Riportiamo il dossier uscito su Pcalsicuro.com in merito ai numerosi provider italiani che ultimamente hanno subito attacchi.
Marco Giuliani, blogger italiano e malware analyst dell’azienda di sicurezza PrevX, ha realizzato sul proprio sito web un dossier che mette alla luce il problema della “compromissione” di molti provider italiani. Si tratta di un attacco verso i siti web che vengono compromessi iniettando un javascript offuscato o un iframe che possa re-indirizzare i browser verso risorse nocive.
Marco scrive: “Come si è parlato già addietro, il 2007 è diventato di diritto l’anno delle compromissioni dei siti web da parte dei malware writer. Si è parlato di Hosting Solutions, si è parlato di Aruba, si è parlato di alcuni siti di rilevanza nazionale infettati da iframe nocivi. Continuando nelle indagini, anche il noto fornitore di connettività e hosting/housing Seeweb sembrerebbe essere stato preso di mira durante questa ondata di pirateria informatica. Un discreto numero di siti web ospitati su alcuni server della nota società italiana sono stati alterati, molti dei quali sembrerebbero inoltre essere stati modificati durante queste ultime settimane. Poco meno di 100 siti web, di cui circa 70 ultimi arrivati, contengono nel codice della propria homepage un iframe che reindirizza il browser dell’utente ignaro verso un terzo server contenente codice maligno“.
L’attacco ha colpito un importante hoster italiano, SeeWeb. Marco spiega: “L’infezione che ne deriva, in caso si utilizzi software non aggiornato, è il solito Rootkit.DialCall con sample aggiornati per evitare di essere individuati dai software antivirus. Il nuovo indirizzo IP utilizzato dai malware writer è 81.29.241.238, sempre appartenente allo stesso range degli indirizzi IP precedentemente utilizzati per la stessa infezione e facente capo al range generale 81.29.240.0/20 gestito da LLC GlobalWholesaleTrade … Sembrerebbe che gran parte dei server che ospitano i siti web compromessi siano basati su GNU/Linux Debian e web server Apache, sebbene alcuni siano ospitati anche su Microsoft IIS“.
I titolari di SeeWeb, intervistati da Punto Informatico, hanno dichiarato: “Ciò che colpisce è che non siamo di fronte a qualcuno che ha sfruttato qualche exploit dei sistemi dei server attaccati, che girano più o meno metà su Linux e metà su Windows, ma a qualcuno che ha avuto accesso via ftp con la password, avendo cioè la password in mano”.
“L’accesso ftp - spiega Seeweb a Punto Informatico - viene fatto naturalmente da server compromessi, tipicamente in Russia o in altri luoghi in cui indagare è difficile. Il nostro livello di attenzione sulla questione è naturalmente estremo, per impedire la diffusione degli attacchi”. Seeweb per risolvere il problema ha modificato l’infrastruttura di gestione e modifica delle password.
“L’ipotesi - continua Baldassarra - è che ci possa essere uno sniffing delle password al di fuori della nostra rete”.
Marco Giuliani nel suo blog ha inserito un aggiornamento relativo alla situazione di SeeWeb che è stata prontamente normalizzata: “A pochissime ore dalla pubblicazione della notizia sembrerebbe Seeweb abbia rimosso tutti gli iframe dalle pagine infette. Tuttavia, sembra che qualche script automatico sia installato in alcuni server poiché - se è vero che Seeweb ha filtrato e pulito i siti precedentemente compromessi - sono apparsi pochissime ore fa altri siti infetti sugli stessi server, differenti dai primi“.
fonte: Webmasterpoint.org
Tag per questo post:codice maligno, malware, provider italiani
(1 voti, media: 3 su 5)
Loading ...