@leofire said:
In realta' l'attacco non deriva dall'uso dei tanto blasonati CMS ultrabucati (ahime' anche WP fa parte di essi!) ma, sembra, da un buchettino del cpanel, ossia il pannello usato dalla stragrande maggioranza dei server che offrono hosting insieme a plesk oltre che dal "caro" IIS sempre piu' bucabile...
Purtroppo un CMS affetto da bug puo' permettere ad un hacker/cracker l'accesso completo al server ma, purtroppo, un CMS e' ormai di uso comune e chi offre hosting si deve in qualche maniera "adeguare".
Ciao,
forse rispondo in modo un po "brutale" ma non ne posso fare a meno. Questa è una stupidaggine bella e buona!
Un CMS, per quanto buggato non potrà M-A-I essere non può ne ora, ne nel passato ne in qualsiasi vita futura permettere di prendere il contorllo C-O-M-P-L-E-T-O del server!
Al massimo, se il server è M-A-L C-O-N-F-I-G-U-R-A-T-O, ma questo non c'entra con il CMS, succede che puoi danneggiare gli altri siti web con i file su cui l'utente del web server può scrivere, ma di certo non puoi prendere il controllo completo della macchina
Ma ripeto ... deve essere mal configurato il web server!
Però per esempio che so se il web server fa uso dell'mpm itk, già il problema si è appena risolto, o se usa le fastcgi impostandole per assegnare un utente specifico per virtual host idem.
Nel caso specifico un web server senza le curl con il safe mode attivo e le open base dir impostate correttamente non permettono l'accesso, in alcun modo, a path non autorizzate se non quelle del proprio dominio!!!
Finito questo discorso, passiamo ad un altro: questione sicurezza
i siti li ho conteggiati tramite uno scriptino che mi sono fatto e per esempio aruba risulta con ben 208 ip contenenti siti compromessi ... 208 ip non vuol dire 208 server, però comunque la cifra è notevolmente elevata, diciamo per esempio la metà, ovvero 104 server.
Ora, secondo voi potrebbe mai essere possibile che un numero di webmaster N, presenti su un numero M di server, abbiamo ipotizzato 104, possano MAI avere tutti lo stesso problemi di keylogger/malware?
Mi spiace, ma a me sembra surreale
Io ho scritto, li conteggio tramite whatpulse, ieri mattina quasi 50.000 caratteri e stamani ho superato i 40.000: se moltiplichiamo il numero di webmaster per il numero di caratteri scritti per il numero di giorni in cui il keylogger è stato attivo viene fuori una quantità IMMANE di testo che non è possibile far parsare in automatico ad un software perché dentro ci sta di tutto ... da lettere d'amore, ad insulti a e-mail di lavoro. Ammesso è concesso che il key logger è più avanzato e quindi segna anche l'applicativo che ha il focus e sul quale si sta scrivendo non è detto che l'utente scriva ogni volta la password dato che il 95% di chi fa questo lavoro si ritrova a combattere con un sacco di spazi web e fa quindi dei copia incolla o ha già le password memorizzate (per esempio filezilla le tiene crittografate sul disco)
A me sembra semplicemente qualcosa di allucinante, in piedi decisamente non ci sta! Sa più di scusa farlocchiana nel tentativo di illudere il cliente.
Ovviamente come aruba anche Hosting Solutions e tutti gli altri ISP colpiti che non hanno dichiarato nulla perché i numeri sono molto più ristretti, ma se secondo me si cerca su google vin fuori tanta bella roba.
Senza considerare che non sarebberò stati colpiti solo i PC italiani e di questo quindi se ne sarebbe parlato anche fuori.
La mia ipotesi? Semplice: un malware scritto appositamente installato tramite bug di outlook, internet explorer, windows e cosi via che sia stato spedito agli ISP. Come? Ci sono tanti modi:
- email presenti nei whois
- richieste di contatto e quindi indirizzo email
- prima contatto telefonico e poi indirizzo email
- sistema di supporto
Insomma, i modi per racchettare un po di email da usare per tentare di installare il malware ci sono.
Una volta che il malware è dentro, tutto si può ... da far ravanare sul disco di fisso e sulle condivisioni di rete ad accedere ai software inizializzando un'altro desktop e permettere la gestione remota dell'applicativo!
Da li ad arrivare ai dati di accesso degli utenti non è complesso, qualsiasi ISP, come qualsiasi persona che si ritrova a dover lavorare con più di qualche cliente, è costretto a tenere una copia in chiaro della password: provate ad immaginare cosa succede ogni qual volta voi non riuscite ad accedere all'ftp e il fornitore di servizi vi deve prima cambiare la password con una che dice lui per riuscire ad accedere e poi deve ricambiarla per permettervi di riaccedere.
Cosa voglio dire? Se l'ISP ti dice: no è colpa tua che è successo tutto questo sbrogliatela da sola ... quali mezzi ci sono per opporsi? Direi che "sono veramente pochissimissimissimissimissimissimi" è la risposta più adatta!
UPDATE
Un sito web bucato, accompagnato da un server web MAL CONFIGURATO, volendo potrebbe permettere l'accesso in lettura a tutti i file permettendo ad uno script automatico di cercare eventuali parametri di configurazione di mysql e tentare, tramite quelli, di accedere all'ftp.
C'è ovviamente da dire che se pur possibile è notevolmente complesso e soprattutto che username/password ftp/mysql non sono sempre uguali, anzi, molti ISP li impostano diversi