SUPPOSIZIONI
Una soluzione vera e propria al momento non c’è.
La mia ipotesi è che gli hacker, che han dimostrato di avere una buona dose di pazienza (9 mesi tra i test e gli attacchi), nei mesi/anni precedenti al Febbraio 2009 hanno raccolto account in giro per la rete sfruttando le vulnerabilità dei vari Cms che permettevano di reperire tali informazioni. WordPress di default non richiede i dati Ftp e, quindi, escludo nuovamente la possibilità che una sua vulnerabilità abbia permesso tali azioni. Nell’agosto del 2008, però venne resa nota una vulnerabilità molto grave dei Joomla 1.5.0-1.5.8 che permetteva a chiunque di accedere come Administrator di Joomla. Chi lo usa sa bene che questo Cms richiede, facoltativamente, di impostare i dati di accesso Ftp nel file “configuration.php”. Dal mio punto di vista è presumibile pensare che chi ha trovato/avuto la 0-Day di questo hack con qualche giorno di anticipo ha potuto farsi scorta di centinaia di account di Joomla, Ftp etc.
In alternativa a questa teoria è possibile pensare che siano state scoperte falle 0-Day per WordPress e Joomla e chi le ha sta tenendo i fili di migliaia di siti. Non essendoci informazioni al riguardo né sui canali “tradizionali” né in quelli alternativi non so cosa pensare. Molti WordPress, il mio compreso, sono ancora sani e salvi e a parte tenerlo aggiornato non uso particolari sistemi/precauzioni contro questo genere di azioni e quindi, salvo nuove informazioni che ribaltano la situazione, la causa la limito alle vulnerabilità del sito o alla “negligenza” dei possessori dei siti.
Un’altra ipotesi è che il problema sia Client ossia che il Client Ftp utilizzato abbia vulnerabilità che consentano Remote Command Execution e che, quindi, vengano sfruttati gli account salvat per far eseguire l’iniziezione direttamente al proprio Client Ftp.
Per confermare o confutare questa supposizione vi prego di rispondermi via mail o tramite commento a queste domande (vi spiego il perché delle domande):
1) Prima di questo attacco avevate subito azioni simili ad inizio 2009?
Se si, possiam confermare ulteriormente e definitivamente, dato che portano la stessa firma, che i due attacchi sono operati dalla stesso gruppo
2) Se si, che Cms avevate allora? e adesso?
Se è lo stesso Cms e le password sono le stesse bisognerebbe andare a vedere le vulnerabilità del vostro applicativo un anno fa. Si potrebbe determinare se effettivamente c’è stata una fase di sola raccolta dati nei mesi/anni precedenti le prime azioni (feb 09)
3) La password Ftp è aggiornata di frequente? E sempre la stessa sia per l’Admin del vostro sito sia per l’Ftp?
Molti utilizzano la stessa password per ogni servizio legato al proprio dominio (Ftp,Mail,Admin del sito,etc). Se così fosse le vulnerabilità del sito si amplificano enormemente. Basti pensare alla falla di WordPress di qualche versione fa che consentiva il reset della password di Admin (e anche la lettura e utilizzo, in alcuni casi). Se la password era la stessa della posta sarebbe bastato andare a leggere la posta e il gioco è fatto. Avendo l’email potevano reinviarsi i dati di accesso del sito e acquisire ulteriori informazioni.
4) I siti statici hackerati sono “collegati” (stesso account,stessi dati di login) con siti con potenziali vulnerabilità?
Con la risposta a questa domanda si potrebbero scartare ipotesi riguardo le vulnerabilità dei Cms.
5) Può essere l’Hosting?
Dal mio punto di vista è il meno probabile. Cercando l’errore su Google (come molti di voi avranno fatto prima di arrivare qui) si trovano diversi forum italiani e stranieri dove si parla di questa infezione. Alcuni utenti postano i link ai loro domini e facendo il Whois si riscontra che sta accadendo un po’ ovunque con numeri diversi dovuti al fatto che alcuni Provider ospitano molti più siti rispetto ad altri.
6) Che Client Ftp utilizzate? scaricato da fonti “sicure” o no?
Nei canali peer-to-peer si trovano software di ogni genere ma spesso (e volentieri per qualcuno) sono stati modificati con l’iniezione di backdoor in modo che il cracker possa sfruttare i software installati in giro per il mondo a suo piacimento. Sebbene sembri più una sceneggiatura da film azion di questo genere sono assai diffuse e, cosa che molti non sanno, alcuni tipi di hack software non vengono riconosciuti come malevoli dagli AntiVirus e non è così “assurdo” se ci troviamo installati dei keylogger nella System32 di Windows mentre il nostro AntiVirus ci rassicura che è tutto sotto controllo.
