Oltre 100 piattaforme tra cui anche WordPress risiedenti su Aruba, noto servizio web hosting, sono state attaccate con codice maligno, confermato dall’amico Wolly di WordPress Italy e verificato con i miei occhi sul blog WP di Alberto D’Ottavi.
L’attacco si manifesta con l’inserimento di codice maligno in alcune pagine come index.php visualizzando una pagina bianca, dove possiamo trovare del codice simile a questo.
<?php ob_start("security_update"); function security_update($buffer){return $buffer."<script language=\"javascript\">
Cosa dobbiamo fare in caso di attacco sul nostro blog? Oltre ad urlare?
Entriamo nel nostro spazio FTP e recuperando il file index.php, potremo notare questa sequenza di codice:
Eliminiamo il codice maligno manualmente, la fine è determinata dal seguente codice:
//important security update ?>
Una votla fatto questo, per individuare dove sia il codice maligno, oltre a poter scaricare tutti i file e cercare con un editor HTML, possiamo scovarlo facilmente notando la data di modifica, sempre se noi non ne abbiamo fatte altre prima ovviamente.
Personalmente ho potuto notare i seguenti file corrotti e da correggere:
Questo file invece viene aggiunto, da eliminare!
Eliminato il codice avremo nuovamente la visualizzazione corretta del nostro blog, ma non è finito tutto qui.
Dovremo cambiare immediatamente Password del nostro accesso FTP e amministrazione Wordpress.
Dopo aver eseguito questi cambiamenti verifichiamo che nella sezione Autori & Utenti non ci siano personaggi strani, in tal caso eliminiamoli.
Infine è consigliato riscaricare la versione di WordPress 2.8.5. e installare nuovamente i file principali della piattaforma per evitare codice maligno non trovato.
Molto probabilmente la vulnerabilità non dipende dalla Piattaforma WordPress 2.8.5, ma dallo spazio Ftp di Aruba con il quale vengono sfruttate le credenziali del proprio Client Ftp per inserire codice maligno.
In ogni caso sono molto consigliati i seguenti programmi:
Giuliano Ambrosio è un Web Designer Freelance di Torino che ama la grafica e sperimentare tecniche di creatività sul web.
Grazie all'esperienza maturata nel campo del web design potrai scoprire i servizi disponibili, oppure guardare i suoi ultimi lavori.
Pagine: « 1 [2] Mostra tutto
Pagine: « 1 [2] Mostra tutto
tag abilitati: <code> </code> | <a href=""> </a> | <b> </b> | <i> </i>
Iscriviti ai Feed RSS dei commenti di questo articolo
Video Tutorial Adobe Photoshop
|
Inspirations For Designers |
|||
         |
2007 - 2009 I love WordPress | Design by JuliusDesign | PlayTuts | Server Emule | Shop | Blogroll | Licenza d'uso
igor
5 novembre 2009
Grazie davvero! spero tanto di non doverne avere mai bisogno…
Nexk
5 novembre 2009
LuViWeb.it
Per Nexk: spero tu ti renda conto che non ci stai facendo una bella figura, è anche difficile capire quello che scrivi. Se sei un esperto informatico dacci una mano a capire e risolvere anzi che regalare insulti
————-
Mi scappa da ridere…
ma tu scrivi per farci “belle figure”?
roba da matti….
tanto piu’ che come diavolo puo’ interessarmi l’opinione di gente che riesce a scrivere di avere
10 blog
DIECI BLOG SUI CENTO ATTACCATI….
e cento rimane un dato assolutamente non controllabile ne confermato
cioe’…
non so se ci arriviamo…
su ARUBA ci sono CENTINAIA E CENTINAIA E CENTINAIA….E POI ANCORA CENTINAIA
INSOMMA per quanto possa far tanto rosciare qualcuno…ARUBA RIMANE UNA DELLE REALTA’ PIU’ GRANDI AL MONDO
riscrivo
PIU’ GRANDI AL MONDO….
personalmente ne controllo 42 (e ovviamente non ho il minimo problema )
piu’ grandi al mondo
CIOE’ ESSERE “SOTTO ATTACCO” per CENTO domini E’ UNA ROBA DA RIDERE E ASSOLUTAMENTE NORMALE quando le dimensioni sono quelle
e qui mi arriva chi pretende che prenda sul serio il suo DIECI PER CENTO SECCO di sfiga!
ROBA DA GIOCARE AL LOTTO SUBITO!
e tu mi parli di preoccupazione “della figura che ci posso fare?”
“dare una mano?”
E A FAR CHE?
QUI DENTRO se ce n’e’ UNO che ha il blog sotto attacco
E’ GIA’ MOLTO!!!!!!!!!!!
Ma chi si pretende di prendere per i fondelli??????
IL FATTO E’ CHE
quando qualcuno e’ alla frutta le prova tutte
comprese certe campgne demenziali per polli!
E QUALCUNO CHE DOVREBBE INVECE ASSUMERE UN COMPORTAMENTO PROFESSIONALE
non solo in un non lontano passato e’ riuscito a SCRIVERE MOLTO ESPLICITAMENTE STRONZATE ASSURDE SU ARUBA
tipo
“Aruba PROIBISCE l’istallazione di Wordpress sui propri server piattaforma Windows”
“WORDPRESS non e’ installabile su piattaforma WIndows…”
a sostegno di un altro fenomeno chiamato Napulux o qualcosa del genere…
che addirittura e’ arrivato a scrivere sul suo blog
“fammi vedere come “riesci” ad installarlo su Windows”…
COSE DA MATTI COMPLETI…
SALVO POI RIENTRARE COME UN CONIGLIETTO
DOPO AVER CANCELLATO LE SPIEGAZIONI TRA UNA MAREA DI RISATE DI UN INTERO STUDIO…..
ma ora ci riprova e cavalca DA LONTANO….la tigretta…EVIDENTEMENTE PERCHE’ INTERESSATO AD UN CERTO MERCATO
mi pare piu’ che ovvio.
e lo so che tu fia fatica a capire adesso
MA VAI TRANQ CHE CHI DEVE CAPIRE CAPISCE e fino in fondo
e ovviamente e’ quello che mi interessa e soprattutto MI DIVERTE.
Della “figura” che poi posso fare con te o tuoi simili proprio….
fattene una ragione
davvero non puo’ fregarmene di meno.
Vedi carissimo…
prima o poi realizzerai che questo (non questo blog..intendo l’ambiente in genere…) e’ un ambientino , non meno di altri…frequentato soprattutto da vecchi marpioni (normalmente semiincapaci se messi seriamente alla prova e non prova “politica” ovviamente , su quello son dei maghi )
abituati a sfruttare i pollastrelli ruspnti di turno
E MI PIACE FARGLI SAPERE CHE NON E’ COME PENSANO LORO e che c’e’ gente che li nasa
E CONOSCE… senza troppi problemi e non si fa certo impressionare dalle carriere “politiche” realizzate nell’ambiente come in qualsiasi altro ambiente.
—————
Cento domini attaccati su una quantita’ industriale come quella presente su Aruba
non sono una notizia
sono la norma!
STOP.
Lasciamoli ai vecchi bagianoni sti argomenti e andiamo oltre che e’ meglio….
e almeno le ultime tre righe sono sicuro che le hai capite
mi basta.
LuViWeb.it
5 novembre 2009
@Nexk
Ok come non detto, mi pare di capire che i motivi che ci spingono a scrivere on line sono diametralmente opposti.
Ciao
Luigi
Ash
6 novembre 2009
Che cavolata questo articolo.
Problemi di injecton ci sono sempre stati.
Magari consigliate agli utenti di quei blog di lavorare su PC con un sistema operativo originale e non scaricato da emule… chissà, forse risolveranno il problema
St0n3d_Aga1n
8 novembre 2009
@wolly@wolly
si solo aruba italy, ho parlato direttamente com Matt Mullenweg.ciao
scusami la curiosità ma dove sta il nesso tra Matt Mullenweg e Aruba o altri provider?
o_O
wolly
8 novembre 2009
St0n3d_Aga1n ha scritto:
Gli ho chiesto se gli risultano hackeraggi di altri blog in giro per il mondo e la risposta è stata no.
Alberto Trussardi
8 novembre 2009
A me non è successo nulla, sarà che ho fatto l’aggiornamento appena è uscito.
Grazie della segnalazione!
Neck
8 novembre 2009
Wolly
Gli ho chiesto se gli risultano hackeraggi di altri blog in giro per il mondo e la risposta è stata no.
——
Ha del pazzesco come riesci a pensare che “la massa” sia cosi idiota.
due stronzate in una
la prima e’ questo “sveltolare credenziali” in modo RIDICOLO
“gli ho chiesto…” ma va a fare un gior di corsa…
la seconda sta nella risposta “del tipo” se ci ha anche pensato su un atitmo
E’ ALLUCINANTE prendere sul serio una risposta del genere.
O VUO IPROVARE A SCRIVERE QUI
DON WOLLY
QUANTI SONO I PROVIDER NEL MONDO CHE OSPITANO “WORDPRESS”????????
Ma per piacere….
MA PER PIACERE!!!!!!!!!!!!!!!!!
imaginepaolo
9 novembre 2009
Attacco ricevuto!
Su ipwebdesign.it
Non ho trovato il file
- wordpress/mailceck.php
Avete suggerimenti?
St0n3d_Aga1n
9 novembre 2009
@wolly
scusa, perché non provi a fare delle ricerche in rete e a fare un whois dei domini che sono stati attaccati?
scoprirai che non sono solo siti italiani, non sono solo siti su aruba, non sono solo wordpress.
Nonostrante Matt (che immagini sia sempre aggiornato su tutti i Wordpress del mondo su tutti i Provider del mondo) abbia detto non è così…
imaginepaolo
9 novembre 2009
Anche su
- imaginepaolo.com
- webdesignagency.it
Stesso attacco
Neck
11 novembre 2009
x St0n3d_Aga1n
a questo interessa soltanto coltivare i suoi polli
per lui il punto e’ screditare Aruba, che rimane come screditare la Fiat… niente id piu’ semplice,poi pero’ bisogna metter ein piedi una societa’ ce fa quei numeri e bene o male FA IL WEB…E HA FATTO L WEB IN ITALIA e di fringuelli non ce ne sono….
il fine?
ce lpha…ce l’ha…questi vivono di ste sronzate non certo di studio vai tranq….
il WOLLLLY e’ semplicemente un attimo perplesso adesso perche’ ha capito che Jullius non e’ piu’…tra i pollastrelli e lascia integralmente i commenti….
cosa che il “nostro” non e’ abituato a soportare anche presso suoi “adoranti” discepoli speranzosi nel “gancio” alto…
lui sa rispondere REGOLARMENTE con un
“mi scappa da ridere” …in attesa che si provveda a cancellare O ADDIRITTURA A RETTIFICARE i “disordinati”.
sono tutte li le sue argomentazioni vai tranq.
NON PUO’ SCENDERE A DETTAGLI ,garantito.
Il classico “mafia d’acqua bassa del web” come ce ne son tanti in giro e ce ne saranno tanti sempre che contano sui ragazzetti che sperano in un’amicizia che s sa mai dove possa portare….
Marcoz
11 novembre 2009
Abbandonate ARUBA!
lillobyte91
12 novembre 2009
Stesso attacco ricevuto!
lillobyte91
13 novembre 2009
Comunque, ho contattato aruba e loro hanno detto che non ci sono stati accessi non consentiti sul server. Proprio oggi è uscita una nuova versione che risolve il problema. Il bug era una vulnerabilità XSS per Press This. Aggiornate
Peppe
15 novembre 2009
A me è successo, avevo già ripristinato i file contollando quelli modificati, ma non avevo cambiato la password ftp e mi hanno ribucato.
Ho cambiato anche la password di admin di wordpress.
Oltre ai file da te segnalati mi è stato modificato anche il plugin di feedburner ed aggiunte diverse tabelle al db.
Adesso vediamo se va…
Marcoz
19 novembre 2009
e anche Tophost
*** AGGIORNATE, AGGIORNATE, AGGIORNATE
Non ci stancheremo mai di raccomandare il pronto aggiornamento di tutti
i CMS/BLOG che installate nel vostro spazio web. Ci sono giunte fresche
segnalazioni di siti fatti con WORDPRESS antecedente alla 2.8.6 violati
con sostituzione della pagina principale. Se usate WORDPRESS
aggiornatelo subito.
Ops…
voci….hanno solo ricevuto voci…
vero
E SE SI IMPARASSE A NON PRENDERE TROPPO SUL SERIO WORDPRESS
TE COSA DICI?
Neck
19 novembre 2009
lillobyte91
MA SEI FUORI?
IL WOLLY SE TI ACCHIAPPA….
NON E’ WORDPRESS CHE HA PROBLEMI!!!!!!!!!
HAI CAPITO SI O NO?
E’ ARUBA!
PUNTO!
wolly
19 novembre 2009
http://www.zone-h.org/archive/ip=217.64.202.205
St0n3d_Aga1n
19 novembre 2009
wolly, perdonami.. ma adesso questo link senza commenti cosa dovrebbe significare?
ti faccio subito notare che i siti bucati da quel Dr.Hiad non sono su Aruba.
http://whois.domaintools.com/217.64.202.205
(whois, questo sconosciuto.. )
Cmq.. parlando del problema vero e proprio.. e visto che ognuno ha scelto come giustificare a sé stesso l’attacco subito (chi dice che è aruba, chi wordpress,chi la nonna..etc…) vi faccio presente che il 13 novembre è stata scoperta una falla di osCommerce che permette di accedere all’admin con una facilità imbarazzante..
e di uploadare file sul server con la stessa facilità…
a questo punto chiedo? di quelli che son stati bucati quanti avevano quello schifo di oscommerce installato?
cercate “oscommerce authentication bypass” se voleve un po di info in più
ciao
wolly
19 novembre 2009
@St0n3d_Aga1n
Se hai fatto il Whois dovresti aver capito da solo,in ogni caso te lo spiego: Quella è la macchina di top host che ha subito il mass defacement il 18/11/2009, e puoi anche notare che non è l aprima volta che quella macchina viene bucata.
Ti fermo subito anche per la prossima domanda, ma li c’è scritto seeweb, si è la server farm dove tiene le macchine top host.
Ciao
St0n3d_Aga1n
19 novembre 2009
@wolly
con tutto il rispetto.. proprio perché è top host non capisco perché l’hai pubblicato..
è una settimana in cui tutti dicono è aruba.. o è wordpress.. o è qualche cosa..
e poi metti questo link di un mass deface su top host..
uno che conclusioni dovrebbe trarne? cioè..ok..su top host han fatto un mass deface.. come se fosse strano che ogni giorno avvengano queste cose in giro per la rete..
ma la mia domanda è…
e quindi??? cioè..ci hai messo questo link per dirci cosa?
che attinenza c’è con il discorso di questa infezione? li è un deface vero e proprio dove si firmano e lo scopo è dire “io ti ho defacciato”.
che c’entra con questo articolo e relativi commenti?
se oggi rapinano una banca a milano e domani una palermo mica significa che son gli stessi..
e in questo caso è palese che non son gli stessi visto la tipologia diversa di attacco..
da una parte mass deface con tanto di firma dall’altra infezione nascosta..
cmq..
grazie per la segnalazione
ciao
wolly
19 novembre 2009
@St0n3d_Aga1n
Se hai letto, pochi commenti prima del mio si parla di blog su top host, il problema tu dici non è lo stesso,la risoluzione invece è la medesima visto che si tratta di attacco diretto ad un unico server, farsi cambiare le pwd di ftp e mysql ripulire, controllare mysql e poi ripristinare con file nuovi.
ciao
St0n3d_Aga1n
19 novembre 2009
guarda.. io nn voglio stare a polemizzare.. però se il fatto che si diano informazioni sbagliate mi tocca e nn mi tiene a freno la lingua..
prima cosa.. non posso dirti per chi lavoro.. ma posso dirti che conosco molto da vicino le situazioni di cui stiamo parlando in questi commenti..
lavoro nel settore e conosco le webfarm e i vari hosting che vengono citati (e non come webmaster/cliente)
seconda cosa.. qualsiasi virus o attacco subisci, che sia su un sito o sul pc di casa, ha come soluzione sempre quei passi: cambia la password, pulire i file, togliere quelli infetti.
Sono le cose base da fare in caso di attacco.. ma, ripeto, non possono essere questi 3 buoni consigli a determinare se si parla della stessa cosa o meno.
Quando vai dal medico ti dirà sempre è meglio non fumare, mangiare leggero e non esagere con il vino.. sia che hai un’influenza che una gastrite.. ma le malattie sono diverse!!!
cmq..riguardo top host mi scuso..ammetto che mi ero perso il fatto che ora si segnalava anche su tophost.
tornando al filo principale del discorso.. se vogliamo elencare tutto allora si può dire che c’è anche tale “ottoman” che sta bucando diversi siti italiani e non in questi giorni..
Sul sito che hai citato prima lo trovi se cerchi lui come defacer..
dato che anche lui ha bucato qualche sito italiano su aruba o su altri significa che è lo stesso che ha infettato con il virus tutti i siti fino ad oggi??
io nn voglio stare ad “insultare” o “offendere” gli altri..
ma vorrei che ci fosse razionalità nel fare certe affermazioni… nel puntare il dito verso un hacker o un hosting..
hai letto provato a cercare quanto ho detto prima?
“oscommerce authentication bypass”?
ti risparmio la fatica
http://seclists.org/fulldisclosure/2009/Nov/169
Poi se cerchi troverai vari proof of concept etc…
Se vogliamo fare un discorso razionale e serio sugli attacchi allora mi viene da dire che tra tutte le teorie dette e formulate…l’idea che stiano bucando qualche oscommerce è la più fattibile.
1) sono tutti bucabili
2) tra le varie falle sfruttabili c’è la possibilità di uploadare file (e quindi shell, virus,etc) in pochi secondi (per info su questa falla trovate l’exploit su milworm)
3) oscommerce lo troverai installato su qualsiasi provider hosting..italiano e non..aruba..tophost..quello che vuoi..sicuro al 100% ospiteranno almeno un sito con oscommerce
cmq.. rimane il fatto che i tipi di attacco sono diversi
e non si può fare di tutta un’erba un fascio
e quindi vanno distinti i casi..
altrimenti perché questo “Dr.HiaD” ha reso noto che ha eseguito un mass deface su tophost e invece nn da mezza informazione su quello che ha fatto precedentemente con i virus?
cmq..scusa se posso sembrare offensivo.. ma da uno che un minimo le capisce leggendo tutto quello che si è detto penso che si è creata solo più confusione e si stanno mescolando informazioni di un attacco con quelle di un altro..
tutto qui
buona giornata
wolly
19 novembre 2009
@St0n3d_Aga1n
Non sei assolutamente offensivo.
Anche io non posso dirti con chi sto collaborando per chiudere le falle e posso dirti, come informazione per controllare dove stai lavorando tu, anche una vulnerabilità in una vecchia versione di phpmyadmin se installato sul/sui server bucati.
Quello che conta è evitare di creare inutile panico per gli utilizzatori di una o altra piattaforma.
Chi si trova il proprio sito bucato, che sia un cms o delle semplici paginette html, interessa poco il motivo per il quale è stato bucato ma, come fare a ripristinare il proprio sito e quindi le 3 semplici operaziani da fare sono quelle scritte prime.
ciao
wolly
19 novembre 2009
@St0n3d_Aga1n
scusa mancava il link
http://www.securityfocus.com/bid/31327/info
fai conto che esiste un plugin per wordpress che utilizza phpmyadmin, quindi verifica anche quello.
ciao