• Moderatore

    1,100 siti italiani infettati da malware

    E' di stamattina la notizia diffusa da TrendMicro relativa alla diffusione di codice malevolo su oltre 1,000 siti italiani usati all'insaputa dei proprietari come vettori per diffondere il malware MPack.

    Qui http://blog.trendmicro.com/another-malware-pulls-an-italian-job/ e qui http://www.websense.com/securitylabs/alerts/alert.php?AlertID=782 maggiori informazioni.

    Nella news di TrendMicro si specifica che i siti sono tutti hostati presso lo stesso hoster italiano e si specifica che è uno dei maggiori hoster del Paese.

    Anche se non meglio specificato suppongo che i cracker hanno infettato siti che usano CMS "deboli" come Joomla, Mambo, PhpBB, ecc....


  • User Attivo

    Mi risulta che l'allarme sia stato lanciato per primo da Symantec, e poi su PC Al Sicuro.
    Il fatto di sfruttare attacchi ai CMS non dovrebbe tuttavia permettere ad un attacker di avere accesso completo al server... invece molti siti che non hanno pagine dinamiche contenevano comunque l'iframe incriminato.
    Una cosa simile è stata vista tempo fa su Hosting Solutions; qui c'è uno spiegone tecnico (ben fatto) sull'attuale attacco: http://www.pcalsicuro.com/main/2007/06/possibile-intrusione-nei-sistemi-aruba


  • User

    @Tagliaerbe said:

    Mi risulta che l'allarme sia stato lanciato per primo da Symantec, e poi su PC Al Sicuro.
    Il fatto di sfruttare attacchi ai CMS non dovrebbe tuttavia permettere ad un attacker di avere accesso completo al server... invece molti siti che non hanno pagine dinamiche contenevano comunque l'iframe incriminato.
    Una cosa simile è stata vista tempo fa su Hosting Solutions; qui c'è uno spiegone tecnico (ben fatto) sull'attuale attacco: http://www.pcalsicuro.com/main/2007/06/possibile-intrusione-nei-sistemi-aruba

    In realta' l'attacco non deriva dall'uso dei tanto blasonati CMS ultrabucati (ahime' anche WP fa parte di essi!) ma, sembra, da un buchettino del cpanel, ossia il pannello usato dalla stragrande maggioranza dei server che offrono hosting insieme a plesk oltre che dal "caro" IIS sempre piu' bucabile...
    Purtroppo un CMS affetto da bug puo' permettere ad un hacker/cracker l'accesso completo al server ma, purtroppo, un CMS e' ormai di uso comune e chi offre hosting si deve in qualche maniera "adeguare".


  • User Newbie

    @leofire said:

    In realta' l'attacco non deriva dall'uso dei tanto blasonati CMS ultrabucati (ahime' anche WP fa parte di essi!) ma, sembra, da un buchettino del cpanel, ossia il pannello usato dalla stragrande maggioranza dei server che offrono hosting insieme a plesk oltre che dal "caro" IIS sempre piu' bucabile...
    Purtroppo un CMS affetto da bug puo' permettere ad un hacker/cracker l'accesso completo al server ma, purtroppo, un CMS e' ormai di uso comune e chi offre hosting si deve in qualche maniera "adeguare".

    Ciao,

    forse rispondo in modo un po "brutale" ma non ne posso fare a meno. Questa è una stupidaggine bella e buona!

    Un CMS, per quanto buggato non potrà M-A-I essere non può ne ora, ne nel passato ne in qualsiasi vita futura permettere di prendere il contorllo C-O-M-P-L-E-T-O del server!

    Al massimo, se il server è M-A-L C-O-N-F-I-G-U-R-A-T-O, ma questo non c'entra con il CMS, succede che puoi danneggiare gli altri siti web con i file su cui l'utente del web server può scrivere, ma di certo non puoi prendere il controllo completo della macchina

    Ma ripeto ... deve essere mal configurato il web server!

    Però per esempio che so se il web server fa uso dell'mpm itk, già il problema si è appena risolto, o se usa le fastcgi impostandole per assegnare un utente specifico per virtual host idem.

    Nel caso specifico un web server senza le curl con il safe mode attivo e le open base dir impostate correttamente non permettono l'accesso, in alcun modo, a path non autorizzate se non quelle del proprio dominio!!!


    Finito questo discorso, passiamo ad un altro: questione sicurezza

    i siti li ho conteggiati tramite uno scriptino che mi sono fatto e per esempio aruba risulta con ben 208 ip contenenti siti compromessi ... 208 ip non vuol dire 208 server, però comunque la cifra è notevolmente elevata, diciamo per esempio la metà, ovvero 104 server.
    Ora, secondo voi potrebbe mai essere possibile che un numero di webmaster N, presenti su un numero M di server, abbiamo ipotizzato 104, possano MAI avere tutti lo stesso problemi di keylogger/malware?

    Mi spiace, ma a me sembra surreale

    Io ho scritto, li conteggio tramite whatpulse, ieri mattina quasi 50.000 caratteri e stamani ho superato i 40.000: se moltiplichiamo il numero di webmaster per il numero di caratteri scritti per il numero di giorni in cui il keylogger è stato attivo viene fuori una quantità IMMANE di testo che non è possibile far parsare in automatico ad un software perché dentro ci sta di tutto ... da lettere d'amore, ad insulti a e-mail di lavoro. Ammesso è concesso che il key logger è più avanzato e quindi segna anche l'applicativo che ha il focus e sul quale si sta scrivendo non è detto che l'utente scriva ogni volta la password dato che il 95% di chi fa questo lavoro si ritrova a combattere con un sacco di spazi web e fa quindi dei copia incolla o ha già le password memorizzate (per esempio filezilla le tiene crittografate sul disco)

    A me sembra semplicemente qualcosa di allucinante, in piedi decisamente non ci sta! Sa più di scusa farlocchiana nel tentativo di illudere il cliente.

    Ovviamente come aruba anche Hosting Solutions e tutti gli altri ISP colpiti che non hanno dichiarato nulla perché i numeri sono molto più ristretti, ma se secondo me si cerca su google vin fuori tanta bella roba.

    Senza considerare che non sarebberò stati colpiti solo i PC italiani e di questo quindi se ne sarebbe parlato anche fuori.

    La mia ipotesi? Semplice: un malware scritto appositamente installato tramite bug di outlook, internet explorer, windows e cosi via che sia stato spedito agli ISP. Come? Ci sono tanti modi:

    • email presenti nei whois
    • richieste di contatto e quindi indirizzo email
    • prima contatto telefonico e poi indirizzo email
    • sistema di supporto

    Insomma, i modi per racchettare un po di email da usare per tentare di installare il malware ci sono.

    Una volta che il malware è dentro, tutto si può ... da far ravanare sul disco di fisso e sulle condivisioni di rete ad accedere ai software inizializzando un'altro desktop e permettere la gestione remota dell'applicativo!

    Da li ad arrivare ai dati di accesso degli utenti non è complesso, qualsiasi ISP, come qualsiasi persona che si ritrova a dover lavorare con più di qualche cliente, è costretto a tenere una copia in chiaro della password: provate ad immaginare cosa succede ogni qual volta voi non riuscite ad accedere all'ftp e il fornitore di servizi vi deve prima cambiare la password con una che dice lui per riuscire ad accedere e poi deve ricambiarla per permettervi di riaccedere.

    Cosa voglio dire? Se l'ISP ti dice: no è colpa tua che è successo tutto questo sbrogliatela da sola ... quali mezzi ci sono per opporsi? Direi che "sono veramente pochissimissimissimissimissimissimi" è la risposta più adatta!

    UPDATE

    Un sito web bucato, accompagnato da un server web MAL CONFIGURATO, volendo potrebbe permettere l'accesso in lettura a tutti i file permettendo ad uno script automatico di cercare eventuali parametri di configurazione di mysql e tentare, tramite quelli, di accedere all'ftp.

    C'è ovviamente da dire che se pur possibile è notevolmente complesso e soprattutto che username/password ftp/mysql non sono sempre uguali, anzi, molti ISP li impostano diversi


  • Moderatore

    allora ricapitoliamo un pò 😄

    ieri mattina ho letto la notizia e avevo pensato ad un attacco simile a quello accaduto alcuni mesi fa a siti Joomla, Mambo, PhpBB e Wordpress.....

    tuttavia leggendo meglio ho saputo che si è trattato di un attacco avvenuto sfruttando alcune delle numerose vulnerabilità di IIS....almeno da quanto ho letto su vari forum i server Linux e i server Windows/non ISS dovrebbero esserne immuni....

    è vero che un CMS non permette di ottenere privilegi root e quindi compremettere l'intero server.....

    riguardo gli ISP, beh, non dico nulla per non essere offensivo nei confronti delle società coinvolte, però a quanto leggo non è la prima volta che accade e anzi è un qualcosa che si trascina in sordina da quasi un anno, a volte con punte di massimo che poi finiscono sui giornali, nei blog e nei forum.....

    direi che un pò di serietà in più da parte degli hoster non guasta mai.....

    se ti rispondono che è colpa tua e che loro se ne fregano, forse è il caso di pensare ad un cambio di hosting.....

    avere fino a 1.000 siti per server di certo non aiuta e lo abbiamo visto......basta bucare un server che hai in mano il web italiano....

    un hoster dovrebbe essere più lungimirante...

    in finis una battuta.....se hai contato 208 server, a 1.000 siti a server sono 208.000 siti infetti 😄


  • User Newbie

    @paolino said:

    allora ricapitoliamo un pò 😄

    ieri mattina ho letto la notizia e avevo pensato ad un attacco simile a quello accaduto alcuni mesi fa a siti Joomla, Mambo, PhpBB e Wordpress.....

    tuttavia leggendo meglio ho saputo che si è trattato di un attacco avvenuto sfruttando alcune delle numerose vulnerabilità di IIS....almeno da quanto ho letto su vari forum i server Linux e i server Windows/non ISS dovrebbero esserne immuni....

    è vero che un CMS non permette di ottenere privilegi root e quindi compremettere l'intero server.....

    riguardo gli ISP, beh, non dico nulla per non essere offensivo nei confronti delle società coinvolte, però a quanto leggo non è la prima volta che accade e anzi è un qualcosa che si trascina in sordina da quasi un anno, a volte con punte di massimo che poi finiscono sui giornali, nei blog e nei forum.....

    direi che un pò di serietà in più da parte degli hoster non guasta mai.....

    se ti rispondono che è colpa tua e che loro se ne fregano, forse è il caso di pensare ad un cambio di hosting.....

    avere fino a 1.000 siti per server di certo non aiuta e lo abbiamo visto......basta bucare un server che hai in mano il web italiano....

    un hoster dovrebbe essere più lungimirante...

    in finis una battuta.....se hai contato 208 server, a 1.000 siti a server sono 208.000 siti infetti 😄

    Non l'ho voluto dire e non lo dirò perché ho promesso di non farlo, però ti dico che il numero di siti compremessi, sempre parlando di aruba, sempre riferendoci al PDF della symantec, sono NOTEVOLMENTE inferiori, addirittura ogni tanto c'è ne sta solo uno o due per ip.

    Il fatto - assurdo - è proprio questo: se fosse stato un semplice problema di sicurezza dei server sarebbe stato veramente difficile che ci fosserò pochi siti per ip!

    Penso che aruba, su ogni server dove fa hosting, mettendo che ci stiano almeno un migliaio di siti, se non molti di più, almeno il 2/3% saranno cms tipo PHPnuke e direi una grossisima fetta è codice dinamico che si connette a database

    Non so se mi spiego, c'è qualcosa in quest'insieme di informazioni, che decisamente non torna!


    E se effettivamente aruba usa CPanel, sinceramente non ne ho idea, come può essere che ci siano alcuni IP con pochi siti web su 😕