Avevamo già parlato lo scorso mese di un’intrusione avvenuta nei sistemi Hosting Solutions, intrusione che aveva permesso a degli attacker di modificare le home page di svariati siti web includendo un IFRAME che permettesse il redirect degli utenti verso siti web contenenti malware.
Hosting Solutions aveva comunicato di aver scoperto la falla e di averla sistemata, sebbene giorni dopo questa dichiarazione un utente ci aveva informato che i suoi siti hostati su Hosting Solutions erano stati di nuovo modificati.
A giorni di distanza il team è tornato a colpire, questa volta con un altro grande hoster italiano, Aruba.
Sembrerebbe, infatti, che diversi siti web hostati su differenti server del noto provider italiano siano stati modificati utilizzando la stessa tecnica dell’IFRAME. È lecito, dunque, sospettare nuovamente di un’intrusione nei sistemi di Aruba, così come è successo nei sistemi di Hosting Solutions.
Gli autori di questi attacchi sembra utilizzino, come comunicato da Symantec che sta indagando anch’essa ora sul caso, un kit già pronto per sferrare attacchi di malware denominato MPack e venduto in Russia.
Si raccomanda al momento di bloccare i seguenti indirizzi IP, oltre a quelli che avevo già comunicato nell’articolo pubblicato riguardo l’intrusione nel sito web di Roberto Vecchioni:
58.65.239.180 (già inserito nella pagina sopra linkata)
64.38.33.13
64.62.137.149
194.146.207.129
194.146.207.18
*** UPDATE ***
Sono migliaia i siti web compromessi su diversi server Aruba, mentre continuano ad essere presenti siti web infetti hostati su Hosting Solutions.
Il kit MPack utilizzato non è ben chiaro se sia la versione 0.86 (come indicato nel pannello delle statistiche) o l’ultima versione 0.90 come indicato nel readme del pacchetto (rilasciata il 27 Maggio 2007).
Come già indicato, il paese che più sta fruttando è l’Italia, con un’efficienza attuale del 28%. Una volta che uno degli exploit eseguiti dal kit caricato sul server riesce a funzionare, viene loggato l’IP e la nazione di provenienza, a scopo di statistica e per bloccare ulteriori infezioni a danno dello stesso IP.
Dopo ciò, viene scaricato un Trojan.Downloader che si occupa – iniettandosi in svchost.exe – di scaricare ulteriore malware.
Attenzione dunque, al momento molti server di Aruba sembra siano stati violati così come più di un mese fa, su queste stesse pagine, avevamo avvertito di una stessa violazione avvenuta ai server di Hosting Solutions.
Ulteriori aggiornamenti nei prossimi giorni.
*** UPDATE ***
Sta aumentando l’elenco dei siti web infetti, la maggior parte di questi ospitati su Aruba. Ora il server centrale riporta quasi 10.000 siti web infetti (referer), sebbene fortunatamente l’efficacia dell’attacco stia diminuendo grazie al fatto che le società di antivirus e antimalware (Prevx 2.0 incluso, ovviamente) stanno prendendo provvedimenti per il riconoscimento del trojan. Di fatto al momento i tre antivirus free riconoscono il trojan, cosí come Kaspersky, Nod32, Symantec dovrebbe riconoscere l’iframe, Prevx 2.0 (non basarsi su VirusTotal, l’engine che é sul servizio web non é aggiornato e sta per essere implementata la nuova versione).
Rimane grave la situazione su Aruba. Si consiglia al momento di cambiare le password di accesso al proprio sito web e di contattare l’hoster immediatamente.
*** UPDATE *** (19 Giugno 2007)
Sembra che Aruba stia gestendo la situazione, eliminando gli iframe dai siti web infetti. Sarebbe interessante conoscere come sia potuto accadere un attacco del genere, ma dubito che sia possibile venirlo a sapere ufficialmente.
Dopo Hosting Solutions, dunque, Aruba. Si accettano scommesse sul prossimo hoster che verrá attaccato.
*** UPDATE *** (19 Giugno 2007)
Alcune buone notizie. Il server centrale é stato messo offline, per cui il rischio attuale é stato soppresso. Tuttavia, l’indirizzo che l’iframe conteneva rimanda ad un server che fa da ponte. Da quest’ultimo gli utenti venivano reindirizzati al server centrale. Chi vuole puó tranquilamente mettere su un nuovo server centrale e reindirizzare lí. Proprio per questo é importante bloccare comunque almeno l’indirizzo IP 58.65.239.180, almeno finché resta attivo.
I server di Aruba coinvolti sono stati circa 199.
*** UPDATE *** (20 Giugno 2007)
Symantec ha rilasciato alcune informazioni su come gli iframe vengano iniettati all’interno dei siti web, cioè attraverso un tool automatico che utilizza username e password dei siti web per accedere e modificare le pagine. Quindi cambiare i dati di accesso, ciò che avevano suggerito Hosting Solutions e ora Aruba agli utenti, sembrerebbe una mossa valida.
La domanda che però sorge è: in che modo gli attacker si sono procurati questa gran quantità di password di accesso? Installando un keylogger su migliaia di pc dei webmaster che gestiscono i siti web? Li hanno beccati quasi tutti che gestiscono siti web su Aruba (e quasi tutti prima che gestivano siti web su Hosting Solutions)? Se anche così fosse, cioè sono riusciti ad avere accesso a così tanti pc direttamente, evidentemente dovrebbero aver utilizzato una tecnica particolarmente efficace per iniettarlo all’interno dei pc delle vittime webmaster. A cosa servirebbe dunque l’utilizzo di MPack se sono riusciti ad attaccare direttamente già così tanti pc con una tecnica così efficace? Per colpire molti altri pc? Potevano utilizzare la stessa tecnica.
Questi webmaster utilizzano forse password deboli, di semplice individuazione? (pcalsicuro:pcalsicuro ad esempio). Potrebbe essere una valida opzione, anche se sinceramente – rimanendo in buona fede – spero impossibile che migliaia di utenti abbiano simili password di accesso.
O sono riusciti in qualche modo ad avere accesso al database degli utenti riuscendo a recuperare le credenziali di accesso? E, se questo è successo, come è successo e quando è successo? Sarebbe interessante verificare se ci sono siti modificati con iframe che sono stati pubblicati di recente, cioè sono clienti da poco tempo. Se ci fosse un denominatore comune si potrebbe anche forse capire quando possa essere avvenuta la probabile intrusione.
*** UPDATE *** (25 Giugno 2007)
Come era facilmente prevedibile, ed avevo scritto precedentemente, il server centrale è stato spostato all’IP 64.62.137.149. Bloccare anche questo IP. Prevx 2.0 riconosce il trojan downloader.
-------------
Post correlati:
Leggendo uno degli aggiornamenti di Symantec e altri siti di AV vedo che la tendenza è quella di affermare ormai che gli IFRAME vengano inseriti nelle home dei siti vittime utilizzando un tool automatico che utilizza username e password dei siti web per accedere e modificare le pagine.
Ma se così fosse dovrebbe rimanere traccia della modifica, come se l’avesse fatta il webmaster, giusto? Invece (lo dico per esperienza) non c’era traccia della modifica nella mia home ma l’iframe era lì dal giorno prima.
E come possono aver avuto accesso a così tante pass e username vista la mole di siti infetti?
Secondo me l’unico modo con cui si possa avere accesso a cosi tante pass e username è che l’agente infettante si trovi nella rete interna del provider e legga i dati di accesso FTP dall’interno, altrimenti io non so come spiegare come abbiano infettato due dei miei siti di cui mai ho usato le password via FTP perchè mai pubblicati e che ho comunque trovati infetti ad un mio controllo successivo per scrupolo…non chiedetemi i dettagli tecnici perchè non li so, vado solo per logica, e unisco ciò che sono riuscita a farmi dire telefonicamente da Seeweb dopo 15 giorni dalla prima segnalazione. La responsabile servizio clienti ha ammesso a parole al telefono che c’è stato un problema interno sulla loro rete che causava questi inserimenti di righe nelle index dei siti web e che i loro tecnici stavano lavorando giorno e notte per risalire all’origine del problema e quindi risolverlo. Ha giustificato il silenzio dei loro tecnici per tutti quei giorni dicendo che se un tecnico non conosce la soluzione del problema non ti risponde. Mi è sembrato ben poco professionale, quanto meno mi sarei aspettata da loro un “Il problema è più complicato del previsto, ma ci stiamo lavorando”, ma questo è ciò che mi hanno detto. Ha infine suggerito di cambiare di nuovo le password quando avessero risolto il problema, come scrupolo di sicurezza. Sto ancora aspettando di avere da loro notizie in merito…
Infatti io ho la brutta, ma consistente, sensazione che sia proprio questo il dramma :\
c’è stato un virus che sosteneva sulla rete di essere il default gateway tramite un arp poisoning e iniettando codice malevolo “on the fly”…
ma penso che anche il più scarso degli IDS si accorga delle presenza di questa situazione…
Ricapitoliamo ? La situazione ad oggi è la seguente:
- sono entrati con le password
- non si sa come se le sono procurate
Sui “circa 199″ server colpiti, TUTTI i siti sono stati modificati o solo alcuni ?
Sarebbe interessante sapere, per poter datare la compromissione del database delle password, quando è stata cambiata l’ultima volta la password sui siti non modificati e modificati….
@Valeria
I due siti compromessi seppur mai pubblicati, quando sono stati creati ??
@francesco
citeimmobiliare.it è stato creato intorno al 3 luglio 2006, dreamfood.it intorno all’11 luglio 2006 e la cosa strana è che questo è stato registrato in concomitanza con il dominio energiamucca.it lo stesso giorno, anche questo mai pubblicato ma nemmeno mai stato toccato dalla modifica dell’iframe. Di questi tre domini non ho mai inserito i dati FTP in nessun programma FTP per la connessione, finchè non ho riscontrato il problema a livello generalizzato, e ho quindi controllato anche questi per scrupolo. Ho potuto verificare che sullo stesso server (con lo stesso IP di riferimento) ci sono siti che sono stati toccati e altri no: 212.25.179.5 è uno di questi, che ospita liceolicos.it e giannino.pv.it che hanno ripetutamente subito il cambio delle index in orari e giorni diversi, oltre che anche citeimmobiliare.it, ma anche sandk-fashion.it mai toccato, mai pubblicato, anzi addirittura con il servizio segnalato come sospeso. Come pure è capitato a pochissimi domini, ad esempio sioflomellina.it sul server 212.25.179.4, che non sono mai stati toccati dalla modifica della index, pur essendo nella stessa sottorete degli altri, ed essendo pubblicati da tempo. Non so se ai più esperti potrebbe servire, ma mi sono fatta uno schema in excel con i domini verificati, toccati e a che ora e giorno.
Le password io non le avevo mai cambiate su nessuno dei domini, salvo poi un cambio globale di tutte le password il giorno dopo che mi sono accorta delle modifiche. Date: 4 aprile e 5 aprile le prime modifiche rilevate sulle index, 6 aprile modifica di tutte le password da un PC diverso da quello che uso di solito (per evitare eventuali letture da probabili malware…), 10 aprile nuovamente index modificate.
In alcune date gli orari delle modifiche sono diversi, in altre date invece la modifica è alla stessa ora.
Ciao Marco,
dopo l’esperienza negativa su HS ho provato a lavorare anche su ARUBA. Porca miseria, mi hanno beccato anche qui!
La cosa strana è che questa volta non hanno aggiunto iframe o jscript come su HS, ma anno modificato in data 19/6/2007 (sito http://www.ourdream.it) 3 pagine php inserendo in testa due tag ( e ).
Speriamo che la situazione migliori!
Umberto.
La Symantec ha pubblicato un video
http://www.symantec.com/enterprise/security_response/weblog/2007/06/mpack_the_movie.html
A me pare evidente che abbiano trovato il modo di accedere alle password e che continuino a leggerle. Sarebbe interessante capire come sono salvate sul sistema… (in chiaro o con un banale DES o MD5… immagino io)
Per quanto riguarda il come entrino, suggerisco che forse hanno trovato una qualche falla nel sistema di gestione via Web… niente di + facile, vista la fattura del sistema di Aruba (da incubo…)
Nelle ultime ore per i clienti Aruba è arrivata anche la sorpresa dei cambi password d’ufficio delle mail dei siti personali.
Questo perché venivano utilizzate per azioni di phishing…vista la mole dei clienti interessati dubito che la colpa sia degli stessi che hanno ceduto dati d’ingresso alle mail o che tutti abbiano subito attacchi malaware….mi sa piuttosto che hanno trovato un altro buco in Aruba dove reperire dati sensibili a quintalate!
A qualcuno si sono dimenticati di comunicare il cambio pass: potete immaginare che felicità!!
Immagina la felicità di quelli come me che hanno clienti che ricevono le email direttamente sulle loro personali….che non leggono praticamente mai!! Figuriamoci se mi avvisano!!
Comunque non le hanno ancora cambiate tutte….
In virtù di un prezzo ridicolo, molti si affidano ad Aruba, nonostante le migliaia di segnalazioni di disservizi vari, più o meno documentati.
Poi succedono questi problemi e tutti ad urlare e a chiedere spiegazioni, oltre che essere inorriditi dalla faccenda.
Caro mio ragazzo, hai pagato 30-40 euro/anno per dello spazio hosting e ti aspetti anche che sia funzionale e che non abbia problemi?
Ho sempre usato i server di 9net (e non vi dico la frustazione quando seppi che anni fa venne acquistata da… Aruba) e non ho mai avuto problemi. Da qualche tempo uso esclusivamente server USA. E qui di problemi ne ho ancora meno.
Ragazzi,
sono arrivato a questa pagina cercando con google informazioni su un tentativo di intrusione da parte dell’IP 81.29.241.236, bloccato da Norton AV 2007. Ho letto con attenzione tutti i commenti ma non ho capito nulla, sono completamente a digiuno di informatica e mi limiti a controllare la posta. Il problema è che i miei hanno un conto on-line (anche io ma non l’ho mai usato) e ho paura che possano combinare loro qualche scherzo. Qualcuno di voi saprebbe spiegarmi in parole poverissime cosa fare per esser sicuro che il sito visitato non sia compromesso? facendo girare Norton non succede nulla, mi avverte soltanto alla fine che è stato bloccato un tentativo di intrusione da parte di diversi IP.
Qualcuno può aiutarmi? vi prego, sono un povero antiquato che mastica ben poco di computer!
E’ meglio che non usino il conto online in questo momento. Se proprio
devono formatta il pc.
e poi installa tutte le patch tramite windows update. Poi installa firefox con l’estensione noscript oppure usa opera. Dopo aver installato qualche programma (acrobat reader,winzip, quicktime ecc.) controlla che non abbiano vulnerabilta’
con secunia.com/software_inspector
Crea un utente non amministratore per navigare sul web.
Usa un AV aggiornato.
Comunque è meglio NON usare il conto online di questi tempi
Grazie m4v3rick, ma ho ancora qualche dubbio:
- i siti delle banche riportano numerose informazioni sulla loro presunta “invulnerabilità” e ne elencano le magnifiche doti anti-tutto: possibile che siano così folli da non avvertire se i loro clienti soggiacciono a qualche minaccia?
- perdonate l’ignoranza, che significa “installa firefox con l’estensione noscript”?
- credete che Norton 2007 sia sufficiente a scongiurare i pericoli di cui si parla?
Grazie.
Le banche sono decisamente sicure ma è il tuo pc a non esserlo e ti fregano le password proprio li’. Per cui fai le cose che ti ho detto facendoti aiutare da un amico esperto.
Norton 2007 puo’ andar abbastanza bene ma gli antivirus ultimamente possono davvero poco contro le nuove minacce.Serve una politica preventiva
Perfetto, grazie ancora.
oddio, sulla sicurezza delle banche magari qualcosina, da ciò che ho potuto sentire, mi verrebbe da dubitare
@Marco Giuliani
Marco sembrano esserci altre segnalazioni riguardo ad un nuovo Toolkit simile a WebAttacker ed a MPack
http://blog.trendmicro.com/all-roads-lead-to-troj-smallfxd/
Sì, se non sbaglio non è nuovo. L’avevo già visto qualche tempo fa.
Scusate per i pochi aggiornamenti ma non sempre l’essere fermi significa essere fermi
Marco G. ti ha scritto TNT?
Ti devo dire una cosa abbastanza interessante
Marco G. ti ho scritto. Fammi sapere
Visto e risposto
Non ho ricevuto nulla marco
puoi rimandarlo?
@m4v3rick
…sei sicuro che consigliare Opera sia una buona dritta? a quanto pare ha dei buchi mica male specialmente nella versione 9.2x
http://www.downloadblog.it/post/3198/opera-nasconde-le-proprie-vulnerabilita
http://www.pc-facile.com/news/opera_risolto_grave_problema_vulnerabilita/50133.htm
http://www.pcopen.it/01NET/HP/0,1254,4_ART_66144,00.html
La verità è che la sicurezza totale non c’è e quindi bisogna stare molo attenti quando si usano carte di credito, conti online ecc…prendere sempre tutte le precauzioni anche se a volte sembrano una perdita di tempo…
ma le falle le ha anche firefox , tutti li hanno
Per me la soluzione ottima e’ sandboxie su FF
La soluzione ottimale sarebbe Firefox su OpenBSD limitato con systrace…
Ma sono d’accordo, usando Firefox, Sandboxie e utente limitato le possibilita’ che un sito faccia danni sono proprio davvero minime…
TNT sta sempre in agguato
Appena dici una boiata zack
arriva il cazziatone .-)
Quale boiata?
In realta’ confermavo… 
Si certo stavo scherzando. Ma che fine ha fatto marco?
Mi sono arrivate voci che l’hanno visto in giro con 3 sventole bionde ucraine mandate da inhoster. Mi sa che adesso che si sta dedicando a ben altri piaceri …. altro che scovare virus e malware
Magari
excite mi filtra come spam
Sto cercando di provvedere contattando direttamente il supporto tecnico 
Però se avete qualche bella ragazza da presentarmi non mi schifo mica
ti scrivo con una mail diversa
Altre due domande in questo mondo di bugie ed omertà istituzionale:
- qualcuno saprebbe dirmi se il sito dell’università di Napoli
http://www.unina.it
nelle opzioni “mail” è compromesso?
- possibile che symantec abbia già fatto uscire sul mercato un prodotto anti MPack pamacea di ogni male da voi così ampiamente individuato e descritto?
Ciao e buon lavoro.
Per quanto mi riguarda non ho avuto problemi di “intrusione da IFRAME” (anche perchè il mio hosting è Linux) ma tutte le pagine index, main e default con estensione .htm,html,php risultano modificate in data 19/06/2007 ore 21.05 ed hanno in aggiunta all’inizio due tag () sebbene successivamente ci siano di nuovo quelli previsti. Che sia qualche tool automatico di aruba che ripulisce le pagine (infette o meno).
Inoltre nell’area apertura ticket, c’è il seguente annuncio (è un caso?):
Inserito il: 14/06/07 09:37 | Autore:
Manutenzione straordinaria servizio statistiche
E’ in corso un intervento di manutenzione straordinaria sul server che gestisce il servizio statistiche dei domini attivati su Hosting Windows sulle macchine da webs160 a webs219 compresi.
Seguirà conferma del termine dei lavori.
————————————————————————————Aggiornamento: l’intervento è terminato in data di lunedì 25/06/07. Le successive verifiche di stabilità non hanno rilevato problematiche, pertanto confermiamo la corretta funzionalità del servizio.
Aruba S.p.A. – Servizio Aruba.it
Svariati mesi fa, su un forum dedicato a Joomla (forse il più diffuso tra i CMS) un tizio postava una richiesta di aiuto circa la continua e ripetuta l’intrusione sul suo sito che comportava proprio la comparsa di questo maledetto IFRAME nella pagina index. Indovinate un po’ chi era il provider che ospitava il suo sito?
Di seguio riporto il suo topic datato 16 settembre 2006:
“Ogni tanto mi viene modificato il file index con questa riga:
Si verifica ogni 2-3 giorni, non riesco ad impedirlo
versione in uso 1.0.12
esiste un metodo per blindare il file index?
grazie a tutti i collaboratori, competenti ed efficienti”.
Mi piacerebbe avere una statistica della tipologia di siti maggiormente colpiti. Non sarà che sti CMS sono particolarmente vulnerabili?
ANche TOPHOST…venne beccata da dei DEFACER turchi. Ricordo che un collega….sulla home page..si trovò un DEFACEMENT di un sito turco che innegiava GUerra… C……ni.
Salve, Un sito di un mio cliente in hosting su Seeweb ha subito lo stesso attacco. Ecco il codice: “ ”
La modifica dell’index è stata fatta il 14 agosto.
Ho comunicato a Seeweb il fatto e la loro risposta è stata (come ho visto già data ad altri) che il problema non dipendeva da loro ma da password rubate. Dunque la colpa era mia…!
Incredribile però che continuino con questa tesi quando come ho letto riferito da Valeria a lei hanno ammesso di avere qualche problema sui loro server interni. Con me e il mio cliente ora a settembre se ne lavano le mani…
Considerando poi il costo dell’hosting in oggetto non propriamente a buon mercato è veramente da pensare di andarsene.
Consigli?
Grazie a tutti per l’ottimo lavoro
Hello Id Like to get somewhere you this far-out tab !
How ration out the go-by a by we try something a teeny-weeny buddy this anon a punctually ?
perfortune something like this ?
http://www.sexytime93.com