Mi segnalano un URL del tipo

/index/natwestbussinessbanking/Login.html

a quel punto accedo via FTP al mio hosting e a sopresa mi accorgo che quella cartella esiste ed è la da tre giorni. All'interno ci sono un paio di script PHP che in maniera abbastanza artigianale inviano i dati di un form generato da una pagina simile a quella della banca originale a un indirizzo email (@gmail). Subito mi sono detto: "e adesso che faccio?" e subito dopo "ma come hanno fatto?" e subito dopo ancora "e se qualcuno ci è già  entrato e ha fornito le proprie credenziali, ne sono responsabile anche io?".

Confuso tra rabbia e indecisione, decido di affrontare il problema per passi e capire se effettivamente posso attribuirmi dei sensi di colpa:

  • Notifico il problema al mio provider, sperando di ricevere qualche informazione in più, qualche log o qualche suggerimento;
  • Rinomino le cartelle incriminate (aspetto una risposta dal provider prima di eliminarle, per non cancellare del tutto le tracce utili a ripercorrere il problema);
  • Rispondo all'utente (forse un ente responsabile della sicurezza della stessa banca) dicendo che ho provveduto a ripulire i file incriminati e che ne sto verificando le cause;
  • Prendo visione di tutti i log e delle statistiche per capire come abbiano potuto caricare pagine e script nel mio sito.

Mi concentro su quest'ultimo punto, perché se non individuo la falla, il problema si potrebbe ripresentare in futuro. Stupito dal fatto che possano essere entrati per un bug di Joomla, visto che è l'ultima versione disponibile (1.5.3) e sono state adottate tutte le best-practice di sicurezza, mi concentro su eventuali estensioni caricate: nessuna!

Chiedo al provider un elenco di URL visitati di recente per verificare eventuali tentativi di exploit, ma mi liquida dicendo che i CMS open source sono spesso soggetti a questi difetti. Sconsolato, elimino gli script ma mi resta il forte dubbio: "di chi sono allora le responsabilità ?"

12 CommentiDi' la tua

Il tuo indirizzo email non sarà mostrato pubblicamente. I campi obbligatori sono contrassegnati da *

la colpa dei provider mmmm io penso che la colpa siano dei webmaster cosi' loro dicono di chiamarsi installando plugin vecchi o buggati esempio una galleria buggata normale che poi io ti entro dentro e ti faccio un macello la colpa e solo del deficente che ti fa il sito, che a sua volta dice no no tutto ok che andasse in quel posto , dopo 15 anni di sistemista ho sentito una vagonata di minkiate.

peppe
peppe

Concordo con chi dice che é colpa dei provider... ho joomla 1.5.3 installato con varie estensioni di terze parti e non ho nessun problema di questo tipo. Il web server lo gestisco io stesso e l'ho ben blindato, cosa che evidentemente alcuni provider non sono in grado di fare, più per motivi di incompetenza che di infrastruttura.. Cmq un conto é quello che é successo all'autore dell'articolo, che é un'eventualità  da prendere in considerazione, ma il commento a proposito della presa di possesso della macchina con account di root non si può sentire!! Cambia SUBITO provider!

Diego
Diego

Concordo, infatti é stato l'obiettivo primario della mia indagine. Dopo aver passato ore e ore a spulciare i raw-log ho solamente trovato entry relative a scansioni eseguite con Nessus alla ricerca cieca di exploit sulle più note web-application, ad esempio: ... 66.16.XX.XX - - [09/Jun/2008:19:14:36 +0200] "GET /post-nuke/index.php&... HTTP/1.1" 404 1457 "-" "Mozilla/4.75 [en] (X11, U; Nessus)" ...

Andrea Ferrini
Andrea Ferrini

Dai log del webserver hai notato qualche request strana? Sarebbe interessante sottoporla agli sviluppatori di Joomla...

Andrea
Andrea

i minimi indispensabili per far funzionare joomla correttamente, ma ripeto erano stati creati con l'utente root infatti l'hosting provider non ha fatto storie e li ha cancellati e controllato per qualche giorno la situazione (io non avevo i permessi per cancellarli)

Victor
Victor

Come erano settati i permessi sulle cartelle in cui sono stati caricati i files?

Luca Futura
Luca Futura

concordo con luca, con la scusa che il software open source non e' coperta da garanzia i provider tendono un po' troppo a lavarsene le mani in caso di problemi. Fanno presto a dire che non e' colpa loro ma del cms installato

Victor
Victor

Credo che dovremmo guardare oltre Joomla! Andrea ha detto chiaramente che moduli di terze parti (il 90% delle cause di attacchi riusciti) non ne ha installati, ha seguito per filo e per segno le policy di sicurezza, il CMS era all'ultima versione disponibile (di cui non si conoscono exploit)...insomma il problema non dovrebbe essere Joomla e questo (purtroppo) é ancora più grave! Scoprire (e bloccare) come un lamer riesca a "trovare" l'accesso FTP o riesca a crearsi determinati privilegi, credo sia molto più difficile che patchare un qualsiasi componente (a prescindere dal CMS usato). Molto dipende anche dalla professionalità  dei fornitori di hosting, che per primi dovrebbero mobilitarsi per far si che cose di questo tipo non accadano più, invece non é sempre così.

Luca Grillo
Luca Grillo

WOW! Allora é così che fanno a fare i siti phishing! Dovrò stare molto attento. Grazie mille per la segnalazione ;)

Angelo
Angelo

Chissà  come mai Google ha scelto come favicon l'anonima "g" minuscola. Secondo me é molto poco associabile alla grande G.

Simone Alati
Simone Alati