ciao a tutti
stamattina mi trovo questa mail nella Inbox:
Grazie per aver ordinate da Alleanza Assicurazioni Inc.
Il questo messagio e solo da informarvi che il vostro ordine ero stato ricevuto ed attualmente e nel fase di elaborazione.
Il vostro riferimento di ordine e 933341-225607.
Avrete bisogno di questo in corrispondenza.
Tale ricevuta non e prova di acquisto.
Riceverete la fattura stampata via posta a indirizzo di fatturazione.
Avete schelto la paga con la carta di credito.
La carta verra addebitata a somma di 651.74 EUR
e "9635-Inc" apparira' accanto alla tassa di vostra dichiarazione.
L'informazione sul vostro acquisto appare sotto nel file:
http://SITOWEBNASCOSTO/.i/it/fattura.pdf/Info.zip?sUCpmVusers=lchiavacci@mediasecure.it
Ovviamente la mail e' palesemente spam quindi provo a scaricare da Internet, su una macchina Linux con wget, il file dall'URL indicato e mi ritorna un errore 404 con file not found.
Incuriosito dalla risposta del sito mi collego direttamente al sito Web con un browser e mi trovo il seguente messaggio sulla Home Page:
ATTENZIONE: i nostri server sono stati attaccati da hacker oggi, nel caso abbiate ricevuto email contenenti link al nostro sito e che vi chiedono di inserire dati personali/sensibili, IGNORATELE E CLASSIFICATELE COME SPAM.
A questo punto mi viene voglia di provare a fare una scansione veloce con nmap del sito in questione giusto per capire come sono messi.
ecco il risultato filtrato solo per l'indirizzo IP:
root@thunderstorm:~# nmap -sT SITOWEB
Starting Nmap 5.00 ( http://nmap.org ) at 2012-03-08 10:41 CET
Interesting ports on vh12345.vhosting-it.com (indirizzo mascherato):
Not shown: 980 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
106/tcp open pop3pw
110/tcp open pop3
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
143/tcp open imap
443/tcp open https
445/tcp filtered microsoft-ds
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
1720/tcp open H.323/Q.931
3306/tcp open mysql
8080/tcp open http-proxy
8443/tcp open https-alt
Saltano all'occhio almeno alcuni protocolli che secondo me non dovrebbero essere aperti verso il mondo Internet. Lo so che sia comodo avere accesso diretto al sistema per fare manutenzione o fare upload degli ultimi dati pero' poi si paga la scotto avendo qualcuno che si intrufola nel nostro sistema.
Magari un firewall attivato sul sistema e un accesso in VPN per la gestione del sistema non guasterebbe proprio.
Almeno e' da apprezzare che abbiano reagito velocemente chiudendo il sito e mettendo un banner indicando di essere stati compromessi.
La sicurezza e' dura e a volte noiosa pero' credo che oggi abbiano molto da lavorare per capire fino a che punto sia stato compromesso il sistema.
No comments:
Post a Comment