Hosting condiviso compromesso. Dovrei segnalarlo a qualcuno?

3

Un file malware è apparso sul server di un amico come descritto in questa domanda . È un file chiamato "images.php" progettato per sembrare niente di importante, la cui unica funzione è aspettare che una parte sconosciuta gli invii un codice da eseguire.

Il server è su hosting condiviso. La società di hosting insiste affermando che se è successo a tutti, l'unica spiegazione possibile è che la password del mio amico è stata compromessa (in qualche modo). Non hanno alcun interesse nei particolari dell'attacco o nella possibilità che altri server sotto il loro controllo possano essere stati effettuati.

Il file incriminato è stato rimosso, tutte le password sono state modificate e nient'altro sembra essere fuori luogo. Il sito web in questione è fondamentalmente un biglietto da visita e nulla è stato cambiato, quindi non c'è nessun danno di cui parlare. Non c'è motivo di pensare che l'attacco fosse in alcun modo mirato o personale. Il proprietario e il server ospitato si trovano in California, USA.

Sarebbe facile impostare uno script di sostituzione per "images.php" in grado di registrare qualsiasi richiesta senza eseguirle. Quindi la mia domanda è, c'è qualche ragione per farlo? Esistono organizzazioni (forze dell'ordine, ricercatori di sicurezza, ecc.) che potrebbero essere interessate a conoscere l'attacco, il codice utilizzato o eventuali richieste di follow-up?

    
posta Robert 04.05.2014 - 00:04
fonte

2 risposte

3

Is there any organization (law enforcement, security researchers, etc.) that would be interested to know about the attack, the code used, or any follow-up requests?

Il codice che hai postato nell'altro thread dà l'impressione di essere unico perché i creatori di malware utilizzano un algoritmo per generare una funzione di offuscamento leggermente diversa ogni volta . Ciò impedisce che venga visualizzato in Google o dal software AV riconoscendolo utilizzando una semplice corrispondenza stringa.

Tuttavia, la funzionalità di base (che è quella di prendere input esterni ed eseguirla attraverso exec ()) è incredibilmente comune. Ho incontrato personalmente almeno una dozzina di casi identici (e non lavoro in sicurezza o cose del genere) e immagino ci siano centinaia di migliaia di siti che eseguono questo codice in un dato momento. Il tuo host è probabilmente apatico perché ha già affrontato 10 diverse istanze quel giorno se sono un host di grandi dimensioni. È probabilmente improbabile che anche le forze dell'ordine siano interessate.

possibility that other servers under their control may have been effected

Gli utenti di hosting condivisi sono generalmente piuttosto isolati l'uno dall'altro. Come ho già detto, gli account di hosting condiviso vengono continuamente compromessi. La maggior parte delle società di hosting dispone anche di un software di gestione hosting condiviso, quindi se l'isolamento fosse realmente interrotto nel loro sistema sarebbe anche rotto per altri host e scoperto abbastanza rapidamente (anche se chissà, alcuni host potrebbero essere troppo pigri per aggiornare il loro software ).

It would be easy to set up a replacement script for "images.php" that would log any requests without executing them. So my question is, is there any reason to do that?

Potrebbe essere leggermente interessante, ma è una scommessa abbastanza sicura che l'unica cosa che otterrai sono script per l'invio di spam viagra.

The hosting company adamantly insists that if it happened at all, the only possible explanation is that my friend's password was compromised (somehow).

È possibile (e forse probabile). Quale client FTP usa? Molti client FTP ( cough FileZilla cough ) memorizzano le loro password in testo semplice e in una posizione molto prevedibile. In altre parole, è un bersaglio perfetto per malware sul suo PC.

È anche possibile che gli abbiano inviato una pagina di phishing che assomiglia al suo login di hosting, non sarebbe difficile determinare la sua compagnia di hosting o la sua email.

C'è qualche possibilità che sia stato compromesso attraverso una vulnerabilità nel sito, ma questo è improbabile se si tratta solo di un semplice sito di biglietti da visita che accetta pochi o nessun input esterno.

La linea di fondo è che i creatori di malware sono piuttosto incentivati a compromettere gli account di hosting. Di solito sono un obiettivo piuttosto facile e tutto lo spam nel mondo deve essere inviato da qualche parte!

In termini di pulizia, se hai solo pochi file, controlla semplicemente tutti loro. Altrimenti vai per data-timbro del file, ma a volte è possibile modificarlo.

    
risposta data 04.05.2014 - 01:27
fonte
1

Ogni giorno migliaia di siti Web vengono violati. Nel tuo caso forse è stato installato uno script proxy o un dropper. Dubito che le forze dell'ordine siano preoccupate perché nessuno si è fatto male - ancora.

Non dovresti aspettare finché non succede qualcosa per rimuovere quello script. Le forze dell'ordine saranno interessate in te se il tuo sito è, ad esempio, un proxy per un attacco a un sistema governativo o viene utilizzato per condividere file illegali.

Ottieni una nuova password sicura. Controlla altri script per le modifiche. Data l'indifferenza della tua società di hosting, dovresti pensare di passare a un altro.

    
risposta data 04.05.2014 - 00:36
fonte

Leggi altre domande sui tag