icon
Avatar
desperados
Post: 274
poco meno di un'oretta fa un cliente mi ha chiamato per segnalarmi che il sito non funziona
ho verificato subito e, purtroppo, ho scoperto che il sito è stato hackerato
la presenza di malware nel sito ha fatto sì che google l'abbia bloccato
qua sorgerebbe la prima domanda: come fa' google a bloccare il mio sito? forse ha bloccato i dns? non dovrebbero essere entrambi "problema" (dns e spazio ftp) di aruba?

cmq, a parte questo primo quesito squisitamente OT, le mie domande sono:
1) come hanno fatto ad hackerare il sito? non credo sia colpa di TL. tanto più che l'index di TL (che è in una sottocartella) è stata modificata alle 9:32, mentre l'index principale nella root è delle 9:24
2) è possibile che siano i server di aruba ad essere stati bucati, o che la password ftp sia finita in mano a qualcuno in qualche modo?
qualcuno ha avuto altre disavventure simili?
18/03/2010 16:50
Avatar
desperados
Post: 274
rispondo alla domanda "0": se siete un utente google e siete loggati (in gmail, in calendar, in analytics, ecc.) google vi riconosce e blocca per voi il sito. almeno è quanto ho potuto intuire (e sperimentare)
18/03/2010 17:06
Avatar
visionecreativa
Post: 226
Ciao Desperados,

potresti dirmi che versione di TL montava il sito. Cosa avevano installato come malware per essere stato bloccato su google?

Ciao e buon lavoro contro questi vermi...
Maurizio A.
www.visionecreativa.com
www.contaotutorial.com
18/03/2010 17:07
Avatar
PaoloB
Moderatore
Post: 1550
Ciao...
mi dai maggiori informazioni?!
Accedendo al sito vi era la presenza di un malware?

Immagino che sia stato segnalato e all'accesso il browser indicava la non sicurezza.

TL mi risulta alquanto sicuro. Dai quando lo seguo dal 2007, si è riscontato solo un problema di sicurezza, subito segnalato. Ma non si può mai escludere.

iconCita:
tanto più che l'index di TL (che è in una sottocartella) è stata modificata alle 9:32, mentre l'index principale nella root è delle 9:24


Questo sembra indicare che sono entrati da un'altra parte e poi hanno propagato....
Su aruba vi sono tanti siti... non è da escludere che siano entrati attraverso qualche dominio sullo stesso spazio e che poi abbiano fatto piazza pulita...

Hai provato a sentire il servizio assistenza e vedere cosa ti dicono?!
Paolo B.
paolob@contaocms.it
18/03/2010 17:15
Avatar
desperados
Post: 274
la versione è vecchiotta, 2.7.3
ho aperto un ticket da aruba, vediamo che mi dicono
per quanto riguarda il malware, era un js binario "aggiunto" alla fine del codice dei file index.php
18/03/2010 17:20
Avatar
ga.n
Post: 109
considera l'eventualità che tu (o il cliente o chiunque abbia le password ftp) abbia un virus nel proprio computer.

infatti "girano" alcuni virus che rubano i dati ftp e sostituiscono le pagine con nome "index.php" "index.html" etc.etc.

magari puoi tamponare cambiando il file htaccess per redirigere le richieste ad un file diverso da index.php

se non lo hai già fatto ti consiglio di leggere questo annuncio e di applicare la patch alla tua installazione di TYPOlight:

http://www.typolightcms.it/home/news-reader/items/problema-di-sicurezza-in-typolight.html



[edit: aggiunta nota sul buco di sicurezza]
[L'ultima modifica di ga.n, 25/03/2010 10:02]
25/03/2010 09:57
Avatar
desperados
Post: 274
mmm potrebbe essere, visto che il primo file sostituito è quello della root e non quello di TL
la patch cmq l'avevo applicata. mi chiedo però come faccia il virus a rubare i dati ftp, forse cerca una installazione di filezilla o resta in attesa di connessioni sulla porta 21 (visto che basta uno sniffer dato che user e pass non sono criptate?). non credo tuttavia che il cliente si sia collegato in ftp, usa solo il back-end di TL. cmq indagherò

ah, per conoscenza, aruba mi ha risposto:

"la informo che, come da Contratto, non ci è possibile fornirle i log richiesti. Le comunico che tali Log possono essere richiesti solo ed esclusivamente dalle Autorià Giudiziarie quando, ovviamente, l'eventuale azione malevola non è scaturita dalla presenza di vulnerabilità dell'applicativo usato."
[L'ultima modifica di desperados, 25/03/2010 10:15]
25/03/2010 10:14
Avatar
ga.n
Post: 109
icondesperados:
mmm potrebbe essere, visto che il primo file sostituito è quello della root e non quello di TL
la patch cmq l'avevo applicata. mi chiedo però come faccia il virus a rubare i dati ftp, forse cerca una installazione di filezilla o resta in attesa di connessioni sulla porta 21 (visto che basta uno sniffer dato che user e pass non sono criptate?).


credo che implementi uno sniffer o qualcosa di simile :)


icondesperados:
ah, per conoscenza, aruba mi ha risposto:

"la informo che, come da Contratto, non ci è possibile fornirle i log richiesti. Le comunico che tali Log possono essere richiesti solo ed esclusivamente dalle Autorià Giudiziarie quando, ovviamente, l'eventuale azione malevola non è scaturita dalla presenza di vulnerabilità dell'applicativo usato."


su quell' "ovviamente" secondo me ci sarebbe da discutere parecchio :) la presenza di vulnerabilità credo sia irrilevante.

giusto per completezza l'autore del defacement rischia fino a tre anni di reclusione (forse cinque ma non sono un avvocato :D).

il riferimento di legge è l'art. 615 ter (codice penale)
25/03/2010 10:31
Avatar
PaoloB
Moderatore
Post: 1550
icondesperados:
ah, per conoscenza, aruba mi ha risposto:

"la informo che, come da Contratto, non ci è possibile fornirle i log richiesti. Le comunico che tali Log possono essere richiesti solo ed esclusivamente dalle Autorià Giudiziarie quando, ovviamente, l'eventuale azione malevola non è scaturita dalla presenza di vulnerabilità dell'applicativo usato."


Purtroppo non apprezzo particolarmente i servizi di questa azienda.
Non so se è stata posta in modo non chiaro la domanda, ma il punto non è avere i log, ma verificare insieme i motivi di questo problema di sicurezza, anche tramite i log.
Sono perplesso da questo tipo di risposte da un supporto tecnico... :confused:
Paolo B.
paolob@contaocms.it
25/03/2010 10:49
icon