Come avrete potuto notare, il sito PC Al Sicuro risulta ultimamente poco aggiornato. Lavoro, studio e impegni personali mi stanno saturando di molto il tempo libero, limitando il tempo dedicato a sito e forum.
Approfitto di questi due minuti durante una lezione universitaria per aggiornare queste pagine con una segnalazione che mi è stata riportata giorni fa.
Come si è parlato già addietro, il 2007 è diventato di diritto l’anno delle compromissioni dei siti web da parte dei malware writer. Si è parlato di Hosting Solutions, si è parlato di Aruba, si è parlato di alcuni siti di rilevanza nazionale infettati da iframe nocivi.
Continuando nelle indagini, anche il noto fornitore di connettività e hosting/housing Seeweb sembrerebbe essere stato preso di mira durante questa ondata di pirateria informatica.
Un discreto numero di siti web ospitati su alcuni server della nota società italiana sono stati alterati, molti dei quali sembrerebbe inoltre siano stati modificati durante queste ultime settimane.
Poco meno di un centinaio di siti web, di cui circa 70 gli ultimi arrivati, contengono nel codice della propria home page un iframe che reindirizza il browser dell’utente ignaro verso un terzo server contenente codice maligno.
L’infezione che ne deriva, in caso si utilizzi software non aggiornato, è il solito Rootkit.DialCall con sample aggiornati per evitare di essere individuati dai software antivirus. Il nuovo indirizzo IP utilizzato dai malware writer è 81.29.241.238, sempre appartenente allo stesso range degli indirizzi IP precedentemente utilizzati per la stessa infezione e facente capo al range generale 81.29.240.0/20 gestito da LLC GlobalWholesaleTrade.
I file e le voci di registro create sono:
%Windir%\service32.exe
%Windir%\syss.dllHKLM\software\microsoft\windows\currentversion\policies\explorer\run\
[6G98D2X74V = %Windir%\service32.exe]HKLM\software\6g98d2×74v\
Sembrerebbe che gran parte dei server che ospitano i siti web compromessi siano basati su GNU/Linux Debian e web server Apache, sebbene alcuni siano ospitati anche su Microsoft IIS. I controlli che sono stati fatti sono stati effettuati su un range limitato di indirizzi IP per cui non è possibile fornire un resoconto completo dei siti compromessi, resoconto che potrebbe fare esclusivamente Seeweb.
Rimane, come per gli altri casi, il dubbio su come sia stato possibile per i malware writer inserire iframe all’insaputa degli amministratori di siti web. Se per un sito web o per un paio potrebbe essere stato possibile il furto di credenziali, già questa opzione risulta più difficile da concepire per una trentina di siti ospitati su uno stesso IP e un’altra ventina su un altro IP.
Per chi vuole può fare una scansione gratuita con Prevx CSI, scanner standalone che non necessita di installazione e verifica eventuali infezioni all’interno del PC.
*** UPDATE ***
A pochissime ore dalla pubblicazione della notizia sembrerebbe Seeweb abbia rimosso tutti gli iframe dalle pagine infette. Tuttavia, parrebbe che qualche script automatico sia installato in alcuni dei server poiché – se è vero che Seeweb ha filtrato e pulito i siti precedentemente compromessi – sono apparsi pochissime ore fa altri siti infetti sugli stessi server, differenti dai primi.
E’ completamente inutile rimuovere gli iframe se poi non si mettono a posto le vulnerabilita’ sui server. Questi criminali hanno script automatici che attaccano i siti remoti continuamente. Quando era stato compromesso il sito della Bank of India gli amministratori continuavano a ripristinare la pagina “pulita”, e ogni volta nel giro di pochi minuti veniva di nuovo compromessa.
Vero
È d’obbligo usare sempre il condizionale, non avendo sotto mano server e potendo così trarre conclusioni certe.
Gia’ da qualche settimana avevo notato dei problemi su Seeweb con pagine che sembravano essere state compromesse di recente.
http://edetools.blogspot.com/2007/09/ancora-server-seeweb-con-seri-problemi.html
Se poi, adirittura, i siti hostati su hosting solution a distanza di mesi!!! hanno ancora le pagime con all’interno gli script offuscati, anche se non attivi, c’e’ poco da stare allegri.
http://edetools.blogspot.com/2007/09/cosa-e-successo-ai-siti-italiani.html
Sto rifacendo una scansione totale con il mio tool dei range ip di seeweb, vediamo cosa succede….
Edgar from Bangkok
http://edetools.blogspot.com/
Attenti a non fare e creare confusione. Una volta che si possiedono le password ftp non c’è alcun bisogno di vulnerabilità dei server o degli script. Oltre a modificare le pagine si può inserire una shell o altro script da richiamare attraverso l’url e fare quindi ciò che si vuole, compreso ri-uploadare pagine rimosse. Come magari successo nel caso di Bank of India. Tutto ciò senza vulnerabilità di alcun tipo.
Il nodo da sciogliere è quello di dove e come sono state recuperate queste password. Lì sì potrebbe aver influito qualche vulnerabilità nascosta chissà dove.
per caso anche un ntsystem.exe collocato in :\windows è riconducibile a questa infezione?
Alpha, ok, quello che dici e’ ovvio… ma siamo sicuri che si tratti delle password di FTP? Ci credo poco… Ma e’ possibile, certo. La cosa piu’ probabile secondo me e’ che abbiano sfruttato delle falle nel server. Ma potrei sbagliarmi. Senza avere accesso ai server e’ possibile solo fare ipotesi.
“i siti web compromessi siano basati su GNU/Linux Debian”
alla faccia di chi dice che Linux è sicuro!
Ah eccolo, mi mancava.