Davide.it respinge un attacco

Il celeberrimo sistema di navigazione per minori è stato preso di mira nei giorni di Pasqua da ignoti cracker che hanno tentato di prenderne il controllo. Sulla cosa ora indaga la Polizia Postale

Roma - La genesi dell'attacco e soprattutto le sue motivazioni rimangono ancora
misteriose: quel che è certo, è che l'aggressione telematica condotta nei giorni di Pasqua contro il celebre Davide.it ha tenuto al lavoro i tecnici e lo staff del portale in quello che hanno definito un "braccio di ferro" informatico.

Il lavoro di Davide.it, quello cioè di offrire una connessione Internet filtrata contro contenuti inadatti ai minori, non attira la simpatia di tutti, soprattutto di quei gestori di servizi web che vivono ai confini della legalità con servizi poco trasparenti o pensati per ingannare proprio i più piccoli. "Non sappiamo chi ci abbia attaccato - spiega a Punto Informatico don Ilario Rolle di Davide.it - in apparenza qualcuno dalla Romania ma la traccia arriva dall'Olanda. In definitiva non si può escludere che l'attacco sia partito dall'Italia".

Della cosa Davide.it ha informato subito i propri abbonati spiegando, tra le altre cose, che "l'attacco è partito subito dopo il diniego da parte nostra di sbloccare alcuni siti davvero perniciosi per i minori". Sebbene non vi siano prove di una relazione tra le pressioni di alcuni gestori su Davide.it affinché certi siti uscissero dalla sua lista di blocco, queste pressioni sono arrivate pochi giorni prima dell'attacco. Si consideri poi che ai servizi di Davide.it oggi sono abbonati più di 50mila utenti, un parco di potenziali "consumatori" che potrebbe interessare non poco soprattutto quelle attività che mescolano offerte indirizzate ai bambini con operazioni commerciali poco trasparenti. "Ci sono molti siti al limite - spiega don Ilario a PI - siti che magari si nascondono ufficialmente dietro cose come il fantacalcio ma che in realtà fanno parte di network di scommesse, e certo dei giochi d'azzardo i minori possono fare a meno".
Tutto si è svolto alla vigilia di Pasqua, quando lo staff di Davide.it si è reso conto che qualcuno stava tentando di accedere ai sistemi interni e di installare malware di vario genere, trojan e dintorni, che avrebbero consentito in un secondo momento ai cracker di prendere possesso di alcune macchine da remoto.

"Quando ci siamo accorti dell'intrusione - racconta don Ilario a PI - abbiamo capito che agivano con abilità, per esempio cancellano la shell di root e cercando di cacciarci fuori. C'è stato un braccio di ferro che abbiamo vinto per assicurarci i file di log". File fondamentali perché potrebbero contribuire non poco a ricostruire l'origine dell'attacco e, con essa, le sue motivazioni.

In realtà l'incursione dei cracker non ha preso Davide.it completamente di sorpresa. "Nei giorni precedenti - ha ricordato don Ilario - avevamo avute alcune avvisaglie di attacco, tentativi di intrusione".

Sbarrato finalmente l'ingresso ai cracker, i tecnici di Davide.it hanno dovuto passare le ore della Pasqua nell'esaminare, azzerare e/o far ripartire le macchine accertandosi che non vi fosse rimasto alcun malware lasciato dagli incursori. Da lunedì tutti i servizi sono nuovamente operativi. Il file di log e le altre notizie attorno al caso sono stati allegati alla denuncia che l'Associazione Davide ha presentato alla Polizia Postale di Torino.
16 Commenti alla Notizia Davide.it respinge un attacco
Ordina
  • Dopo l'esperienza vissuta e visto che gli amministratori di davide.it posseggono un account di root, quindi ho hanno il compito di amministrare un virtual server oppure un server pensare di installare i servizi sotto chroot.

    non+autenticato
  • Analizzando quanto letto pocanzi potrei sicuramente alludere ad un attacco di cracker ( e non intendo le sfiziose e sottili salate sfoglie).

    Mi complimento con chi ha lotta, combattuto e vinto contro i pirati dell'etere.

    Non vi è alcun dubbio che per sconfiggere attentatori di Romania, Olanda o Italia (non ho capito bene leggendo...) ci siano stati sforzi notevoli.

    Seppure rimaneggiati nell'organico si è vinta una importante sfida e analizzando quanto letto pocanzi potrei sicuramente alludere ad un attacco di cracker ( e non intendo le sfiziose e sottili salate sfoglie).

    Mi complimento con chi ha lotta, combattuto e vinto contro i pirati dell'etere.

    Non vi è alcun dubbio che per sconfiggere attentatori di Romania, Olanda o Italia (non ho capito bene leggendo...) ci siano stati sforzi notevoli.

    Seppure rimaneggiati nell'organico si è vinta una importante sfida, un BRACCIO DI FERRO.

    e GUAI dico GUAI...ripeto GUAI!!!!

    BRAVI CONTINUATE!
    non+autenticato
  • Quando un sistema è "posseduto dal demonio", non sempre è facile capire come intervenire.

    La realtà dei fatti è che sono pochi gli attimi a disposizione per non restare tagliato fuori dal sistema e , chiudendo la porta agli intrusi, analizzare le sconcerie da loro fatte.
    Quando poi i sistemi sono in server farm e tu li manutieni solo da remoto, e' ancora piu complicato, a meno di non scegliere deliberatamente di correre in server farm davanti alla console del server e gestire la cosa da li.
    Cosa realmente è accaduto dal punto di vista tecnico?

    Da un ip che al whois risponde ad un network rumeno arrivano connessioni ssh con un preciso utente , che dopo aver avuto accesso shell forza il sistema con degli script che sfruttano il suidperl.

    Successivamente viene lanciato uno script che pulisce i files di log, ma non la history dell'utente usato. (clear-1.3)

    Da li in avanti vengono creati vari utenti con uid 0 (lib, http..etc) e tramite wget viene scaricato ed installato del codice che mette in ascolto un server irc sulla porta 55555 (psybnc) , disabilitando poi accesso ssh a vari utenti, root compreso. (tutto tracciato in history)

    Appena appurato ciò è stato immediato il riavvio del demone che gestisce i log di sistema, per ripristinare l'accounting degli eventi, ed è iniziata la "lotta" a botte di userdel di utenti non autorizzati e kill -9 di processi sospetti..

    Subito dopo il riavvio dei processi di logging è stato cancellato il mio utente, ma avendo avuto accesso al sistema con altro user (quello del prode e fidato apprendista..) , siamo riusciti a sbatter fuori gli intrusi, e , dopo aver verificato il corretto logging delle operazioni fatte da Loro e da noi, abbiamo deciso di mettere in shutdown la porta dello switch e render raggiungibile il server solo da rete privata, per poter analizzare meglio i loro misfatti.

    La Direzione di Davide ha valutato di ricostruire interamente il contenuto degli archivi del sistema reinstallando interamente il server.

    Ad oggi non è ancora completata la fase di migrazione degli archivi, iniziata Sabato mattina, come dalle dichiarazioni rilasciate da Don Ilario Rolle, ma possiamo comunque dire di esser stati in grado di ripristinare la quasi totalità dei servizi ai nostri utenti poco più di 24 ore dopo il tentativo di intrusione, vale a dire tra Sabato notte e Domenica mattina, in coincidenza della resurrezione del Cristo..
  • Ottimo e utile chiarimento, non ho capito pero' come hanno fatto ad entrare. Un baco software?
    4724
  • Sembrerebbe che sia stato sfruttato un exploit del suidperl per avere la shell di root.

    Da dove siano entrati...o da apache o da ssh o da ftp, tramite un baco software.(uniche porte aperte sul firewall)
  • Grazie!
    4724
  • che i file di log fossero conservati su una macchina diversa da quella su cui risiedono i servizi.
    non+autenticato
  • Certo che si. Io in questi giorni sto utilizzando Kiwi Syslog per windows, si comporta molto bene.

    http://www.kiwisyslog.com/

    In pratica sparo i log del router su una macchina con su questo syslog, il router non ha grosse capacità di "memorizzare" eventi e scarta i piu' vecchi.
    Nel caso di un attacco il firewall integrato crea decine di Log che cancellano quelli di qualche secondo prima, con questo syslog invece viene registrato tutto...ovviamente finchè il router non schianta, ma almeno qualche traccia rimane, cosi' anche come i riavvii improvvisi, i reload programmati e altre attività di manutenzione.
    4724
  • Interessante segnalazione, in ambiente unix si puo fare la stessa cosa con syslogd programma compreso nella maggior parte delle distribuzioni.


    - Scritto da: Ics-pi
    > Certo che si. Io in questi giorni sto utilizzando
    > Kiwi Syslog per windows, si comporta molto bene.
    >
    > http://www.kiwisyslog.com/
    >
    > In pratica sparo i log del router su una macchina
    > con su questo syslog, il router non ha grosse
    > capacità di "memorizzare" eventi e scarta i piu'
    > vecchi.
    > Nel caso di un attacco il firewall integrato crea
    > decine di Log che cancellano quelli di qualche
    > secondo prima, con questo syslog invece viene
    > registrato tutto...ovviamente finchè il router
    > non schianta, ma almeno qualche traccia rimane,
    > cosi' anche come i riavvii improvvisi, i reload
    > programmati e altre attività di manutenzione.
    non+autenticato
  • uhm...

    forse tu volevi dire cancellano la history della shell di root
  • Cancellando la conchiglia della radice il problema e' che non puoi piu' leggere i file diario e quindi non sapere cosa ha combinato sul tuo servizio l'intrusore.
    non+autenticato
  • ma in ogni modo, non sarebbe stato piu' veloce e sicuro staccare ogni cavo di rete dalla macchina, anziche' "lottare" ?

    a quel punto a cavo staccato, con tutta calma si sarebbero disattivati i servizi dal quale l'agressore e' entrato, li si sarebbe aggiornate o configurati meglio....e via andare.

    Se la cosa e' cosi' come l'ho letta, molto probabilmente la colpa e' anche degli amministratori che non hanno tenuto le macchine aggiornate con i relativi aggiornamenti di sicurezza e/o cattive configurazioni (tipo: password banali)
  • Se la macchina e' in una webfarm e non c'è un servizio 24/24h magari era possibile accedere solo da remoto e non fisicamente. A quel punto bisogna spegnere la macchina via sw ma dato che questo era compromesso immagino che sia nato li il discorso della "lotta". Puo' essere?
    4724
  • Eh direi proprio che sia andata così.

  • - Scritto da: Anonimo
    > Cancellando la conchiglia della radice il
    > problema e' che non puoi piu' leggere i file
    > diario e quindi non sapere cosa ha combinato sul
    > tuo servizio l'intrusore.

    beh, veramente se cancelli l'history non vedi solamente i comandi lanciati fino all'ultima sessione di root.
    E se la server farm e' seria, la configurazione del syslog non sara' quella di default ma saranno state aggiunte facilities per monitorare piu' eventi su files diversi.
    Quindi quello che conta e' avere i vari log di sistema piu' che l'history della shell.

    Dico questo perche' qualunque cracker / lamer che viola un sistema unix, la prima cosa che fa (se proprio non e' un lamer) e' quella di sbiancare i log di sistema (wtmp compreso), interrompere il syslog e poi un bel
    ln -s /root/.bash_history /dev/null

    Bella comunque l'idea della lotta per cacciare l'intrusoSorride

    Anonymous
  • Ho lavorato per davide.it ....
    All'interno ci sono ottimi admin.
    La loro struttura è piu' complessa di come la immaginate voi e non si puo' staccare una cavo per svariati motivi:
    -- lascieresti 50000 persone senza connessione perchè se stacchi il cavo del server squid (che penso sia quello che era attaccato) nessuno naviga piu'
    -- non puoi neppure permetterti di staccare il cavo perche il server è ridondato quindi.. quanti cavoli di cavi stacchi? e in quante web farm diverse?


    Quando si subisce un attacco è importante respingerlo per svariati motivi:
    -- se stacchi il cavo e basta non sai dove hanno messo le mani e non li pinzi mai piu'.
    -- se lotti con loro magari non ci riprovano.
    -- se lotti bene li pinzi e capisci perchè ti hanno attaccato e in che modo

    e ci sarebbero altre mille cose da scrivere.

    Vi dico solo che le persone che lavorano in davide.it sono delle gran persone umanamente e informaticamente parlando.

    un saluto a tutti
    Ale
    non+autenticato