Asa cum am scris p2 26 Ianuarie, compania de web hosting Dreamhost a avut ceva probleme de securitate pe care parea ca le-a rezolvat prin schimbarea parolelor de FTP ale clientilor.
Insa alte probleme legate de atac au inceput sa apara: pagini pe care ruleaza scripturi php malitioase ce redirectioneaza utilizatorii dornici sa lucreze de acasa au fost adaugate pe sute de site-uri gazduite de compania Dreamhost in urma exploatarii unei brese de securitate a serverelor Dreamhost, in luna ianuarie.
Dreamhost a decis sa reseteze parolele conturilor si parolele de email pentru utilizatorii sai dupa ce a descoperit ca hackerii au compromis unul dintre serverele de baze de date apartinand Dreamhost, in data de 20 ianuarie.
Conform oficialilor companiei, nu au fost detectate activitati ilegale imediat dupa atac insa aceasta situatie s-ar putea schimba in timp. In urma atacului, mai multe site-uri gazduite de companie au fost compromise, acestea redirectionand utilizatorii catre o pagina de inselatorie ruseasca.
Site-ul acesta promova o inselatorie cu privire la oferte de munca de acasa, continutul sau fiind in limba rusa. Aceste tipuri de escrocherii au fost utilizate de-a lungul anilor si de obicei, au ca scop sa convinga utilizatorii, sa cumpere un kit de pornire contra unei sume de bani, kit ce-ar trebui sa-i ajute sa castige bani pe internet, lucrand de acasa.
Firma de securitate “Sucuri Security” a monitorizat indeaproape aceste atacuri si altele similare si nu poate spune cu exactitate daca aceste atacuri au fost avut loc dupa compromiterea bazei de date a Dreamhost sau daca ele afecteaza doar site-urile gazduite de Dreamhost.
Majoritatea site-urilor compromise rulau un script php de tipul backdoor, script ce fusese instalat pe data de 26 Decembrie, cu mult inainte de atacul lansat impotriva Dreamhost.
Indiferent daca aceste site-uri au fost compromise in urma atacului lansat impotriva Dreamhost, a unor vulnerabilitati in scripturile pe care le rulau respectivele site-uri sau a unor probleme de securitate ce-ar fi putut fi exploatate pe serverele de hosting care gazduiau acele site-uri, webmasterii si administratorii de servere ar trebui sa trateze problema cu seriozitate si sa ia cele mai bune masuri de securitate: scanarea site-urilor cu ajutorul unor servicii gratuite (Zulu, Sucuri, etc), schimbarea parolelor de administrare in mod regulat, setarea unor parole greu de depistat si actualizarea permanente a software-ului si aplicatiilor care ruleaza pe server.