Seeweb cade vittima dei pirati informatici

Seeweb cade vittima dei pirati informatici

Uno degli hosting provider italiani più apprezzati si è visto attaccare da pirati informatici che sono riusciti ad iniettare del codice nocivo all'interno di alcuni siti ospitati nei loro server

di pubblicata il , alle 08:37 nel canale Sicurezza
 

È toccato anche a Seeweb cadere vittima dei pirati informatici, come era successo mesi fa per altri due provider italiani tra i quali Aruba. Marco Giuliani, malware analyst della società di sicurezza informatica Prevx, ha pubblicato nel proprio blog personale un breve articolo illustrando come circa un centinaio di siti web ospitati in alcuni server del famoso hosting provider italiano siano stati compromessi in modo tale da inserire nelle loro righe di codice del codice html nocivo.

Un discreto numero di siti web ospitati su alcuni server della nota società italiana sono stati alterati, molti dei quali sembrerebbe inoltre siano stati modificati durante queste ultime settimane. Poco meno di un centinaio di siti web, di cui circa 70 gli ultimi arrivati, contengono nel codice della propria home page un iframe che reindirizza il browser dell’utente ignaro verso un terzo server contenente codice maligno, ha dichiarato Marco Giuliani, specificando poi anche il tipo di infezione che al momento i server stranieri tenterebbero di installare nei pc degli utenti ignari.

Secondo il ricercatore i server colpiti sarebbero questa volta per gran parte basati su Linux Debian e Apache, sebbene alcuni siti compromessi siano ospitati su Microsoft IIS. Giuliani ha poi evidenziato come Seeweb si sia mossa immediatamente per cercare di arginare il problema.

Antonio Baldassarra, product manager della società, attraverso un'intervista ha delineato quale sia l'attuale situazione della società, mettendo in chiaro che nessuno dei loro sistemi soffra di vulnerabilità conosciute né siano soggetti ad exploit zero-day a livello di rumors.

"Ciò che colpisce è che non siamo di fronte a qualcuno che ha sfruttato qualche exploit dei sistemi dei server attaccati, che girano più o meno metà su Linux e metà su Windows, ma a qualcuno che ha avuto accesso via ftp con la password, avendo cioè la password in mano" ha dichiarato Baldassarra, che ha poi azzardato l'ipotesi di un probabile atto di sniffing al di fuori della loro rete per catturare le password degli utenti.

Al momento la società sta collaborando con gli altri hosting provider italiani già colpiti in passato per ragionare insieme su come procedere per tentare di arrivare a scoprire come le password degli utenti siano state rubate.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

22 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Xadhoomx13 Ottobre 2007, 08:48 #1
Il fatto che abbiano colpito sia linux che prodotti ms penso che debba far riflettere sulle capacità degli autori.

MA HWupgrade è mai sta soggetta ad attacchi? Se sì, cosa e come avete fatto per limitare i danni?!
Rubberick13 Ottobre 2007, 08:51 #2
nzomma apprezzati..

cmq se forzassero l'uso del benedetto ftp over SSL magari con PROT D per la criptatura non solo degli accessi ma anche dei dati (cosa che faccio io =P) avrebbero meno problemi
groot13 Ottobre 2007, 08:53 #3
e la piattaforma cosa influirebbe?
black-m0113 Ottobre 2007, 08:55 #4
Insomma non hanno utilizzato vulnerabilità dei sistemi operativi installati, ma sono entrati conoscendo le password.

Prima cosa, chiedere ai possessori degli account registrati se abbiano risposto a mail di "conferma password" o simili...
danyroma8013 Ottobre 2007, 09:01 #5
Una ipotesi ce l'avrei: tempo fa mi è successa la stessa cosa su un mio sito su altervista. Il problema non era dei server di altervista, gli hacker non hanno attaccato altervista, ma hanno sfruttato una vulnerabilità del forum che avevo installato sul mio sito (IPB1.3) per effettuare una sql injection. In pratica hanno inserito nel template del forum (che è contenuto nel database) un iframe che rimandava verso un sito malevolo. Non c'è stato bisogno di sniffare password, in quanto con la sqlinjection hanno bypassato la fase di autenticazione e sono entrati nel database senza inserire credenziali. Immagino che anche su seeweb sia avvenuta una cosa analoga.

Ora bisogna vedere che tipo di applicazioni php/mysql erano installate sui siti colpiti, è molto probabile che gli hacker abbiano sfruttato eventuali vulnerabilità di queste applicazioni ancora sconosciute al pubblico (e agli autori delle applicazioni), piuttosto che attaccato direttamente il server di seeweb. Bisogna trovare il minimo comun denominatore tra i siti colpiti, l'applicazione che era presente su tutti quei siti e concentrare i sospetti su quella.
Rubberick13 Ottobre 2007, 09:07 #6
fatto sta che cmq l'uso di software proprietario io cerco di evitarlo quanto possibile, se si tratta di un forum ovviamente non posso crearmelo da me, ma x il sito evito i cms e me li faccio da me, sempre nei limiti del poss..
Dreadnought13 Ottobre 2007, 10:56 #7
Il fatto che abbiano colpito sia linux che prodotti ms penso che debba far riflettere sulle capacità degli autori.

Il fatto che abbiano colpito sia ms che linux vuol dire che il problema di sicurezza non sta tanto nei sistemi operativi, ma nell'infrastruttura e nelle policy delle password scelte

Per il resto visto cosa han fatto, è più probabile che siano script kiddies legati al business dello spam, non tanto gente skillata.
flyingstar1613 Ottobre 2007, 11:33 #8
Originariamente inviato da: danyroma80
Una ipotesi ce l'avrei: tempo fa mi è successa la stessa cosa su un mio sito su altervista. Il problema non era dei server di altervista, gli hacker non hanno attaccato altervista, ma hanno sfruttato una vulnerabilità del forum che avevo installato sul mio sito (IPB1.3) per effettuare una sql injection. In pratica hanno inserito nel template del forum (che è contenuto nel database) un iframe che rimandava verso un sito malevolo. Non c'è stato bisogno di sniffare password, in quanto con la sqlinjection hanno bypassato la fase di autenticazione e sono entrati nel database senza inserire credenziali. Immagino che anche su seeweb sia avvenuta una cosa analoga.

Ora bisogna vedere che tipo di applicazioni php/mysql erano installate sui siti colpiti, è molto probabile che gli hacker abbiano sfruttato eventuali vulnerabilità di queste applicazioni ancora sconosciute al pubblico (e agli autori delle applicazioni), piuttosto che attaccato direttamente il server di seeweb. Bisogna trovare il minimo comun denominatore tra i siti colpiti, l'applicazione che era presente su tutti quei siti e concentrare i sospetti su quella.


Posso capire la tua perplessità, ma un hosting professionale come Seeweb avrà quantomeno abilitato il magic quotes di PHP allo scopo, appunto, di evitare SQL Injections
Originariamente inviato da: Rubberick
fatto sta che cmq l'uso di software proprietario io cerco di evitarlo quanto possibile, se si tratta di un forum ovviamente non posso crearmelo da me, ma x il sito evito i cms e me li faccio da me, sempre nei limiti del poss..


Non so te, ma ritengo che un'equipe di sviluppatori professionali lavori meglio di un singolo, per quanto siano ampie le conoscenze del suddetto (vedi il detto: "quattro occhi sono meglio di due" e simili); se poi il problema sta nell' "anzianità" dello script in questione, allora è un'altra cosa.
+Benito+13 Ottobre 2007, 13:18 #9
mialno finanza è tra i siti che sono stati hackati? nei giorni scorsi mi apriva in automatico una pagina palesemente bruffaldina
Rubberick13 Ottobre 2007, 13:27 #10
no flying e' che gran parte degli attacchi fatti... sono fatti sfruttando vulnerabilita' note del software non aggiornato =D facendotelo da te non hai modo che questi conoscano le vulnerabilita' dato che il codice non gira libero sulla rete ma lo hai solo tu, possono andare ad intuito con roba comune tipo SQL injection e simili ma se hai compilato bene il tutto non ci sono problemi...

Spesso le vulnerabilita' su software + complessi attaccano proprio su funzioni + avanzate che magari uno non usa..

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^