Joomla 1.5, cronaca di un attacco

Un tranquillo pomeriggio di Giugno, i pensieri vagano nella voglia di vacanze, poi all’improvviso arriva una mail scritta in inglese. […]

Un tranquillo pomeriggio di Giugno, i pensieri vagano nella voglia di vacanze, poi all’improvviso arriva una mail scritta in inglese. All’inizio sembrava la solita pubblicità , invece riportava:

IT has come to our attention that you are hosting a fraudulent “phish” website that is attempting to steal account information from customers of NatWest.

in altre parole, la mail attirava la mia attenzione riguardo pagine fraudolente caricate in alcuni siti da me gestiti (Joomla 1.5 aggiornato all’ultima release senza componenti aggiuntivi) e che stavano catturando informazioni sensibili degli utenti di una banca inglese.

Mi segnalano un URL del tipo

/index/natwestbussinessbanking/Login.html

a quel punto accedo via FTP al mio hosting e a sopresa mi accorgo che quella cartella esiste ed è la da tre giorni. All’interno ci sono un paio di script PHP che in maniera abbastanza artigianale inviano i dati di un form generato da una pagina simile a quella della banca originale a un indirizzo email (@gmail). Subito mi sono detto: “e adesso che faccio?” e subito dopo “ma come hanno fatto?” e subito dopo ancora “e se qualcuno ci è già  entrato e ha fornito le proprie credenziali, ne sono responsabile anche io?”.

Confuso tra rabbia e indecisione, decido di affrontare il problema per passi e capire se effettivamente posso attribuirmi dei sensi di colpa:

  • Notifico il problema al mio provider, sperando di ricevere qualche informazione in più, qualche log o qualche suggerimento;
  • Rinomino le cartelle incriminate (aspetto una risposta dal provider prima di eliminarle, per non cancellare del tutto le tracce utili a ripercorrere il problema);
  • Rispondo all’utente (forse un ente responsabile della sicurezza della stessa banca) dicendo che ho provveduto a ripulire i file incriminati e che ne sto verificando le cause;
  • Prendo visione di tutti i log e delle statistiche per capire come abbiano potuto caricare pagine e script nel mio sito.

Mi concentro su quest’ultimo punto, perché se non individuo la falla, il problema si potrebbe ripresentare in futuro. Stupito dal fatto che possano essere entrati per un bug di Joomla, visto che è l’ultima versione disponibile (1.5.3) e sono state adottate tutte le best-practice di sicurezza, mi concentro su eventuali estensioni caricate: nessuna!

Chiedo al provider un elenco di URL visitati di recente per verificare eventuali tentativi di exploit, ma mi liquida dicendo che i CMS open source sono spesso soggetti a questi difetti. Sconsolato, elimino gli script ma mi resta il forte dubbio: “di chi sono allora le responsabilità ?”