Avevamo già parlato lo scorso mese di un’intrusione avvenuta nei sistemi Hosting Solutions, intrusione che aveva permesso a degli attacker di modificare le home page di svariati siti web includendo un IFRAME che permettesse il redirect degli utenti verso siti web contenenti malware.
Hosting Solutions aveva comunicato di aver scoperto la falla e di averla sistemata, sebbene giorni dopo questa dichiarazione un utente ci aveva informato che i suoi siti hostati su Hosting Solutions erano stati di nuovo modificati.
A giorni di distanza il team è tornato a colpire, questa volta con un altro grande hoster italiano, Aruba.
Sembrerebbe, infatti, che diversi siti web hostati su differenti server del noto provider italiano siano stati modificati utilizzando la stessa tecnica dell’IFRAME. È lecito, dunque, sospettare nuovamente di un’intrusione nei sistemi di Aruba, così come è successo nei sistemi di Hosting Solutions.
Gli autori di questi attacchi sembra utilizzino, come comunicato da Symantec che sta indagando anch’essa ora sul caso, un kit già pronto per sferrare attacchi di malware denominato MPack e venduto in Russia.
Si raccomanda al momento di bloccare i seguenti indirizzi IP, oltre a quelli che avevo già comunicato nell’articolo pubblicato riguardo l’intrusione nel sito web di Roberto Vecchioni:
58.65.239.180 (già inserito nella pagina sopra linkata)
64.38.33.13
64.62.137.149
194.146.207.129
194.146.207.18
*** UPDATE ***
Sono migliaia i siti web compromessi su diversi server Aruba, mentre continuano ad essere presenti siti web infetti hostati su Hosting Solutions.
Il kit MPack utilizzato non è ben chiaro se sia la versione 0.86 (come indicato nel pannello delle statistiche) o l’ultima versione 0.90 come indicato nel readme del pacchetto (rilasciata il 27 Maggio 2007).
Come già indicato, il paese che più sta fruttando è l’Italia, con un’efficienza attuale del 28%. Una volta che uno degli exploit eseguiti dal kit caricato sul server riesce a funzionare, viene loggato l’IP e la nazione di provenienza, a scopo di statistica e per bloccare ulteriori infezioni a danno dello stesso IP.
Dopo ciò, viene scaricato un Trojan.Downloader che si occupa – iniettandosi in svchost.exe – di scaricare ulteriore malware.
Attenzione dunque, al momento molti server di Aruba sembra siano stati violati così come più di un mese fa, su queste stesse pagine, avevamo avvertito di una stessa violazione avvenuta ai server di Hosting Solutions.
Ulteriori aggiornamenti nei prossimi giorni.
*** UPDATE ***
Sta aumentando l’elenco dei siti web infetti, la maggior parte di questi ospitati su Aruba. Ora il server centrale riporta quasi 10.000 siti web infetti (referer), sebbene fortunatamente l’efficacia dell’attacco stia diminuendo grazie al fatto che le società di antivirus e antimalware (Prevx 2.0 incluso, ovviamente) stanno prendendo provvedimenti per il riconoscimento del trojan. Di fatto al momento i tre antivirus free riconoscono il trojan, cosí come Kaspersky, Nod32, Symantec dovrebbe riconoscere l’iframe, Prevx 2.0 (non basarsi su VirusTotal, l’engine che é sul servizio web non é aggiornato e sta per essere implementata la nuova versione).
Rimane grave la situazione su Aruba. Si consiglia al momento di cambiare le password di accesso al proprio sito web e di contattare l’hoster immediatamente.
*** UPDATE *** (19 Giugno 2007)
Sembra che Aruba stia gestendo la situazione, eliminando gli iframe dai siti web infetti. Sarebbe interessante conoscere come sia potuto accadere un attacco del genere, ma dubito che sia possibile venirlo a sapere ufficialmente.
Dopo Hosting Solutions, dunque, Aruba. Si accettano scommesse sul prossimo hoster che verrá attaccato.
*** UPDATE *** (19 Giugno 2007)
Alcune buone notizie. Il server centrale é stato messo offline, per cui il rischio attuale é stato soppresso. Tuttavia, l’indirizzo che l’iframe conteneva rimanda ad un server che fa da ponte. Da quest’ultimo gli utenti venivano reindirizzati al server centrale. Chi vuole puó tranquilamente mettere su un nuovo server centrale e reindirizzare lí. Proprio per questo é importante bloccare comunque almeno l’indirizzo IP 58.65.239.180, almeno finché resta attivo.
I server di Aruba coinvolti sono stati circa 199.
*** UPDATE *** (20 Giugno 2007)
Symantec ha rilasciato alcune informazioni su come gli iframe vengano iniettati all’interno dei siti web, cioè attraverso un tool automatico che utilizza username e password dei siti web per accedere e modificare le pagine. Quindi cambiare i dati di accesso, ciò che avevano suggerito Hosting Solutions e ora Aruba agli utenti, sembrerebbe una mossa valida.
La domanda che però sorge è: in che modo gli attacker si sono procurati questa gran quantità di password di accesso? Installando un keylogger su migliaia di pc dei webmaster che gestiscono i siti web? Li hanno beccati quasi tutti che gestiscono siti web su Aruba (e quasi tutti prima che gestivano siti web su Hosting Solutions)? Se anche così fosse, cioè sono riusciti ad avere accesso a così tanti pc direttamente, evidentemente dovrebbero aver utilizzato una tecnica particolarmente efficace per iniettarlo all’interno dei pc delle vittime webmaster. A cosa servirebbe dunque l’utilizzo di MPack se sono riusciti ad attaccare direttamente già così tanti pc con una tecnica così efficace? Per colpire molti altri pc? Potevano utilizzare la stessa tecnica.
Questi webmaster utilizzano forse password deboli, di semplice individuazione? (pcalsicuro:pcalsicuro ad esempio). Potrebbe essere una valida opzione, anche se sinceramente – rimanendo in buona fede – spero impossibile che migliaia di utenti abbiano simili password di accesso.
O sono riusciti in qualche modo ad avere accesso al database degli utenti riuscendo a recuperare le credenziali di accesso? E, se questo è successo, come è successo e quando è successo? Sarebbe interessante verificare se ci sono siti modificati con iframe che sono stati pubblicati di recente, cioè sono clienti da poco tempo. Se ci fosse un denominatore comune si potrebbe anche forse capire quando possa essere avvenuta la probabile intrusione.
*** UPDATE *** (25 Giugno 2007)
Come era facilmente prevedibile, ed avevo scritto precedentemente, il server centrale è stato spostato all’IP 64.62.137.149. Bloccare anche questo IP. Prevx 2.0 riconosce il trojan downloader.
-------------
Post correlati:
Ciao Marco ho trovato diversi IP da bloccare segnalati anche qui
http://www.spamhaus.org/sbl/sbl.lasso?query=SBL51152
http://www.spamhaus.org/sbl/sbl.lasso?query=SBL54249
http://www.spamhaus.org/sbl/sbl.lasso?query=SBL43489
S C A N D A L O S O
Se quelli di hosting solutions e aruba non rimuovono gli iframe e i jscript incriminati e tappano sta cacchio di falla sui server windows faccio una denuncia alla polizia postale.
Onestamente mi sono rotto i c…….
maverik la penso assolutamente come te.
E’ l’ora di finirla! Aruba poi è da tempo che imho dovrebbe chiudere.
Io gestisco una 40ina di siti web su Seeweb e ho subìto l’attacco sopra descritto in tutti i miei domini hostati su Seeweb ancora nel mese di aprile 2007. Da subito ho segnalato il problema a Seeweb e la sua risposta, dopo una settimana di attesa e il cambio di tutte le password di accesso FTP per sicurezza, è stata che la colpa era la mia che probabilmente avevo un malware sul PC….Niente di più sbagliato, il PC era pulito e ricontrollato molte volte…Non si sono comportati a mio avviso molto correttamente, nè hanno ascoltato/letto tutto quello che gli avevo segnalato fin da subito, altrimenti non mi avrebbero “accusato” di essere l’origine del mio problema. Ho altrettanti siti web si diversi altri provider e su quelli, fino ad oggi, nessunissimo problema e li gestisco nello stesso modo degli altri. Ho anche siti web su Aruba, e ho controllato ora, non sembra siano stati toccati fino ad ora…E’ proprio un attacco subdolo perchè a questo punto non esistono più siti web sicuri, nemmeno quelli conosciuti. Una soluzione home-made che mi hanno suggerito è quella di mettere i permessi delle index tutti a 444, così da evitare la scrittura indesiderata. L’impressione è quella che possa funzionare, ma la certezza non ce l’ho. Passo la palla a qualcuno più esperto di me in queste cose.
Saluti a tutti.
Volevo anche precisare che i server di Seeweb su cui sono ospitati tutti i siti da me gestiti che sono stati attaccati ad aprile 2007 dovrebbero essere tutti linux come da contratto da me richiesto…
Aggiungete anche questi IP 81.29.241.234 81.29.241.236 all’elenco di quelli da bloccare, erano negli iframe dell’attacco sui server Seeweb di aprile 2007 e non li ho trovati segnalati nei vari links qui riportati…
Ciao Valeria,
quegli IP sono relativi al Rootkit.DialCall, giá segnalati negli articoli dedicati
In effetti avevo notato sabato una relazione tra le due infezioni, non l’ho scritta perché volevo controllare meglio prima.
valeria
qui c’è la mia blacklist. Dalle un’occhiata
maipiugromozon.blogspot.com
Ah alessandro recchia riporta integralmente un post del mio blog
)
Ho acquisito un certa credibilita’ finalmente
Ho fatto carriera
Grazie mille a Marco e m4v3rick per la segnalazione, io non li avevo visti i miei IP negli elenchi
Ho ricontrollato ancora i siti ospitati su aruba e ne ho trovato solo uno infettato su 7, che tra l’altro non ho registrato io per cui non so se sia su server Win o Linux. Gli altri che ho sotto controllo sono 5 su server win (tutti registrati più di 4 anni fa) e 1 su server linux registrato di recente. Potete darmi qualche notizia in più sul suggerimento di mettere a 444 il permesso della index di un sito per proteggerlo dall’inserimento del codice iframe malevolo? E’ una precauzione che può proteggere?
Grazie ancora a tutti
anche il mio sito era stato colpito.
un rimedio è togliere i permessi di scrittura ai principali file del tuo host, tipo i file index. impostate gli attributi a 555
ciao
Riguardo i permessi sui files… Beh oddio, imho andrebbe visto come questo IFRAME si inietta e cosa sfrutta. Se usa qualche zeroday che permette di aver privilegi di root su di una macchina linux, non penso serva a niente fare una cosa del genere. Certo che da “professionisti” informatici sentirsi rispondere che la colpa è propria per qualche malware sul proprio PC, quando invece sono i server ad essere bucati..
Quello che ancora non riesco a capire, è cosa sia stato sfruttato per avere così tante possibilità di diffusione.
Sopra ho messo anche alcuni link di Spamhaus e sabato pomeriggio ho avvisato un cliente di Aruba che aveva il sito
infettatto
Ad Oggi Aruba non ha ancora avvisato i suoi clienti
http://community.aruba.it/forums/ultimatebb.php?ubb=get_topic;f=58;t=000218
http://www.digital-forum.it/showthread.php?t=34869
Ah ecco, andiamo bene…
@Fabrizio: Neanche a me l’hanno poi spiegato, ovviamente…per quanto riguarda l’accusa in effetti di primo acchito mi sono messa io per prima in dubbio, ma dopo aver fatto passare Norton AV, Panda AV online, SpyBot S&D, HiJackThis che non hanno rivelato nulla di anomalo, e dopo aver corretto tutte le index e cambiato tutte le password FTP da un PC fuori dalla mia rete e pulito, e ritrovarmi di nuovo tutti i siti Seeweb infettati dopo due giorni, anche quelli appena registrati e mai pubblicati, e solo quelli, a me il dubbio che ci fosse qualcosa sui loro server era venuto…a loro no perchè hanno proseguito imperterriti ad incolparmi…
Mi spiace solo che ovviamente sui contratti di hosting ci sono clausule che li sollevano da questi problemi (giustamente) e anche dalle loro negligenze quando accadono (ingiustamente secondo me…). E dire che server Seeweb dovrebbero essere Linux e che secondo Netcraft stanno fra i 30 migliori provider al mondo…Come Aruba nell’ultimo anno daltronde…Devo dire che sinceramente non mi ha deluso tanto il fatto che i server di Seeweb siano stati attaccati, anche se sicuramente è segno di una loro debolezza interna, ma quanto il loro comportamento accusatorio nonstante le prove tecniche contrarie e il loro silenzio nei confronti dei loro clienti. Infatti non mi risulta che abbiano avvisato nessuno, nemmeno con un “System Alert” sul loro sito web. E vedo che è un comportamento comune fra i provider…Chissà quanto siti web saranno rimasti infetti allora, a meno che non si siano presi la briga di correggere loro tutte le index infette….Lo spero proprio, anche se io me le son dovute pulire tutte da sola…Come ho letto da queste parti in un commento ad altro post: la sincerità paga sempre. Peccato che pochi lo capiscano…
A questo punto dovrò cercarmi un altro provider, forse piccolo e scoosciuto così non verrà preso di mira…ma con quali garanzie di servizio poi? Peccato non avere forza economica e competenze per mettermi su un server da sola….
Scusate lo sfogo, ma ancora mi bruciano le 40 ore perse a cercare di risolver un problema che non dipendeva da me…Mi preparerò psicologicamente ad altre ore perse per i server Aruba.
Saluti a tutti
Pare che la situazione normale sia stata ripristinata, almeno in parte. Molti siti infetti non mostrano piu’ l’iframe… speriamo bene…
Si, confermo
Ciao a tutti.
Io solo il primo cliente Aruba ad essermi accorto dell’infezione e ad aver rimosso l’IFRAME (questo il 15 giugno)…ho capito quello che succedeva solo dopo la segnalazione di Ercolino (via telefono!!Ancora Grazie!!) visto che il ticket aperto da me in assistenza ha ricevuto una risposta ridicola solo ieri sera (18 giugno)…
Nella risposta di ARUBA mi dicono che faranno degli accertamenti sul server, mi consigliano di cambiare le pass e che mi faranno sapere come mai sono riusciti ad entrare nel sito…
Su aruba ancora ora non esiste una comunicazione ufficiale o un allarme lanciato dallo staff…solo il mio topic nel forum annuncia l’attacco che per ora sembra riguardare solo hosting win…
Reputo irresponsabile nonché vergognoso la gestione dell’emergenza da parte di ARUBA.
Ciao Enrico è stato un piacere
Altri casi simili molto pericolosi
http://www.repubblica.it/2005/b/sezioni/scienza_e_tecnologia/sicurezzaweb/italian-job/italian-job.html
@ Enrico Giammaria
Guarda che hosting solutions ha avuto il problema qualche tempo prima e ancora ci sono le pagine con l’iframe.
SCANDALOSO
Fossi un di quelli la starei dalla mattina alla sera ad attaccare societa italiane. Tanto se ne fregano anche se avvertiti
Questi hoster italiani? Dilettanti allo sbaraglio
Andate alla corrida
Ne parla il tg1 delle 13.30 riprendendo l’articolo di repubblica
Anche punto informatico oggi ha pubblicato la notizia
http://punto-informatico.it/p.aspx?id=2022019
Non ci risultano problemi ad alcun sito da noi ospitato.
I nostri tecnici sono sempre e comunque in allerta
Luigi Corbacella
HostingSolutions
Aruba ha i suoi precedenti:
“La polizia postale, con la scusa dell’indagine su crocenera anarchica,
ha avuto modo di spiare per un anno le comunicazioni personali
di tutti gli utenti del server autistici.org / inventati.org ” gestiti da Aruba.
http://www.autistici.org/ai/crackdown/
@Luigi Corbacella
alporto.it è pulito?
Controllate meglio
e come quello ce ne sono altri
Distinti Saluti
@ luigi corbacella
affittiinsardegna.it è pulito?
(iframe e script)
http://maipiugromozon.blogspot.com/2007/05/ancora-gravissima-la-situazione-di.html
il post è del 2 maggio!!
Luigi, controllate meglio. Ci sono un sacco di siti ancora infetti sui vostri server:
http://img98.imageshack.us/img98/5904/untitledau9.png
hxxp://www.affittiinsardegna.it controllato adesso ancora infetto
Ciao
Certo che si
che l’ho messo a fare allora?
http://maipiugromozon.blogspot.com/search?q=alporto
così vedono anche gli screenshot dell’exploit ma ormai lo sanno pure i bimbi come funziona
Ragazzi, non aggredite le persone. Siamo qui per aiutare, non per scannarci a vicenda dai.
Gentilissimo Luigi,
innanzitutto grazie per essere intervenuto qui. In effetti non é propriamente vero che non sono piú presenti siti web che contengono iframe infetti nei vostri server.
Questa lista, non del tutto completa, riporta esattamente 63 domini localizzati su 7 vostri indirizzi IP:
[194.242.61.175]
[0] => santeodoro.com
[1] => esperiaristorazione.it
[2] => savethequeencircus.com
[3] => gutenbergweb.com
[4] => gianelline.net
[194.242.61.210]
[0] => thesaraceno.com
[1] => cinemacity.it
[2] => golfugolino.it
[3] => rcv.it
[4] => metamorfosi.info
[5] => maremmapromotion.it
[6] => blumaremma.it
[7] => valextra.it
[8] => ilportalesardo.it
[9] => veteracar.it
[10] => villasarah.it
[11] => residencemediterranee.it
[12] => lalunadisco.com
[13] => quibert.it
[14] => altracitta.org
[15] => girsacrew.it
[16] => caprillina.it
[17] => aparthotelprimo.com
[18] => agriturismo.sicomoro.toscana.it
[19] => campustelecom.it
[20] => gourmet.it
[21] => comunedivalsolda.it
[22] => valextra.com
[23] => silenceonweb.com
[24] => pigliacelligroup.it
[25] => tiservice.it
[26] => euroeurope.it
[27] => taliafestival.it
[28] => ilpagliericcio.it
[29] => magrini.it
[30] => francafiacconi.com
[31] => riparazionielettrodomestici.it
[32] => genovaset.com
[33] => infioratadinoto.it
[34] => doa.it
[35] => immobiliareelite.it
[36] => asilobianco.it
[37] => modernissimo.it
[38] => itiseuganeo.it
[39] => hotelriomarina.it
[40] => cinemacity.it
[41] => fondazionearchimede.com
[42] => agriturismobreda.com
[43] => cantieriportodigenova.com
[44] => novalba.it
[194.242.61.122]
[0] => mobilrot.it
[1] => ringhostel.com
[2] => aries-online.com
[3] => allestimentidisabili.com
[4] => abbeystreet.it
[5] => pmtelevision.com
[6] => euroservicecar.it
[194.242.61.246]
[0] => orologico.it
[1] => kom.it
[2] => kom.it
[194.242.61.189]
[0] => ideacasa.pc.it
[194.242.61.74]
[0] => webpuccino.it
[194.242.61.136]
[0] => annapedrotti.it
Le metto a disposizione questa lista, che “dovrebbe” essere corretta (errori umani permettendo) per prendere nota di ció e, se possibile, di eliminare gli iframe in discussione.
La ringrazio moltissimo per essere intervenuto in questa discussione.
Marco
marco hai ragione ma io penso a quei poveracci che hanno il pc infetto per colpa di siti hackerati e che se usano la carta di credito online o homebanking rischiano davvero grosso
L’errore ci puo’ stare ma questa cosa è successa quasi 2 mesi fa e gia’ era stata ben segnalata
Hai perfettamente ragione
Solo che “partire di testa” non aiuta, mette solo piú agitazione e allarme a quello che giá c’é. Tutto qua 
@Luigi:
aggiungo una domanda al post che ho fatto sopra in sua risposta, se possibile: é stato individuato in che modo attacker hanno potuto accedere ai vostri server? Falla di qualche CMS/script ospitato da qualche sito e poi errore vostro di configurazione dell’hosting o falla 0-day in qualche servizio attivo nei server?
La ringrazio moltissimo,
Marco
Dunque. Gli hoster fanno da gnorri, e a quanto pare, non si capisce ancora la causa principale di questo attacco pazzesco. Ammesso che quel Luigi sia davvero uno degli uomini di Hosting Solutions, e non un suo “sosia”, mi vien da ridere a leggere certi commenti da parte dell’hoster. Sono daccoordo con marco quando dice che partire di testa non aiuta. Ma questi hoster, ancora non l’ho visti partire decisamente a ripulire.. Forse perchè ancora appunto non sanno nemmeno loro, quale sia l’anello debole della catena, ed è questo il grave.
Domanda forse azzardata, ma un bello snort potrebbe tornare utile?
Un Luigi Corbacella in HostingSolutions esiste, ma il nominativo è facilmente reperibile da tutti.
Gentile cliente,
la invito nel frattampo a provvedere ad effettuare per una sua maggiore sicurezza il cambio di login e password che le abbiamo indicato.
Distinti saluti
=====================
Simone Pancini
Aruba S.p.A. – Servizio Aruba.it
Web site http://www.aruba.it
N° Call Center : 0575/51571
N° Fax : 0575/515790
Questa è la seconda risposta al mio 2° ticket nel quale chiedevo allo staff aruba informazioni riguardo la violazione del mio dominio…la prima era uguale identica…solo che il tecnico che rispondeva era Marco Pompili.
Mi chiedo a cosa serva cambiare la pass di amministrazione se non viene scoperta la causa del buco e non vengano apportate le modifiche necessarie affinché questo non si ripeta.
Se cambio la pass la trovano di nuovo no? Qual’è il problema?
Beh, ottima risposta non c’e’ che dire. Una risposta preconfezionata che non dice nulla… non fanno neanche lo sforzo di correggerla (frattAmpo)…
Ragazzi, qualche barlume in piu’ sull’attacco… e’ di oggi: http://www.symantec.com/enterprise/security_response/weblog/2007/06/mpack_the_strange_case_of_the.html
Ricapitolando:
x gli utenti: patchate, installate AV/FW/HIPS, state in guardia
x i webmasters: ripulite, patchate le webapp e CAMBIATE LE VOSTRE PASSWORD (altrimenti
in meno di due secondi vi ritrovate un nuovo IFRAME)
x i providers: patchate anche voi le vostre webapp e siate piu chiari nel comunicare le cose che non vanno ai vostri clienti…
A noi poveri italiani non resta che consolarci con questa ennesima figura del cavolo globale e ringraziare sentitamente :
- CERT-Italiano (http://security.dsi.unimi.it/)
l’ultimo update di sicurezza sul loro sito risale al 2005… stanno ancora cercando Sasser!
- Polizia Postale
cito da http://www.datamanager.it/articoli.php?visibile=1&idricercato=20058
“…anche se la polizia postale ha dichiarato di non aver ancora ricevuto segnalazioni.”
Magari fra un paio di mesi qualcuno di voi abbia la gentilezza di spiegarli cosa è successo.
Ma perche’ in Italia non esiste un centro coordinato di sicurezza informatica per queste cose?
Peche’ le informazioni giuste girano solo su forum e blog come questo?
[...sfogo di un webmaster attaccato]
anch’io ho una risposta preconfezionata
Avete indovinato?
Comunque qualche cretino si è diverto a sfottere; non credo che il presidente della societa’ sia realmente intervenuto prima
Ciao a tutti,
scusate la mia ignoranza ma come si fa per sapere se un sito è stato violato?
Come faccio a vedere l’iframe e soprattutto a bloccare i ” russi cattivi”?
Come amministratore del sito c’è qualcosa che posso fare per far si che chi visita non venga infettato?
Come utente, c’è qualcosa che posso fare per non essere infettato se capito su un sito interessato da questo attacco?
Magari saranno domande banali ma ho tre siti su Aruba e solo mezz’ora fa ho saputo di questo attacco, ovviamente non da Aruba ma da webmasterpoint.org e credo che maggiore informazione potrebbe creare meno allarmismi e più soluzioni utili
Grazie a tutti,
Stefano ^_^’
@Arlecchin0
Questo attacco è indirizzato a server Windows. Se è il tuo caso,
scaricati in locale la tua home page NON con il browser ma via ftp. (o con wget). Apri il file con un editor e NON con il browser e appena sotto la linea del “body” dovresti trovare l’iframe incriminato.
@Marco
Bellissima la “circa 199″
Se è vero quanto dice la Symantec (e perché non dovremmo credergli?) circa il tool di ftp automatizzato, è anche vero quanto ripetono gli hoster: SONO ENTRATI CON LA PASSWORD !!!
E dicono il vero quando dicono di cambiare subito la password: dai log gli risulta che qualcuno ha fatto il GET della pagina per farne poi il PUT successivamente…. Prenderne l’indirizzo IP e farne delle analisi sarebbe interessante…. anche se ci porterebbe su siti lontani….
Rimane da capire, comunque, come hanno potuto procurarsi questa mole di password: non credo che abbiano compromesso i pc dei singoli webmaster ma sicuramente i server…..
il problema è che potrebbero averli compromessi mesi fa !!!
C’è una 0day in windows, nel server ftp, in qualche versione di software “bacata” installata dagli utenti, un qualche buco di ASP, .net….. ?
Francesco
Alcuni link interessanti su siti esteri:
http://www.eweek.com/article2/0,1895,2147711,00.asp
http://asert.arbornetworks.com/2007/06/%e2%80%9cbaiting%e2%80%9d-web-surfers/
Sul blog di asert ci sono spunti di cui discutevamo con Marco, appena mi sarà possibile vedo di scrivere qualcosa e condividerla con voi.
Saluti,
Gianluca
…da stamattina non è più possibile nemmeno confrontarsi tra utenti aruba nel forum della community…
Per pura casualità il forum è proprio oggi in manutenzione fino a data da destinarsi!
…che sia stato vittima di MPack?!
Così l’unico mezzo di informazione tra utenti vittime dell’attacco è fuori uso…andiamo bene…sempre meglio…
ciao marco,
il mio primo post sul tuo blog, o il secondo forse,ma siam li!
Beh sinceramente non ho letto tutte le risposte perché sono tante, però penso una cosa:
- seeweb
- aruba
- hostingsolution
senza considerare che sicuramente c’è ne sono tanti altri.
Ora, sparo la mia: è impossibile che una marea immane di siti web siano stati bucati come è impossibile che siano stati bucati i pc degli utilizzatori
Intendiamoci, se fosse stato cosi è facile che ci sarebberò stati casi anche all’estero e comunque, essendo un malware ad hoc, sarebbe saltato fuori: abbiamo ottimi ricercatori qui in italia (vedi marco
)
E’ anche impossibile che questi dati di accesso siano stati acquisitit tramite keylogger: vi vedete voi a chi sta dietro a tutto ciò a cercare e cercare e cercare tra tutto ciò che è stato scritto da una singola persona? Io, al giorno, scrivo tanto, ma tanto veramente! Solo stamattina, conteggiado i tasti cliccati tramite whatpulse, ho scritto quasi 40 mila caratteri mentre ieri quasi 50 mila! Provate a immagginare questo moltiplicato per, almeno, un migliaio di webmasters … viene fuori una cifra stratosferica che va ancora moltiplicata per il numero di giorni per i quali il keylogger è stato attivo!
Ora dico la mia: secondo me è stato realizzato un rootkit/malware è de stato fatto finire dai provider
Considerate che è facile racchettare le email dei provider:
- il whois
- il sito web
- tramite richieste fittizzie
Cosa fattibile tranquillamente a mano!
Una volta che si prendono N caselle di posta elettronica, qualcuna che va a sfruttare software poco sicuro – vedi outlook – potrebbe essere la fonte di accesso per il controllo remoto che se eseguito in maniera furba (connessione del pc infettato ad un proxy socks tramite udp per esempio installato sulla porta 53) rende molto complicato il riconoscimento e da la possibilità a chi accede di accedere a tutto!
Se a questo ci aggiungete che un servizio è tranquillamente in grado di instanziare un nuovo workspace con desktop annesso e con un mouse e tastiera virtuali associati a quel workspace si ottiene che è possibile non solo leggere il contenuto del disco ma accedere a tutti i software installati sul software. Questa ovviamente è un ipotesi e se ne possono fabbricare migliaia,
Cosa voglio dire? è probabilissimo che sia colpa dei provider stessi!
Non si tratta di idee folli bensì di una reale possibilità: hanno bucato e navigato su migliaia e migliaia di pc o lo hanno fatto su quelli degli ISP?
All’isp vien facile dire: è colpa tua … chi può contraddirlo?
@daniele_dll: il tuo ragionamento è molto simile a quello che ho fatto io dopo i primi giorni di index modificate su Seeweb…ma nonostante la spiegazione di aver usato un PC diverso da quello della mia rete solita per cambiare 40 password di accesso FTP, e quel PC è poco connesso, e pure analizzato da 3 SW diversi fra cui Norton AV, Panda AV e Spybot S&D prima di fare le modifiche, è difficile che ci sia qualcosa. Magari questi non sono i SW al top per la sicurezza, ma se c’era qualcosa almeno uno di loro l’avrebbe dovuto segnalare…In più la connessione per modificare le password è stata fatta da una rete completamente diversa. E alla fine dopo mezza giornata di lavoro ritrovarsi di nuovo tutte le index cambiate due giorni dopo, pure quelle di due siti web nuovi con FTP mai memorizzate sul PC perchè siti mai pubblicati, e di nuovo sentirsi dire: verifichi il suo PC perchè probabilmente è presente qualche malware che ruba le password…direi che è troppo così. Anche uno poco esperto capirebbe che se ti modificano dati di un sito di cui tu non hai mai usato le password via FTP, forse non te le hanno rubate dal tuo PC, no?? Ma che cavolo di sniffer è uno che ti scova le password che nemmeno hai memorizzato nei programmi FTP ma le hai solo scritte in mezzo a mille altre parole in un file txt sparso nel file system del disco??
Ma non c’è proprio un modo per far pagare ai provider questa allucinante negligenza nei confronti del loro clienti?????
Capisco che potrebbe non essere colpa loro se vengono attaccati con tecnologie di intrusione moderne, ma se queste tecnologie sono conosciute e datate e loro non hanno preso le dovute precauzioni, dovrebbe esserci qualche modo per far pagare le loro colpe…forse così si sveglierebbero un po’…Utopia, vero???
Il problema è che il modo certo non c’è!
Il problema è questo:
- l’isp detiene i log
- l’isp detiene i file del tuo servizio web e del database
- l’isp detiene le configurazioni
- l’isp ha i soldi
- l’isp ha gli avvocati
Tu singolo utente non puoi denunziare l’ISP perché l’unico modo di dimostrare la sua colpa, in situazioni simili, è far vedere che la sua configurazione, esaminando i file id configurazione, sia buggata ma personalmente ritengo impossibile che in italia si verifichi una cosa del genere
Se eravamo in america (li hanno tante cose contorte ma hanno le bellissime class action) si faceva (per l’appunto) una class action con qualche avvocato bravo coinvolgendo le associazioni dei consumatori (che per loro questa è goduria estrema) e si poteva anche ottenere qualcosa, ma in italia … se fai la denunzia vieni come prima cosa contro-querelato e poi se ne riparla :\
Se eravamo in america (li hanno tante cose contorte ma hanno le bellissime class action) si faceva (per l’appunto) una class action con qualche avvocato bravo coinvolgendo le associazioni dei consumatori (che per loro questa è goduria estrema) e si poteva anche ottenere qualcosa, ma in italia … se fai la denunzia vieni come prima cosa contro-querelato e poi se ne riparla :\
Parole sante
@PER CHI HA AVUTO I SITI HACKERATI:
1) sapreste recuperare il nome e la versione del programma FTP installati sul server ?
2) sapreste recuperare il nome e la versione degli eventuali programmi presenti sul server ? Intendo, ad esempio, php v 5.2 o ruby, python, o mysql…
Al punto 1 possiamo capire come/dove vengono memorizzate le pw (active directory, ldap, file, sql server, etc)
Al punto 1 e 2 possiamo cercare fra gli advisor qualche buco di sicurezza.
Francesco
ciao francesco,
mi spiace smentirti ma sapendo il nome del software non puoi sapere dove vengono memorizzate le password.
E’ facile che utilizzino un sistema centralizzato per l’hosting, passando per le pam per l’autenticazione, o per lo meno io farei cosi, poi non so come fanno loro.
Poi il punto 2, anche se può sembrare utile, in realtà non lo è molto: è vero che php, ruby, python e cosi via potrebberò avere qualche falla, ma è infinitamente più probabile che i bug li abbia il codice che viene eseguito: per esempio molto codice che mi capita di vedere in giro effetta le inclusioni partendo da parametri che arrivano tramite URI con il risultato che cambiando il parametro puoi tirar fuori, per dire, l’elenco degli utenti attivati su passwd, se le pass sono in locale, o ancora puoi far includere una pagina php presente su un tuo spazio web avendo accesso a tutto.
Oppure, quelli più comuni, dipendono dal template engine e dal fatto che non viene controllato cosa arriva: molti template engine odierni per questioni di performance e di features utilizzano eval per parsare il template con il risultato che effettuando le sostituzioni all’intero queste vengono parsate pure! Di per se non è sbagliato utilizzare eval o le preg con il modificatore e, che permette di eseguire del codice php, il problema è far verificare quello che si da in pasto al template engine perché un cracker potrebbe benissimo passarli la creazione di un file nella cartella temp o in una cartella scribile dall’utente e farlo includere durante una seconda esecuzione, onde evitare di passare 50/60kb di script tutto d’un pezzo via url.
Ovviamente nel caso del software dinamico si presuppone una cattiva configurazione (per cattiva configurazione intendo anche le semplici curl abilitate su PHP che permettono di saltare le restrizioni sui percorsi e quindi di leggere altri file esterni con facilità!)
Di recente, sinceramente, non ho provato ad usare le curl per fare ciò, però c’è un commento a riguardo
http://it.php.net/manual/en/ref.curl.php#55467
Potrebbe anche essere che l’hanno corretto questo discorso specifico