Il 9 febbraio scorso nel post titolato “18446744073709551615 – Un nuovo hack in arrivo?” avevo descritto un hacking che stava avvenendo in centinaia di siti di hosting italiani e stranieri che non aveva un apparente denominatore comune.

Infatti all’epoca non si spiegava se venivano sfruttate vulnerabilità dell’applicativo in uso sul proprio dominio (in Rete in questi ultimi giorni c’è un gran parlare sulla possibilità che sia WordPress la causa) o se si trattasse di uno stealing di account ma alla luce di quanto analizzato a febbraio e quanto analizzato in questi giorni vi sono in rete diverse “testimonianze” di siti hackerati che con molta probabilità non hanno vulnerabilità in quanto basati su semplici pagine html statiche.

Alcune “vittime” mi han contattato privatamente e mi hanno fornito informazioni per poter delineare meglio questo hack.

Ricordo a chi legge questo Blog per la prima volta che nel post precedente chiamato volutamente “Un nuovo hack in arrivo?” segnalavo come le azioni di febbraio apparivano più come un “giro di test” che come un’azione a fini malevoli quale è, invece, in questi giorni. A febbraio numerosi siti subirono un hack atipico poiché i siti vittima non venivano alterati o infettati da virus/trojan ma, semplicemente, mostravano il numero “18446744073709551615” a pié di pagina e nel codice si poteva individuare la dichiarazione di una funzione dal nome “ob_start(“security_update”)“. Questo, dal mio punto di vista, poteva essere interpretato come un marcatore tramite il quale chi attacca può farsi un’idea di quanti potenziali vittime potrebbe colpire.