skip to main | skip to sidebar
4 commenti

Attacco informatico a Liberatv.ch

Mi è arrivata poco fa da un collega, Marco Cagnotti, la segnalazione che il sito di Liberatv.ch è stato violato e ora la sua pagina iniziale ha l'aspetto mostrato qui accanto.

Un rapido esame al codice HTML della pagina non mostra nulla di pericoloso per chi visita il sito: soltanto alcuni indirizzi di mail (palestine.ghost@gmail.com, kil.er@hotmail.com), un riferimento a una pagina Facebook (www.fb.com/Officiel.XCoDePS) e un link a un video musicale su Youtube.

Secondo la cache di Google, il sito era ancora normale alle 16:30 GMT, per cui l'attacco risale a poche ore fa (ora sono le 20:30). Le altre pagine del sito non sembrano essere state modificate.

Non sembra essere un attacco mirato: la pagina Facebook degli aggressori cita anche altri siti svizzeri violati, come Verdee.ch e Medcast.ch, fra i quali non sembra esserci alcun nesso. La mia prima impressione è che si tratti di dilettanti che attaccano indiscriminatamente qualunque sito nel quale trovino delle vulnerabilità. Secondo Netcraft, Liberatv, Verdee e Medcast usano tutti Linux e Apache.

La mail palestine.ghost compare nei motori di ricerca associata ad altre violazioni di siti.

Pubblicherò qui maggiori dettagli non appena ne avrò.

22:10. Mi è stato segnalato che la home page è tornata normale.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (4)
Ci sono diversi software che contengono database di vulnerabilità. Gli dai un url, e generano un report dei software rilevati e relative vulnerabilità, con i codici di riferimento. Ottenuti i codici, basta cercarli per trovare documentazione di come sfruttarli.
Per esperienza, il 99% degli attacchi è gente che usa software come quelli. E quindi, sinceramente, la colpa è solo di chi amministra i server colpiti, perchè le vulnerabilità rilevate da quei software sono tutte in full disclosure da tempo.
Qualche esempio di software di vulnerability scan: http://www.tenable.com/ , https://qualysguard.qualys.eu .
Nota: non sto dicendo che sia il caso di Liberatv.ch; ma è probabile, perchè dallo stile pare un attacco di dilettanti.

E' un problema tipico: o si utilizzano software così come sono, eventualmente sviluppando addons via API, e si aggiorna ogni volta che Drupal rilascia una versione nuova,
o (come invece spesso accade) per risparmiare tempo si fanno modifiche così radicali da avere un fork che poi nessuno aggiorna più.

Amministrare un server significa anche monitorare vulnerabilità seguendo le giuste mailing-list, tenendo aggiornati i pacchetti software. Tanti 'web-master' prendono VPS, installano Ubuntu o simili seguendo un paio di guide, e difficilmente aggiornano in tempo reale quando si dovrebbe farlo.
Dopo le notizie degli ultimissimi giorni parlare di un attacco di basso profilo al sito mai sentito prima è quasi rassicurante =)
Attualmente
PDOException: SQLSTATE[HY000] [1040] Too many connections in lock_may_be_available() (line 167 of /var/www/cms/includes/lock.inc).

certo che un hacker che fa un profilo facebook, è come un ladro che annuncia i suoi furti sulla bacheca della polizia.
^_^'''
Su Zone-H del defacer gli ultimi siti attaccati (non sono stati li a guardarli tutti) sembrano essere Drupal

http://www.zone-h.org/archive/notifier=XCODEPS

Probabilmente usando questa vulnerabilità di fine ottobre: https://www.drupal.org/PSA-2014-003