Seeweb cade vittima dei pirati informatici

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...ici_22896.html

Uno degli hosting provider italiani più apprezzati si è visto attaccare da pirati informatici che sono riusciti ad iniettare del codice nocivo all'interno di alcuni siti ospitati nei loro server

Click sul link per visualizzare la notizia.

[Xadhoomx]

Il fatto che abbiano colpito sia linux che prodotti ms penso che debba far riflettere sulle capacità degli autori.

MA HWupgrade è mai sta soggetta ad attacchi? Se sì, cosa e come avete fatto per limitare i danni?!

[Rubberick]

nzomma apprezzati..

cmq se forzassero l'uso del benedetto ftp over SSL magari con PROT D per la criptatura non solo degli accessi ma anche dei dati (cosa che faccio io =P) avrebbero meno problemi

[groot]

e la piattaforma cosa influirebbe?

[black-m01]

Insomma non hanno utilizzato vulnerabilità dei sistemi operativi installati, ma sono entrati conoscendo le password.

Prima cosa, chiedere ai possessori degli account registrati se abbiano risposto a mail di "conferma password" o simili...

[danyroma80]

Una ipotesi ce l'avrei: tempo fa mi è successa la stessa cosa su un mio sito su altervista. Il problema non era dei server di altervista, gli hacker non hanno attaccato altervista, ma hanno sfruttato una vulnerabilità del forum che avevo installato sul mio sito (IPB1.3) per effettuare una sql injection. In pratica hanno inserito nel template del forum (che è contenuto nel database) un iframe che rimandava verso un sito malevolo. Non c'è stato bisogno di sniffare password, in quanto con la sqlinjection hanno bypassato la fase di autenticazione e sono entrati nel database senza inserire credenziali. Immagino che anche su seeweb sia avvenuta una cosa analoga.

Ora bisogna vedere che tipo di applicazioni php/mysql erano installate sui siti colpiti, è molto probabile che gli hacker abbiano sfruttato eventuali vulnerabilità di queste applicazioni ancora sconosciute al pubblico (e agli autori delle applicazioni), piuttosto che attaccato direttamente il server di seeweb. Bisogna trovare il minimo comun denominatore tra i siti colpiti, l'applicazione che era presente su tutti quei siti e concentrare i sospetti su quella.

[Rubberick]

fatto sta che cmq l'uso di software proprietario io cerco di evitarlo quanto possibile, se si tratta di un forum ovviamente non posso crearmelo da me, ma x il sito evito i cms e me li faccio da me, sempre nei limiti del poss..

[Dreadnought]

Quote:

Il fatto che abbiano colpito sia linux che prodotti ms penso che debba far riflettere sulle capacità degli autori.

Il fatto che abbiano colpito sia ms che linux vuol dire che il problema di sicurezza non sta tanto nei sistemi operativi, ma nell'infrastruttura e nelle policy delle password scelte

Per il resto visto cosa han fatto, è più probabile che siano script kiddies legati al business dello spam, non tanto gente skillata.

[flyingstar16]

Quote:

Originariamente inviato da danyroma80

Una ipotesi ce l'avrei: tempo fa mi è successa la stessa cosa su un mio sito su altervista. Il problema non era dei server di altervista, gli hacker non hanno attaccato altervista, ma hanno sfruttato una vulnerabilità del forum che avevo installato sul mio sito (IPB1.3) per effettuare una sql injection. In pratica hanno inserito nel template del forum (che è contenuto nel database) un iframe che rimandava verso un sito malevolo. Non c'è stato bisogno di sniffare password, in quanto con la sqlinjection hanno bypassato la fase di autenticazione e sono entrati nel database senza inserire credenziali. Immagino che anche su seeweb sia avvenuta una cosa analoga.

Ora bisogna vedere che tipo di applicazioni php/mysql erano installate sui siti colpiti, è molto probabile che gli hacker abbiano sfruttato eventuali vulnerabilità di queste applicazioni ancora sconosciute al pubblico (e agli autori delle applicazioni), piuttosto che attaccato direttamente il server di seeweb. Bisogna trovare il minimo comun denominatore tra i siti colpiti, l'applicazione che era presente su tutti quei siti e concentrare i sospetti su quella.

Posso capire la tua perplessità, ma un hosting professionale come Seeweb avrà quantomeno abilitato il magic quotes di PHP allo scopo, appunto, di evitare SQL Injections

Quote:

Originariamente inviato da Rubberick

fatto sta che cmq l'uso di software proprietario io cerco di evitarlo quanto possibile, se si tratta di un forum ovviamente non posso crearmelo da me, ma x il sito evito i cms e me li faccio da me, sempre nei limiti del poss..

Non so te, ma ritengo che un'equipe di sviluppatori professionali lavori meglio di un singolo, per quanto siano ampie le conoscenze del suddetto (vedi il detto: "quattro occhi sono meglio di due" e simili); se poi il problema sta nell' "anzianità" dello script in questione, allora è un'altra cosa.

[+Benito+]

mialno finanza è tra i siti che sono stati hackati? nei giorni scorsi mi apriva in automatico una pagina palesemente bruffaldina

[Rubberick]

no flying e' che gran parte degli attacchi fatti... sono fatti sfruttando vulnerabilita' note del software non aggiornato =D facendotelo da te non hai modo che questi conoscano le vulnerabilita' dato che il codice non gira libero sulla rete ma lo hai solo tu, possono andare ad intuito con roba comune tipo SQL injection e simili ma se hai compilato bene il tutto non ci sono problemi...

Spesso le vulnerabilita' su software + complessi attaccano proprio su funzioni + avanzate che magari uno non usa..

[blackshard]

Quote:

Originariamente inviato da Dreadnought

Il fatto che abbiano colpito sia ms che linux vuol dire che il problema di sicurezza non sta tanto nei sistemi operativi, ma nell'infrastruttura e nelle policy delle password scelte

Per il resto visto cosa han fatto, è più probabile che siano script kiddies legati al business dello spam, non tanto gente skillata.

Guarda, io ho un sito su seeweb, e gira su piattaforma Debian. Un bel giorno di fine agosto il mio cliente mi ha chiamato dicendo che il suo antivirus rilevava un virus in quella pagina. Sono andato a vedere ed effettivamente c'era una riga di codice nell'index.html in javascript.
Io con firefox non avevo nessun inconveniente, probabilmente qualcuno con internet explorer avrebbe visto aprirsi una pagina malevola o qualcosa del genere.
Fatto sta che ho ripristinato la situazione ma non ho di certo cambiato la password... ora, in questo momento, sono andato di nuovo a verificare: se mi fosse stata rubata la password sicuramente mi sarei ritrovato di nuovo la sorpresa, eppure è tutto a posto... forse seeweb non vuole perdere la faccia e parla di sniffing delle password, ma io qualche dubbio ce l'ho.

[dennyv]

Beh... non è una "notiziona" se in effetti la causa è stato l'accesso via ftp con le credenziali del cliente. Non mi sorprende visto il tipo di password "medio" in uso, poi ftp è pure in chiaro.... per non parlare poi di chi carica gli script php/asp e poi se ne frega completamente di aggiornarli... per la gioia dei sistemisti. Poi puoi mettere anche jail a proteggere il resto del sistema, ma nulla ti potrà mai impedire di modificare i file dell'utente, se entri con le sue credenziali!

[dennyv]

Quote:

Originariamente inviato da blackshard

Fatto sta che ho ripristinato la situazione ma non ho di certo cambiato la password... ora, in questo momento, sono andato di nuovo a verificare: se mi fosse stata rubata la password sicuramente mi sarei ritrovato di nuovo la sorpresa, eppure è tutto a posto... forse seeweb non vuole perdere la faccia e parla di sniffing delle password, ma io qualche dubbio ce l'ho.

Beh non è detto che perché tu hai ripristinato la pagina originale te la debbano subito rimodificare! Non vuol dire niente... anzi se fossi in te cambierei subito la password! Anche perché come già detto la tesi dello sniffing, delle password deboli o dell'inejction è sicuramente più probabile di un bug comune a Linux/Apache o Windows/IIS.
Anche perché visti i volumi di seeweb se fosse stato un bug dei software, secondo me i siti coinvolti sarebbero stati molti di più.

Ps le Magic quotes non sono sicurezza assoluta contro l'SQL inj.

[groot]

Di webmaster improvvisati ce ne sono molti.

[Irish Dragon]

Quote:

Originariamente inviato da black-m01

Insomma non hanno utilizzato vulnerabilità dei sistemi operativi installati, ma sono entrati conoscendo le password.

Prima cosa, chiedere ai possessori degli account registrati se abbiano risposto a mail di "conferma password" o simili...

Può anche darsi, ma quello che non hanno (ancora) appurato, è se delle falle non sul lato "host" hanno permesso di sottrarre delle password o semplicemente i cracker hanno optato per il "'ndo cojo cojo". Personalmente, propenderei per la prima.

Quote:

Originariamente inviato da danyroma80

Una ipotesi ce l'avrei: tempo fa mi è successa la stessa cosa su un mio sito su altervista. Il problema non era dei server di altervista, gli hacker non hanno attaccato altervista, ma hanno sfruttato una vulnerabilità del forum che avevo installato sul mio sito (IPB1.3) per effettuare una sql injection. In pratica hanno inserito nel template del forum (che è contenuto nel database) un iframe che rimandava verso un sito malevolo.

Non sei il primo a cui è successo... IPB è abbastanza sfortunato sotto il profilo delle SQL injection, quasi più di un vBulletin, SMF o anche di phpBB. Tra l'altro, non è un caso se nei mesi passati svariati forum su piattaforma IPB han "sofferto" di injection e forum deletati a go-go.

Quote:

Originariamente inviato da Rubberick

no flying e' che gran parte degli attacchi fatti... sono fatti sfruttando vulnerabilita' note del software non aggiornato =D facendotelo da te non hai modo che questi conoscano le vulnerabilita' dato che il codice non gira libero sulla rete ma lo hai solo tu, possono andare ad intuito con roba comune tipo SQL injection e simili ma se hai compilato bene il tutto non ci sono problemi...

Un codice compilato "bene" e "completo" è frequente quanto un software aggiornato spesso... oltretutto ad occhio il sito mal realizzato lo si vede al volo.
Un sistema pre-confezionato chiaramente presenterà delle falle pubbliche o quasi (basta anche farsi un giro su secunia.com per rendersene conto), ma è altrettanto vero che queste vengono risolte sempre nell'arco di poco e\o a seconda della serietà dello sviluppatore.

Quote:

Originariamente inviato da Rubberick

Spesso le vulnerabilita' su software + complessi attaccano proprio su funzioni + avanzate che magari uno non usa..

Per quanto riguarda forum o CMS, spesso si fa leva su funzioni invece frequenti o attivate di default... certo, stiamo sempre lì: se uno aggiorna e fa il suo santo upgrade difficilmente ci sono problemi, idem se si hosta il proprio dominio da casa e si butta su una versione una tantum di XAMPP\EasyPHP... se uno invece fa il sito\forum\portale e poi zompa a pié pari le patch, lì è solo questione di menefreghismo del webmaster.

Quote:

Originariamente inviato da blackshard

Fatto sta che ho ripristinato la situazione ma non ho di certo cambiato la password... ora, in questo momento, sono andato di nuovo a verificare: se mi fosse stata rubata la password sicuramente mi sarei ritrovato di nuovo la sorpresa, eppure è tutto a posto... forse seeweb non vuole perdere la faccia e parla di sniffing delle password, ma io qualche dubbio ce l'ho.

Cambiare una password non costa molto, d'altronde è già qualcosa a fronte del non voler "perder" tempo a cercare come hanno defacciato\buttato giù il proprio sito.
Che dire... auguri.

PS: Seeweb può anche non voler perdere la faccia, ma difficilmente vengono buttati giù siti come niente, solo per falle relative ad Apache\Debian\IIS o altro (anche perché ciò renderebbe potenzialmente vulnerabili altri hosting)

[riva.dani]

Ringrazio la redazione per non avere mai usato la parola hacker.

PS: E non datemi del "talebano", perchè la parola hacker ha un significato ben preciso in quanto è nata ed è stata inventata con quel significato: se i media sbagliano (e lo fanno spesso) non significa che tale significato vada stravolto.

[leptone]

quoto riva.dani

[blackshard]

Quote:

Originariamente inviato da Irish Dragon

Cambiare una password non costa molto, d'altronde è già qualcosa a fronte del non voler "perder" tempo a cercare come hanno defacciato\buttato giù il proprio sito.
Che dire... auguri.

PS: Seeweb può anche non voler perdere la faccia, ma difficilmente vengono buttati giù siti come niente, solo per falle relative ad Apache\Debian\IIS o altro (anche perché ciò renderebbe potenzialmente vulnerabili altri hosting)

Beh la password la fornisce seeweb, non la decido certo io. E' una password composta da caratteri e numeri, ma è facilmente sgamabile perché i primi tre caratteri sono gli stessi del nome utente, poi seguono le cinque cifre numeriche. Adesso non so se sia cambiato, ma questo era l'assegnamente di valore.it, poi acquisita da seeweb.
In ogni caso questo evento è capitato stranamento poco dopo gli eventi simili capitati su aruba.

[elessar]

Se la connessione FTP non avviene tramite SSL è fin troppo facile per chiunque abbia accesso infrastrutturale alla rete rubare le password (es. un qualsiasi dipendente malitenzionato di una società che fornisca connettività) con uno sniffing piuttosto semplice sulla porta 21.

Se avviene invece su SSL non autenticato (ovvero senza la verifica del certificato, e la cosa avviene quasi sempre sugli shared hosting visti i costi di un certificato "vero" e la difficoltà nell'installarne uno del cliente) è un po' meno facile, ma si può sempre fare un bel mitm.

Morale: se si vuole andare sul sicuro, le connessioni devono essere su SSL autenticato. Se non si vuole spendere una cifra per un certificato da VeriSign, Thawte o gente del genere, l'hosting dovrebbe crearsi il suo root certificate e spedirlo su CD in una busta sigillata antieffrazione al cliente su richiesta, e usare tale root CA per i certificati dei siti in hosting.

Una cosa simile si potrebbe fare anche con SSH, e l'hosting a quel punto potrebbe mandare via posta semplicemente un foglio con il fingerprint della macchina del cliente.