Attenzione attacco in corso sui server Aruba

[Nidragon]

Se avete un sito hostato da Aruba vi conviene fargli un bel check up, sto sentendo tantissima gente in rete che ha avuto il sito iniettato di codice maligno.

Notate bene che l'attacco non deriva da cosa è installato sullo spazio web, ci sono persone con siti statici che hanno avuto l'index modificata, quindi è chiaramente un qualcosa che passa dai server. A me è capitato su due siti, uno statico e uno dinamico con Wordpress (con installata l'ultima versione del software), sempre su piattaforma Linux.

Per chi ha un sito statico basta eliminare il codice dall'index, per chi invece ha Wordpress segnalo questa guida che risolve momentaneamente il problema:
WordPress 2.8.5: Oltre 100 attacchi Hacker su Aruba|JuliusDesign

Dico momentaneamente perchè qui deve intervenire Aruba per tappare la falla.

Spero che la segnalazione possa servire anche a chi offre spazio web per prendere le opportune contromisure.

[ceccus]

Salve,
Si sta parlando di siti ospitati su Shared Hosting di Aruba ? Giusto ?
Perchè noi siamo in Co-Location sempre su Aruba ma le nostre sonde non indicano assolutamente niente di tutto ciò ...

Ciao !!

[FlameNetworks]

Notate bene che l'attacco non deriva da cosa è installato sullo spazio web, ci sono persone con siti statici che hanno avuto l'index modificata, quindi è chiaramente un qualcosa che passa dai server. A me è capitato su due siti, uno statico e uno dinamico con Wordpress (con installata l'ultima versione del software), sempre su piattaforma Linux.

Quindi, secondo te, il fatto che i siti statici siano stati oggetto di defacement, vuol dire che il problema non è riconducibile a qualche CMS buggato?

Vedo che il forum pullula di esperti di sicurezza informatica...

[Alex]

Quindi, secondo te, il fatto che i siti statici siano stati oggetto di defacement, vuol dire che il problema non è riconducibile a qualche CMS buggato?

Vedo che il forum pullula di esperti di sicurezza informatica...

si Flame visto che aruba non utilizzava (fino a poco tempo fa) nessuna configurazione di sicurezza su apache (dando uno shell_exec si poteva risalire a QUALUNQUE file sul server)

[Nidragon]

Quindi, secondo te, il fatto che i siti statici siano stati oggetto di defacement, vuol dire che il problema non è riconducibile a qualche CMS buggato?

Vedo che il forum pullula di esperti di sicurezza informatica...

Il vettore puo' benissimo essere stato un CMS non aggiornato. Ho semplicemente segnalato il fatto che l'attacco non è solo sui siti che sono stati attaccati per il fatto di avere il CMS installato, ma anche i siti statici possono essere infetti e quindi è meglio controllare. Non sta a me spiegarti perchè è successo, perchè non li gestisco io i server di Aruba e soprattutto non so cosa tutti gli utenti di Aruba abbiano installato sui loro siti e dove sia quindi la falla se lato utente o lato hosting. Ho solo detto quanto sta accadendo. Se poi vogliamo indagare quali siano le cause è un altro paio di maniche.

Se mi spieghi l'utilità del tuo post mi fai un favore. Io segnalo un problema che puo' affliggere un bel numero di utenti e tu rispondi in questo modo?

Devi essere un hosting bello professionale...bah...non aggiungo altro perchè ritengo che questo forum debba essere d'aiuto sia per gli hosting che per chi ne usa i servizi.

Prendi come preziosa la segnalazione e vedi se anche i tuoi server possono essere attaccati invece di fare il presuntuoso, ne guadagneresti tu e i tuoi utenti.

[Nidragon]

Salve,
Si sta parlando di siti ospitati su Shared Hosting di Aruba ? Giusto ?
Perchè noi siamo in Co-Location sempre su Aruba ma le nostre sonde non indicano assolutamente niente di tutto ciò ...

Ciao !!

Si tutti su Shared Hosting.

[ceccus]

Salve,
Grazie per la precisazione, Nidragon
Infatti, credo che le altre Subnet di Aruba non ne abbiano risentito minimamente ...
Probabilmente sono stati attaccati un po' di domini presenti sulle macchine fisiche "bucate" ... in giro si parla di qualche centinaio di domini ... nel link indicato, a parte la polemica, il dato da tenere in considerazione è proprio il numero dei domini interessati ... che se confermato quello, ovvero qualche centinaio, non si può neppure parlare di un server, visto che su Shared Hosting , ogni macchina ha un migliaio di Siti sopra ...
Comunque vada, certe informazioni, è meglio saperle subito che saperle ...dopo ...

Ciao !!

[FlameNetworks]

Il vettore puo' benissimo essere stato un CMS non aggiornato. Ho semplicemente segnalato il fatto che l'attacco non è solo sui siti che sono stati attaccati per il fatto di avere il CMS installato, ma anche i siti statici possono essere infetti e quindi è meglio controllare. Non sta a me spiegarti perchè è successo, perchè non li gestisco io i server di Aruba e soprattutto non so cosa tutti gli utenti di Aruba abbiano installato sui loro siti e dove sia quindi la falla se lato utente o lato hosting. Ho solo detto quanto sta accadendo. Se poi vogliamo indagare quali siano le cause è un altro paio di maniche.

Se mi spieghi l'utilità del tuo post mi fai un favore. Io segnalo un problema che puo' affliggere un bel numero di utenti e tu rispondi in questo modo?

Devi essere un hosting bello professionale...bah...non aggiungo altro perchè ritengo che questo forum debba essere d'aiuto sia per gli hosting che per chi ne usa i servizi.

Prendi come preziosa la segnalazione e vedi se anche i tuoi server possono essere attaccati invece di fare il presuntuoso, ne guadagneresti tu e i tuoi utenti.

Ho semplicemente risposto ad un thread che non fornisce (fatta eccezione per Alex che ringrazio per la precisazione) alcuna informazione utile, se non quella di allarmare i clienti.

Sulla nostra professionalità non sta di certo a te stabilirlo, ci bastano i commenti positivi dei nostri clienti.

Scrivere "Notate bene che l'attacco non deriva da cosa è installato sullo spazio web, ci sono persone con siti statici che hanno avuto l'index modificata, quindi è chiaramente un qualcosa che passa dai server. A me è capitato su due siti, uno statico e uno dinamico con Wordpress (con installata l'ultima versione del software), sempre su piattaforma Linux." non mi sembra sia descrivere cosa sta succedendo.

La prossima volta che scrivi pubblicamente qualcosa del genere, almeno abbi la correttezza di fornire dei dati oggettivi.

Ciao,

Fabrizio

[Nidragon]

Ho semplicemente risposto ad un thread che non fornisce (fatta eccezione per Alex che ringrazio per la precisazione) alcuna informazione utile, se non quella di allarmare i clienti.

La prossima volta che scrivi pubblicamente qualcosa del genere, almeno abbi la correttezza di fornire dei dati oggettivi.

Ciao,

Fabrizio

Veramente nel post che ho scritto ci sono le modalità per risolvere il problema lato utente, se per te non è un'informazione utile...

Io non vedo un allarmismo, piuttosto vedo il suggerimento di prendere provvedimenti sui propri siti per cercare di tappare questa falla, almeno dal lato degli utenti.

Io credo che hosting e utenti debbano collaborare. Aruba puo' tappare la falla, ma se ci sono ancora siti con software obsoleto il problema si puo' ripresentare.

Immagina quanti non si accorgono neanche di avere il sito bucato. I dati oggettivi sono dati dal fatto che molte persone hanno riscontrato il problema su almeno 3 macchine (confermato dagli indirizzi condivisi). Per ora è una cosa limitata, se limitato si puo' dire considerando quanti siti ci sono su uno shared.

Secondo te non e' meglio intervenire prima che il problema si propaghi anche sulle altre?

Non so come lavori tu, ma a me basterebbe avere un server bucato per preoccuparmi. E considera che questi sono i dati presi 1) da chi se ne è accorto 2) da chi lo posta sui blog.
Non voglio neanche pensare a quanta gente ha il sito corrotto e non se ne accorge neanche...

[ceccus]

Salve,
Tra parentesi, la cosa strana è che si sta parlando sia di macchine Windows , sia di macchine Linux , a quanto pare ...
Ora, dal punto prettamente sistemistico, il sistema che regola le permission in Windows è completamente differente rispetto a quello in uso su Linux ... e questo , indipendentemente dal discorso FTP/HTTP ...
Infatti , se la cosa risultasse esatta, propenderei più per una "falla" su di un "applicativo" (CMS, Forum, Blog ...) , magari con la "conpartecipazione" di alcune configurazioni di default da parte del Provider ...
E poi, parlando di Windows, per esempio, occorrerebbe sapere quale Windows ... perchè su quel Provider lì ci sono ancora macchine Win2000 , Win2003 e Win2008 e anche se apparentemente le permission possono sembrare uguali , ma "sotto sotto" ci sono enormi differenze fra i 3 S.O. ...

Ciao !!

[FlameNetworks]

Io credo che hosting e utenti debbano collaborare. Aruba puo' tappare la falla, ma se ci sono ancora siti con software obsoleto il problema si puo' ripresentare.

Su questo sono d'accordo.
Per esperienza posso dirti che, nel 99% dei casi, questi problemi derivano dall'utilizzo di software (lato cliente) obsoleti e con bug anche noti.
Se comunque si adottano delle misure di sicurezza serie lato server, anche su un hosting shared l'impatto si può ridurre al minimo, cosa che, se ho capito bene, non è stata fatta.

Immagina quanti non si accorgono neanche di avere il sito bucato. I dati oggettivi sono dati dal fatto che molte persone hanno riscontrato il problema su almeno 3 macchine (confermato dagli indirizzi condivisi). Per ora è una cosa limitata, se limitato si puo' dire considerando quanti siti ci sono su uno shared.

Il cliente si accorge di qualcosa solo quando il sito non gli funziona più...

Secondo te non e' meglio intervenire prima che il problema si propaghi anche sulle altre?

Assolutamente si...informando opportunamente il fornitore del servizio si possono risolvere tantissimi problemi.

Non so come lavori tu, ma a me basterebbe avere un server bucato per preoccuparmi. E considera che questi sono i dati presi 1) da chi se ne è accorto 2) da chi lo posta sui blog.
Non voglio neanche pensare a quanta gente ha il sito corrotto e non se ne accorge neanche...

A me basta un semplice spam proveniente da un nostro server per essere preoccupato.

[Nidragon]

Il cliente si accorge di qualcosa solo quando il sito non gli funziona più...

Il casino è che questa volta sono infettati anche siti statici e se non hai un buon antivirus installato sul PC non te ne accorgi.

Io me ne sono accorto grazie a Kaspersky che mi segnlava un trojan quando accedevo al sito statico, sono quindi andato a spulciare il codice e ho trovato il problema.

A seguire dopo qualche ora mi è partito anche il blog, che come dici tu, correttamente, si è piantato.

[ServerDedi.com]

Vi segnalo che la cosa non interessa solo Aruba ma anche altre macchine delle loro aziende e so per certo che non è il cms avendolo
ospitato per molto tempo.... (è già un pò che c'è)

mi fermo se no dico troppo sulle loro impostazioni, non sono dicerto io il mago, ho avuto anche io le mie grane, ma le loro impostazioni fanno paura....

Il cms del link è molto valido e non ho mai avuto problemi di hacking sulle macchine dove risiedeva il cms.

Off Topic :: Problemi di sicurezza nel web: attacchi malware

[GrG]

Fabrizio scusa ma se parliamo di un sito statico HTML defacciato, a questo punto non è chiaro che il problema è di Aruba e non dello spazio del cliente?

Anche se poi l'attacco fosse partito da CMS buggati e si fosse esteso ad altri, beh, chi è che deve proteggere gli utenti da XSS?

Poi la classica sparata sugli script buggati degli utenti con cui vengono tirati giù i server è odiosa. E' un vecchio ricordo di mod_php, ma non mod_php5, mod_php3. Lo spazio deve essere protetto in modo da inscatolare completamente l'utente. E mi sembra che con ITK o Suexec questo si possa fare decentemente, e che diverse aziende italiane li abbiano adottati da un pezzo con seri risultati.

[FlameNetworks]

Giorgio,

non capisco il nesso tra sito statico e responsabilità del fornitore.

Mettiamo il caso che ho in mano un exploit 0day che mi fa entrare come utente www-data e poi, da locale, scalo a root ed inizio a far festa su un server che ha siti statici e dinamici.
Mi fai capire qual è la differenza che rende o meno responsabile il fornitore oppure il cliente?

Anche se poi l'attacco fosse partito da CMS buggati e si fosse esteso ad altri, beh, chi è che deve proteggere gli utenti da XSS?

Così al volo mi verebbe da dire di leggersi il contratto e vedere effettivamente cos'è previsto in questi casi.

Credo però che, al di là del contratto tra le parti, ti sembra normale che io come azienda debba assumermi la responsabilità se un cliente utilizza un software vulnerabile?