Avevamo già parlato lo scorso mese di un’intrusione avvenuta nei sistemi Hosting Solutions, intrusione che aveva permesso a degli attacker di modificare le home page di svariati siti web includendo un IFRAME che permettesse il redirect degli utenti verso siti web contenenti malware.
Hosting Solutions aveva comunicato di aver scoperto la falla e di averla sistemata, sebbene giorni dopo questa dichiarazione un utente ci aveva informato che i suoi siti hostati su Hosting Solutions erano stati di nuovo modificati.
A giorni di distanza il team è tornato a colpire, questa volta con un altro grande hoster italiano, Aruba.
Sembrerebbe, infatti, che diversi siti web hostati su differenti server del noto provider italiano siano stati modificati utilizzando la stessa tecnica dell’IFRAME. È lecito, dunque, sospettare nuovamente di un’intrusione nei sistemi di Aruba, così come è successo nei sistemi di Hosting Solutions.
Gli autori di questi attacchi sembra utilizzino, come comunicato da Symantec che sta indagando anch’essa ora sul caso, un kit già pronto per sferrare attacchi di malware denominato MPack e venduto in Russia.
Si raccomanda al momento di bloccare i seguenti indirizzi IP, oltre a quelli che avevo già comunicato nell’articolo pubblicato riguardo l’intrusione nel sito web di Roberto Vecchioni:
58.65.239.180 (già inserito nella pagina sopra linkata)
64.38.33.13
64.62.137.149
194.146.207.129
194.146.207.18
*** UPDATE ***
Sono migliaia i siti web compromessi su diversi server Aruba, mentre continuano ad essere presenti siti web infetti hostati su Hosting Solutions.
Il kit MPack utilizzato non è ben chiaro se sia la versione 0.86 (come indicato nel pannello delle statistiche) o l’ultima versione 0.90 come indicato nel readme del pacchetto (rilasciata il 27 Maggio 2007).

Come già indicato, il paese che più sta fruttando è l’Italia, con un’efficienza attuale del 28%. Una volta che uno degli exploit eseguiti dal kit caricato sul server riesce a funzionare, viene loggato l’IP e la nazione di provenienza, a scopo di statistica e per bloccare ulteriori infezioni a danno dello stesso IP.
Dopo ciò, viene scaricato un Trojan.Downloader che si occupa – iniettandosi in svchost.exe – di scaricare ulteriore malware.

Attenzione dunque, al momento molti server di Aruba sembra siano stati violati così come più di un mese fa, su queste stesse pagine, avevamo avvertito di una stessa violazione avvenuta ai server di Hosting Solutions.
Ulteriori aggiornamenti nei prossimi giorni.
*** UPDATE ***
Sta aumentando l’elenco dei siti web infetti, la maggior parte di questi ospitati su Aruba. Ora il server centrale riporta quasi 10.000 siti web infetti (referer), sebbene fortunatamente l’efficacia dell’attacco stia diminuendo grazie al fatto che le società di antivirus e antimalware (Prevx 2.0 incluso, ovviamente) stanno prendendo provvedimenti per il riconoscimento del trojan. Di fatto al momento i tre antivirus free riconoscono il trojan, cosí come Kaspersky, Nod32, Symantec dovrebbe riconoscere l’iframe, Prevx 2.0 (non basarsi su VirusTotal, l’engine che é sul servizio web non é aggiornato e sta per essere implementata la nuova versione).
Rimane grave la situazione su Aruba. Si consiglia al momento di cambiare le password di accesso al proprio sito web e di contattare l’hoster immediatamente.
*** UPDATE *** (19 Giugno 2007)
Sembra che Aruba stia gestendo la situazione, eliminando gli iframe dai siti web infetti. Sarebbe interessante conoscere come sia potuto accadere un attacco del genere, ma dubito che sia possibile venirlo a sapere ufficialmente.
Dopo Hosting Solutions, dunque, Aruba. Si accettano scommesse sul prossimo hoster che verrá attaccato.
*** UPDATE *** (19 Giugno 2007)
Alcune buone notizie. Il server centrale é stato messo offline, per cui il rischio attuale é stato soppresso. Tuttavia, l’indirizzo che l’iframe conteneva rimanda ad un server che fa da ponte. Da quest’ultimo gli utenti venivano reindirizzati al server centrale. Chi vuole puó tranquilamente mettere su un nuovo server centrale e reindirizzare lí. Proprio per questo é importante bloccare comunque almeno l’indirizzo IP 58.65.239.180, almeno finché resta attivo.
I server di Aruba coinvolti sono stati circa 199.
*** UPDATE *** (20 Giugno 2007)
Symantec ha rilasciato alcune informazioni su come gli iframe vengano iniettati all’interno dei siti web, cioè attraverso un tool automatico che utilizza username e password dei siti web per accedere e modificare le pagine. Quindi cambiare i dati di accesso, ciò che avevano suggerito Hosting Solutions e ora Aruba agli utenti, sembrerebbe una mossa valida.
La domanda che però sorge è: in che modo gli attacker si sono procurati questa gran quantità di password di accesso? Installando un keylogger su migliaia di pc dei webmaster che gestiscono i siti web? Li hanno beccati quasi tutti che gestiscono siti web su Aruba (e quasi tutti prima che gestivano siti web su Hosting Solutions)? Se anche così fosse, cioè sono riusciti ad avere accesso a così tanti pc direttamente, evidentemente dovrebbero aver utilizzato una tecnica particolarmente efficace per iniettarlo all’interno dei pc delle vittime webmaster. A cosa servirebbe dunque l’utilizzo di MPack se sono riusciti ad attaccare direttamente già così tanti pc con una tecnica così efficace? Per colpire molti altri pc? Potevano utilizzare la stessa tecnica.
Questi webmaster utilizzano forse password deboli, di semplice individuazione? (pcalsicuro:pcalsicuro ad esempio). Potrebbe essere una valida opzione, anche se sinceramente – rimanendo in buona fede – spero impossibile che migliaia di utenti abbiano simili password di accesso.
O sono riusciti in qualche modo ad avere accesso al database degli utenti riuscendo a recuperare le credenziali di accesso? E, se questo è successo, come è successo e quando è successo? Sarebbe interessante verificare se ci sono siti modificati con iframe che sono stati pubblicati di recente, cioè sono clienti da poco tempo. Se ci fosse un denominatore comune si potrebbe anche forse capire quando possa essere avvenuta la probabile intrusione.
*** UPDATE *** (25 Giugno 2007)
Come era facilmente prevedibile, ed avevo scritto precedentemente, il server centrale è stato spostato all’IP 64.62.137.149. Bloccare anche questo IP. Prevx 2.0 riconosce il trojan downloader.
Ciao Marco ho trovato diversi IP da bloccare segnalati anche qui
http://www.spamhaus.org/sbl/sbl.lasso?query=SBL51152
http://www.spamhaus.org/sbl/sbl.lasso?query=SBL54249
http://www.spamhaus.org/sbl/sbl.lasso?query=SBL43489
S C A N D A L O S O
Se quelli di hosting solutions e aruba non rimuovono gli iframe e i jscript incriminati e tappano sta cacchio di falla sui server windows faccio una denuncia alla polizia postale.
Onestamente mi sono rotto i c…….
maverik la penso assolutamente come te.
E’ l’ora di finirla! Aruba poi è da tempo che imho dovrebbe chiudere.
Io gestisco una 40ina di siti web su Seeweb e ho subìto l’attacco sopra descritto in tutti i miei domini hostati su Seeweb ancora nel mese di aprile 2007. Da subito ho segnalato il problema a Seeweb e la sua risposta, dopo una settimana di attesa e il cambio di tutte le password di accesso FTP per sicurezza, è stata che la colpa era la mia che probabilmente avevo un malware sul PC….Niente di più sbagliato, il PC era pulito e ricontrollato molte volte…Non si sono comportati a mio avviso molto correttamente, nè hanno ascoltato/letto tutto quello che gli avevo segnalato fin da subito, altrimenti non mi avrebbero “accusato” di essere l’origine del mio problema. Ho altrettanti siti web si diversi altri provider e su quelli, fino ad oggi, nessunissimo problema e li gestisco nello stesso modo degli altri. Ho anche siti web su Aruba, e ho controllato ora, non sembra siano stati toccati fino ad ora…E’ proprio un attacco subdolo perchè a questo punto non esistono più siti web sicuri, nemmeno quelli conosciuti. Una soluzione home-made che mi hanno suggerito è quella di mettere i permessi delle index tutti a 444, così da evitare la scrittura indesiderata. L’impressione è quella che possa funzionare, ma la certezza non ce l’ho. Passo la palla a qualcuno più esperto di me in queste cose.
Saluti a tutti.
Volevo anche precisare che i server di Seeweb su cui sono ospitati tutti i siti da me gestiti che sono stati attaccati ad aprile 2007 dovrebbero essere tutti linux come da contratto da me richiesto…
Aggiungete anche questi IP 81.29.241.234 81.29.241.236 all’elenco di quelli da bloccare, erano negli iframe dell’attacco sui server Seeweb di aprile 2007 e non li ho trovati segnalati nei vari links qui riportati…
Ciao Valeria,
quegli IP sono relativi al Rootkit.DialCall, giá segnalati negli articoli dedicati 🙂
In effetti avevo notato sabato una relazione tra le due infezioni, non l’ho scritta perché volevo controllare meglio prima.
valeria
qui c’è la mia blacklist. Dalle un’occhiata
maipiugromozon.blogspot.com
Ah alessandro recchia riporta integralmente un post del mio blog 🙂
Ho acquisito un certa credibilita’ finalmente :-))
Ho fatto carriera 🙂
Grazie mille a Marco e m4v3rick per la segnalazione, io non li avevo visti i miei IP negli elenchi 😛
Ho ricontrollato ancora i siti ospitati su aruba e ne ho trovato solo uno infettato su 7, che tra l’altro non ho registrato io per cui non so se sia su server Win o Linux. Gli altri che ho sotto controllo sono 5 su server win (tutti registrati più di 4 anni fa) e 1 su server linux registrato di recente. Potete darmi qualche notizia in più sul suggerimento di mettere a 444 il permesso della index di un sito per proteggerlo dall’inserimento del codice iframe malevolo? E’ una precauzione che può proteggere?
Grazie ancora a tutti
anche il mio sito era stato colpito.
un rimedio è togliere i permessi di scrittura ai principali file del tuo host, tipo i file index. impostate gli attributi a 555
ciao 😉
Riguardo i permessi sui files… Beh oddio, imho andrebbe visto come questo IFRAME si inietta e cosa sfrutta. Se usa qualche zeroday che permette di aver privilegi di root su di una macchina linux, non penso serva a niente fare una cosa del genere. Certo che da “professionisti” informatici sentirsi rispondere che la colpa è propria per qualche malware sul proprio PC, quando invece sono i server ad essere bucati..
Quello che ancora non riesco a capire, è cosa sia stato sfruttato per avere così tante possibilità di diffusione.
Sopra ho messo anche alcuni link di Spamhaus e sabato pomeriggio ho avvisato un cliente di Aruba che aveva il sito
infettatto
Ad Oggi Aruba non ha ancora avvisato i suoi clienti
http://community.aruba.it/forums/ultimatebb.php?ubb=get_topic;f=58;t=000218
http://www.digital-forum.it/showthread.php?t=34869
Ah ecco, andiamo bene…
@Fabrizio: Neanche a me l’hanno poi spiegato, ovviamente…per quanto riguarda l’accusa in effetti di primo acchito mi sono messa io per prima in dubbio, ma dopo aver fatto passare Norton AV, Panda AV online, SpyBot S&D, HiJackThis che non hanno rivelato nulla di anomalo, e dopo aver corretto tutte le index e cambiato tutte le password FTP da un PC fuori dalla mia rete e pulito, e ritrovarmi di nuovo tutti i siti Seeweb infettati dopo due giorni, anche quelli appena registrati e mai pubblicati, e solo quelli, a me il dubbio che ci fosse qualcosa sui loro server era venuto…a loro no perchè hanno proseguito imperterriti ad incolparmi…
Mi spiace solo che ovviamente sui contratti di hosting ci sono clausule che li sollevano da questi problemi (giustamente) e anche dalle loro negligenze quando accadono (ingiustamente secondo me…). E dire che server Seeweb dovrebbero essere Linux e che secondo Netcraft stanno fra i 30 migliori provider al mondo…Come Aruba nell’ultimo anno daltronde…Devo dire che sinceramente non mi ha deluso tanto il fatto che i server di Seeweb siano stati attaccati, anche se sicuramente è segno di una loro debolezza interna, ma quanto il loro comportamento accusatorio nonstante le prove tecniche contrarie e il loro silenzio nei confronti dei loro clienti. Infatti non mi risulta che abbiano avvisato nessuno, nemmeno con un “System Alert” sul loro sito web. E vedo che è un comportamento comune fra i provider…Chissà quanto siti web saranno rimasti infetti allora, a meno che non si siano presi la briga di correggere loro tutte le index infette….Lo spero proprio, anche se io me le son dovute pulire tutte da sola…Come ho letto da queste parti in un commento ad altro post: la sincerità paga sempre. Peccato che pochi lo capiscano…
A questo punto dovrò cercarmi un altro provider, forse piccolo e scoosciuto così non verrà preso di mira…ma con quali garanzie di servizio poi? Peccato non avere forza economica e competenze per mettermi su un server da sola….
Scusate lo sfogo, ma ancora mi bruciano le 40 ore perse a cercare di risolver un problema che non dipendeva da me…Mi preparerò psicologicamente ad altre ore perse per i server Aruba.
Saluti a tutti
Pare che la situazione normale sia stata ripristinata, almeno in parte. Molti siti infetti non mostrano piu’ l’iframe… speriamo bene…
Si, confermo
Ciao a tutti.
Io solo il primo cliente Aruba ad essermi accorto dell’infezione e ad aver rimosso l’IFRAME (questo il 15 giugno)…ho capito quello che succedeva solo dopo la segnalazione di Ercolino (via telefono!!Ancora Grazie!!) visto che il ticket aperto da me in assistenza ha ricevuto una risposta ridicola solo ieri sera (18 giugno)…
Nella risposta di ARUBA mi dicono che faranno degli accertamenti sul server, mi consigliano di cambiare le pass e che mi faranno sapere come mai sono riusciti ad entrare nel sito…
Su aruba ancora ora non esiste una comunicazione ufficiale o un allarme lanciato dallo staff…solo il mio topic nel forum annuncia l’attacco che per ora sembra riguardare solo hosting win…
Reputo irresponsabile nonché vergognoso la gestione dell’emergenza da parte di ARUBA.
Ciao Enrico è stato un piacere 😉
Altri casi simili molto pericolosi
http://www.repubblica.it/2005/b/sezioni/scienza_e_tecnologia/sicurezzaweb/italian-job/italian-job.html
@ Enrico Giammaria
Guarda che hosting solutions ha avuto il problema qualche tempo prima e ancora ci sono le pagine con l’iframe.
SCANDALOSO
Fossi un di quelli la starei dalla mattina alla sera ad attaccare societa italiane. Tanto se ne fregano anche se avvertiti
Questi hoster italiani? Dilettanti allo sbaraglio
Andate alla corrida
Ne parla il tg1 delle 13.30 riprendendo l’articolo di repubblica
Anche punto informatico oggi ha pubblicato la notizia
http://punto-informatico.it/p.aspx?id=2022019
Non ci risultano problemi ad alcun sito da noi ospitato.
I nostri tecnici sono sempre e comunque in allerta
Luigi Corbacella
HostingSolutions
Aruba ha i suoi precedenti:
“La polizia postale, con la scusa dell’indagine su crocenera anarchica,
ha avuto modo di spiare per un anno le comunicazioni personali
di tutti gli utenti del server autistici.org / inventati.org ” gestiti da Aruba.
http://www.autistici.org/ai/crackdown/
@Luigi Corbacella
alporto.it è pulito?
Controllate meglio
e come quello ce ne sono altri
Distinti Saluti
@ luigi corbacella
affittiinsardegna.it è pulito?
(iframe e script)
http://maipiugromozon.blogspot.com/2007/05/ancora-gravissima-la-situazione-di.html
il post è del 2 maggio!!
Luigi, controllate meglio. Ci sono un sacco di siti ancora infetti sui vostri server:
http://img98.imageshack.us/img98/5904/untitledau9.png
hxxp://www.affittiinsardegna.it controllato adesso ancora infetto
Ciao
Certo che si
che l’ho messo a fare allora? 😀
http://maipiugromozon.blogspot.com/search?q=alporto
così vedono anche gli screenshot dell’exploit ma ormai lo sanno pure i bimbi come funziona
Ragazzi, non aggredite le persone. Siamo qui per aiutare, non per scannarci a vicenda dai.
Gentilissimo Luigi,
innanzitutto grazie per essere intervenuto qui. In effetti non é propriamente vero che non sono piú presenti siti web che contengono iframe infetti nei vostri server.
Questa lista, non del tutto completa, riporta esattamente 63 domini localizzati su 7 vostri indirizzi IP:
[194.242.61.175]
[0] => santeodoro.com
[1] => esperiaristorazione.it
[2] => savethequeencircus.com
[3] => gutenbergweb.com
[4] => gianelline.net
[194.242.61.210]
[0] => thesaraceno.com
[1] => cinemacity.it
[2] => golfugolino.it
[3] => rcv.it
[4] => metamorfosi.info
[5] => maremmapromotion.it
[6] => blumaremma.it
[7] => valextra.it
[8] => ilportalesardo.it
[9] => veteracar.it
[10] => villasarah.it
[11] => residencemediterranee.it
[12] => lalunadisco.com
[13] => quibert.it
[14] => altracitta.org
[15] => girsacrew.it
[16] => caprillina.it
[17] => aparthotelprimo.com
[18] => agriturismo.sicomoro.toscana.it
[19] => campustelecom.it
[20] => gourmet.it
[21] => comunedivalsolda.it
[22] => valextra.com
[23] => silenceonweb.com
[24] => pigliacelligroup.it
[25] => tiservice.it
[26] => euroeurope.it
[27] => taliafestival.it
[28] => ilpagliericcio.it
[29] => magrini.it
[30] => francafiacconi.com
[31] => riparazionielettrodomestici.it
[32] => genovaset.com
[33] => infioratadinoto.it
[34] => doa.it
[35] => immobiliareelite.it
[36] => asilobianco.it
[37] => modernissimo.it
[38] => itiseuganeo.it
[39] => hotelriomarina.it
[40] => cinemacity.it
[41] => fondazionearchimede.com
[42] => agriturismobreda.com
[43] => cantieriportodigenova.com
[44] => novalba.it
[194.242.61.122]
[0] => mobilrot.it
[1] => ringhostel.com
[2] => aries-online.com
[3] => allestimentidisabili.com
[4] => abbeystreet.it
[5] => pmtelevision.com
[6] => euroservicecar.it
[194.242.61.246]
[0] => orologico.it
[1] => kom.it
[2] => kom.it
[194.242.61.189]
[0] => ideacasa.pc.it
[194.242.61.74]
[0] => webpuccino.it
[194.242.61.136]
[0] => annapedrotti.it
Le metto a disposizione questa lista, che “dovrebbe” essere corretta (errori umani permettendo) per prendere nota di ció e, se possibile, di eliminare gli iframe in discussione.
La ringrazio moltissimo per essere intervenuto in questa discussione.
Marco
marco hai ragione ma io penso a quei poveracci che hanno il pc infetto per colpa di siti hackerati e che se usano la carta di credito online o homebanking rischiano davvero grosso 🙁
L’errore ci puo’ stare ma questa cosa è successa quasi 2 mesi fa e gia’ era stata ben segnalata
Hai perfettamente ragione 🙂 Solo che “partire di testa” non aiuta, mette solo piú agitazione e allarme a quello che giá c’é. Tutto qua 🙂
@Luigi:
aggiungo una domanda al post che ho fatto sopra in sua risposta, se possibile: é stato individuato in che modo attacker hanno potuto accedere ai vostri server? Falla di qualche CMS/script ospitato da qualche sito e poi errore vostro di configurazione dell’hosting o falla 0-day in qualche servizio attivo nei server?
La ringrazio moltissimo,
Marco
Dunque. Gli hoster fanno da gnorri, e a quanto pare, non si capisce ancora la causa principale di questo attacco pazzesco. Ammesso che quel Luigi sia davvero uno degli uomini di Hosting Solutions, e non un suo “sosia”, mi vien da ridere a leggere certi commenti da parte dell’hoster. Sono daccoordo con marco quando dice che partire di testa non aiuta. Ma questi hoster, ancora non l’ho visti partire decisamente a ripulire.. Forse perchè ancora appunto non sanno nemmeno loro, quale sia l’anello debole della catena, ed è questo il grave.
Domanda forse azzardata, ma un bello snort potrebbe tornare utile?
Un Luigi Corbacella in HostingSolutions esiste, ma il nominativo è facilmente reperibile da tutti.
Gentile cliente,
la invito nel frattampo a provvedere ad effettuare per una sua maggiore sicurezza il cambio di login e password che le abbiamo indicato.
Distinti saluti
=====================
Simone Pancini
Aruba S.p.A. – Servizio Aruba.it
Web site http://www.aruba.it
N° Call Center : 0575/51571
N° Fax : 0575/515790
Questa è la seconda risposta al mio 2° ticket nel quale chiedevo allo staff aruba informazioni riguardo la violazione del mio dominio…la prima era uguale identica…solo che il tecnico che rispondeva era Marco Pompili.
Mi chiedo a cosa serva cambiare la pass di amministrazione se non viene scoperta la causa del buco e non vengano apportate le modifiche necessarie affinché questo non si ripeta.
Se cambio la pass la trovano di nuovo no? Qual’è il problema?
Beh, ottima risposta non c’e’ che dire. Una risposta preconfezionata che non dice nulla… non fanno neanche lo sforzo di correggerla (frattAmpo)… 🙁
Ragazzi, qualche barlume in piu’ sull’attacco… e’ di oggi: http://www.symantec.com/enterprise/security_response/weblog/2007/06/mpack_the_strange_case_of_the.html
Ricapitolando:
x gli utenti: patchate, installate AV/FW/HIPS, state in guardia
x i webmasters: ripulite, patchate le webapp e CAMBIATE LE VOSTRE PASSWORD (altrimenti
in meno di due secondi vi ritrovate un nuovo IFRAME)
x i providers: patchate anche voi le vostre webapp e siate piu chiari nel comunicare le cose che non vanno ai vostri clienti…
A noi poveri italiani non resta che consolarci con questa ennesima figura del cavolo globale e ringraziare sentitamente :
– CERT-Italiano (http://security.dsi.unimi.it/)
l’ultimo update di sicurezza sul loro sito risale al 2005… stanno ancora cercando Sasser!
– Polizia Postale
cito da http://www.datamanager.it/articoli.php?visibile=1&idricercato=20058
“…anche se la polizia postale ha dichiarato di non aver ancora ricevuto segnalazioni.”
Magari fra un paio di mesi qualcuno di voi abbia la gentilezza di spiegarli cosa è successo.
Ma perche’ in Italia non esiste un centro coordinato di sicurezza informatica per queste cose?
Peche’ le informazioni giuste girano solo su forum e blog come questo?
[…sfogo di un webmaster attaccato]
anch’io ho una risposta preconfezionata 😀
Avete indovinato? 😀
Comunque qualche cretino si è diverto a sfottere; non credo che il presidente della societa’ sia realmente intervenuto prima
Ciao a tutti,
scusate la mia ignoranza ma come si fa per sapere se un sito è stato violato?
Come faccio a vedere l’iframe e soprattutto a bloccare i ” russi cattivi”?
Come amministratore del sito c’è qualcosa che posso fare per far si che chi visita non venga infettato?
Come utente, c’è qualcosa che posso fare per non essere infettato se capito su un sito interessato da questo attacco?
Magari saranno domande banali ma ho tre siti su Aruba e solo mezz’ora fa ho saputo di questo attacco, ovviamente non da Aruba ma da webmasterpoint.org e credo che maggiore informazione potrebbe creare meno allarmismi e più soluzioni utili 🙂
Grazie a tutti,
Stefano ^_^’
@Arlecchin0
Questo attacco è indirizzato a server Windows. Se è il tuo caso,
scaricati in locale la tua home page NON con il browser ma via ftp. (o con wget). Apri il file con un editor e NON con il browser e appena sotto la linea del “body” dovresti trovare l’iframe incriminato.
@Marco
Bellissima la “circa 199”
Se è vero quanto dice la Symantec (e perché non dovremmo credergli?) circa il tool di ftp automatizzato, è anche vero quanto ripetono gli hoster: SONO ENTRATI CON LA PASSWORD !!!
E dicono il vero quando dicono di cambiare subito la password: dai log gli risulta che qualcuno ha fatto il GET della pagina per farne poi il PUT successivamente…. Prenderne l’indirizzo IP e farne delle analisi sarebbe interessante…. anche se ci porterebbe su siti lontani….
Rimane da capire, comunque, come hanno potuto procurarsi questa mole di password: non credo che abbiano compromesso i pc dei singoli webmaster ma sicuramente i server…..
il problema è che potrebbero averli compromessi mesi fa !!!
C’è una 0day in windows, nel server ftp, in qualche versione di software “bacata” installata dagli utenti, un qualche buco di ASP, .net….. ?
Francesco
Alcuni link interessanti su siti esteri:
http://www.eweek.com/article2/0,1895,2147711,00.asp
http://asert.arbornetworks.com/2007/06/%e2%80%9cbaiting%e2%80%9d-web-surfers/
Sul blog di asert ci sono spunti di cui discutevamo con Marco, appena mi sarà possibile vedo di scrivere qualcosa e condividerla con voi.
Saluti,
Gianluca
…da stamattina non è più possibile nemmeno confrontarsi tra utenti aruba nel forum della community…
Per pura casualità il forum è proprio oggi in manutenzione fino a data da destinarsi!
…che sia stato vittima di MPack?! 😉
Così l’unico mezzo di informazione tra utenti vittime dell’attacco è fuori uso…andiamo bene…sempre meglio…
ciao marco,
il mio primo post sul tuo blog, o il secondo forse,ma siam li!
Beh sinceramente non ho letto tutte le risposte perché sono tante, però penso una cosa:
– seeweb
– aruba
– hostingsolution
senza considerare che sicuramente c’è ne sono tanti altri.
Ora, sparo la mia: è impossibile che una marea immane di siti web siano stati bucati come è impossibile che siano stati bucati i pc degli utilizzatori
Intendiamoci, se fosse stato cosi è facile che ci sarebberò stati casi anche all’estero e comunque, essendo un malware ad hoc, sarebbe saltato fuori: abbiamo ottimi ricercatori qui in italia (vedi marco :P)
E’ anche impossibile che questi dati di accesso siano stati acquisitit tramite keylogger: vi vedete voi a chi sta dietro a tutto ciò a cercare e cercare e cercare tra tutto ciò che è stato scritto da una singola persona? Io, al giorno, scrivo tanto, ma tanto veramente! Solo stamattina, conteggiado i tasti cliccati tramite whatpulse, ho scritto quasi 40 mila caratteri mentre ieri quasi 50 mila! Provate a immagginare questo moltiplicato per, almeno, un migliaio di webmasters … viene fuori una cifra stratosferica che va ancora moltiplicata per il numero di giorni per i quali il keylogger è stato attivo!
Ora dico la mia: secondo me è stato realizzato un rootkit/malware è de stato fatto finire dai provider
Considerate che è facile racchettare le email dei provider:
– il whois
– il sito web
– tramite richieste fittizzie
Cosa fattibile tranquillamente a mano!
Una volta che si prendono N caselle di posta elettronica, qualcuna che va a sfruttare software poco sicuro – vedi outlook – potrebbe essere la fonte di accesso per il controllo remoto che se eseguito in maniera furba (connessione del pc infettato ad un proxy socks tramite udp per esempio installato sulla porta 53) rende molto complicato il riconoscimento e da la possibilità a chi accede di accedere a tutto!
Se a questo ci aggiungete che un servizio è tranquillamente in grado di instanziare un nuovo workspace con desktop annesso e con un mouse e tastiera virtuali associati a quel workspace si ottiene che è possibile non solo leggere il contenuto del disco ma accedere a tutti i software installati sul software. Questa ovviamente è un ipotesi e se ne possono fabbricare migliaia,
Cosa voglio dire? è probabilissimo che sia colpa dei provider stessi!
Non si tratta di idee folli bensì di una reale possibilità: hanno bucato e navigato su migliaia e migliaia di pc o lo hanno fatto su quelli degli ISP? 🙂
All’isp vien facile dire: è colpa tua … chi può contraddirlo? 😀
@daniele_dll: il tuo ragionamento è molto simile a quello che ho fatto io dopo i primi giorni di index modificate su Seeweb…ma nonostante la spiegazione di aver usato un PC diverso da quello della mia rete solita per cambiare 40 password di accesso FTP, e quel PC è poco connesso, e pure analizzato da 3 SW diversi fra cui Norton AV, Panda AV e Spybot S&D prima di fare le modifiche, è difficile che ci sia qualcosa. Magari questi non sono i SW al top per la sicurezza, ma se c’era qualcosa almeno uno di loro l’avrebbe dovuto segnalare…In più la connessione per modificare le password è stata fatta da una rete completamente diversa. E alla fine dopo mezza giornata di lavoro ritrovarsi di nuovo tutte le index cambiate due giorni dopo, pure quelle di due siti web nuovi con FTP mai memorizzate sul PC perchè siti mai pubblicati, e di nuovo sentirsi dire: verifichi il suo PC perchè probabilmente è presente qualche malware che ruba le password…direi che è troppo così. Anche uno poco esperto capirebbe che se ti modificano dati di un sito di cui tu non hai mai usato le password via FTP, forse non te le hanno rubate dal tuo PC, no?? Ma che cavolo di sniffer è uno che ti scova le password che nemmeno hai memorizzato nei programmi FTP ma le hai solo scritte in mezzo a mille altre parole in un file txt sparso nel file system del disco??
Ma non c’è proprio un modo per far pagare ai provider questa allucinante negligenza nei confronti del loro clienti?????
Capisco che potrebbe non essere colpa loro se vengono attaccati con tecnologie di intrusione moderne, ma se queste tecnologie sono conosciute e datate e loro non hanno preso le dovute precauzioni, dovrebbe esserci qualche modo per far pagare le loro colpe…forse così si sveglierebbero un po’…Utopia, vero???
Il problema è che il modo certo non c’è!
Il problema è questo:
– l’isp detiene i log
– l’isp detiene i file del tuo servizio web e del database
– l’isp detiene le configurazioni
– l’isp ha i soldi
– l’isp ha gli avvocati
Tu singolo utente non puoi denunziare l’ISP perché l’unico modo di dimostrare la sua colpa, in situazioni simili, è far vedere che la sua configurazione, esaminando i file id configurazione, sia buggata ma personalmente ritengo impossibile che in italia si verifichi una cosa del genere
Se eravamo in america (li hanno tante cose contorte ma hanno le bellissime class action) si faceva (per l’appunto) una class action con qualche avvocato bravo coinvolgendo le associazioni dei consumatori (che per loro questa è goduria estrema) e si poteva anche ottenere qualcosa, ma in italia … se fai la denunzia vieni come prima cosa contro-querelato e poi se ne riparla :
Se eravamo in america (li hanno tante cose contorte ma hanno le bellissime class action) si faceva (per l’appunto) una class action con qualche avvocato bravo coinvolgendo le associazioni dei consumatori (che per loro questa è goduria estrema) e si poteva anche ottenere qualcosa, ma in italia … se fai la denunzia vieni come prima cosa contro-querelato e poi se ne riparla :
Parole sante
@PER CHI HA AVUTO I SITI HACKERATI:
1) sapreste recuperare il nome e la versione del programma FTP installati sul server ?
2) sapreste recuperare il nome e la versione degli eventuali programmi presenti sul server ? Intendo, ad esempio, php v 5.2 o ruby, python, o mysql…
Al punto 1 possiamo capire come/dove vengono memorizzate le pw (active directory, ldap, file, sql server, etc)
Al punto 1 e 2 possiamo cercare fra gli advisor qualche buco di sicurezza.
Francesco
ciao francesco,
mi spiace smentirti ma sapendo il nome del software non puoi sapere dove vengono memorizzate le password.
E’ facile che utilizzino un sistema centralizzato per l’hosting, passando per le pam per l’autenticazione, o per lo meno io farei cosi, poi non so come fanno loro.
Poi il punto 2, anche se può sembrare utile, in realtà non lo è molto: è vero che php, ruby, python e cosi via potrebberò avere qualche falla, ma è infinitamente più probabile che i bug li abbia il codice che viene eseguito: per esempio molto codice che mi capita di vedere in giro effetta le inclusioni partendo da parametri che arrivano tramite URI con il risultato che cambiando il parametro puoi tirar fuori, per dire, l’elenco degli utenti attivati su passwd, se le pass sono in locale, o ancora puoi far includere una pagina php presente su un tuo spazio web avendo accesso a tutto.
Oppure, quelli più comuni, dipendono dal template engine e dal fatto che non viene controllato cosa arriva: molti template engine odierni per questioni di performance e di features utilizzano eval per parsare il template con il risultato che effettuando le sostituzioni all’intero queste vengono parsate pure! Di per se non è sbagliato utilizzare eval o le preg con il modificatore e, che permette di eseguire del codice php, il problema è far verificare quello che si da in pasto al template engine perché un cracker potrebbe benissimo passarli la creazione di un file nella cartella temp o in una cartella scribile dall’utente e farlo includere durante una seconda esecuzione, onde evitare di passare 50/60kb di script tutto d’un pezzo via url.
Ovviamente nel caso del software dinamico si presuppone una cattiva configurazione (per cattiva configurazione intendo anche le semplici curl abilitate su PHP che permettono di saltare le restrizioni sui percorsi e quindi di leggere altri file esterni con facilità!)
Di recente, sinceramente, non ho provato ad usare le curl per fare ciò, però c’è un commento a riguardo
http://it.php.net/manual/en/ref.curl.php#55467
Potrebbe anche essere che l’hanno corretto questo discorso specifico
Leggendo uno degli aggiornamenti di Symantec e altri siti di AV vedo che la tendenza è quella di affermare ormai che gli IFRAME vengano inseriti nelle home dei siti vittime utilizzando un tool automatico che utilizza username e password dei siti web per accedere e modificare le pagine.
Ma se così fosse dovrebbe rimanere traccia della modifica, come se l’avesse fatta il webmaster, giusto? Invece (lo dico per esperienza) non c’era traccia della modifica nella mia home ma l’iframe era lì dal giorno prima.
E come possono aver avuto accesso a così tante pass e username vista la mole di siti infetti?
Secondo me l’unico modo con cui si possa avere accesso a cosi tante pass e username è che l’agente infettante si trovi nella rete interna del provider e legga i dati di accesso FTP dall’interno, altrimenti io non so come spiegare come abbiano infettato due dei miei siti di cui mai ho usato le password via FTP perchè mai pubblicati e che ho comunque trovati infetti ad un mio controllo successivo per scrupolo…non chiedetemi i dettagli tecnici perchè non li so, vado solo per logica, e unisco ciò che sono riuscita a farmi dire telefonicamente da Seeweb dopo 15 giorni dalla prima segnalazione. La responsabile servizio clienti ha ammesso a parole al telefono che c’è stato un problema interno sulla loro rete che causava questi inserimenti di righe nelle index dei siti web e che i loro tecnici stavano lavorando giorno e notte per risalire all’origine del problema e quindi risolverlo. Ha giustificato il silenzio dei loro tecnici per tutti quei giorni dicendo che se un tecnico non conosce la soluzione del problema non ti risponde. Mi è sembrato ben poco professionale, quanto meno mi sarei aspettata da loro un “Il problema è più complicato del previsto, ma ci stiamo lavorando”, ma questo è ciò che mi hanno detto. Ha infine suggerito di cambiare di nuovo le password quando avessero risolto il problema, come scrupolo di sicurezza. Sto ancora aspettando di avere da loro notizie in merito…
Infatti io ho la brutta, ma consistente, sensazione che sia proprio questo il dramma :
c’è stato un virus che sosteneva sulla rete di essere il default gateway tramite un arp poisoning e iniettando codice malevolo “on the fly”…
ma penso che anche il più scarso degli IDS si accorga delle presenza di questa situazione…
Ricapitoliamo ? La situazione ad oggi è la seguente:
– sono entrati con le password
– non si sa come se le sono procurate
Sui “circa 199” server colpiti, TUTTI i siti sono stati modificati o solo alcuni ?
Sarebbe interessante sapere, per poter datare la compromissione del database delle password, quando è stata cambiata l’ultima volta la password sui siti non modificati e modificati….
@Valeria
I due siti compromessi seppur mai pubblicati, quando sono stati creati ??
@francesco
citeimmobiliare.it è stato creato intorno al 3 luglio 2006, dreamfood.it intorno all’11 luglio 2006 e la cosa strana è che questo è stato registrato in concomitanza con il dominio energiamucca.it lo stesso giorno, anche questo mai pubblicato ma nemmeno mai stato toccato dalla modifica dell’iframe. Di questi tre domini non ho mai inserito i dati FTP in nessun programma FTP per la connessione, finchè non ho riscontrato il problema a livello generalizzato, e ho quindi controllato anche questi per scrupolo. Ho potuto verificare che sullo stesso server (con lo stesso IP di riferimento) ci sono siti che sono stati toccati e altri no: 212.25.179.5 è uno di questi, che ospita liceolicos.it e giannino.pv.it che hanno ripetutamente subito il cambio delle index in orari e giorni diversi, oltre che anche citeimmobiliare.it, ma anche sandk-fashion.it mai toccato, mai pubblicato, anzi addirittura con il servizio segnalato come sospeso. Come pure è capitato a pochissimi domini, ad esempio sioflomellina.it sul server 212.25.179.4, che non sono mai stati toccati dalla modifica della index, pur essendo nella stessa sottorete degli altri, ed essendo pubblicati da tempo. Non so se ai più esperti potrebbe servire, ma mi sono fatta uno schema in excel con i domini verificati, toccati e a che ora e giorno.
Le password io non le avevo mai cambiate su nessuno dei domini, salvo poi un cambio globale di tutte le password il giorno dopo che mi sono accorta delle modifiche. Date: 4 aprile e 5 aprile le prime modifiche rilevate sulle index, 6 aprile modifica di tutte le password da un PC diverso da quello che uso di solito (per evitare eventuali letture da probabili malware…), 10 aprile nuovamente index modificate.
In alcune date gli orari delle modifiche sono diversi, in altre date invece la modifica è alla stessa ora.
Ciao Marco,
dopo l’esperienza negativa su HS ho provato a lavorare anche su ARUBA. Porca miseria, mi hanno beccato anche qui!
La cosa strana è che questa volta non hanno aggiunto iframe o jscript come su HS, ma anno modificato in data 19/6/2007 (sito http://www.ourdream.it) 3 pagine php inserendo in testa due tag ( e ).
Speriamo che la situazione migliori!
Umberto.
La Symantec ha pubblicato un video
http://www.symantec.com/enterprise/security_response/weblog/2007/06/mpack_the_movie.html
A me pare evidente che abbiano trovato il modo di accedere alle password e che continuino a leggerle. Sarebbe interessante capire come sono salvate sul sistema… (in chiaro o con un banale DES o MD5… immagino io)
Per quanto riguarda il come entrino, suggerisco che forse hanno trovato una qualche falla nel sistema di gestione via Web… niente di + facile, vista la fattura del sistema di Aruba (da incubo…)
Nelle ultime ore per i clienti Aruba è arrivata anche la sorpresa dei cambi password d’ufficio delle mail dei siti personali.
Questo perché venivano utilizzate per azioni di phishing…vista la mole dei clienti interessati dubito che la colpa sia degli stessi che hanno ceduto dati d’ingresso alle mail o che tutti abbiano subito attacchi malaware….mi sa piuttosto che hanno trovato un altro buco in Aruba dove reperire dati sensibili a quintalate! 🙂
A qualcuno si sono dimenticati di comunicare il cambio pass: potete immaginare che felicità!! 🙂
Immagina la felicità di quelli come me che hanno clienti che ricevono le email direttamente sulle loro personali….che non leggono praticamente mai!! Figuriamoci se mi avvisano!!
Comunque non le hanno ancora cambiate tutte….
In virtù di un prezzo ridicolo, molti si affidano ad Aruba, nonostante le migliaia di segnalazioni di disservizi vari, più o meno documentati.
Poi succedono questi problemi e tutti ad urlare e a chiedere spiegazioni, oltre che essere inorriditi dalla faccenda.
Caro mio ragazzo, hai pagato 30-40 euro/anno per dello spazio hosting e ti aspetti anche che sia funzionale e che non abbia problemi?
Ho sempre usato i server di 9net (e non vi dico la frustazione quando seppi che anni fa venne acquistata da… Aruba) e non ho mai avuto problemi. Da qualche tempo uso esclusivamente server USA. E qui di problemi ne ho ancora meno.
Ragazzi,
sono arrivato a questa pagina cercando con google informazioni su un tentativo di intrusione da parte dell’IP 81.29.241.236, bloccato da Norton AV 2007. Ho letto con attenzione tutti i commenti ma non ho capito nulla, sono completamente a digiuno di informatica e mi limiti a controllare la posta. Il problema è che i miei hanno un conto on-line (anche io ma non l’ho mai usato) e ho paura che possano combinare loro qualche scherzo. Qualcuno di voi saprebbe spiegarmi in parole poverissime cosa fare per esser sicuro che il sito visitato non sia compromesso? facendo girare Norton non succede nulla, mi avverte soltanto alla fine che è stato bloccato un tentativo di intrusione da parte di diversi IP.
Qualcuno può aiutarmi? vi prego, sono un povero antiquato che mastica ben poco di computer!
E’ meglio che non usino il conto online in questo momento. Se proprio
devono formatta il pc.
e poi installa tutte le patch tramite windows update. Poi installa firefox con l’estensione noscript oppure usa opera. Dopo aver installato qualche programma (acrobat reader,winzip, quicktime ecc.) controlla che non abbiano vulnerabilta’
con secunia.com/software_inspector
Crea un utente non amministratore per navigare sul web.
Usa un AV aggiornato.
Comunque è meglio NON usare il conto online di questi tempi
Grazie m4v3rick, ma ho ancora qualche dubbio:
– i siti delle banche riportano numerose informazioni sulla loro presunta “invulnerabilità” e ne elencano le magnifiche doti anti-tutto: possibile che siano così folli da non avvertire se i loro clienti soggiacciono a qualche minaccia?
– perdonate l’ignoranza, che significa “installa firefox con l’estensione noscript”?
– credete che Norton 2007 sia sufficiente a scongiurare i pericoli di cui si parla?
Grazie.
Le banche sono decisamente sicure ma è il tuo pc a non esserlo e ti fregano le password proprio li’. Per cui fai le cose che ti ho detto facendoti aiutare da un amico esperto.
Norton 2007 puo’ andar abbastanza bene ma gli antivirus ultimamente possono davvero poco contro le nuove minacce.Serve una politica preventiva
Perfetto, grazie ancora.
oddio, sulla sicurezza delle banche magari qualcosina, da ciò che ho potuto sentire, mi verrebbe da dubitare 😀
@Marco Giuliani
Marco sembrano esserci altre segnalazioni riguardo ad un nuovo Toolkit simile a WebAttacker ed a MPack
http://blog.trendmicro.com/all-roads-lead-to-troj-smallfxd/
Sì, se non sbaglio non è nuovo. L’avevo già visto qualche tempo fa.
Scusate per i pochi aggiornamenti ma non sempre l’essere fermi significa essere fermi 😀
Marco G. ti ha scritto TNT?
Ti devo dire una cosa abbastanza interessante
Marco G. ti ho scritto. Fammi sapere
Visto e risposto 🙂
Non ho ricevuto nulla marco 🙁
puoi rimandarlo?
@m4v3rick
…sei sicuro che consigliare Opera sia una buona dritta? a quanto pare ha dei buchi mica male specialmente nella versione 9.2x
http://www.downloadblog.it/post/3198/opera-nasconde-le-proprie-vulnerabilita
http://www.pc-facile.com/news/opera_risolto_grave_problema_vulnerabilita/50133.htm
http://www.pcopen.it/01NET/HP/0,1254,4_ART_66144,00.html
La verità è che la sicurezza totale non c’è e quindi bisogna stare molo attenti quando si usano carte di credito, conti online ecc…prendere sempre tutte le precauzioni anche se a volte sembrano una perdita di tempo…
ma le falle le ha anche firefox , tutti li hanno
Per me la soluzione ottima e’ sandboxie su FF
La soluzione ottimale sarebbe Firefox su OpenBSD limitato con systrace… 🙂
Ma sono d’accordo, usando Firefox, Sandboxie e utente limitato le possibilita’ che un sito faccia danni sono proprio davvero minime…
TNT sta sempre in agguato 🙂
Appena dici una boiata zack
arriva il cazziatone .-)
Quale boiata? 🙁 In realta’ confermavo… 🙂
Si certo stavo scherzando. Ma che fine ha fatto marco?
Mi sono arrivate voci che l’hanno visto in giro con 3 sventole bionde ucraine mandate da inhoster. Mi sa che adesso che si sta dedicando a ben altri piaceri …. altro che scovare virus e malware
Magari 😀
excite mi filtra come spam 😀 Sto cercando di provvedere contattando direttamente il supporto tecnico 🙂
Però se avete qualche bella ragazza da presentarmi non mi schifo mica 😀
ti scrivo con una mail diversa
Altre due domande in questo mondo di bugie ed omertà istituzionale:
– qualcuno saprebbe dirmi se il sito dell’università di Napoli
http://www.unina.it
nelle opzioni “mail” è compromesso?
– possibile che symantec abbia già fatto uscire sul mercato un prodotto anti MPack pamacea di ogni male da voi così ampiamente individuato e descritto?
Ciao e buon lavoro.
Per quanto mi riguarda non ho avuto problemi di “intrusione da IFRAME” (anche perchè il mio hosting è Linux) ma tutte le pagine index, main e default con estensione .htm,html,php risultano modificate in data 19/06/2007 ore 21.05 ed hanno in aggiunta all’inizio due tag () sebbene successivamente ci siano di nuovo quelli previsti. Che sia qualche tool automatico di aruba che ripulisce le pagine (infette o meno).
Inoltre nell’area apertura ticket, c’è il seguente annuncio (è un caso?):
Inserito il: 14/06/07 09:37 | Autore:
Manutenzione straordinaria servizio statistiche
E’ in corso un intervento di manutenzione straordinaria sul server che gestisce il servizio statistiche dei domini attivati su Hosting Windows sulle macchine da webs160 a webs219 compresi.
Seguirà conferma del termine dei lavori.
————————————————————————————Aggiornamento: l’intervento è terminato in data di lunedì 25/06/07. Le successive verifiche di stabilità non hanno rilevato problematiche, pertanto confermiamo la corretta funzionalità del servizio.
Aruba S.p.A. – Servizio Aruba.it
Svariati mesi fa, su un forum dedicato a Joomla (forse il più diffuso tra i CMS) un tizio postava una richiesta di aiuto circa la continua e ripetuta l’intrusione sul suo sito che comportava proprio la comparsa di questo maledetto IFRAME nella pagina index. Indovinate un po’ chi era il provider che ospitava il suo sito?
Di seguio riporto il suo topic datato 16 settembre 2006:
“Ogni tanto mi viene modificato il file index con questa riga:
Si verifica ogni 2-3 giorni, non riesco ad impedirlo
versione in uso 1.0.12
esiste un metodo per blindare il file index?
grazie a tutti i collaboratori, competenti ed efficienti”.
Mi piacerebbe avere una statistica della tipologia di siti maggiormente colpiti. Non sarà che sti CMS sono particolarmente vulnerabili?
ANche TOPHOST…venne beccata da dei DEFACER turchi. Ricordo che un collega….sulla home page..si trovò un DEFACEMENT di un sito turco che innegiava GUerra… C……ni.
Salve, Un sito di un mio cliente in hosting su Seeweb ha subito lo stesso attacco. Ecco il codice: “ ”
La modifica dell’index è stata fatta il 14 agosto.
Ho comunicato a Seeweb il fatto e la loro risposta è stata (come ho visto già data ad altri) che il problema non dipendeva da loro ma da password rubate. Dunque la colpa era mia…!
Incredribile però che continuino con questa tesi quando come ho letto riferito da Valeria a lei hanno ammesso di avere qualche problema sui loro server interni. Con me e il mio cliente ora a settembre se ne lavano le mani…
Considerando poi il costo dell’hosting in oggetto non propriamente a buon mercato è veramente da pensare di andarsene.
Consigli?
Grazie a tutti per l’ottimo lavoro
Hello Id Like to get somewhere you this far-out tab !
How ration out the go-by a by we try something a teeny-weeny buddy this anon a punctually ?
perfortune something like this ?
http://www.sexytime93.com