Uno dei più popolari servizi di hosting nel Dark Web, chiamato "Daniel's Hosting", ha subito, intorno a metà settembre 2018, un attacco informatico che ha portato alla cancellazione di tutti i siti web gestiti dal servizio.
Il servizio contava circa 6500 diversi siti web Onion, tutti ormai perduti.
Ha detto Daniel Winzen, l'amministratore del sito:
Nel Dark Web non esistono backup [...] non c'è modo di recuperare i dati da questo breach. Ormai sono persi
Causa del successo dell'attacco sembrerebbe essere stata una vulnerabilità del framework PHP, ossia la funzione imap_open(). Questa è solo una speculazione dell'amministratore, ma si hanno valide ragioni per credere che sia stata la porta di accesso che ha permesso la cancellazione di tutto il sistema. Una delle quali, sarebbe il fatto che l'attacco è stato fatto il giorno successivo all'uscita di un'exploit che sfrutterebbe tale vulnerabilità, consultabile su GitHub qui.
Come ciliegina sulla torta, anche l'account root è stato cancellato dal sistema.
Stranamente, gli altri account presenti nel sistema, compresa la cartella /home/, non sono stati colpiti dall'attacco. È evidente, quindi, che il target dell'attacco fosse esclusivamente il servizio di hosting.
Secondo Daniel, il servizio potrebbe tornare online a Dicembre, quando la vulnerabilità sarà stata corretta.
Il servizio di hosting fornito da Daniel, ospitava tra le più svariate tipologie di siti web, dai forum, alle chat, alle board, ai mercati neri.
Una delle speculazioni che sono state fatte riguardo l'attacco, sarebbe il fatto che Daniel hostava una chat IRC sulla sua home page, ritenuta successivamente un punto di ritrovo per pedofili. La comunità di pedofili sul Deep Web è vista negativamente da numerosi hacker, pertanto si ha motivo di credere che sia stata una scusante per ricevere l'attacco.
L'attacco ha portato una grave perdita nel mondo del Deep e Dark Web.
Daniel hostava una lista di link visitato quotidianamente da più di 500 persone, presumibilmente naviganti inesperti, rendendo "Daniel's Hosting" uno tra i più famosi fornitori di link Onion (dopo Fresh Onions e Hidden Wiki).
AGGIORNAMENTO:
In caso l'exploit venisse rimosso da GitHub, ho deciso di trascriverlo qui sotto:
<?php
# echo '1234567890'>/tmp/test0001
$server = "x -oProxyCommand=echo\tZWNobyAnMTIzNDU2Nzg5MCc+L3RtcC90ZXN0MDAwMQo=|base64\t-d|sh}";
imap_open('{'.$server.':143/imap}INBOX', '', '') or die("\n\nError: ".imap_last_error());Letture interessanti:
