Questo sito è stato attaccato e la prima pagina sostituita per circa un’ora

Questo sito oggi, 7 settembre 2005, è stato attaccato e la prima pagina sostituita con una sgradevole immagine. Per fortuna mi sono accorto, casualmente, quasi subito della cosa ed ho rapidamente ripristinato il sito originale. In totale la prima pagina “pirata” è stata visibile per circa un’ora: dalle 19 alle 20.
Ho appena analizzato i log files e le conclusioni sono le seguenti:

1. Alle 19:02 dall’indirizzo IP 200.164.90.171 è partito l’attacco, probabilmente con uno script che cerca in automatico gli host vulnerabili
2. Lo script ha subito trovato una vulnerabilità nota di drupal (descritta su www.drupal.com) e relativa alla implementazione del protocollo XML-RPC. Drupal è il software su cui gira questo sito.
3. Sfruttando tale vulnerabilità, la persona che aveva lanciato lo script, ha scaricato la pagina principale da http://www.chat.mpetersen.dk/modules/SPChat/
4. Dopo aver fatto questo ha sostituito la prima pagina con quella appena scaricata
5. Anche due giorni fa, il 5 settembre, c’era stato un tentativo analogo che non aveva avuto successo, solo perchè l’autore pensava fosse sufficiente cambiare il file “index.html” per cambiare la prima pagina. In tale giorno l’attacco era pervenuto dall’indirizzo IP 201.4.233.26
6. Entrambi gli indirizzi IP provengono dal Brasile, ma appartengono, probabilmente, a due società diverse. Ovviamente ciò non significa che l’attacco è pervenuto direttamente dal Brasile
7. Tutto lascia pensare che non si sia trattato di un attacco mirato esplicitamente al mio sito, ma il risultato di script che cercano i siti vulnerabili e, una volta trovati, provvedono a sostituire la pagina principale.

Per il futuro dovrò prestare più attenzione alla sicurezza, anche se, comunque, non potrò avere mai la stessa attenzione che normalmente io e i miei colleghi abbiamo quando si tratta di computers aziendali.