Cerca nel blog

2015/09/14

Le violazioni dei siti .it di oggi

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/09/14 10:45.

Vado subito al sodo:

Liceo Scientifico TRON: violato presso https://www.tron.gov.it/images/jdownloads/screenshots/1998.gif

Istituto comprensivo Manfredini: violato presso http://www.didipo.gov.it/images/jdownloads/screenshots/pz.gif

Istituto superiore Giorgi-Fermi: violato presso http://www.giorgifermi.gov.it/images/jdownloads/screenshots/muhmademad.jpg

Comune di Modena: violato presso http://mappe.comune.modena.it

Istituto comprensivo statale Giuseppe Melodia: violato presso http://www.melodianoto.gov.it/images/jdownloads/screenshots/albanian.gif

Liceo Canossa: violato presso http://www.liceocanossa.gov.it/images/jdownloads/screenshots/pz.gif

Istituto comprensivo Certosa di Pavia: violato presso http://www.scuolecertosa.gov.it/images/jdownloads/screenshots/pz.gif

Istituto d'istruzione superiore R. Piria Rosarno: violato presso http://www.istitutopiriarosarno.gov.it/images/jdownloads/screenshots/matrix.gif

Comune di Ciampino: violato presso http://www.comune.ciampino.roma.it/images/jdownloads/screenshots/matrix.gif

Ex provincia di Carbonia Iglesias: violato presso http://vetrinaoccupazione.provincia.carboniaiglesias.it/

In realtà “di oggi” è un po' ingannevole: ne parlo oggi, ma in alcuni casi le violazioni sono in corso da tre o quattro giorni. Qualcuno li avvisa?

La fonte, come al solito, è Zone-H.org insieme alle segnalazioni dei lettori.

24 commenti:

Guido Pisano ha detto...

...dacci oggi il nostro defacing quotidiano

Antetempo AoE ha detto...

aggiungu questo:
http://vetrinaoccupazione.provincia.carboniaiglesias.it

Antetempo*

Ayzad ha detto...

Liceo scientifico Tron: dall'altra parte dello schermo sembrava tutto così facile.

Fx ha detto...

Ma fai la succursale di Zone-H?

Piuttosto pubblica le preferenze sessuali di chi ti segue sulla base dei dati trapelati dal leak di Ashley Madison!

Marco ha detto...

Ma ci sono anche i tentativi falliti? Sono il webmaster del sito di un istituto del CNR (per ovvi motivi non dirò quale) e in questi giorni ho avuto degli strani problemi, ma nulla di serio... Non sono riuscito a capire cosa sia successo... Il CMS l'ho fatto io a manina ed ho eliminato i vari php-admin, disattivato il proxy di apache ecc... E quindi dovrei essere abbastanza al sicuro (spero)... Non sono un sysadmin esperto, abbiamo una persona che si occupa di questo, ma non posso pretendere che si smazzi il mio codice...

Salvatore Capolupo ha detto...

magari aggiungo un'ovvietà, ma il tutto sembrerebbe dipendere (a giudicare dai path dei file) dal componente di Joomla! jdownloads, probabilmente non aggiornato da molto tempo. Tipico, purtroppo, dei siti creati e poi abbandonati per anni.

Il Lupo della Luna ha detto...

Ma buttare dove si merita Joomla e mettere su un bel Drupal?
Si, quello che non ti fa uploadare le immagini nemmeno nelle dir corrette e coi permessi giusti perchè la tua versione di Apache gli sta antipatica..

puffolottiaccident ha detto...

Liceo Canossa...

...Un nome geniale per un postribolo o un night club.

ErPanfi ha detto...

Al Fermi provo a scrivere io

rico ha detto...

@Ayzad: questa è degna di Spinoza.it 😄😄😄
Trattandosi di liceo scientifico ti diranno: "Non è un bug, è una feature".

andy ha detto...

(a giudicare dai path dei file)

Scusate se dico una stupidata, ma tra l'altro che senso ha violare un sito inserendo delle immagini a caso in una cartella screenshoot che neanche lo si nota dalla pagina principale?

Dato che non si tratta di attacchi tipo MIM che sono nascosti per definizione, che senso ha mantenere l'attacco nascosto? non è meglio "spiattellarglielo in faccia" così aggiornano?

Andrea Gottardi ha detto...

(Unitelo pure al post precedente :)) Aggiungerei anche che l'exploit che permette di entrare nel sito é facilmente recuperabile online (anche da Google), per cui é sicuramente qualcuno che con poca spesa e massima resa vuole vantarsi con gli amici :)

Il Lupo della Luna ha detto...

Andy probabilmente l'exploit ti permette di buttare roba solo nella dir di jdownloader e non altrove.

Ma fare gli aggiornamenti di sicurezza no? Torna il discorso di qualche post fa.

Salvatore Capolupo ha detto...

A giudicare dalla documentazione recente su jDownloader, le versioni più recenti mettono delle patch proprio sulle funzionalità di upload; non è tutto, comunque, perchè in molti casi "live" è stato abilitata per errore/superficialità la possibilità di effettuare il caricamento di file da parte di utenti anonimi, cioè senza username/password.

Se il plugin tiene attiva di default questa possibilità, a poco serve anche aggiornare... perchè basta conoscere il path per fare comunque upload, per quanto qualsiasi hosting decente dovrebbe (dovrebbe...) impedire il caricamento di file con script arbitrari.

Il Lupo della Luna ha detto...

@Salvatore, si, ma generalmente gli hosting (specie quelli economici che vanno a ruba, e non faccio nomi) sono configurati in modo che finisce che per fare l'upload devi pigliare la tua dir dei file e metterla leggibile/scrivibile da tutti.. Se poi ci metti l'utonto di turno che non modifica le configurazioni di default (e sono pronto a scommettere che ha admin / admin come utente..

Guido Pisano ha detto...

@rico
anche fuori liceo l'ho sentita fin troppe volte 'sta frase...

andy ha detto...

Anche questo sito http://www.seriehd.org credo che sia stato violato, dato che oggi ad un certo punto è sparito di botto tutto il contenuto.

Andy probabilmente l'exploit ti permette di buttare roba solo nella dir di jdownloader e non altrove.

Appunto, infatti io mi chiedevo: è davvero così grave un exploit che permette di buttare roba solo in una cartella?
Che mai ci potrà fare un vero criminale? Consumarti lo spazio su disco per metterci la sua roba?

Marco P ha detto...

Come sempre... Siti creati per un utenza che non è in grado di eseguire aggiornamenti e, quindi, mai aggiornati.

Il Lupo della Luna ha detto...

É gravissimo perché un conto è una immagine un conto è un file eseguibile. Puoi tranquillamente metterci uno script che fa altre cose. Tramite Google trovi vari esempi. Certo molti presumono che il server sia configurato molto male..

Guido Pisano ha detto...

@Lupo
se posso uploadare qualcosa su un server che non e' mio e' male a prescindere
sia perche' posso usarlo per buttarci sopra materiale illegale (così che la polizia se deve cercare qualcuno non cerca me) o script da far eseguire alla gente... Gli attaccanti hanno voluto molto bene agli attaccati limitandosi al semplice defacing probabilmente e' uno script-kiddie che si limita a caricare la stessa (o lo stesso gruppo diimmagini) per far vedere com'e' bravo, ma sicuramente non e' un rischio da sottovalutare...

Enrico Piciarelli ha detto...

La violazione del sito del liceo scientifico TRON desta più di un sospetto che si tratti di un inside job...

Andrea Gottardi ha detto...

Vista la cura nella manutenzione dei siti, mi sa che se ti prendi la briga di segnalare la cosa rischi ancora l'accusa di essere l'esecutore materiale ("Come fai a sapere che c'è un file insignificante in questo percorso così remoto?")

Il Lupo della Luna ha detto...

"se posso uploadare qualcosa su un server che non e' mio e' male a prescindere" io avevo un installazione dell'engine della wikipedia su un sito. Non l'ho curata particolarmente e l'ho trovata piena di spazzatura. Purtroppo ho esperienze :(

Non è un rischio trascurabile affatto, difatti sono il primo a dire che è RIDICOLO che ci siano dei siti gestiti in questa maniera..

Guido Pisano ha detto...

@Lupo
purtroppo "la' fuori" ci sono milioni di persone pronte a sfruttare qualsiasi opportunita'...
per contro ci sono anche milioni di "vittime" per cui anche se nessuna protezione e' infallibile, basta per scoraggiare la maggior parte dei wannabe-crackers