Polizia Postale

Salve a tutti, questo non è il mio account principale (kurtblackhat), ma uno prestatomi da un amico. Vi espongo la situazione, qualche tempo fa aprii un portale con il suddetto username, a scopo di pubblicarvi dossier, e codici sorgente opensource programmati da me, dai miei collaboratori, ed alcune agenzie che capitava ci dessero spazio. Purtroppo, quest'oggi qualcuno ha eseguito bruteforce sulla password, ed ha riempito il sito di insulti. Sul server c'erano diversi dei miei lavori, alcuni anche molto importanti, così mi sono precipitato a chiamare la Polizia Postale Italiana, la quale mi ha consigliato, prima di eseguire denunce (e quindi indagini sul log del server (nel mio caso, situato in Germania, da quanto ho capito)) di parlare con i sysadmin di altervista. So che in passato altri hosting gratuiti avevano offerto aiuto ai propri netusers, così mi chiedevo, se per favore potreste aiutarmi nel recupero password. Posso darvi qualsiasi informazione voi necessitiate (comprese tutte le vecchie password, ed il contenuto del server backuppato), tuttavia preferirei evitare indagini, avvocati ecc (perchè intendo andare fino in fondo, questa volta :)). Anche perchè, la cosa più scocciante rimane il fatto che, se riottengo le mie credenziali, la storia finisce con una bella incazzatura ed un sospiro di sollievo, altrimenti, ci sarà da scavare nei logs di sistema di Apache, e denunciare quello che sicuramente sarà qualche ragazzino senza vita sociale. Pensateci su.

Vi lascio il mio indirizzo email: kurt_black_hatATliveDOTit

Aspetto notizie, se non ricevo nulla, procedo d'ufficio.

Arrivederci e grazie.

[darkwolf]

Contatta l'abuse: http://it.altervista.org/contatti.php
Descrivendo dettagliatamente il problema e/o inserendo il link di questo topic come riferimento.
-
Dal sorgente è chiaro cosa hanno usato per "defacciarti" il sito e dato che spiega anche il perché.... :/
Insomma, non hanno fatto bruteforce alla password (improbabilissimo) ma hanno sfruttato una xss
In ogni caso, se hai un backup completo del tuo sito, dovresti poter riparare il tutto agendo dal pannello di controllo di altervista.

Contatta l'abuse: http://it.altervista.org/contatti.php
Dal sorgente è chiaro cosa hanno usato per "defacciarti" il sito e dato che spiega anche il perché.... :/
Insomma, non hanno fatto bruteforce alla password (improbabilissimo) ma hanno sfruttato una xss
In ogni caso, se hai un backup completo del tuo sito, dovresti poter riparare il tutto agendo dal pannello di controllo di altervista.

È qui che sbagli.
Tanto per iniziare grazie del consiglio, ho contattato la mail di abuso pastando questo topic e aggiungendo importanti aggiornamenti. Tornando alla XSS, la risposta è no. Il mio CMS era del tutto privo di XSS, ed inoltre è impossibile modificare l'interno del server in quel modo, con una banale XSS. E poi come si spiega il cambio della password? Le XSS c'entrano ben poco. Può sembrare una XSS, perchè nella homepage erano presenti numerosi codici JavaScript, tra cui un file chiamato xssshell, ma che non c'entra affatto con le XSS :)

Il problema rimane la password, il controllo sul server cel'ho grazie a fattori esterni (che ho spiegato nella email ad abuse, non lo scrivo di certo qui ^^), ma la password per accedere al server non è in mio possesso. Inoltre, molti dei miei collaboratori hanno server su AlterVista, e mi dispiacerebbe dover spostare tutto il nostro materiale altrove. AV è sempre stato il nostro hosting gratuito preferito, non abbiamo mai scocciato, e siamo sempre rimasti nei limiti del legale. Adesso, però, abbiamo bisogno di voi.

[karl94]

Il fatto che ti abbiano preso la password non significa che l'abbiano trovata con un bruteforce, è molto più probabile che sia stata trovata con altri mezzi (keylogger o malware appositi).

[darkwolf]

xss shell è una shell che sfrutta una xss dello script e tramite la shell si prende pieno possesso del sito della vittima.
Non la conoscevo, me la sono studiata (da google si ottengono parecchie info al riguardo) ed è questo ciò che ho capito (ma potrei sbagliare ovviamente).
Per la password del server non so come abbiano fatto ma ho letto che la stessa xssshell ha un keylogger (e suppongo l'abbiano sfruttato per ottenere la password del server e/o della casella mail - per poi richiedere un recupero password).
Sto solo teorizzando ovviamente (con le poche info ricavate/disponibili).
-
Vedo che hai cambiato la index pur non avendo accesso al server quindi suppongo tu abbia una shell (o simili) nel tuo sito (chissà, magari hanno sfruttato la stessa e hanno inserito un riferimento a xssshell tanto per depistami/ti/ci)

Il fatto che ti abbiano preso la password non significa che l'abbiano trovata con un bruteforce, è molto più probabile che sia stata trovata con altri mezzi (keylogger o malware appositi).

Keylogger e malware appositi non girano su Linux :)
Possono solo se avviati da shell di comando, e comunque sarebbe abbastanza complicato. Inoltre non avvio nulla con privilegi di root senza averne appurato il source al 100%.

Il problema non è COME hanno preso la suddetta password, il problema è se posso riaverla o meno. Io sto facendo il massimo per capire quali sono le mie possibilità. Se voi mi dite che sono nulle, allora prendo il sito e lo sposto altrove (e mi dispiacerebbe, ad essere sincero), altrimenti rimango qui ad esaudire le vostre lacune a riguardo, cercando di recuperare questa benedetta password, o di resettarla.

Hanno cambiato anche l'email di recupero, altrimenti ora non sarei qui. Provate a mettervi nei miei panni, sono 4 anni di lavoro, quelli.

-

xss shell è una shell che sfrutta una xss dello script e tramite la shell si prende pieno possesso del sito della vittima.
Non la conoscevo, me la sono studiata (da google si ottengono parecchie info al riguardo) ed è questo ciò che ho capito (ma potrei sbagliare ovviamente).
Per la password del server non so come abbiano fatto ma ho letto che la stessa xssshell ha un keylogger (e suppongo l'abbiano sfruttato per ottenere la password del server e/o della casella mail - per poi richiedere un recupero password).
Sto solo teorizzando ovviamente (con le poche info ricavate/disponibili).
-
Vedo che hai cambiato la index pur non avendo accesso al server quindi suppongo tu abbia una shell (o simili) nel tuo sito (chissà, magari hanno sfruttato la stessa e hanno inserito un riferimento a xssshell tanto per depistami/ti/ci)

Tu sei scaltro.
Allora, due precisazioni:
a) La XSS Shell non da il pieno controllo del server, permette solo di mandare Alerts, Inputs, Crashare il Browser e altre stupidaggini. Non da nemmeno una lista di file uppati, in quanto il JavaScript agisce sul client, e non sul server.
b) Ho una shell ben nascosta nel server, che sono riuscito ad uppare tramite l'aiuto di persone molto più esperte di me, che hanno capito la gravità della situazione e hanno deciso di dare una mano. La shell è stata messa DOPO il furto della password, quindi ESCLUDO che l'attacker abbia sfruttato quest'ultima. Solo un idiota lascerebbe una shell attiva sul server, se non in casi di emergenza.

[darkwolf]

@ysmr4: hai contattato l'abuse, di più non possiamo fare se non provare a capire come sono entrati (e quindi tentare di evitare accada ancora).
-
Riguardo al recupero ti riporto questo post:

L'unico metodo è questo:
http://it.altervista.org/service/recovery.php

se tramite questo non si riesce a recuperare l'accesso, purtroppo non si può più fare nulla. Ricordo che nel regolamento accettato all'atto dell'iscrizione c'è scritto:

"L'Utente è tenuto a conservare nickname e password nella massima riservatezza e a custodirli con la massima diligenza"

Quindi le possibilità di recuperare la password sono praticamente nulle?

[dreadnaut]

/edit: argh, preceduto

La discussione si dilunga, ma cerco di assicurarmi di una cosa: hai scritto quindi all'abuse come suggerito nella prima risposta? L'abuse è l'unico referente per questo genere di cose, ed il forum è solo per discussioni e supporto.

Le possibilità senza i dovuti dati sono assai misere, e passano tutte per fotocopie di documenti e cose simili. In ogni caso, scrivi all'abuse.

[karl94]

Premetto di non avere letto nulla a riguardo di questa XSS Shell, ma provo lo stesso a parlarne. Se è vero quanto detto da Darkwolf, questo script sarebbe equipaggiato con un keylogger, essendo quindi un javascript passa facilmente inosservato (non chiede permessi e non si nota se è in esecuzione) ed è quindi plausibile che qualche dato importante sia stato inviato al responsabile di tutto questo. Tramite questo dato si sarebbe poi ottenuto il controllo dell'account, con successivo cambio di password etc.

La discussione si dilunga, ma cerco di assicurarmi di una cosa: hai scritto quindi all'abuse come suggerito nella prima risposta? L'abuse è l'unico referente per questo genere di cose, ed il forum è solo per discussioni e supporto.

Yep, ma questa è una contraddizione.
Uno mi dice "sul regolamento c'è scritto che l'utente deve mantenere la password bla bla bla...", l'altro mi risponde di scrivere all'abuse.
Le cose son due, o l'abuse non rispetta il regolamento (LOL), oppure l'abuse non prenderà nemmeno in considerazione la mia richiesta.

Cosa devo pensare?

P.S.
Il fatto che la discussione si dilunghi arreca danno a qualcuno?
Vi scoccia, forse?
Se preferite, alzo i tacchi ^^

[dapeco]

Quindi le possibilità di recuperare la password sono praticamente nulle?

Dipendono molto da quanto è vera questa tua affermazione:

e siamo sempre rimasti nei limiti del legale.

Son curioso di sapere sono sono queste "entità" che definisci "agenzie". Perché ho paura che siamo nel simile caso http://forum.it.altervista.org/i-ser...6-defaced.html

Altra cosa: escludo che sia stata compromessa la macchina su cui risiedeva il tuo sito (altrimenti anche gli altri mille e più siti che erano sulla stessa sarebbero stati compromessi), è sempre buona cosa avere un backup dei propri files, sopratutto se li si ritiene importanti, i logs vengono consegnati solo su richiesta delle autorità ed è importante capire come è stato compromesso l'account per porvi rimedio ed evitare che succeda in futuro.

Dipendono molto da quanto è vera questa tua affermazione:


Son curioso di sapere sono sono queste "entità" che definisci "agenzie". Perché ho paura che siamo nel simile caso http://forum.it.altervista.org/i-ser...6-defaced.html

Altra cosa: escludo che sia stata compromessa la macchina su cui risiedeva il tuo sito (altrimenti anche gli altri mille e più siti che erano sulla stessa sarebbero stati compromessi), è sempre buona cosa avere un backup dei propri files, sopratutto se li si ritiene importanti, i logs vengono consegnati solo su richiesta delle autorità ed è importante capire come è stato compromesso l'account per porvi rimedio ed evitare che succeda in futuro.

Questo lo so già.
Per quanto riguarda le agenzie, sono agenzie informatiche che non hanno nulla a che fare con questo caso.

EDIT:
hahahaha, mi state paragonando al Team Joker?
No vi prego, piuttosto mi taglio le vene

[dapeco]

Per quanto riguarda le agenzie, sono agenzie informatiche che non hanno nulla a che fare con questo caso.

Perfetto, era per capire ed inquadrare la situazione.

Come ti è stato detto quello che puoi fare è:
1. contattare l'abuse per vedere se c'è un modo per recuperare le credenziali di accesso, fornendo la richiesta documentazione.
2. procedere con una denuncia presso le autorità competenti (no le agenzie di cui parli non sono autorità competenti) fornendo anche a loro la dovuta documentazione in tuo possesso, penseranno poi loro a svolgere le indagini.
3. prendere coscienza dell'importanza del backup.

Detto questo possiamo continuare la discussione su: Agenzie informatiche queste sconosciute! (continuo ad essere curioso in merito).

[dreadnaut]

Cosa devo pensare?

Che devi scrivere all'abuse.

Il fatto che la discussione si dilunghi arreca danno a qualcuno?
Vi scoccia, forse?
Se preferite, alzo i tacchi ^^

Fa perdere tempo al prossimo, che cerca di spiegarti cose, se ancora non te ne sei accorto. Quindi per spronarti a scrivere all'abuse, visto che qua non c'è molto da fare, chiudo e ti auguro buona fortuna per il recupero!