7 maggio 2008

Dopo qualche mese riprendo l'argomento riguardo alla scoperta di decine di siti, su dominio .IT, compromessi in maniera piu' o meno grave attraverso l'inserimento al loro interno di pagine con contenuti e links di vario genere che in maniera automatica reindirizzano a siti malware, pagine con false applicazioni antivirus ecc..

Lo scopo di questi codici inseriti all'interno di normali siti internet e' chiaramente quello di creare il maggior numero possibile di links da far indicizzare ai motori di ricerca per indirizzare la navigazione in rete verso siti poco affidabili (malware, rogue applications ecc..)

In seguito alla scoperta di questi siti, anche Trend Micro, in un suo post aveva ripreso la notizia “....... On Sunday, an Italian blog reported of several compromised sites. ...........” e ed attribuito la presenza di questi problemi ad una vulnerabilita' del software di gestione dei siti esaminati e cioe' Plone.

Sfogliando il sito di Plone in effetti si notano alcuni avvisi al riguardo di vulnerabilita' riscontrate e si consiglia di aggiornare all'ultima versione il software in uso, cosa che probabilmente chi amministra i siti che vedremo, non ha fatto.

A distanza di quasi tre mesi, da quanto rilevato, mi pare che non solo i siti siano segnalati abbiano sempre gli stessi problemi, ma se ne siano aggiunti di nuovi e comunque i link a cui puntano le pagine siano aggiornati a nuovi malware ed a nuove rogue application.

Una ricerca ottenuta , filtrando per data i risultati, dimostra che, ad esempio a partire da marzo 2008 ad oggi ci sono ben 2490 nuovi links a aquesto tipo di pagine, molte delle quali contenenti links pericolosi.

L'utilizzo del mio tool , in fase di test, che sfrutta le urls trovate da un motore di ricerca, per scaricare i sorgenti delle pagine e creare un report , permette di valutare quanto sia esteso il problema.
Questa una parte del report ottenuto interrogando due motori di ricerca tra i piu utilizzati in rete.

(immagine sul blog)

I links risultanti sono centinaia e dimostrano che la tipologia di siti colpiti e' delle piu' varie; si va da siti di partiti politici a siti di associazioni, pagine di aziende, comuni, scuole, ecc...

La quantita' e' tale che probabilmente, dato che le pagine sono inserite all'interno del sito stesso senza links evidenti, chi amministra il sito ignora completamente il problema.

In questo primo post vedremo solo la tipologia dei siti compromessi senza analizzare in dettglio le singole pagine aggiunte e i link collegati, cosa che faro' in un prossimo post, vista la grande quantita' di differenti pagine proposte, alcune con sript offuscati, altre con links in chiaro ed alcune adirittura con falsi elenchi di files mp3 da scaricare che in realta' sono eseguibili malware poco riconosciuti dai programmi antivirus.

In questa animazione potete vedere un esempio della tipologia di alcuni siti colpiti attraverso la visualizzazione della immagine della homepage catturata in automatico leggendo alcune delle urls nel report generato dai tools.

(immagine sul blog)

Continua

Edgar :D

fonte: http://edetools.blogspot.com/2008/05/plone-zope-e-ancora-siti-italiani.html

Salve,
non so se faccio bene a rispondere qui fra le news, ma in fondo il mio dubbio / commneto è riferito proprio a questa notizia.
Sono un webmaster dilettante che gestisce un sito basato sul codice Plone. Quello che mi sembra di aver capito leggendo dei problemi legati a questo manager di interfaccia è nelle directory che vengono create direttamente dagli utenti esterni, più che pagine che vengono create direttamente nella struttura base del sito. Infatti le pagine di codice malevolo sono sempre in sub-folder "portal_memberdata".
Per chi non conoscesse questo sistema dirò semplicemente che esiste la possibilità da parte del webmaster di far iscrivere al sito persone esterne, dando loro una serie di previlegi di lettura e scrittura diversi da quelli di un utente anonimo. Una delle opzioni, che se ricordo bene è inizialmente abilitata di default, permette al nuovo utente di avere accesso ad una sua directory che viene creata di default al momento dell'iscrizione. Oltre a questo previlegio ne possono essere poi abilitati molti altri.
Nel mio caso ho lasciato l'iscrizione al sito libera a tutti (si può disabilitare anche l'iscrizione e lasciare che sia il webmaster a creare i nuovi utenti), ma non ho permesso la creazione di nuove directory automatiche. Ed infatti non ho mai trovato il sito che curo in elenchi di siti compromessi e non ho mai trovato delle directory "strane" o pagine web non create da me o da altri degli utenti regolarmente autorizzati a farlo.
Quello che però posso dire con certezza è che ci sono state delle iscrizioni "strane", quasi di sicuro da parte di bot che volevano probabilmente creare pagine malevole. Nomi di pura fantasia con codici alfanumerici evidentemente malevoli. Per stare più nel sicuro questi "utenti" li rimuovo dalla lista utenti. Per la verità non ce ne sono tanti: se per un mese non controllo ne troverò una decina di nuovi.

Ora il mio dubbio è: posso stare ragionevolmente tranquillo rispetto alla mia situazione? E' possibile fare un controllo del sito www.coopoltremare.it da parte vostra per verificare che non ci siano pagine con codice malevolo? Io a parte controllare che non ci siano delle intere pagine malevole non riesco a fare (e poi posso solo farlo a mano... controllando folder per folder, anche se però con il contatore di visite dovrei riuscire ad accorgermi per tempo di una pagina strana che improvvisamente risulta visitata da migliaia di persone). Però la mia conoscenza dell'XTHML non è tanto approfondita da capire se ci siano state intrusioni.

Grazie mille!

Riccardo

Non conosco Plone ma penso che, come dici nel post, la possibilita di creare pagine da parte di chi visita il sito possa essere sfruttata per inserirne anche di non volute come succede nel caso dei siti di cui parlo nel blog.

Per quanto si riferisce al tuo sito www.coopoltremare.it ho dato una veloce occhiata al report ottenuto con il tool ed e' presente.
In effetti se provi a fare una ricerca con YAHOO trovi i seguenti links
www.coopoltremare.it/portal_memberdata/portraits/ishima avente come oggetto "latina hot nylons in"
e
coopoltremare.it/portal_memberdata/portraits/dphif<br><br><b><a href=
Questo, a mio parere, e' un segno che c'e' stato in passato un tentativo, forse anche riuscito, di inserire una delle pagine con links a malware o a siti di
rogue applications sul sito

Una riprova di questo la puoi trovare cercando su Yahoo o Goolge la stringa www.coopoltremare.it porn
Vengono trovati qualche centinaio di riferimenti a pagine che contengono, ad esempio, messaggi di forum che associano l url coopoltremare a link di siti porno , pharmacy ecc...
Questa e' la riprova che forse e' stata hostata qualche pagina di quelle descritte sul blog.
Mi pare che comunque al mometo il sito si OK e non presenti piu' contenuti relativi a queste pagine.
Non conoscendo Plone , l unico consiglio che mi sento di dare e' quello di aggiornare sempre alle ultime versioni Plone e Zope per evitare che qualcuno possa sfruttare eventuali falle di sicurezza presenti nelle versioni precedenti.
Inoltre evitare di concedere privilegi di creazione pagine in maniera estesa a tutti i visitatori del sito.
Credo che inoltre esista la possibilita di effettuare una verifica , non a mano , dell intero contenuto del sito, attraverso quache tool di ricerca, anche solo testuale, per trovare l'eventuale presenza di parole chiave che evidenzierebbero la presenza di pagine aggiunte simili a quelle che descrivo nel blog.

Edgar :D

Ciao,
intanto grazie mille per l'aiuto. Non so se faccio bene a preseguire questa discussione, ma credo che possa essere comunque di aiuto anche ad altre persone che come me usano Plone e a capire come arginare questo problema delle pagine infette.

La directory che mi segnali ho controllato e sembra essere pulita. Ho anche controllato le stringhe che mi dici nei motori di ricerca ed effettivamente escono parecchi forum dove appare il sito www.coopoltremare.it a fianco di contenuti non certo inerenti alla nostra attività.
La directory dove c'era codice malevolo è una directory dove effettivamente gli utenti possono inserire qualcosa, cioè la loro foto... che oltre ad i dati di registrazione è una cosa permessa di default. La foto può poi essere visualizzata anche da un visitatore anonimo, ma non certo accedendo alla directory che è stata indicizzata, dato che è una directory di servizio visibile solo dall'amministratore (l'accesso diretto genera un errore). In ogni caso quella foto ora non c'è più, nè tantomeno l'utente che l'ha creata.

Avevo scritto una risposta lunga, ma poi mi sono reso conto fosse piena di stupidate e mi sono autocensurato. Effettivamente la directory dove si trova codice malevolo non è quella di un singolo utente, ma è il file della foto che l'utente può inserire.
A questo punto le considerazioni che facevo nel primo post sono abbastanza sterili. E' effettivamente una vulnerabilità del sistema Zope su cui si basa Plone e che è stata sfruttata anche sul nostro sito. Comunque ho provato adesso a cercare "www.coopoltremare.it/portal_memberdata/" sia su google che su yahoo senza trovare altri risultati, cosa che mi consola almeno un poco. Devo dire che il provider a cui ci appoggiamo lavora bene, quindi sono convinto abbia già installato le ultime patch per la versione Zope sul server (comunque glielo chiedo e verifico) o l'ultima versione. Anche perchè lavora soprattutto con ditte che fanno anche commercio on-line, quindi sarebbe un problema grande una vulnerabilità del sito!

Della via che ci siamo: il tool che hai realizzato come lavora? Forse c'è un tread che ne parla, ma non l'ho visto. MI potresti poi spedire in privato il report sul mio sito?

Grazie e buon lavoro.
Riccardo

Ti rispondo brevemente al riguardo di quanto mi hai chiesto e comunque penso che i chiarimenti che hai dato al riguardo di Plone sono interessanti per il sottoscritto che non consce appunto questo sistema di gestione dei contenuti web e possano interessare anche chi legge il forum.
Riguardo ai tools che utilizzo, sono solo piccole applicazioni che ho scritto in linguaggio Autoit che rendono automatiche alcune operazioni che si possono eseguire manualmente.
In pratica utilizzano i motori di ricerca per ottenere delle liste di siti filtrate e che poi utilizzano per scaricarne es.la homepage per analizzarne il contenuto alla ricerca di particolari stringhe che indicano es. la presenza di script offuscati ecc..
Quindi il report a cui mi riferivo e' una lista di url di siti con problemi e non l'esame del singolo sito.
Comunque piu' dettagli sui tools e sul loro uso li trovi sul mio blog
http://edetools.blogspot.com/
dove puoi anche scaricare i tools.
Tornando invece all'argometo della news ed ai siti compromessi domani pubblichero' sul blog la seconda parte del post dove analizzo in dettaglio alcune pagine inserite all'interno di alcuni siti italiani.

Edgar

Lasciatelo perdere edgar che non capisce niente :D
scherzo

:read: :ciapet:

Lasciatelo perdere edgar che non capisce niente :D
scherzo
Lasciamo stare, va...

per colpa tua e di Edgar Bangkok, non riesco più a navigare fra SQL injection e varianti varie di Gromozon :Prrr: