.it
    [21] => comunedivalsolda.it
    [22] => valextra.com
    [23] => silenceonweb.com
    [24] => pigliacelligroup.it
    [25] => tiservice.it
    [26] => euroeurope.it
    [27] => taliafestival.it
    [28] => ilpagliericcio.it
    [29] => magrini.it
    [30] => francafiacconi.com
    [31] => riparazionielettrodomestici.it
    [32] => genovaset.com
    [33] => infioratadinoto.it
    [34] => doa.it
    [35] => immobiliareelite.it
    [36] => asilobianco.it
    [37] => modernissimo.it
    [38] => itiseuganeo.it
    [39] => hotelriomarina.it
    [40] => cinemacity.it
    [41] => fondazionearchimede.com
    [42] => agriturismobreda.com
    [43] => cantieriportodigenova.com
    [44] => novalba.it

    [194.242.61.122]

    [0] => mobilrot.it
    [1] => ringhostel.com
    [2] => aries-online.com
    [3] => allestimentidisabili.com
    [4] => abbeystreet.it
    [5] => pmtelevision.com
    [6] => euroservicecar.it

    [194.242.61.246]

    [0] => orologico.it
    [1] => kom.it
    [2] => kom.it

    [194.242.61.189]

    [0] => ideacasa.pc.it

    [194.242.61.74]

    [0] => webpuccino.it

    [194.242.61.136]

    [0] => annapedrotti.it

    Le metto a disposizione questa lista, che “dovrebbe” essere corretta (errori umani permettendo) per prendere nota di ció e, se possibile, di eliminare gli iframe in discussione.

    La ringrazio moltissimo per essere intervenuto in questa discussione.

    Marco

36. 
    m4v3rick
    Giugno 19th, 2007 at 16:49

    marco hai ragione ma io penso a quei poveracci che hanno il pc infetto per colpa di siti hackerati e che se usano la carta di credito online o homebanking rischiano davvero grosso
    L’errore ci puo’ stare ma questa cosa è successa quasi 2 mesi fa e gia’ era stata ben segnalata

37. 
    Marco
    Giugno 19th, 2007 at 16:56

    Hai perfettamente ragione Solo che “partire di testa” non aiuta, mette solo piú agitazione e allarme a quello che giá c’é. Tutto qua

    @Luigi:

    aggiungo una domanda al post che ho fatto sopra in sua risposta, se possibile: é stato individuato in che modo attacker hanno potuto accedere ai vostri server? Falla di qualche CMS/script ospitato da qualche sito e poi errore vostro di configurazione dell’hosting o falla 0-day in qualche servizio attivo nei server?

    La ringrazio moltissimo,

    Marco

38. 
    Fabrizio
    Giugno 19th, 2007 at 17:55

    Dunque. Gli hoster fanno da gnorri, e a quanto pare, non si capisce ancora la causa principale di questo attacco pazzesco. Ammesso che quel Luigi sia davvero uno degli uomini di Hosting Solutions, e non un suo “sosia”, mi vien da ridere a leggere certi commenti da parte dell’hoster. Sono daccoordo con marco quando dice che partire di testa non aiuta. Ma questi hoster, ancora non l’ho visti partire decisamente a ripulire.. Forse perchè ancora appunto non sanno nemmeno loro, quale sia l’anello debole della catena, ed è questo il grave.

    Domanda forse azzardata, ma un bello snort potrebbe tornare utile?

39. 
    ChillOut
    Giugno 19th, 2007 at 18:20

    Un Luigi Corbacella in HostingSolutions esiste, ma il nominativo è facilmente reperibile da tutti.

40. 
    Enrico Giammaria
    Giugno 19th, 2007 at 21:55

    Gentile cliente,
    la invito nel frattampo a provvedere ad effettuare per una sua maggiore sicurezza il cambio di login e password che le abbiamo indicato.

    Distinti saluti
    =====================
    Simone Pancini
    Aruba S.p.A. - Servizio Aruba.it
    Web site http://www.aruba.it
    N° Call Center : 0575/51571
    N° Fax : 0575/515790

    Questa è la seconda risposta al mio 2° ticket nel quale chiedevo allo staff aruba informazioni riguardo la violazione del mio dominio…la prima era uguale identica…solo che il tecnico che rispondeva era Marco Pompili.
    Mi chiedo a cosa serva cambiare la pass di amministrazione se non viene scoperta la causa del buco e non vengano apportate le modifiche necessarie affinché questo non si ripeta.
    Se cambio la pass la trovano di nuovo no? Qual’è il problema?

41. 
    TNT
    Giugno 19th, 2007 at 22:06

    Beh, ottima risposta non c’e’ che dire. Una risposta preconfezionata che non dice nulla… non fanno neanche lo sforzo di correggerla (frattAmpo)…

42. 
    demontool
    Giugno 19th, 2007 at 22:16

    Ragazzi, qualche barlume in piu’ sull’attacco… e’ di oggi: http://www.symantec.com/enterprise/security_response/weblog/2007/06/mpack_the_strange_case_of_the.html

    Ricapitolando:

    x gli utenti: patchate, installate AV/FW/HIPS, state in guardia

    x i webmasters: ripulite, patchate le webapp e CAMBIATE LE VOSTRE PASSWORD (altrimenti
    in meno di due secondi vi ritrovate un nuovo IFRAME)

    x i providers: patchate anche voi le vostre webapp e siate piu chiari nel comunicare le cose che non vanno ai vostri clienti…

    A noi poveri italiani non resta che consolarci con questa ennesima figura del cavolo globale e ringraziare sentitamente :

    - CERT-Italiano (http://security.dsi.unimi.it/)
    l’ultimo update di sicurezza sul loro sito risale al 2005… stanno ancora cercando Sasser!

    - Polizia Postale
    cito da http://www.datamanager.it/articoli.php?visibile=1&idricercato=20058
    “…anche se la polizia postale ha dichiarato di non aver ancora ricevuto segnalazioni.”
    Magari fra un paio di mesi qualcuno di voi abbia la gentilezza di spiegarli cosa è successo.

    Ma perche’ in Italia non esiste un centro coordinato di sicurezza informatica per queste cose?
    Peche’ le informazioni giuste girano solo su forum e blog come questo?

    […sfogo di un webmaster attaccato]

43. 
    m4v3rick
    Giugno 19th, 2007 at 22:30

    anch’io ho una risposta preconfezionata
    Avete indovinato?
    Comunque qualche cretino si è diverto a sfottere; non credo che il presidente della societa’ sia realmente intervenuto prima

44. 
    Arlecchin0
    Giugno 20th, 2007 at 01:23

    Ciao a tutti,
    scusate la mia ignoranza ma come si fa per sapere se un sito è stato violato?
    Come faccio a vedere l’iframe e soprattutto a bloccare i ” russi cattivi”?
    Come amministratore del sito c’è qualcosa che posso fare per far si che chi visita non venga infettato?
    Come utente, c’è qualcosa che posso fare per non essere infettato se capito su un sito interessato da questo attacco?

    Magari saranno domande banali ma ho tre siti su Aruba e solo mezz’ora fa ho saputo di questo attacco, ovviamente non da Aruba ma da webmasterpoint.org e credo che maggiore informazione potrebbe creare meno allarmismi e più soluzioni utili

    Grazie a tutti,

    Stefano ^_^’

45. 
    francesco
    Giugno 20th, 2007 at 06:59

    @Arlecchin0
    Questo attacco è indirizzato a server Windows. Se è il tuo caso,
    scaricati in locale la tua home page NON con il browser ma via ftp. (o con wget). Apri il file con un editor e NON con il browser e appena sotto la linea del “body” dovresti trovare l’iframe incriminato.

    @Marco
    Bellissima la “circa 199″

46. 
    francesco
    Giugno 20th, 2007 at 07:08

    Se è vero quanto dice la Symantec (e perché non dovremmo credergli?) circa il tool di ftp automatizzato, è anche vero quanto ripetono gli hoster: SONO ENTRATI CON LA PASSWORD !!!

    E dicono il vero quando dicono di cambiare subito la password: dai log gli risulta che qualcuno ha fatto il GET della pagina per farne poi il PUT successivamente…. Prenderne l’indirizzo IP e farne delle analisi sarebbe interessante…. anche se ci porterebbe su siti lontani….

    Rimane da capire, comunque, come hanno potuto procurarsi questa mole di password: non credo che abbiano compromesso i pc dei singoli webmaster ma sicuramente i server…..
    il problema è che potrebbero averli compromessi mesi fa !!!

    C’è una 0day in windows, nel server ftp, in qualche versione di software “bacata” installata dagli utenti, un qualche buco di ASP, .net….. ?

    Francesco

47. 
    Hjan
    Giugno 20th, 2007 at 10:09

    Alcuni link interessanti su siti esteri:
    http://www.eweek.com/article2/0,1895,2147711,00.asp
    http://asert.arbornetworks.com/2007/06/%e2%80%9cbaiting%e2%80%9d-web-surfers/

    Sul blog di asert ci sono spunti di cui discutevamo con Marco, appena mi sarà possibile vedo di scrivere qualcosa e condividerla con voi.
    Saluti,
    Gianluca

48. 
    Enrico Giammaria
    Giugno 20th, 2007 at 10:18

    …da stamattina non è più possibile nemmeno confrontarsi tra utenti aruba nel forum della community…
    Per pura casualità il forum è proprio oggi in manutenzione fino a data da destinarsi!
    …che sia stato vittima di MPack?!

    Così l’unico mezzo di informazione tra utenti vittime dell’attacco è fuori uso…andiamo bene…sempre meglio…

49. 
    daniele_dll
    Giugno 20th, 2007 at 13:23

    ciao marco,

    il mio primo post sul tuo blog, o il secondo forse,ma siam li!

    Beh sinceramente non ho letto tutte le risposte perché sono tante, però penso una cosa:
    - seeweb
    - aruba
    - hostingsolution

    senza considerare che sicuramente c’è ne sono tanti altri.

    Ora, sparo la mia: è impossibile che una marea immane di siti web siano stati bucati come è impossibile che siano stati bucati i pc degli utilizzatori

    Intendiamoci, se fosse stato cosi è facile che ci sarebberò stati casi anche all’estero e comunque, essendo un malware ad hoc, sarebbe saltato fuori: abbiamo ottimi ricercatori qui in italia (vedi marco )

    E’ anche impossibile che questi dati di accesso siano stati acquisitit tramite keylogger: vi vedete voi a chi sta dietro a tutto ciò a cercare e cercare e cercare tra tutto ciò che è stato scritto da una singola persona? Io, al giorno, scrivo tanto, ma tanto veramente! Solo stamattina, conteggiado i tasti cliccati tramite whatpulse, ho scritto quasi 40 mila caratteri mentre ieri quasi 50 mila! Provate a immagginare questo moltiplicato per, almeno, un migliaio di webmasters … viene fuori una cifra stratosferica che va ancora moltiplicata per il numero di giorni per i quali il keylogger è stato attivo!

    Ora dico la mia: secondo me è stato realizzato un rootkit/malware è de stato fatto finire dai provider

    Considerate che è facile racchettare le email dei provider:
    - il whois
    - il sito web
    - tramite richieste fittizzie

    Cosa fattibile tranquillamente a mano!

    Una volta che si prendono N caselle di posta elettronica, qualcuna che va a sfruttare software poco sicuro - vedi outlook - potrebbe essere la fonte di accesso per il controllo remoto che se eseguito in maniera furba (connessione del pc infettato ad un proxy socks tramite udp per esempio installato sulla porta 53) rende molto complicato il riconoscimento e da la possibilità a chi accede di accedere a tutto!

    Se a questo ci aggiungete che un servizio è tranquillamente in grado di instanziare un nuovo workspace con desktop annesso e con un mouse e tastiera virtuali associati a quel workspace si ottiene che è possibile non solo leggere il contenuto del disco ma accedere a tutti i software installati sul software. Questa ovviamente è un ipotesi e se ne possono fabbricare migliaia,

    Cosa voglio dire? è probabilissimo che sia colpa dei provider stessi!

    Non si tratta di idee folli bensì di una reale possibilità: hanno bucato e navigato su migliaia e migliaia di pc o lo hanno fatto su quelli degli ISP?

    All’isp vien facile dire: è colpa tua … chi può contraddirlo?

50. 
    Valeria Olivati
    Giugno 20th, 2007 at 17:00

    @daniele_dll: il tuo ragionamento è molto simile a quello che ho fatto io dopo i primi giorni di index modificate su Seeweb…ma nonostante la spiegazione di aver usato un PC diverso da quello della mia rete solita per cambiare 40 password di accesso FTP, e quel PC è poco connesso, e pure analizzato da 3 SW diversi fra cui Norton AV, Panda AV e Spybot S&D prima di fare le modifiche, è difficile che ci sia qualcosa. Magari questi non sono i SW al top per la sicurezza, ma se c’era qualcosa almeno uno di loro l’avrebbe dovuto segnalare…In più la connessione per modificare le password è stata fatta da una rete completamente diversa. E alla fine dopo mezza giornata di lavoro ritrovarsi di nuovo tutte le index cambiate due giorni dopo, pure quelle di due siti web nuovi con FTP mai memorizzate sul PC perchè siti mai pubblicati, e di nuovo sentirsi dire: verifichi il suo PC perchè probabilmente è presente qualche malware che ruba le password…direi che è troppo così. Anche uno poco esperto capirebbe che se ti modificano dati di un sito di cui tu non hai mai usato le password via FTP, forse non te le hanno rubate dal tuo PC, no?? Ma che cavolo di sniffer è uno che ti scova le password che nemmeno hai memorizzato nei programmi FTP ma le hai solo scritte in mezzo a mille altre parole in un file txt sparso nel file system del disco??
    Ma non c’è proprio un modo per far pagare ai provider questa allucinante negligenza nei confronti del loro clienti?????
    Capisco che potrebbe non essere colpa loro se vengono attaccati con tecnologie di intrusione moderne, ma se queste tecnologie sono conosciute e datate e loro non hanno preso le dovute precauzioni, dovrebbe esserci qualche modo per far pagare le loro colpe…forse così si sveglierebbero un po’…Utopia, vero???

51. 
    daniele_dll
    Giugno 20th, 2007 at 17:07

    Il problema è che il modo certo non c’è!

    Il problema è questo:
    - l’isp detiene i log
    - l’isp detiene i file del tuo servizio web e del database
    - l’isp detiene le configurazioni
    - l’isp ha i soldi
    - l’isp ha gli avvocati

    Tu singolo utente non puoi denunziare l’ISP perché l’unico modo di dimostrare la sua colpa, in situazioni simili, è far vedere che la sua configurazione, esaminando i file id configurazione, sia buggata ma personalmente ritengo impossibile che in italia si verifichi una cosa del genere

    Se eravamo in america (li hanno tante cose contorte ma hanno le bellissime class action) si faceva (per l’appunto) una class action con qualche avvocato bravo coinvolgendo le associazioni dei consumatori (che per loro questa è goduria estrema) e si poteva anche ottenere qualcosa, ma in italia … se fai la denunzia vieni come prima cosa contro-querelato e poi se ne riparla :\

52. 
    m4v3rick
    Giugno 20th, 2007 at 17:43

    Se eravamo in america (li hanno tante cose contorte ma hanno le bellissime class action) si faceva (per l’appunto) una class action con qualche avvocato bravo coinvolgendo le associazioni dei consumatori (che per loro questa è goduria estrema) e si poteva anche ottenere qualcosa, ma in italia … se fai la denunzia vieni come prima cosa contro-querelato e poi se ne riparla :\

    Parole sante

53. 
    francesco
    Giugno 20th, 2007 at 18:21

    @PER CHI HA AVUTO I SITI HACKERATI:

    1) sapreste recuperare il nome e la versione del programma FTP installati sul server ?

    2) sapreste recuperare il nome e la versione degli eventuali programmi presenti sul server ? Intendo, ad esempio, php v 5.2 o ruby, python, o mysql…

    Al punto 1 possiamo capire come/dove vengono memorizzate le pw (active directory, ldap, file, sql server, etc)
    Al punto 1 e 2 possiamo cercare fra gli advisor qualche buco di sicurezza.

    Francesco

54. 
    daniele_dll
    Giugno 20th, 2007 at 18:59

    ciao francesco,

    mi spiace smentirti ma sapendo il nome del software non puoi sapere dove vengono memorizzate le password.

    E’ facile che utilizzino un sistema centralizzato per l’hosting, passando per le pam per l’autenticazione, o per lo meno io farei cosi, poi non so come fanno loro.

    Poi il punto 2, anche se può sembrare utile, in realtà non lo è molto: è vero che php, ruby, python e cosi via potrebberò avere qualche falla, ma è infinitamente più probabile che i bug li abbia il codice che viene eseguito: per esempio molto codice che mi capita di vedere in giro effetta le inclusioni partendo da parametri che arrivano tramite URI con il risultato che cambiando il parametro puoi tirar fuori, per dire, l’elenco degli utenti attivati su passwd, se le pass sono in locale, o ancora puoi far includere una pagina php presente su un tuo spazio web avendo accesso a tutto.

    Oppure, quelli più comuni, dipendono dal template engine e dal fatto che non viene controllato cosa arriva: molti template engine odierni per questioni di performance e di features utilizzano eval per parsare il template con il risultato che effettuando le sostituzioni all’intero queste vengono parsate pure! Di per se non è sbagliato utilizzare eval o le preg con il modificatore e, che permette di eseguire del codice php, il problema è far verificare quello che si da in pasto al template engine perché un cracker potrebbe benissimo passarli la creazione di un file nella cartella temp o in una cartella scribile dall’utente e farlo includere durante una seconda esecuzione, onde evitare di passare 50/60kb di script tutto d’un pezzo via url.

    Ovviamente nel caso del software dinamico si presuppone una cattiva configurazione (per cattiva configurazione intendo anche le semplici curl abilitate su PHP che permettono di saltare le restrizioni sui percorsi e quindi di leggere altri file esterni con facilità!)

    Di recente, sinceramente, non ho provato ad usare le curl per fare ciò, però c’è un commento a riguardo
    http://it.php.net/manual/en/ref.curl.php#55467

    Potrebbe anche essere che l’hanno corretto questo discorso specifico

55. 
    Enrico Giammaria
    Giugno 20th, 2007 at 19:46

    Leggendo uno degli aggiornamenti di Symantec e altri siti di AV vedo che la tendenza è quella di affermare ormai che gli IFRAME vengano inseriti nelle home dei siti vittime utilizzando un tool automatico che utilizza username e password dei siti web per accedere e modificare le pagine.

    Ma se così fosse dovrebbe rimanere traccia della modifica, come se l’avesse fatta il webmaster, giusto? Invece (lo dico per esperienza) non c’era traccia della modifica nella mia home ma l’iframe era lì dal giorno prima.

    E come possono aver avuto accesso a così tante pass e username vista la mole di siti infetti?

56. 
    Valeria Olivati
    Giugno 20th, 2007 at 20:18

    Secondo me l’unico modo con cui si possa avere accesso a cosi tante pass e username è che l’agente infettante si trovi nella rete interna del provider e legga i dati di accesso FTP dall’interno, altrimenti io non so come spiegare come abbiano infettato due dei miei siti di cui mai ho usato le password via FTP perchè mai pubblicati e che ho comunque trovati infetti ad un mio controllo successivo per scrupolo…non chiedetemi i dettagli tecnici perchè non li so, vado solo per logica, e unisco ciò che sono riuscita a farmi dire telefonicamente da Seeweb dopo 15 giorni dalla prima segnalazione. La responsabile servizio clienti ha ammesso a parole al telefono che c’è stato un problema interno sulla loro rete che causava questi inserimenti di righe nelle index dei siti web e che i loro tecnici stavano lavorando giorno e notte per risalire all’origine del problema e quindi risolverlo. Ha giustificato il silenzio dei loro tecnici per tutti quei giorni dicendo che se un tecnico non conosce la soluzione del problema non ti risponde. Mi è sembrato ben poco professionale, quanto meno mi sarei aspettata da loro un “Il problema è più complicato del previsto, ma ci stiamo lavorando”, ma questo è ciò che mi hanno detto. Ha infine suggerito di cambiare di nuovo le password quando avessero risolto il problema, come scrupolo di sicurezza. Sto ancora aspettando di avere da loro notizie in merito…

57. 
    daniele_dll
    Giugno 20th, 2007 at 20:25

    Infatti io ho la brutta, ma consistente, sensazione che sia proprio questo il dramma :\

58. 
    francesco
    Giugno 21st, 2007 at 01:41

    c’è stato un virus che sosteneva sulla rete di essere il default gateway tramite un arp poisoning e iniettando codice malevolo “on the fly”…
    ma penso che anche il più scarso degli IDS si accorga delle presenza di questa situazione…

    Ricapitoliamo ? La situazione ad oggi è la seguente:

    - sono entrati con le password
    - non si sa come se le sono procurate

    Sui “circa 199″ server colpiti, TUTTI i siti sono stati modificati o solo alcuni ?
    Sarebbe interessante sapere, per poter datare la compromissione del database delle password, quando è stata cambiata l’ultima volta la password sui siti non modificati e modificati….

    @Valeria
    I due siti compromessi seppur mai pubblicati, quando sono stati creati ??

59. 
    Valeria Olivati
    Giugno 21st, 2007 at 12:00

    @francesco
    citeimmobiliare.it è stato creato intorno al 3 luglio 2006, dreamfood.it intorno all’11 luglio 2006 e la cosa strana è che questo è stato registrato in concomitanza con il dominio energiamucca.it lo stesso giorno, anche questo mai pubblicato ma nemmeno mai stato toccato dalla modifica dell’iframe. Di questi tre domini non ho mai inserito i dati FTP in nessun programma FTP per la connessione, finchè non ho riscontrato il problema a livello generalizzato, e ho quindi controllato anche questi per scrupolo. Ho potuto verificare che sullo stesso server (con lo stesso IP di riferimento) ci sono siti che sono stati toccati e altri no: 212.25.179.5 è uno di questi, che ospita liceolicos.it e giannino.pv.it che hanno ripetutamente subito il cambio delle index in orari e giorni diversi, oltre che anche citeimmobiliare.it, ma anche sandk-fashion.it mai toccato, mai pubblicato, anzi addirittura con il servizio segnalato come sospeso. Come pure è capitato a pochissimi domini, ad esempio sioflomellina.it sul server 212.25.179.4, che non sono mai stati toccati dalla modifica della index, pur essendo nella stessa sottorete degli altri, ed essendo pubblicati da tempo. Non so se ai più esperti potrebbe servire, ma mi sono fatta uno schema in excel con i domini verificati, toccati e a che ora e giorno.
    Le password io non le avevo mai cambiate su nessuno dei domini, salvo poi un cambio globale di tutte le password il giorno dopo che mi sono accorta delle modifiche. Date: 4 aprile e 5 aprile le prime modifiche rilevate sulle index, 6 aprile modifica di tutte le password da un PC diverso da quello che uso di solito (per evitare eventuali letture da probabili malware…), 10 aprile nuovamente index modificate.
    In alcune date gli orari delle modifiche sono diversi, in altre date invece la modifica è alla stessa ora.

60. 
    Umberto
    Giugno 22nd, 2007 at 11:38

    Ciao Marco,

    dopo l’esperienza negativa su HS ho provato a lavorare anche su ARUBA. Porca miseria, mi hanno beccato anche qui!

    La cosa strana è che questa volta non hanno aggiunto iframe o jscript come su HS, ma anno modificato in data 19/6/2007 (sito www.ourdream.it) 3 pagine php inserendo in testa due tag ( e ).

    Speriamo che la situazione migliori!

    Umberto.

61. 
    Ercolino
    Giugno 22nd, 2007 at 14:02

    La Symantec ha pubblicato un video

    http://www.symantec.com/enterprise/security_response/weblog/2007/06/mpack_the_movie.html

62. 
    Dusty
    Giugno 22nd, 2007 at 14:19

    A me pare evidente che abbiano trovato il modo di accedere alle password e che continuino a leggerle. Sarebbe interessante capire come sono salvate sul sistema… (in chiaro o con un banale DES o MD5… immagino io)

    Per quanto riguarda il come entrino, suggerisco che forse hanno trovato una qualche falla nel sistema di gestione via Web… niente di + facile, vista la fattura del sistema di Aruba (da incubo…)

63. 
    Enrico
    Giugno 25th, 2007 at 18:06

    Nelle ultime ore per i clienti Aruba è arrivata anche la sorpresa dei cambi password d’ufficio delle mail dei siti personali.
    Questo perché venivano utilizzate per azioni di phishing…vista la mole dei clienti interessati dubito che la colpa sia degli stessi che hanno ceduto dati d’ingresso alle mail o che tutti abbiano subito attacchi malaware….mi sa piuttosto che hanno trovato un altro buco in Aruba dove reperire dati sensibili a quintalate!

    A qualcuno si sono dimenticati di comunicare il cambio pass: potete immaginare che felicità!!

64. 
    Valeria Olivati
    Giugno 26th, 2007 at 19:04

    Immagina la felicità di quelli come me che hanno clienti che ricevono le email direttamente sulle loro personali….che non leggono praticamente mai!! Figuriamoci se mi avvisano!!
    Comunque non le hanno ancora cambiate tutte….

65. 
    Cristian
    Giugno 27th, 2007 at 09:27

    In virtù di un prezzo ridicolo, molti si affidano ad Aruba, nonostante le migliaia di segnalazioni di disservizi vari, più o meno documentati.
    Poi succedono questi problemi e tutti ad urlare e a chiedere spiegazioni, oltre che essere inorriditi dalla faccenda.

    Caro mio ragazzo, hai pagato 30-40 euro/anno per dello spazio hosting e ti aspetti anche che sia funzionale e che non abbia problemi?

    Ho sempre usato i server di 9net (e non vi dico la frustazione quando seppi che anni fa venne acquistata da… Aruba) e non ho mai avuto problemi. Da qualche tempo uso esclusivamente server USA. E qui di problemi ne ho ancora meno.

66. 
    marco
    Giugno 27th, 2007 at 11:40

    Ragazzi,

    sono arrivato a questa pagina cercando con google informazioni su un tentativo di intrusione da parte dell’IP 81.29.241.236, bloccato da Norton AV 2007. Ho letto con attenzione tutti i commenti ma non ho capito nulla, sono completamente a digiuno di informatica e mi limiti a controllare la posta. Il problema è che i miei hanno un conto on-line (anche io ma non l’ho mai usato) e ho paura che possano combinare loro qualche scherzo. Qualcuno di voi saprebbe spiegarmi in parole poverissime cosa fare per esser sicuro che il sito visitato non sia compromesso? facendo girare Norton non succede nulla, mi avverte soltanto alla fine che è stato bloccato un tentativo di intrusione da parte di diversi IP.
    Qualcuno può aiutarmi? vi prego, sono un povero antiquato che mastica ben poco di computer!

67. 
    m4v3rick
    Giugno 27th, 2007 at 12:27

    E’ meglio che non usino il conto online in questo momento. Se proprio
    devono formatta il pc.
    e poi installa tutte le patch tramite windows update. Poi installa firefox con l’estensione noscript oppure usa opera. Dopo aver installato qualche programma (acrobat reader,winzip, quicktime ecc.) controlla che non abbiano vulnerabilta’
    con secunia.com/software_inspector
    Crea un utente non amministratore per navigare sul web.
    Usa un AV aggiornato.
    Comunque è meglio NON usare il conto online di questi tempi

68. 
    marco
    Giugno 27th, 2007 at 14:06

    Grazie m4v3rick, ma ho ancora qualche dubbio:
    - i siti delle banche riportano numerose informazioni sulla loro presunta “invulnerabilità” e ne elencano le magnifiche doti anti-tutto: possibile che siano così folli da non avvertire se i loro clienti soggiacciono a qualche minaccia?
    - perdonate l’ignoranza, che significa “installa firefox con l’estensione noscript”?
    - credete che Norton 2007 sia sufficiente a scongiurare i pericoli di cui si parla?
    Grazie.

69. 
    m4v3rick
    Giugno 27th, 2007 at 14:14

    Le banche sono decisamente sicure ma è il tuo pc a non esserlo e ti fregano le password proprio li’. Per cui fai le cose che ti ho detto facendoti aiutare da un amico esperto.
    Norton 2007 puo’ andar abbastanza bene ma gli antivirus ultimamente possono davvero poco contro le nuove minacce.Serve una politica preventiva

70. 
    marco
    Giugno 27th, 2007 at 14:16

    Perfetto, grazie ancora.

71. 
    Marco
    Giugno 27th, 2007 at 15:32

    oddio, sulla sicurezza delle banche magari qualcosina, da ciò che ho potuto sentire, mi verrebbe da dubitare

72. 
    Ercolino
    Giugno 27th, 2007 at 15:50

    @Marco Giuliani

    Marco sembrano esserci altre segnalazioni riguardo ad un nuovo Toolkit simile a WebAttacker ed a MPack

    http://blog.trendmicro.com/all-roads-lead-to-troj-smallfxd/

73. 
    Marco
    Giugno 27th, 2007 at 15:52

    Sì, se non sbaglio non è nuovo. L’avevo già visto qualche tempo fa.
    Scusate per i pochi aggiornamenti ma non sempre l’essere fermi significa essere fermi

74. 
    m4v3rick
    Giugno 27th, 2007 at 16:05

    Marco G. ti ha scritto TNT?
    Ti devo dire una cosa abbastanza interessante

75. 
    m4v3rick
    Giugno 27th, 2007 at 16:17

    Marco G. ti ho scritto. Fammi sapere

76. 
    Marco
    Giugno 27th, 2007 at 17:13

    Visto e risposto

77. 
    m4v3rick
    Giugno 27th, 2007 at 17:39

    Non ho ricevuto nulla marco

    puoi rimandarlo?

78. 
    Enrico
    Giugno 27th, 2007 at 18:02

    @m4v3rick

    …sei sicuro che consigliare Opera sia una buona dritta? a quanto pare ha dei buchi mica male specialmente nella versione 9.2x

    http://www.downloadblog.it/post/3198/opera-nasconde-le-proprie-vulnerabilita
    http://www.pc-facile.com/news/opera_risolto_grave_problema_vulnerabilita/50133.htm
    http://www.pcopen.it/01NET/HP/0,1254,4_ART_66144,00.html

    La verità è che la sicurezza totale non c’è e quindi bisogna stare molo attenti quando si usano carte di credito, conti online ecc…prendere sempre tutte le precauzioni anche se a volte sembrano una perdita di tempo…

79. 
    m4v3rick
    Giugno 27th, 2007 at 20:13

    ma le falle le ha anche firefox , tutti li hanno
    Per me la soluzione ottima e’ sandboxie su FF

80. 
    TNT
    Giugno 27th, 2007 at 21:43

    La soluzione ottimale sarebbe Firefox su OpenBSD limitato con systrace…

    Ma sono d’accordo, usando Firefox, Sandboxie e utente limitato le possibilita’ che un sito faccia danni sono proprio davvero minime…

81. 
    m4v3rick
    Giugno 27th, 2007 at 22:27

    TNT sta sempre in agguato
    Appena dici una boiata zack
    arriva il cazziatone .-)

82. 
    TNT
    Giugno 27th, 2007 at 23:08

    Quale boiata? In realta’ confermavo…

83. 
    m4v3rick
    Giugno 27th, 2007 at 23:19

    Si certo stavo scherzando. Ma che fine ha fatto marco?
    Mi sono arrivate voci che l’hanno visto in giro con 3 sventole bionde ucraine mandate da inhoster. Mi sa che adesso che si sta dedicando a ben altri piaceri …. altro che scovare virus e malware

84. 
    Marco
    Giugno 27th, 2007 at 23:58

    Magari

    excite mi filtra come spam Sto cercando di provvedere contattando direttamente il supporto tecnico

    Però se avete qualche bella ragazza da presentarmi non mi schifo mica

85. 
    m4v3rick
    Giugno 28th, 2007 at 00:25

    ti scrivo con una mail diversa

86. 
    marco
    Giugno 28th, 2007 at 07:11

    Altre due domande in questo mondo di bugie ed omertà istituzionale:
    - qualcuno saprebbe dirmi se il sito dell’università di Napoli

    www.unina.it

    nelle opzioni “mail” è compromesso?
    - possibile che symantec abbia già fatto uscire sul mercato un prodotto anti MPack pamacea di ogni male da voi così ampiamente individuato e descritto?
    Ciao e buon lavoro.

87. 
    Fabio
    Luglio 11th, 2007 at 00:00

    Per quanto mi riguarda non ho avuto problemi di “intrusione da IFRAME” (anche perchè il mio hosting è Linux) ma tutte le pagine index, main e default con estensione .htm,html,php risultano modificate in data 19/06/2007 ore 21.05 ed hanno in aggiunta all’inizio due tag () sebbene successivamente ci siano di nuovo quelli previsti. Che sia qualche tool automatico di aruba che ripulisce le pagine (infette o meno).

    Inoltre nell’area apertura ticket, c’è il seguente annuncio (è un caso?):

    Inserito il: 14/06/07 09:37 | Autore:
    Manutenzione straordinaria servizio statistiche
    E’ in corso un intervento di manutenzione straordinaria sul server che gestisce il servizio statistiche dei domini attivati su Hosting Windows sulle macchine da webs160 a webs219 compresi.

    Seguirà conferma del termine dei lavori.
    ————————————————————————————Aggiornamento: l’intervento è terminato in data di lunedì 25/06/07. Le successive verifiche di stabilità non hanno rilevato problematiche, pertanto confermiamo la corretta funzionalità del servizio.

    Aruba S.p.A. - Servizio Aruba.it

88. 
    gnutello
    Luglio 11th, 2007 at 01:29

    Svariati mesi fa, su un forum dedicato a Joomla (forse il più diffuso tra i CMS) un tizio postava una richiesta di aiuto circa la continua e ripetuta l’intrusione sul suo sito che comportava proprio la comparsa di questo maledetto IFRAME nella pagina index. Indovinate un po’ chi era il provider che ospitava il suo sito?
    Di seguio riporto il suo topic datato 16 settembre 2006:

    “Ogni tanto mi viene modificato il file index con questa riga:

    Si verifica ogni 2-3 giorni, non riesco ad impedirlo
    versione in uso 1.0.12
    esiste un metodo per blindare il file index?
    grazie a tutti i collaboratori, competenti ed efficienti”.

    Mi piacerebbe avere una statistica della tipologia di siti maggiormente colpiti. Non sarà che sti CMS sono particolarmente vulnerabili?

89. 
    N3m3s1s
    Luglio 18th, 2007 at 10:50

    ANche TOPHOST…venne beccata da dei DEFACER turchi. Ricordo che un collega….sulla home page..si trovò un DEFACEMENT di un sito turco che innegiava GUerra… C……ni.

90. 
    PC Al Sicuro » Blog Archive » Siete sicuri che il vostro sito web non sia infetto?
    Luglio 29th, 2007 at 03:04

    […] Abbiamo parlato tempo addietro di Mpack e di come migliaia di siti web italiani siano rimasti vittima di un attacco sferrato secondo modalità ancora sconosciute. Ciò che è interessante è che, come già visto su queste pagine, l’attacco ad Aruba non è stato il primo ma almeno altri due hosting provider sono caduti vittima di attacker, i quali hanno iniettato codice malevolo all’interno dei siti ivi ospitati. […]

91. 
    Siete sicuri che il vostro sito web non sia infetto? « The Alexsandra Spaces
    Luglio 30th, 2007 at 09:52

    […] Abbiamo parlato tempo addietro di Mpack e di come migliaia di siti web italiani siano rimasti vittima di un attacco sferrato secondo modalità ancora sconosciute. Ciò che è interessante è che, come già visto su queste pagine, l’attacco ad Aruba non è stato il primo ma almeno altri due hosting provider sono caduti vittima di attacker, i quali hanno iniettato codice malevolo all’interno dei siti ivi ospitati. Il trend degli ultimi mesi sembra sia questo: compromettere i siti web iniettando codice malevolo. Cosa, dunque, riguardo una delle regole più vecchie riguardo la sicurezza online: “non navigare in siti sconosciuti, solo se navighi su pagine conosciute e sicure sei salvo“? Ok, diciamo che questa regola al momento può essere oggetto di alcune critiche. […]

92. 
    Silvio
    Settembre 13th, 2007 at 17:26

    Salve, Un sito di un mio cliente in hosting su Seeweb ha subito lo stesso attacco. Ecco il codice: “ ”
    La modifica dell’index è stata fatta il 14 agosto.
    Ho comunicato a Seeweb il fatto e la loro risposta è stata (come ho visto già data ad altri) che il problema non dipendeva da loro ma da password rubate. Dunque la colpa era mia…!
    Incredribile però che continuino con questa tesi quando come ho letto riferito da Valeria a lei hanno ammesso di avere qualche problema sui loro server interni. Con me e il mio cliente ora a settembre se ne lavano le mani…
    Considerando poi il costo dell’hosting in oggetto non propriamente a buon mercato è veramente da pensare di andarsene.
    Consigli?
    Grazie a tutti per l’ottimo lavoro

93. 
    Neffscape >> » Utenti windows in allarme, 10′000 siti italiani infetti da supervirus.
    Febbraio 11th, 2008 at 20:14

    […] Ne parlano PC al sicuro, Punto informatico, Il Disinformatico, Slashdot, The Register, Websense, Trend Micro e ZDNet: L’Italia è da sabato sotto un massiccio attacco informatico. L’attacco è rivolto ai server prevalentemente italiani che utilizzano Microsoft Information Server i quali infettano i siti web ospitati sui propri hard disk per poi colpire i navigatori Windows che navigano (con qualunque browser) sulle pagine infette senza le opportune difese. Utenti UNIX, Mac OSX e Linux sono invece al sicuro. […]

Lascia un commento

Name (required) Mail (will not be published) (required) Website