Non tutte le ciambelle riescono col buco, è vero, e nemmeno la nostra superficialità è rimasta impunita, se poi ci si mette anche la sfiga la catastrofe è inevitabile.
Cosa è successo dunque al nostro sito nelle ultime ore? Anche se ne abbiamo già parlato nel forum, è doveroso approfondire e per cominciare partiamo dalla ciambella.
Venerdì, 22 gennaio alle ore 10:12, abbiamo ricevute “visite” indesiderate all’interno del nostro server a nostra insaputa, e sono stati manomessi due piccolissimi, ma fondamentali file: il documento index php e il documento index html che usiamo solitamente per segnalare ai visitatori le pause per la manutenzione.
Le modifiche riguardavano l’inserimento di un codice, tra l’altro abbastanza lungo, in cima ai file appena citati. Questo codice cosa permetteva? Al momento della prima visita alla homepage de iMaccanici il visitatore che caricava la prima volta la pagina veniva reindirizzato su un altro sito che conteneva malware per Windows, in pratica il codice aggiunto richiamava, in un iframe nascosto, un url che per installare malware nei PC Windows.
Adesso, dopo un attento esame della coscienza, affrontiamo le nostre “colpe”, in primis la superficialità. Il sito de iMaccanici è basato sul collaudato, diffuso, sicuro e stabile motore di Geeklog. Ma come ogni software anche questo CMS, basato su applicazioni PHP/MySQL, necessita di manutenzione, aggiornamenti e cure periodiche.
La versione 1.5 di questo CMS, rilasciata nel lontano Giugno del 2008, aumentava il livello di sicurezza della piattaforma correggendo alcune falle che esponevano ad attacchi esterni le versioni precedenti. Attualmente Geeklog è arrivato alla impenetrabile versione 1.6.1, ma noi, tra la svogliatezza e la sicurezza (alla quale Apple ci ha sempre abituati) eravamo fermi… non alla versione 1.5, ma peggio ancora alla vetusta 1.4.1!!!
Inevitabile quindi essere preda facile di malintenzionati. Malintenzionati che purtroppo non sono umani, esistono infatti dei software-robot creati appositamente per “bucare” siti ed iniettare codice arbitrario. La cosa bella è che molti di questi automi sono insidiati in milioni di computer Windows, e certamente il nostro sito, che pur se “stipato” su un hosting Linux, è stato vittima di un attacco da parte di uno dei tanti PC zombie che navigano in Internet, a causa del software obsoleto sul quale si basava (e si basa ancora) il nostro sito.
E il fattore sfiga? Come non citarlo!
In situazioni abituali ci saremmo accorti in pochi minuti dei file manomessi, in quanto bastava accedere alla directory del sito, tramite client FTP, individuare i file recenti modificati, realizzare che erano stati manomessi in data e ora NON corrispondenti a nostre modifiche, aprirli con un editor di testo e confrontarli con il nostro backup quotidiano del sito.
Ma, ma c’è un ma!
Stefano, aka Predatorfe, essendo l’amministratore tecnico del sito, cioè colui che si occupa di effettuare manutenzione, aggiornamenti (magari), snellimento del database, risoluzione di conflitti e introduzione di funzionalità per garantire compatibilità tra sito e forum, abita da qualche anno in Germania, e proprio in questi giorni si trovava invece a Napoli, quale occasione migliore per non incontrarci ed effettuare qualche salutare modifica al sito?
Bene, alcune modifiche sono state fatte proprio poche ore prima dell’attacco, ragion per cui è stato impossibile individuare rapidamente i file incriminati ad una prima occhiata veloce ai documenti senza il suo aiuto, e intanto le ore passavano. Infatti soltanto al suo ritorno, ignaro dell’accaduto e dopo decine di ore di irreperibilità, un suo rapido sguardo ha individuato l’anomalia e l’ha corretta. Vane sono state le precedenti ipotesi e i tentativi di ripristinare la situazione, intanto Google (e questa è la catastrofe) piazzava il sito nella sua lista nera, mettendo in guardia i visitatori da un sito pericoloso, il nostro, anche se ormai era tutto già tornato alla normalità.
Cosa ha permesso questo è ancora da scoprire, ma le possibilità sono tre:
1) Furto di credenziali ftp dopo aver fatto l’upload dei file sul sito da un pc infetto (e questa è da escludere perché da parte nostra nessun accesso FTP è stato fatto da un PC Windows)
2) Uso di script lato server vulnerabili. In questo caso il pirata potrebbe essere in grado di usare tali vulnerabilità per caricare codice sul server (questo invece è possibile perché la versione di Geeklog attualmente utilizzata è obsoleta).
3) Server vulnerabile o scarsamente protetto. (questa casistica è la meno frequente ma non è da escludere).
Questo forum è stato fondamentale per capire molte cose, e ringrazio Habanero anche se non ho il piacere di conoscerlo.
Da questa disavventura avremo certamente imparato qualcosa, ed è già tanto: mai usare Windows, mai abbassare la guardia, cambiare spesso le password e aggiornare sempre i nostri software. Ho evitato di toccare i fattori “seccia” e “occhi secchi” per il rispetto di chi non è scaramantico, ma dagli ultimi episodi caldi del forum sono stato molto tentato.
Una curiosità mi lascia però interdetto. Il nostro webmaster (sempre Stefano) non ha intenzione ancora di aggiornare Geeklog, ed è seriamente convinto di farlo soltanto una volta ritornato in Germania. Credo che sarà necessaria una punizione corporale per questa sua presa di posizione.
😉
Buona domenica e buona settimana a tutti.
Meno male che il buon Safari e l’efficiente Firefox lo hanno segnalato subito. In fondo, connettendomi col mio Mac non avevo molto da temere, no?
Uè Guagliò, tranquilli..
io non v’ho messo tra i siti pericolosi…!
E poi tutto quello che non t’uccide, ti fortifica..!
Stai tranquillo, pensa alla salute… ; )
Solidarietà a Franz e Stefano che fanno tanto per mantenere al meglio questo bellissimo sito, nonostante tutte le difficoltà e arrabbiature quotidiane.
Credo di parlare a nome di quasi tutti quelli che seguono ogni giorno iMaccanici: ragazzi, continuate così e non fatevi abbattere dalle difficoltà.
Queste cose capitano a tutti, Google e Yahoo compresi, si tratta di normale amministrazione e di solito capita ai siti più famosi, come ho già ribadito più volte il trend di crescita del sito è veramente eccezionale, basta guarda il numero degli iscritti. Comprendo anche le perplessità di Stefano ad aggiornare, non si sa mai a cosa si va incontro, oggi ha un sistema che funziona se aggiorna cosa succederà? Inoltre era anche in "permesso" e si stava riscaldando le membra al tepore di Napoli, non credo si possa biasimare più di tanto.
Sicuramente ha imparato che il successo ha sempre un prezzo da pagare e che bisogna sempre stare vigili!
Aggiungete un piccolo cornino come quello che aveva il mitico"Totò" (Guardalavecchia)quando voleva far passare De Filippo(Colabona) come un secciatore…mettetelo nella homepage… fidatevi! Qualcuno ci ha secciati!
Forza ragazzi siete unici,
bravi e supercompetenti.
"Forse un po’ di invidia"
da parte di altri siti!!!!!
Buona Domenica e che sia tranquilla.
Vivi
Suona tanto simile al problema di aruba successo un anno fa. Solo che a voi il danno è accaduto in questi periodi.
Un annetto fa il software di gestione (pannello di controllo) di aruba aveva una falla, e tramite quella, sono state ottenute tutte le credenziali degli utenti aruba.
Tramite tali credenziali, a numerosi autorevoli siti hostati su aruba, furono iniettati codici simili al vostro. Per quell’occasione, credo che l’hacker sviluppo’ un iniettore automatico, che procedeva secondo una lista di account prestabilita.
La cosa si sistemò rapidamente, ma lasciando un bagno di sangue dietro. Tutte le credenziali furono sostituite, il pannello di controllo sistemato, e i tutti i siti infettati, sistemati….
Oggi vedendo questo problema vedo un dejavù dell’epoca, e ciò può essere accaduto, se le credenziali di allora (che aruba cambiò in automatico) sono state dall’utente (per comodità di memoria) reimpostate come prima.
In sostanza, per pigrizia, dopo anni di password ‘pippopluto’ arriva aruba me la cambia in ’12jvh4kjfnek’, io mi incazzo e la rimetto ‘pippopluto’.
Facendo così l’iniettore automatico ha potuto eseguire il lavoro correttamente…..
Vabbò, salumo tutti….
E ricordo che io parlerei di ‘buco con la mela intorno’.
Salumi
Anche il mio buon Safari mi ha avvertito…il fatto che il malware sia per PC mi rafforza nell’idea che…Mac è meglio!!!
Grazie a tutti per la solidarietà 😀
Intanto Google ha effettuato la verifica e ci ha riclassificati come "buoni", per fortuna! 🙂
—
Stefano Ferrara
Buongiorno Stefano, è successo stanotte alle 4,00.
😀
era meglio non tirare in ballo le "ciucciuettole", forse un pò di umiltà….
Più di ammettere la nostra superficialità che dovremmo fare?
Comunque alla fine tutto è andato per il meglio…
Grazie per il Vs. lavoro e per tutto quello che offrite 🙂
Paolo
Vorrei fare i complimenti sia per la gestione della crisi, ma soprattutto per la trasparenza.
Secondo me, iMaccanici ha dato una bella lezione di comunicazione efficace, competente e chiara.
Tanto di cappello!
Vorrei fare presente che quando succedono cose simili nei server aziendali, i CED, che pigliano un sacco di soldi per fare con incompetenza il loro lavoro, raccontano ai loro a.d. che stanno facendo "manutenzione..", salvo poi inviare email del tipo " se abbiamo problemi è colpa vostra che scaricate di tutto da internet…" ( sic..)
Confermo la mia stima al sito di informazioni apple che tengo per primo della lista.