La moda di questi anni, si sà, è l’inserimento di javaScript offuscati all’interno di pagine web innocenti che, d’improvviso, innocenti non lo sono piu ma diventano dei veicoli per infettare gli utenti del web.
Alcuni anni fa scoppiò il caso Aruba e Hosting Solutions, due tra i maggiori hosting provider italiani, che si videro compromettere centinaia di siti web ospitati nei loro server. “Una particolare tecnica di phishing, ben congeniata, che era riuscita ad ingannare gli utenti e a convincerli a comunicare le password di accesso ai propri siti web“. Questa fu, secondo una delle due società, la causa principale della compromissione dei siti web ospitati. Nessuna falla del sistema.
Che il phishing sia una delle più gravi piaghe degli ultimi anni è risaputo, ma che a cadere vittima di una tecnica di phishing sia uno dei maggiori siti italiani dedicato alla lotta contro il phishing, questo sembra fuori da ogni possibile logica. E, d’altronde, a distanza di anni, potrebbe riaprire la diatriba portata avanti per settimane “fu colpa degli hosting provider e di una falla di sistema o fu veramente colpa degli utenti e di qualche sofisticata tecnica di phishing?“.
In queste ore il sito web anti-phishing.it, una delle maggiori risorse italiane nella lotta contro il phishing, è stato compromesso e nella home page è stato inserito un javaScript offuscato che reindirizza ad alcune pagine web contenenti exploit. Il server contenente gli exploit è individuabile all’indirizzo 70.38.31.90. Il sito è ospitato in uno dei server Aruba dedicati allo shared hosting.
Le pagine web malevole si occupano, attraverso exploit vari, di scaricare automaticamente nel PC vittima un trojan che installa il famigerato MBR rootkit.
Il fatto in sé farebbe rivalutare la causa “phishing“, vista la vittima illustre. Ad un’analisi più dettagliata risultano piu di una cinquantina i siti web compromessi con lo stesso javaScript offuscato, per ora tutti ospitati su Aruba.
Tra le vittime illustri anche il sito web personale del deputato dell’Italia dei Valori Franco Barbato, il sito non ufficiale italiano dedicato a Twitter, il sito ufficiale del gruppo musicale Zero Assoluto, il sito della rete sismica sperimentale italiana I.E.S.N . L’analisi di molti siti web è ancora in corso tuttavia, non è possibile escludere a priori ulteriori siti web famosi compromessi.
Il dropper scaricato nel PC della vittima attraverso gli exploit è al momento individuato, stando ad una scansione su VirusTotal, da soli 10 antivirus su 41 testati. Una volta eseguito, si connette all’indirizzo IP 72.51.41.83 da dove scarica la seconda parte dell’infezione, che si occuperà di installare il rootkit vero e proprio.
Il fatto che i siti web compromessi siano ospitati su diversi server Aruba e non centralizzati tutti su uno stesso indirizzo IP lascerebbe pensare che non si tratti di una falla nei server di Aruba, ma più di un attacco mirato verso specifici obiettivi. Tuttavia, la presenza di un sito web quale anti-phishing.it tra le vittime dell’attacco porterebbe idealmente ad escludere l’ipotesi di un attacco tramite phishing e di un infezione nel sistema dei gestori del sito web.
Rimarrebbe l’ipotesi di una compromissione lato server, che potrebbe combaciare anche se i siti web sono sparsi tra vari indirizzi IP. I pirati informatici potrebbero voler non dare troppo nell’occhio ed evitare di far vedere di avere libero accesso ai server. Facendo così, colpendo pochi siti web e sparsi tra i vari server, apparirebbe come una lacuna lato client, colpa di qualche webmaster distratto e di qualche e-mail di phishing ben costruita. Purtroppo, però, la verità – qualunque essa sia – difficilmente verrà mai a galla.
Al momento gli utenti Prevx sono completamente protetti da questo attacco. Chi pensa possa essere rimasto infetto, può effettuare una scansione gratuita con Prevx. In caso di infezione presente, verrà identificata come Rootkit.MBR.
UPDATE 23/01/2010 ore 10.20
Questa è una lista parziale dei siti web ospitati sui server Aruba rimasti colpiti dal javaScript offuscato:
|
www.abodybuilding.com www.actarus.it www.aerrepici.org www.agdesktop.com www.ageofgames.net www.agriturismofrattavecchia.it www.amiciinsoliti.it www.anden1.org www.animetv.it www.anti-phishing.it www.arcierimonica.org www.arkearcheologiasperimentale.it www.armerie.net www.armeriecalvini.com www.arribalafoto.com www.artedelcorpo.com www.asciitable.it www.astralis.it www.atzone.it www.aulamanga.it www.aureliagarden.it www.beachsolaire.it www.becariosicex.com www.bellezzedellatoscana.it www.beneventocalcio.it www.bitsforfree.eu www.bleachrevolution.net www.borgometeo.it www.broderie.it www.buffyitalianworld.com www.bugatticlubitalia.it www.bullmanu.com www.caicittadella.it www.capware.it www.cartonianimati3d.it www.cieliaperti.com www.clipboom.it www.cloudgoessocial.net www.clubclio.com www.cocinatusrecetas.com www.compagniadragonero.it www.comunicati-stampa-gratis.net www.comunidadgm.org www.console-inf.com www.correrenelverde.com www.correrenelverde.it www.corriereuniv.it www.coverworld.it www.cravenroad7.it www.crea-nickname.com www.croaziatravel.it www.css-zibaldone.com www.cucinaconme.it www.cuprefijos.com www.daisoft.it www.damagedsoul.net www.davidevasta.biz www.delmutolo.com www.domainers.it www.dragonballgt.it www.economia-solidale.org www.elbaexplorer.com www.emiliaromagnameteo.com www.encirobot.com www.esdeperu.com www.fibonacci.it www.flashgamesfree.org www.forum-immobiliare.com www.forumeteo-emr.it www.forzalghero.com www.francobarbato.com www.fundaciondoctordepando.com www.galleriaborghese.it www.gemini.bs.it www.gianmarcoterracciano.net www.gifforyou.com www.ginevra2000.it www.giochigratisenigmisticaperbambini.com www.giochigratisonline.eu www.goatseo.com www.gratiscasa.it www.guylumbardot.com www.harrrdito.it www.hnkweb.com www.icarli.com www.iconbulk.com www.iesn.org www.ildizionario.eu www.ilgiornaledirieti.it www.indicededibujos.com www.indicedejuegos.com www.indicedepaginas.com www.indovinelli.net www.infoseriea.com www.infoshaker.com www.interelectron.com www.inworg.com www.istruzionevenezia.it www.juicenet.it www.kartoline.net www.katalogato.com www.kitepoint.it www.lacasalingaideale.it www.lagomaggioreonline.it www.lamiabarrique.com www.lemacinaie.com www.liciatroisi.it |
www.linguafrancese.it www.linuxcmd.org www.linuxguide.it www.livincool.com www.llama-gratis.com www.lottointelligente.it www.lucianabartolini.net www.madeincima.eu www.maestrasabry.it www.mainecoonclub.it www.marcoardigo.it www.massimodesantis.com www.mattbates.net www.medicinelab.net www.meganime.org www.megghy.it www.mercurymailmarketing.it www.messinasalsa.com www.milkaddict.com www.mircmania.it www.mondobirra.org www.mondoglitter.it www.monza-news.com www.motogpricambi.com www.msnmessenger7es.com www.mylastmistake.org www.myphotoexperience.net www.nacionarcade.net www.nerdgranny.com www.nuestrocine.com www.oasidelpensiero.it www.ordinarydream.com www.panzallaria.com www.papeetebeach.com www.pcitaliashop.it www.pescainmare.com www.photo-browser.com www.pillolibri.it www.portalinoweb.it www.portalnet.org www.primitaly.it www.progettovidio.it www.programmi-giochi-nokia.it www.qeveria.eu www.radiocentro95.it www.realiteti.org www.roogler.net www.scrittura.org www.scultura-italiana.com www.scuoladitaliano.com www.shiftiteasy.com www.shopsims.it www.simpsonet.com www.sologratis.it www.soluzionistore.com www.storiain.net www.studiocappello.it www.tekken-series.com www.testiemusica.com www.thepictureswarehouse.com www.torinointernational.com www.tuttoirc.it www.twitteritalia.it www.usplecce.it www.viaggimiei.net www.viajeajapon.com www.videogiochi3d.it www.videositios.com www.vinigiovannini.it www.violenza124.com www.voxita.com www.webgif.org www.webwards.net www.wikivideo.it www.wooki.es www.wowwiki.it www.youhentai.net www.youngdesigner.it www.yourselfholidays.com www.zeroassoluto.it |
Alcuni di questi, tra cui anti-phishing.it, hanno già bonificato la pagina web e rimosso il codice nocivo.
Quando li ho individuati la prima cosa che ho fatto è mandare mail ai proprietari dei siti e aprire un ticket con l’assistenza tecnica di aruba
Su aruba c’era anche lagazzetta.it che aveva uno script analogo. Rimosso su mia segnalazione
Per fortuna almeno italia-news.it è stato bonificato.
Nel momento in cui me ne sono accorto c’erano per 500 persone collegate
Ah un’ultima cosa: penso che il problema sia di aruba e che questa volta abbiano fatto una scelta mirata dei siti con maggiore traffico.
Se poi pensi che hanno registrato i domini
lagazzetta.it , sorrisiecanzoni.it e ilcorrieredellasera.it.
Questi dovrebbero essere siti civetta.
L’unico che aveva lo script malevolo era lagazzetta.it ed infatti gli altri 2 reindirizzavano a quello
Oh caspita!
anti-phishing.it viene bloccato automaticamente attraverso la segnalazione delle bad pages da Google, ma il sito di Franco Barbato non viene bloccato…. in fondo alla pagina dopo il tag html viene aggiunto un javascript codificato in una maniera assurda!!!
Marco, è vero che chi usa Google Chrome è a rischio, e sarebbe meglio usare Firefox+NoScript+Adblock Plus?
Il famigerato rootkit TDL viene trasmesso anche tramite questo tipo di infezioni da siti web o solo scaricando materiale di dubbia provenienza?
Anche il mio sito è stato colpito, stamattina intorno alle 10.30, ed ha hosting su Aruba.
Il phishing, però, stavolta non c’entra, di certo qualcuno è riuscito lato server ad avre le credenziali di accesso…
LinuxGuide.it compromesso dal medesimo malware.
Adesso chi pagherà i danni?
Lo stesso vale per:
SoftLinux.org
SoftLinux.it
E’ assurdo che da qualche anno continua a ripetersi questo problema… abbiamo segnalato piu’ volta la cosa al provider, visto che periodicamente o in uno od in un altro dei nostri siti (sempre hosting aruba) vi siano dei malware.
Non è un problema momentaneo o un attacco verso aruba in questo dato momento…è un qualcosa che periodicamente si verifica nei siti in hosting su aruba.
Saro’ pure malpensante ma non vedo chiarezza in questi eventi.
Ringrazio Franz Grua per avermi segnalato il problema e come risolverlo secondo lui, anche se in modo errato, essendo il mio un sito su hosting windows e non linux. Comunque spero di non aver arrecato danni a nessuno, anche se non per colpa mia, tranne che a me stesso, che naturalmente ho utilizzato il sito in questi giorni. Possiamo fare una class action?
Io credo che sia possibile fare una class action contro aruba. Solo in questo caso finalmente prenderanno sul serio il discorso della sicurezza. E’ una vera indecenza che i server aruba vengaono compromessi con questa frequenza. La ma cosa grave e’ la lentezza nella bonifica una volta segnalato il problema.
Problema verificato anche per i nostri 2 domini registrati sempre su aruba. L’attacco è stato effettuato lato server… sia per la molteplicità di domini colpiti nello stesso istante (da quanto risulta in questo articolo)sia per il fatto che 1 dei nostri due domini non è mai stato toccato da quando è stato registrato (contiene solamente la pagina index.html di default)… In caso di azione phishing ce ne saremmo accorti sicuramente… in quanto avremmo dovuto fornire le credenziali per questo dominio… Le pagine attaccate sono le index.php e index.html all’inizio o alla fine con un codice javascript criptato…
Ho rimosso il virus su voxita.com ieri sera. Fortunatamente me l’ha segnalato subito Avast! e sono corso ai ripari. Ho mandato anche un ticket ad aruba, ma ancora non mi hanno risposto…
Ho paura che sia un attacco mirato ai siti di maggior traffico. Se aruba non mi risponderà in maniera esaustiva su questo incidente cambierò compagnia.
Vi prego di controllare e di cancellare il mio sito tra i siti infetti! Grazie mille!
Mi sono collegato ora, ma sulla Home non c’è traccia del codice maligno… dici che Aruba ha provveduto da sola a rimuoverla?
Salve a tutti, sono anche io vittima del malware che ha colpito Aruba, ho inviato 2 ticket all’assistenza, al primo mi hanno detto che avevano risolto tutto e fidandomi mi sono ricollegata al sito rinfettando per la seconda volta il pc!Al secondo ticket nessuna risposta!Adesso il pc è pulito, ma vorrei fare qualcosa per il sito…cosa posso fare (hosting linux)?e soprattutto rischio di rinfettare il pc?Grazie a chi mi aiuterà!Ciao
una domanda da neofita
dal punto di vista client come è possibile infettarsi il pc?
ammettiamo il caso che il mio antivirus non abbia nelle proprie firme virali questo malware
quale è il meccanisco che questo virus usa per infettare il client?
devo avere sul pc qualche applicativo non aggiornato (java, flash,etc) oppure il malware infetta a prescindere?
Salve,
Un’anima buona mi ha avvisato, non capivo perche’ usando sia firefox sia IE non mi connettevo alla home, mi inchiodava dando pagina non caricabile ecc dopodiche indagando ho trovato diversi file caricati a nuovo tutti il 22 gennaio sul mio server, li ho sostituiti e tutto e’ andato a posto.
Il mio antivirus comunque lo rileva, ho avast, ho provato a scaricarmi uno dei file html sospetti e me lo ha fatto cancellare immediatamente.
A me pare siano entrati lato server a questo punto.
Ciao.
Anche INFOPA.net è stato attaccato dal malware!
Uno script Perl all’interno di /cgi-bin faceva la scansione delle directory e inseriva il contenuto malevolo all’interno dei file. Inseriva contenuti diversi in base al tipo di file: PHP, HTML, Javascript, ecc…
Aruba è proprio un colabrodo!
I siti in lista sono stati bonificati da aruba,ho provedduto anche io a mandare un ticket per la rimozione ,ma ce ne sono ancora 2 siti infetti:
xxx.clubzonanokia.com
xxx.mondobirra.org
Salve,
confermo che il mio sito http://www.bellezzedellatoscana.it è stato infettato come detto sopra.
Il mio sito risiede su server Aruba in versione Hosting Linux da quasi quattro anni, ma è la prima volta che incappo nel problema.
L’infezione ha riguardato l’homepage più altre cinque pagine minori.
Avast ha beccato un certo HTML:IFrame-KU [Trj].
Lo stesso “coso” è stato individuato ed eliminato dalla cartella del mio PC …\Temporary Internet File\Content.IE5\…
Controllando ho visto che i file sono stati modificati con l’inserimento del codice malevolo alle ore 11:36 del giorno 22/01/2010.
Con la stessa data è comparso anche un fantomatico file mailcheck.php contenente il seguente codice:
”
”
Solo in un secondo momento i sono accorto che nella cartella cgi-bin risiedeva un file chat.pl contenente una certa quantità di codice. Sinceramente non so se il file esisteva già in precedenza, ma la data di modifica del file fa puzzare la cosa…
Ho eliminato i file mailcheck.php e chat.pl;
ho ripristinato le pagine compromesse.
Tutto è tornato a posto ed ulteriori scansioni del PC sia con Avast che con Prevx me lo confermano.
Saluti
Salve, anch’io ho avuto lo stesso problema e da Domenica 24 sera il mio sito http://www.giochigratisenigmisticaperbambini.com è bonificato.
Mi sono accorta di avere il sito segnalato come “malevolo” da Google nella mattina di domenica e sono andata subito a controllare, via ftp, le date delle cartelle.
Ne ho trovate 7 con date differenti da quelle che avevo nel pc: le 5 index del mio sito, la cartella admin e la cgi-bin (in quest’ultima c’era il file chat.pl).
Ho trasmesso via ftp le cartelle così come le avevo nel pc e, dopo aver segnalato a google di aver ripulito, in serata sono ritornata “libera”.
Anch’io ho aperto un ticket su Aruba da cui non ho ancora avuto risposta.
Saluti
ATTENZIONE.
Ho visto che nuovamente le mie index e il file index.htm nella cartella admin riportavano una data di modifica diversa.
Tutte con data 26-01-10 ore 13.00.
Ho di nuovo trasmesso via ftp i file come li ho da pc, rimandato un ticket ad Aruba e immediatamente telefonato ad Aruba per avvisare che, nonostante password cambiata e non memorizzata, gli interventi da parte di altri sul mio sito continuano.
E’ successo anche ad altri di trovare queste anomalie? (per ora i controlli con antivirus & Co. non stanno rilevando nulla nonostante abbia visitato il mio sito con le date modificate di cui sopra).
Se hai ancora la pagina web modificata, per favore inviamela in un file zip a marco@pcalsicuro.com
Grazie
Mi dispiace, non ho le pagine modificate.Le ho immediatamente sostituite con le mie originali.
Dopo analisi approfondita, il sistema antivirus mi ha ritrovato tutti i trojan classificandoli “alto rischio”.
Nessuna novità da Aruba.
Spero non mi ricapiti più ma nel caso, le invierò le pagine modificate.Io non sono avezza con queste cose: metto solo on line contenuti per bambini e mai avrei penato di ritrovarmi invischiata in queste cose.
Saluti
Vania
Scusa se ti faccio ulteriori domande: la password era stata modificata, giusto? È una password mediamente complessa (numeri e lettere, oppure lettere maiuscole e minuscole, password piu lunga di 7 caratteri etc…) o facilmente individuabile tramite un possibile attacco dizionario? (cioè parole di uso comune, parole che siano facilmente collegabili alla propria vita etc…)
Inoltre hai effettuato una scansione approfondita del tuo PC con dei software di sicurezza? In caso Potresti fare una scansione gratuita con Prevx 3.0 (http://www.prevx.com) e, successivamente, con Rootkit Unhooker (link: http://www.rootkit.com/vault/DiabloNova/RkU3.8.386.588.rar) cliccando su Report e poi Scan?
Sia Prevx (finita la scansione, cliccando su Tools – Save Scan results) che Rootkit Unhooker dovrebbero generarti dei log.
Se hai tempo e vuoi fare questo controllo del computer, poi zippa i file di log e mandameli all’indirizzo e-mail sopra riportato.
In caso grazie
edgar ha rilasciato una lista aggiornata dei siti infetti
http://edetools.blogspot.com/2010/01/siti-compromessi-con-inclusione.html
Ma non credo sia completa ad esempio manca
http://www.harrrdito.it che è ancora infetto
Ho ricordato di avere il servizio di back up con Aruba e così ho ritrovato le index modificate e gliele ho inviate zippate come richiesto.
Saluti
Vania
Ciao Marco io ho windows 7 64 bit ultimate edition, c’è qualche programma adatto per il mio sistema operativo a 64 bit ? Grazie
Ciao a tutti,
Volevo sapere se il sito “animetv.it” adesso è pulito e navigabile, pechè google lo segnala ancora come sito malevolo.
Grazie
Si, è pulito
salve, google segnala ancora il blog come dannoso anche se ,seguendo il vostro consiglio, ho fatto scansione con Prevx e lo segnala pulito , non capisco nulla di codici,potreste controllare e mi suggerite cosa dire al tecnico ? grazie in anticipo
marina
Ciao! Avast Free 5 mi segnala che il sito di Sorrisi & Canzoni TV http://www.sorrisi.com è infettato da HTML:iframe-inf (javascript infetto?). E’ vero e andrebbe segnalato al webmaster?