Italia, migliaia i siti compromessi

Da giorni migliaia di siti italiani vengono utilizzati da cracker per diffondere malware o dirottare gli utenti verso risorse online pericolose. Gli aggressori hanno sfruttato alcune note vulnerabilitÓ di IIS e Windows

Roma - Sono migliaia i siti web italiani che, dallo scorso sabato, tentano di diffondere malware all'insaputa dei loro gestori. Si tratta di siti dei quali anonimi cracker sono riusciti a compromettere la sicurezza sfruttando alcune vulnerabilità in Microsoft Internet Information Services (IIS) e cpanel. ╚ comunque verosimile, secondo gli esperti, che per sferrare tali attacchi siano stati uilizzati anche altri tipi di vulnerabilità.

In un comunicato la società di sicurezza Trend Micro ha spiegato che gli aggressori hanno inoculato nei siti web compromessi un tag IFRAME maligno capace di dirottare gli ignari utenti verso siti contenenti malware di vario genere.

"La maggior parte dei siti Web legali oggetto di violazione ricade nei settori del turismo, dell'industria automobilistica, dei film e della musica, dei servizi al cittadino, oltre ad alcuni siti di comuni italiani e di hotel", ha spiegato Trend Micro. "A quanto pare, molti dei siti in questione sono gestiti da uno dei più importanti Web provider italiani".
"Nelle ultime 48 ore oltre 2mila siti italiani sono stati attaccati e il numero delle vittime raddoppia ogni sei-otto ore", ha dichiarato ieri Ivan Macalintal, senior TreLabs Threat Researcher di Trend Micro. "Questo tipo di minaccia web è invisibile ai visitatori non protetti e quindi sono più pericolosi dei virus normali. I cracker stanno utilizzando numerosi tipi di malware per non essere scoperti e raggiungere l'obiettivo finale di installare un keylogger per sottrarre informazioni personali come numero di conto corrente o password".

Ma perché prendere di mira dei siti italiani, e soprattutto quelli legati a turismo e svago? Il motivo, secondo Trend Micro, è che l'estate è alle porte, e dunque i cracker sperano di raggiungere, con questi attacchi, il maggior numero possibile di utenti. Non a caso tra le risorse compromesse vi sono anche diversi siti porno.

Gli esperti affermano che per violare questi siti i criminali si sono avvalsi di MPack, un kit commerciale russo per la creazione di exploit e malware.

Secondo quanto riportato da pcalsicuro.com, nel corso del fine settimana i siti infetti avrebbero addirittura superato le 10mila unità, "sebbene fortunatamente l'efficacia dell'attacco stia diminuendo grazie al fatto che gli antivirus e antimalware stanno prendendo provvedimenti per il riconoscimento del trojan".

All'attacco ha dedicato una breve analisi anche Symantec, che raccomanda a "tutti gli utenti italiani di aggiornare i propri software antivirus o installare nelle proprie macchine tutte le più recenti patch, e non soltanto quelle dei prodotti di Microsoft." Mpack, infatti, è in grado di sfruttare le falle di alcuni dei programmi per PC più diffusi, come QuickTime e WinZip.
40 Commenti alla Notizia Italia, migliaia i siti compromessi
Ordina
  • Ne succedono, e ne sono successe tante con Aruba di Technorail srl Arezzo, una "ridens" cittadina...... Uno "Staff" che più di così....
    non+autenticato
  • Ragazzi, ma che stiamo alle elementari?
    Io non so niente dei server di Aruba, ma stupirsi che un server Linux sia stato vittima di un exploit è veramente la fine del mondo.
    Che il codice aperto sia più sicuro del codice proprietario non ci piove, ma non ci piove neanche sul fatto che nessun tipo di SO è invulnerabile agli exploit!!!
    Fra l'altro dipende pure come sono mantenuti. Uno o due anni fa lessi da qualche parte in rete il post di un vero idiota che si lamentava perchè il server da lui mantenuto era stato attaccato con successo una seconda volta. E lui candidamente scriveva che dopo il primo attacco, aveva sì formattato tutto, ma poi aveva usato le stesse password!!!
  • Dato che non si finisce mai di imparare, Kein2, com'è che tu avresti verificato se un sito gira effettivamente su server Linux? Non so su Aruba, perchè finora mi pare che l'unico dominio fra quelli da me controllati che ha subìto il cambio index è presumibilmente su windows visto che non si riesce a cambiar i permessi dei files, ma ti assicuro che i 40 domini ospitati presso Seeweb che seguo sono su server Linux e tutti e 40 hanno ripetutamente subìto cambi di index per circa 20 giorni ad aprile, nonostante segnalazioni del problema al provider, pulizia delle pagine e cambi di password FTP effettuati da PC puliti.
    non+autenticato
  • beh io ho un sito su aruba... me lo sono aperto, ho visto un entativo di aprire un activeX... mi sono detto.. "toh e l'ho aperto... e mi sono pure preso il trojan...
    non+autenticato
  • Kein2, bravo, complimenti, non sai neanche di cosa parli.

    MPack non e' un malware, e' un framework che piazzato su server carica diversi exploit che tentano di sfruttare vulnerabilita' dei browser di chi visita il sito per fare eseguire malware.
    non+autenticato
  • Si vabbè se vogliano dirla tutta allora vi dico come hanno infettato il forum del mio sito. Server win2003 su aruba..il sito non è stato toccato ma il forum si.

    Secondo quanto riportato viene inserito un IFRAME all'intenro del codice html, nel mio caso il sito non sembra essere stato colpito, il problema è stato riscontrato solo nel forum.

    Non sembrano essere stati modificati i file relativi al forum ma il codice è stato iniettato direttamente nel Wrappers relativo al Template attualmente in uso. Per capirci il Wrappers è una sorta di struttura composta in questa maniera...

    </head>
    <body>
    <% BOARD HEADER %>
    <% NAVIGATION %>
    <% BOARD %>
    <% STATS %>
    <% COPYRIGHT %>
    </body>
    !!! Qui era il codice incrimanato !!!
    </html>

    Questo tipo di informazioni non viene salvato all'interno di un file ma direttamente in un campo nella tabella templates del database del forum. Adesso mysql su aruba dovrebbe girare su server Linux separati dal server dell'ftp e non dovrebbe essere accessibile fuori dalla rete aruba. Adesso ad alcuni hanno modificato direttamente le pagine nella root a me hanno fatto lo stesso giochino però in questa maniera manipolando i template del forum. E' possibile pure che sia un bug del forum però mi sembra strano che se siano stati capaci di entrare nel server si siano messi a perdere tempo su un template. Se orami l'attacco era stato lanciato con quel tools automatizzato visto che l'avevano fatto con altri siti avevano tutti i mezzi per fare di peggio che limitarsi al forum
    non+autenticato
  • a ben inteso non arrivate a conclusioni strane tipo allora hanno forato anche linux ecc io ho detto solo quello che è capitato a me...poi può anche essere che nel tools lanciato sul server ci sia anche qualcosa per fare il giochetto che hanno fatto con me...
    non+autenticato
  • - Scritto da: TNT
    > Kein2, bravo, complimenti, non sai neanche di
    > cosa
    > parli.
    >
    > MPack non e' un malware, e' un framework che
    > piazzato su server carica diversi exploit che
    > tentano di sfruttare vulnerabilita' dei browser
    > di chi visita il sito per fare eseguire
    > malware.


    Che intendi per piazzato?
    Piazzato come una scommessa ?
    Per piazzarlo come dici tu devono compromettere il sistema...
    ritorna alla scuola dei troll..
    non+autenticato
  • Guarda che ha raggione per piazzato vuol dire piazzato....forse è meglio che vi leggere questo pdf per capire di cosa state parlando

    http://blogs.pandasoftware.com/blogs/images/PandaL...

    Che in pratica dice che è un package in php che va piazzato sulla macchina per eseguire una serie di cosine molto simpatiche...o almeno così ho capito..
    non+autenticato
  • Potrei avere l' url di un sito che gira su Aruba.Linux ,
    così per verificare con NMAP se veramente gira su Linux...
    Poiche' sta storia che il Malware Mpack infetta sia Linux che Windows....
    E' una MEGABALLA...
    non+autenticato
  • Sat11.it e' stato compromesso ed e' vero poiche' :

    linux:/home/kein# nmap -A -T4 www.sat11.it

    Starting Nmap 4.20 ( http://insecure.org ) at 2007-06-19 16:33 UTC
    Warning: OS detection for 62.*.*.* will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
    Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
    Insufficient responses for TCP sequencing (0), OS detection may be less accurate
    Insufficient responses for TCP sequencing (0), OS detection may be less accurate
    Interesting ports on webs218.aruba.it (62.*.*.*):
    Not shown: 1695 filtered ports
    PORT   STATE SERVICE VERSION
    21/tcp open ftp     BulletProof FTPd
    80/tcp open http    Microsoft IIS webserver 6.0
    No OS matches for host
    Service Info: OS: Windows

    OS and Service detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
    Nmap finished: 1 IP address (1 host up) scanned in 76.006 seconds

    Prove alla mano parlate e poi discutiamo...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 15 discussioni)