DotNetNuke Defacement

home title Posted on 27 mag 2009 home title

In questi giorni parecchi siti sviluppati con il CMS DotNetNuke (DNN) hanno subito attacchi di defacement da parte di vari gruppi hacker.

A quanto mi risulta, da ricerche effettuate personalmente, per analizzare questi attacchi le versioni vulnerabili sono quelle al di sotto della 04.09.00.

Ecco due esempi di file che sono stati ritrovati in siti DNN attaccati proprio in questi giorni:

  • index.html.txt

<html>

 <head>
 <meta http-equiv="Content-Language" content="en-us">
 <meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
 <title>Hacked...</title>
 </head>

 <body bgcolor="#000000">

 <div style="position: absolute; width: 308px; height: 100px; z-index: 1; left: 335px; top: 51px" id="layer1">
 <p align="center">
 <font face="Arial Black" color="#FF0000" style="font-size: 35pt; font-weight: 700">
 Hacked...</font></p>
 <p align="center"><b>
 <font face="Tahoma" color="#C0C0C0" style="font-size:  8pt">Attacker:</font><font face="Tahoma" color="#FFFFFF"  style="font-size: 11pt">
 Persian Boys Hacking Team
 </font></b></p>
 <p align="center"><b>
 <font face="Tahoma" style="font-size: 8pt" color="#C0C0C0">We Are </font>
 <font face="Tahoma" style="font-size: 8pt" color="#3399FF">Sp3shial &amp;
 Veroonic4</font></b></p>
 <p align="center"><a href="ymsgr:sendIM?sp3shial@ymail.com">
 <img border="0"  src="http://opi.yahoo.com/online?u=sp3shial@ymail.com&m=g&t=2"  width="125" height="25"  align="left"></a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
 <a href="ymsgr:sendIM?veroonic4"><img border="0"  src="http://opi.yahoo.com/online?u=veroonic4&m=g&t=2"></a></div>
 <p>&nbsp;</p>

 </body>

 </html>

  • vzr.txt

Hacked By Vezir.04 imhatimi

Effettuando ricerche a riguardo ho trovato due database in cui vengono aggiunti giorno per giorno i siti che due gruppi hacker riescono a colpire:

http://www.zone-h.org/archive/defacer=Extrance%20Digital%20Security%20Team/page=4

http://www.evilc0der.com/defacer/1/Fribo/

Da qui si possono vedere gli elenchi completi di tutti i siti che hanno subito attacchi di defacement da parte di questi due gruppi di hacker (che in questo caso non sono nemmeno tra quelli che hanno lasciato i due file da me raccolti).

Dalle ricerche effettuate posso presupporre che sia disponibile un tool ottimizzato per attaccare i siti DNN con una vulnerabilità specifica e che questo tool sia anche parecchio veloce nel suo scopo. Analizzando gli orari con cui i file sono stati scritti su un server Windows 2003 con parecchi siti DNN ho notato infatti che i siti sono “caduti” con frequenza anche minore di uno al minuto.

In concomitanza con i siti che hanno subito il caricamento dei file “incriminati” convivono siti DNN aggiornati a versioni + recenti che non hanno subito l’attacco…ciò mi lascia presupporre che le versioni successive abbiano risolto il problema. Si consiglia quindi chi possiede uno o più siti DNN di mantenerli il più possibile aggiornati (anche se spesso aggiornare il core del sito causa incompatibilità con alcuni moduli). Nei prossimi giorni spero di potervi dare maggiori dettagli sul caso.

home title Leave a Reply home title

 
line
footer
AtSafe di Silvio Balduzzi - P.IVA: 03660270160 C.F. BLDSLV84M21C800W
RSS