Apro questo topic per segnalare un fatto piuttosto importante. Negli ultimi mesi la rete è vittima di attacchi piuttosto importanti verso i siti web. Cito a tal proposito la notizia apparsa qualche giorno fa su Wintricks:

http://news.wintricks.it/web/dal-web/30332/web-sotto-attacco/

Ora vi chiederete: in tutto ciò, cosa centra IcyPhoenix? Bene, IP effettivamente centra poco, se non fosse che anche qualche sito con installata appunto la nostra cara fenice (guarda caso il mio compreso), ha subito questo tipo di attacchi, magari con forme e tecniche diverse, ma comunque con lo stesso fine.
Prima di aprire questo topic ho comunque approfodito l'argomento, mi sono docmentato a fondo, fino a capire che il problema si trova lato hosting, anche se, non essendo espertissimo nella configurazione di un server, non saprei dire con esattezza dove la falla possa aprirsi e permettere l'attacco.
Che tipo di attacco ho subito? Questo:


 

 

 

Si tratta di injecton probabilmente nei cookie, che vengono in qualche modo "replicati", con la session ID che viene copiata e non so come utilizzata nel cookie gemello per infettare la pagina che l'utente sta visitando in quel momento.

Ecco il cookie del mio sito (con ovviamente la session_id "mascherata")


e l'altro cookie che viene creato in parallelo, che copia la session_id e reindirizza (non chiedetemi come) verso un altro sito (solitamente siti di pseudo antivirus, che scaricano nel pc del malcapitato trojan e quant'altro):


Ma non è tutto, perché poi con un antivirus attivo, vengono anche visti come infetti alcuni file presenti nel sito:

 

anche se in realtà, scaricando quei file, ci si accorgerà che non solo non sono infetti, ma sono pari pari agli originali (anche facendo un merge approfondito con un md_5)

Altra caratteristica è che il problema (direi ovviamente) si presenta solo con Explorer, visto che Chrome e Firefox bloccano lo script che viene generato e "iniettato" nelle pagine che si infettano (sempre diverse), restituendo una pagina bianca con il solo codice dello script all'interno. Lo script in questione mostra come siano proprio i cookie le vittime dell'attacco:



Come dicevo mi sono documentato, ho scritto in forum che parlano di sicurezza e robe simili, e la conclusione è stata che il problema è appunto lato server. Questo è quello che mi è stato risposto da un personaggio in uno dei forum in cui ho riportato il problema:

Citazione:

I believe your shared server is the victim of the same type of hacking that Denis describes in his article here: http://blog.unmaskparasites.com/200...meta-redirects/

You should have your hosting provider read this. It’s a server side infection and not isolated to just your website. It should be affecting all websites on the same server as you are.

Ed in effetti il problema sembra essere quello, e le cause pure (altri siti contagiati nello stesso server, nel mio caso TOL.IT).
Ovviamente ho contattato l'assistenza, ma si sono sempre dimostrati insensibili al problema. Non hanno voluto controllare i loro LOG, non hanno accettato i consigli che gli ho dato mostrandogli 200 link del problema in cui si parla di problemi del server, e hanno concluso che il problema sta nei nostri script. Per questo, almeno io, approfittando del tempo utile che avevo per la disdetta, ho cambiato hosting e dopo 10 giorni di totale assenza di attacchi posso quindi confermare che il problema era proprio residente nella macchina.

Ho quindi scritto questo topic per sensibilizzare tutti riguardo a questo tipo di attacchi e per far capire più che altro come difendersi, anche se al momento, se il vostro hosting tappa occhi ed orecchie, l'unica soluzione è quella che ho dovuto scegliere io, ovvero cambiare aria.
E per l'appunto un avviso a coloro che sono hostati sotto Alicom (TOL): se notate questi problemi ancora, insistete con i ticket, e fatevi risolvere il problema o chiedete almeno di essere spostati in un'altra macchina, perché altrimenti mettete solo a rischio la sicurezza dei vostri visitatori, in quanto il problema, a tutt'oggi, non si è affatto risolto: girando nei siti di qualche utente di Alicom questa mattina, questo è stato il risultato:

 

 

LINKS UTILI:

http://edetools.blogspot.com/
http://badwarebusters.org/conversations
http://blog.unmaskparasites.com/

Spero di esservi stato d'aiuto.

P.S.: ho lasciato visibili i link dei siti infetti. Se i propretari dei siti preferiscono che li oscuri mi contattino.

Versione di IP: 1.3.25.78
Server: Linux
____________
My Icy forum: www.lineameteo.it
Staff Member @ Icy Phoenix.it & Icy Phoenix.com

interesante,spero  di non avere nessun problema di questo tipo

Versione di IP: 1.3.0.53b
Server: Linux

a me e stata segnalata questa cosa da alcuni utenti, e sono anche stato fesso quindi rischiando con sti cosi qua che sembrano virus a pagare anticipatamente rinnovo a tol.it a sto punto

che hosting consigliate? perche io voglio un sito tranquillo

Io prima di tutto segnalerei la cosa all'hosting. Il problema lo ripeto, è LORO: quindi se non lo risolvono il problema devono comunque trovarti una soluzione, o spostandoti in un'altra macchina (che sia configurata diversamente però, e soprattutto pulita), o rimborsarti i soldi del rinnovo. Io ho fatto giusto in tempo a dar disdetta, ma è chiaro che non tutti possono aver avuto la stessa prontezza.

E comunque, insistete col fatto che il problema devono comunque affrontarlo, perché la macchina è ormai infetta e i siti all'interno compromessi. E non centra IP (per quanto vi diranno che altri utenti che hanno questo script gli hanno segnalato il problema), ma basta un comune sito in PHP che faccia uso dei cookies. E rilinkategli questo:

http://blog.unmaskparasites.com/200...meta-redirects/

Dove è abbastanza dettagliato il tipo di attacco e dove è anche chiaro che debba essere l'hosting ad occuparsene

Citazione:

How to resolve the issue.

If your site is affected by this attack, do the following:

   1. Contact you server admin (most likely it will be your hosting provider) ASAP! It’s a server-wide exploit and unless you were the one who infected the whole server, you can’t do anything about it yourself.
   2. Many hosting providers still don’t know anything about this sort of exploits so send them links to the following articles:
          * Linux Apache Attack – http://www.uptime.cz/100452-site-a-...che-Attack.html
          * Beladen – Elusive Web Server Exploit. (information for site owners and hosting providers) – http://blog.unmaskparasites.com/200...server-exploit/
          * This article – http://blog.unmaskparasites.com/200...meta-redirects/
   3. Scan your own computer for malware. Then change your site passwords. It might happen that you were that poor site admin who infected the whole server.

Versione di IP: 1.3.25.78
Server: Linux
____________
My Icy forum: www.lineameteo.it
Staff Member @ Icy Phoenix.it & Icy Phoenix.com

ma se io cambio hosting questo cosa rimane anche dove andrò?

Salvo89 ha scritto: [Visualizza Messaggio]

ma se io cambio hosting questo cosa rimane anche dove andrò?

Ma hai letto il mio articolo?

Versione di IP: 1.3.25.78
Server: Linux
____________
My Icy forum: www.lineameteo.it
Staff Member @ Icy Phoenix.it & Icy Phoenix.com

sisi ho eltto dopo andrea tu che hosting hai preso?

ha scritto sopra...sta con tol.it

Versione di IP: 1.3.0.53b
Server: Linux

ha cambiato

Grazie Andrea per la completezza dell'esposizione del problema.

Vorrei giusto aggiungere qualche cosa, molto sinteticamente.

• Non possiamo essere sicuri al 100% che Icy Phoenix non sia stato bucato, però da tutte le analisi fatte in questo caso (ed in altri simili che ho fatto di persona per altri siti) sembra che questa volta il problema sia davvero legato all'hosting. O quantomeno a qualche impostazione un po' troppo "libertina" del server.
  
• Per quanto detto da te, e anche per quanto vissuto da me su altri siti, sono abbastanza in lotta con i servizi di Hosting, che se pur offrono dei servizi a prezzi molto competitivi, non li esime totalmente da fare controlli quando i clienti lo richiedono. Capisco che a volte le clausole contrattuali ci sono per poterli tutelare da eventuali scocciature eccessive di clienti che pagano 30 euro l'anno e vogliono supporto 24/7... però c'è anche un po' di buon senso che dovrebbe essere usato.
  
• Dopo questa premessa, io ho avuto delle discussioni anche piuttosto accese (sempre con toni pacati e di rispetto) con Aruba che continuavano a rispondermi semplicemente di rivolgermi allo sviluppatore del prodotto... a quanto pare non si sono nemmeno degnati di guardare qual'era il prodotto e accorgersi che il sito dello sviluppatore era presso di loro... e che l'intestatario ero io! Trovo assolutamente assurdo questo atteggiamento e questa superficialità e dopo la terza volta che mi hanno risposto così per lo stesso identico problema (dovuto a loro, non a me!) ho deciso di cambiare server e scappare a gambe levate. Purtroppo alcuni server condivisi di Aruba hanno qualche falla di sicurezza, che sia hardware, software o di altro genere, non importa... sono fallati, e chi ci va di mezzo sono gli utenti. A loro interessa solo aggiungere sito dopo sito... sul mio vecchio server ce n'erano "appena" 600, fate un po' voi il conto anche solo considerando il costo minimo di 38 euro l'anno per il servizio minimo...
  
• Purtroppo non c'è soluzione immediata a questo tipo di problemi... i consigli che mi sento di dare a tutti (capisco che non tutti siete dei professionisti e non tutti hanno il tempo di seguire queste cose con la giusta dedizione) sono questi:
  
  • Fate backup regolarmente, a seconda del traffico del vostro sito, assicuratevi di avere almeno un backup COMPLETO ogni fine mese... se avete molto traffico è bene averne uno settimanale.
    
  • Appena riscontrate problemi gravi e mancanza di comunicazione con il vostro Hosting, guardatevi intorno... spesso chi fornisce questi servizi si basa sulla pigrizia dei propri clienti: cambiare Hosting è una vera scocciatura e richiede tanto tempo e fatica... per questo molti rinunciano. Però non sottovalutate il servizio che offrono, meglio pagare un po' di più presso qualche Hosting serio ed avere un servizio di assistenza piuttosto che essere lasciati totalmente in balia di sé stessi. Ancora di più se non avete le competenze per smazzarvi la gestione dei siti da soli.
    
  • Prendete quante più informazioni possibili sia sul vostro Hosting che sulle versioni dei software installate... fate ricerche nel web di problemi di sicurezza, perché a volte basta davvero poco per perdere il lavoro di mesi su un sito web...
  
  

Per ora non ho altro da aggiungere... se qualcuno dovesse avere dei dubbi sulla sicurezza di Icy Phoenix, ed abbia degli elementi validi, contattatemi tranquillamente in privato e vi assicuro la massima disponibilità. Mi raccomando... ho parlato di elementi validi... non di accuse generiche... senza quantomeno delle indicazioni non si può analizzare niente sulla sicurezza.

Versione di IP: 3.X
Server: Linux
____________
Luca