Discussione Attacchi regolari a siti italiani da Hacker team da medesime location

[JunkCoder]

Non è così che funziona: non sono operazioni fatte a mano, sono dei programmi e non tutti gli scanner automatici sono malevoli (anche se non graditi). Gli attacchi veri provengono sicuramente da una rete che l'attaccante usa come proxy (pubblico, vpn, tor o che contiene dispositivi infetti), quindi la provenienza che credi di tracciare con gli indirizzi IP non indica la posizione dell'attaccante ma al massimo quella dell'ultimo strumento di cui si è servito.

Leggere i log di questo "Wordfence" può essere fuorviante se non si capisce cosa intende per malicious user-agents, perché letto così non mi sembra un tentativo di exploitation per prendere il controllo del sito, piuttosto suona come un bad bot che vuole spammare link nei commenti.

Diciamo che si è un far west: lo sceriffo c'è però in questo momento è molto impegnato con i gruppi di ransomware e APT, guerre, terrorismo eccetera quindi non può dare la caccia a gli spammer (e spesso vivono in paesi dove è legale quello che fanno).

 

[Psychonaut]

In ogni caso se sei sicuro di essere sotto attacco , esiste la polizia postale e a livello nazionale esistono realtà come l'ACN ( Agenzia Cybersec Nazionale ) che si occupa appunto di proteggere interessi di aziende e strutture del paese .

Be, non direi, cio'è ... parliamone.. , dato che subappaltano probabilmente tutto il lavoro ad Accenture, senza considerare che non sono stati neanche capaci di difendere alcuni siti tra cui quello dei carabinieri o del Ministero della difesa da 4 ragazzini russi che lanciavano DDOS da una botnet comprata.
Senza considerare il fatto che da anni ormai l'italia (e non solo, ma qui siamo in italia quindi parliamo di questa) è nel mirino di campagne massive di phishing.
Senza considerare gli attacchi alle strutture pubbliche(quelli che lo dichiarano o che se ne accorgono).

Quindi boo, a me sembrano un pò degli scappati di casa che fanno fare il lavoro ad una Multinazionale.

 

[☣ᴋɪʟʟ ꜰᴏʀ ᴛʜᴇ ᴛʜʀɪʟʟ☣]

Non sono crew di hackers, ma bot o più facilmente dei crawler che ti scansionano il sito, ma non in cerca di vulnerabilità... semmai per fini di marketing, statistiche ed altre cose noiose e tutt'altro che legate alla sicurezza informatica.

 

[JunkCoder]

Ti è già stato spiegato, inutile rimettere le stesse domande, piuttosto dici cosa non ti è chiaro: qualunque sia lo scopo del bot/crawler sta scansionando TUTTI gli indirizzi quindi nessuno sta "prendendo di mira" le microaziende e i freelance.

- Wordfence è effettivamente uno strumento sufficiente per contrastare gli attacchi?

No.

- E' sempre stato così o è un fenomeno relativamente recente?

Da quando sono stati inventati internet e i motori di ricerca.

- Ci sono strutture che contrastano questa attività (quando dovrei rivolgermi alla polizia postale? A danno fatto o esiste prevenzione?) o è un far-west in cui devi difenderti da solo?

Puoi rivolgerti alla polizia a danno fatto, che fai gli dici che qualcuno con un user-agent in lista nera ha visitato il tuo sito? E allora?


E ora tenetevi forte, il misterioso "Known malicious user-agent" non è altro che la presenza della parola Mozlila (un typo) nell'user-agent (fonte)
In pratica se era scritto bene tranquillo che Wordfence stava zitto e buono e non avresti saputo niente.
Non mi risulta un file fw.php in wordpress, probabilmente il bot cercava un altro software o framework vulnerabile.

 

[--- Ra ---]

Be, non direi, cio'è ... parliamone.. , dato che subappaltano probabilmente tutto il lavoro ad Accenture, senza considerare che non sono stati neanche capaci di difendere alcuni siti tra cui quello dei carabinieri o del Ministero della difesa da 4 ragazzini russi che lanciavano DDOS da una botnet comprata.
Senza considerare il fatto che da anni ormai l'italia (e non solo, ma qui siamo in italia quindi parliamo di questa) è nel mirino di campagne massive di phishing.
Senza considerare gli attacchi alle strutture pubbliche(quelli che lo dichiarano o che se ne accorgono).

Quindi boo, a me sembrano un pò degli scappati di casa che fanno fare il lavoro ad una Multinazionale.

Polizia postale talmente ignorante che se porti loro un cellulare lo scambiano per un dispositivo extraterrestre

 

[MRPants]

Be, non direi, cio'è ... parliamone.. , dato che subappaltano probabilmente tutto il lavoro ad Accenture, senza considerare che non sono stati neanche capaci di difendere alcuni siti tra cui quello dei carabinieri o del Ministero della difesa da 4 ragazzini russi che lanciavano DDOS da una botnet comprata.
Senza considerare il fatto che da anni ormai l'italia (e non solo, ma qui siamo in italia quindi parliamo di questa) è nel mirino di campagne massive di phishing.
Senza considerare gli attacchi alle strutture pubbliche(quelli che lo dichiarano o che se ne accorgono).

Quindi boo, a me sembrano un pò degli scappati di casa che fanno fare il lavoro ad una Multinazionale.

Sono totalmente d'accordo e ne ho parlato pure in alcuni video , è assolutamente vero ; e sai qual è la peggiore presa per il culo ? Che si sono solo limitati a cambiare chi stava a capo invece di entrare nel merito.

Ma questo è un altro discorso, se qualcuno chiede chi se ne occupa a livello nazionale e ufficiale, che piaccia o meno , sono loro ;

Il resto è gossip più o meno vero ma il posto per parlarne è un altro topic

Ad Accenture ( da quello che si sa per ora ) hanno affidato la stesura di alcune procedure abbastanza critiche , questo è stato lo scandalo ; per il momento non possiamo dire se tutto il processo di difesa sia appaltato o solo le procedure e relative metodiche ( che cmq non è poco )

 

[Answer42]

Non sono crew di hackers, ma bot o più facilmente dei crawler che ti scansionano il sito, ma non in cerca di vulnerabilità... semmai per fini di marketing, statistiche ed altre cose noiose e tutt'altro che legate alla sicurezza informatica.

Quindi il fatto che uno strumento come Wordfence (che presumo ben gestito e ben aggiornato) classifichi questi tentativi di accesso come "malicious" è in qualche modo fuorviante/eccessivo/inesatto? Perchè in realtà approfondendo ciò che cercano di accedere in alcuni di questi attacchi, scopri che il bot tenta di accedere a file che in effetti poi scopri essere file con un punto debole del sistema, già oggetto di attacchi segnalati altrove. Per cui non sembrerebbero innocenti crawler che raccolgono statistiche... Naturalmente posso sbagliarmi.

Tu che valore daresti a wordfence come strumento base di protezione da attacchi ?
Grazie mille per l'aiuto!

 

[DjCanigia]

"Blocked by firewall for known malicious user-agents" questa dicitura significa che il firewall ha bloccato un ip riconosciuto come malevolo (un pò come quando ti chiamano e il cellulare ti avvisa che la chiamata è spam).

Potrebbe essere un bot che spamma link, potrebbe essere un semplice scanner (i motori di ricerca scannerizzano continuamente la rete).
Se fosse un semplice scanner perchè è ritenuto malevole? Tornando al discorso di prima, capita spesso che alcuni numeri telefonici vengano segnalati come spam anche se non lo sono (esempio: numero assistenza PayPal). Per gli IP funziona allo stesso modo.

Non conosco bene wordfence però sicuramente si basa su un database di IP generalmente classificati malevoli.

 

[☣ᴋɪʟʟ ꜰᴏʀ ᴛʜᴇ ᴛʜʀɪʟʟ☣]

Quindi il fatto che uno strumento come Wordfence (che presumo ben gestito e ben aggiornato) classifichi questi tentativi di accesso come "malicious" è in qualche modo fuorviante/eccessivo/inesatto? Perchè in realtà approfondendo ciò che cercano di accedere in alcuni di questi attacchi, scopri che il bot tenta di accedere a file che in effetti poi scopri essere file con un punto debole del sistema, già oggetto di attacchi segnalati altrove. Per cui non sembrerebbero innocenti crawler che raccolgono statistiche... Naturalmente posso sbagliarmi.

Tu che valore daresti a wordfence come strumento base di protezione da attacchi ?
Grazie mille per l'aiuto!

Cosa intendi per file che possono essere un punto debole del sistema?

Se intendi l'index, sono appunto indexer crawler.

 

[MRPants]

Faccio un esempio. Ecco un esempio delle tante segnalazioni di malicious agent da Wordfence:


Visualizza allegato 70376




Come vedi, l'agent ha tentato di accedere il file /fw.php in root . Da una breve ricerca online trovo che riuscire ad accedere e intervenire in qualche modo su fw.php consente di manomettere la pagina di login e di avere possibilità di accesso illecito: https://nicola.top/en/kak-izmenit-stranicu-vhoda-v-adminku-wordpress/ :


Visualizza allegato 70377

Ecco, quindi se un agent tenta di accedere fw.php non è per regalarmi fiori o "spammare commenti". Chiaramente vuole accedere illecitamente al sito. Quindi l'approccio "garantista" che mi state consigliando non mi pare confortato dai dati.
Mi rendo conto che forse è un tema da specialisti di wordpress. Mi rivolgo a chi ha esperienza su questo tipo di piattaforma e di temi; ribadisco le mie domande:

------------------------------------
- E' effettivamente così? Ci sono team di hacker che effettuano con regolarità attacchi a tutti i siti italiani? Team che operano a ondate regolari da IP riconducibili sempre alle medesime 20-30 location wordlwide?
- Wordfence è effettivamente uno strumento sufficiente per contrastare gli attacchi?
- E' sempre stato così o è un fenomeno relativamente recente?
- Ci sono strutture che contrastano questa attività (quando dovrei rivolgermi alla polizia postale? A danno fatto o esiste prevenzione?) o è un far-west in cui devi difenderti da solo?
- Gli attacchi che vedo riguardano piccole e micro aziende, perfino semplici freelance. Che senso ha attaccare microaziende o freelance?
------------------------------------

Grazie a tutti ,
Buona giornata a voi

Esistono team di hacker ? si e no , esistono gruppi di più persone come singoli , in ogni caso la location riportata è molto probabilmente fuorviante , chi attacca non lo fà con il proprio IP , utilizza botnet e/o tecniche per occultare o modificare la propria posizione quindi se proprio fossero effettivamente "hacker" ( cosa di cui dubito ) questi dati sulla posizione geografica loro non sono da tenere i9n considerazione.

Come hai detto te , attaccare piccole aziende o piccoli freelance , non ha nessun senso e infatti non penso sia questo il caso , è quasi sicuramente come ti hanno illustrato qui sopra , crawler o simil.

La cosa se mai da valutare è appunto WorldFence , informandomi un attimo sembra uno di quei plug-in che segnala e blocca un pò di tutto per legittimare la propria esistenza , un pò come quei programmi che anni fà scaricavi e ti segnalavano che il PC aveva tot errori quando in realtà non era proprio così ; ne ho trovate parecchie del genere su più piattaforme :

""" this is more like a scam company​

this is more like a scam company, I have my normal virgin broadband from UK, I visited a website that continuously blocked my ip but their logo is there so you can search for them, as a visitor I would never visit a website that blocks me for normal page searching, I mean you can't expect someone stays too much on a webpage if is not interesting or I couldn't find what I looked for, and blocking a public IP from an internet provider just for navigating you just make me mad and people who implement your plugin in their websites are really sick, your plugin is not accurate and time-wasting

Date of experience: January 28, 2023 """

" What problems is WordFence solving and how is that benefiting you?
Bait and switch with their "emergency" response product that took 9 hours before they bothered to tell us that our site wasn't covered because of a plugin... LMAO.

Jun 01, 2022 "


In ogni caso se sei sicuro di essere sotto attacco , esiste la polizia postale e a livello nazionale esistono realtà come l'ACN ( Agenzia Cybersec Nazionale ) che si occupa appunto di proteggere interessi di aziende e strutture del paese .

Ovviamente questa è la mia opinione , prendila come tale

 

[Answer42]

Grazie, le tue mi sembrano considerazioni molto ragionevoli e grazie soprattutto per l'indicazione della ACN che non conoscevo.

 

[Psychonaut]

Polizia postale talmente ignorante che se porti loro un cellulare lo scambiano per un dispositivo extraterrestre

Non lo so, per quanto riguarda l'installazione di trojan sui cellulari se la cavano pure xD

 

[Psychonaut]

No non è capitato a me, me l'ha detto il famoso cuggggino che lavora nelle forze dell'ordine

 

[Libroe]

Praticamente la polizia postale e hacker etici che difendono il giusto sembra che non esistano.

 

[Answer42]

Buongiorno a tutti, sono un consulente che tra le altre cose realizza siti wordpress commerciali per i miei clienti. Sto cercando di capire meglio le logiche di sicurezza da cyberattacchi. Sulla cybersecurity sono alle prime armi e sto usando uno strumento base come il plugin Wordfence.

Una volta installato wordfence su diversi siti che ho realizzato, noto che pur essendo siti con temi diversi tra loro, su diversi provider, tutti i siti subiscono numerosi attacchi simili:
Blocked by firewall for known malicious user-agents

La cosa che mi sorprende è che gli attacchi sembrano provenire da luoghi specifici che si ripetono, sempre gli stessi, su tutti i siti che gestisco:
VIctoria Seychelles
Dnipro, Ukraina
United Kingdom
Czechia
Santa Clara, California
Kansas, Stati uniti
Sweden
Helsinki Finland
etc.

Mi pare di capire che vi è un numero limitato di team hacker che dagli stessi luoghi ripete periodicamente il medesimo attacco su tutti i siti che mi capita di gestire, anche su siti appena creati con nuovo dominio. Ovviamente i siti che gestisco io non hanno nulla di speciale e quindi penso che questo tipo di attacchi sia esteso a qualunque sito, diciamo, italiano. Tutti, indistintamente.

Ho alcune domande molto ingenue per capire meglio:
- E' effettivamente così? Ci sono team di hacker che effettuano con regolarità attacchi a tutti i siti italiani? Team che operano a ondate regolari da IP riconducibili sempre alle medesime 20-30 location wordlwide?
- E' sempre stato così o è un fenomeno relativamente recente?
- Ci sono strutture che contrastano questa attività o è un far-west in cui devi difenderti da solo?
- Gli attacchi che vedo riguardano piccole e micro aziende, perfino semplici freelance. Che senso ha attaccare microaziende o freelance?

Grazie mille a chi vuole rispondermi,

 

[Answer42]

Cosa intendi per file che possono essere un punto debole del sistema?

Se intendi l'index, sono appunto indexer crawler.

Faccio un esempio. Ecco un esempio delle tante segnalazioni di malicious agent da Wordfence:

Come vedi, l'agent ha tentato di accedere il file /fw.php in root . Da una breve ricerca online trovo che riuscire ad accedere e intervenire in qualche modo su fw.php consente di manomettere la pagina di login e di avere possibilità di accesso illecito: https://nicola.top/en/kak-izmenit-stranicu-vhoda-v-adminku-wordpress/ :

Ecco, quindi se un agent tenta di accedere fw.php non è per regalarmi fiori o "spammare commenti". Chiaramente vuole accedere illecitamente al sito. Quindi l'approccio "garantista" che mi state consigliando non mi pare confortato dai dati.
Mi rendo conto che forse è un tema da specialisti di wordpress. Mi rivolgo a chi ha esperienza su questo tipo di piattaforma e di temi; ribadisco le mie domande:

------------------------------------
- E' effettivamente così? Ci sono team di hacker che effettuano con regolarità attacchi a tutti i siti italiani? Team che operano a ondate regolari da IP riconducibili sempre alle medesime 20-30 location wordlwide?
- Wordfence è effettivamente uno strumento sufficiente per contrastare gli attacchi?
- E' sempre stato così o è un fenomeno relativamente recente?
- Ci sono strutture che contrastano questa attività (quando dovrei rivolgermi alla polizia postale? A danno fatto o esiste prevenzione?) o è un far-west in cui devi difenderti da solo?
- Gli attacchi che vedo riguardano piccole e micro aziende, perfino semplici freelance. Che senso ha attaccare microaziende o freelance?
------------------------------------

Grazie a tutti ,
Buona giornata a voi

 

[DjCanigia]

Ti è già stato spiegato, inutile rimettere le stesse domande, piuttosto dici cosa non ti è chiaro: qualunque sia lo scopo del bot/crawler sta scansionando TUTTI gli indirizzi quindi nessuno sta "prendendo di mira" le microaziende e i freelance.



No.


Da quando sono stati inventati internet e i motori di ricerca.


Puoi rivolgerti alla polizia a danno fatto, che fai gli dici che qualcuno con un user-agent in lista nera ha visitato il tuo sito? E allora?


E ora tenetevi forte, il misterioso "Known malicious user-agent" non è altro che la presenza della parola Mozlila (un typo) nell'user-agent (fonte)
In pratica se era scritto bene tranquillo che Wordfence stava zitto e buono e non avresti saputo niente.
Non mi risulta un file fw.php in wordpress, probabilmente il bot cercava un altro software o framework vulnerabile.

Quoto non esiste nessun file fw.php in wordpress.
Comunque se hai modo di analizzare i file log di apache troverai svariati ip di bot e crawler che fanno scansioni tutti giorni a tutte le ore

 

[--- Ra ---]

Non lo so, per quanto riguarda l'installazione di trojan sui cellulari se la cavano pure xD

Adesso devi raccontare...non puoi accennare una cosa così e poi non spiegare quello che è successo. E' accaduta a te questa cosa?