hacked by GHoST61 / Turksec.info

[henry78]

Ciao a tutti,
non sono sistemista... quindi vi chiedo opinione su quanto accaduto...

ho una spazio hosting professionale sul quale vi sono diversi miei siti, l'altra sera mi accoorgo che richiamando i miei siti da browser appariva solo questa scritta:

hacked by GHoST61 / Turksec.info

in pratica tutte le index di tutti i siti in quello spazio, sono state rimpiazzate da un altro file contenente solo quella scritta...

Avvisato subito l'hosting ho fatto ripubblicare i backup e il danno è stato risolto...

Ora mi chiedo... com'e' possibile che sia successo??? E' colpa del mio hosting?? E' meglio cambiare? Questo hacker... poteva agire in modo più pesante, magari cancellando i file e i db?

Sono veramente preoccupato... più siti colpiti nello stesso modo nello stesso momento...

[henry78]

Originariamente inviato da henry78
Sono veramente preoccupato... più siti colpiti nello stesso modo nello stesso momento...

mi sapete dare qualche indicazione su cosa è successo?

[Habanero]

Di che tipo sono i siti? statici (solo html)? dinamici (asp, aspx, php etc..)
Nel secondo caso, fai uso di componenti prodotti da terzi (CMS, Blog, forum) o sono pagine prodotte da te?
Può essere che una qualche vulnerabilità di uno di questi componenti abbia compromesso i tuoi siti.
Verifica che tutti i componenti di terzi siano aggiornati all'ultima versione e, nel caso il codice sia tuo, riesaminalo in ottica sicurezza.
La possibilità che sia colpa dell'hoster esiste ma è decisamente meno frequente... nella maggior parte dei casi la responsabilità è del webmaster.

Inoltre non è sottovalutare la possibilità che l'accesso sia stato fatto via FTP rubandoti le credenziali di accesso. Esistono molti trojan il cui scopo è proprio quello. Verifica che i sistemi dai cui fai l'upload siano pulti. In tal senso potresti chiedere la collaborazione del tuo hoster per l'analisi dei log del server FTP. Se l'accesso è stato fatto via FTP in questo modo potresti averne la certezza. Per precauzione cambia la password di acceso da un sistema sicuramente pulto.

[henry78]

Originariamente inviato da Habanero
Di che tipo sono i siti? statici (solo html)? dinamici (asp, aspx, php etc..)
Nel secondo caso, fai uso di componenti prodotti da terzi (CMS, Blog, forum) o sono pagine prodotte da te?
Può essere che una qualche vulnerabilità di uno di questi componenti abbia compromesso i tuoi siti.
Verifica che tutti i componenti di terzi siano aggiornati all'ultima versione e, nel caso il codice sia tuo, riesaminalo in ottica sicurezza.
La possibilità che sia colpa dell'hoster esiste ma è decisamente meno frequente... nella maggior parte dei casi la responsabilità è del webmaster.

Inoltre non è sottovalutare la possibilità che l'accesso sia stato fatto via FTP rubandoti le credenziali di accesso. Esistono molti trojan il cui scopo è proprio quello. Verifica che i sistemi dai cui fai l'upload siano pulti. In tal senso potresti chiedere la collaborazione del tuo hoster per l'analisi dei log del server FTP. Se l'accesso è stato fatto via FTP in questo modo potresti averne la certezza. Per precauzione cambia la password di acceso da un sistema sicuramente pulto.

I siti sono in parte dinamici e in parte statisti. L'hoster ha ammesso di essere stato "bucato" da un attacco... allora mi sorgono dubbi sulla qualità del servizio che mi stanno offrendo..

ripeto: è riuscito a sostituire tutti i file index (php, html) in tutti i siti contenuti nello spazio web... pazzesco!