martedì 14 luglio 2009

NO al decreto Alfano



martedì 25 novembre 2008

La fine di Estdomains

Dopo anni di attivita' illecite scompare finalmente dalla rete Estdomains inc.
I domini registrati dalla societa' con base in Estonia passano sotto la gestione di ResellerClub del gruppo indiano Directi.

sabato 8 novembre 2008

Italian Job 3 :compromessi siti web su server Tiscali

Come avevo immaginato sono almeno centinaia i siti web compromessi con script malevoli sul server di Tiscali con ip 213.205.40.169.
Una lista incompleta (ad esempio mancano quelli che ho segnalato io) la potete trovare sul blog dell'amico edgar:

http://edetools.blogspot.com/2008/11/aggiornamento-situazione-siti-colpiti.html

Così come un'analisi degli exploit per infettare il vs. computer

http://edetools.blogspot.com/2008/11/il-contenuto-delle-pagine-linkate.html

http://edetools.blogspot.com/2008/11/aggiornamento-attacco-siti-web-su.html


Fortunatamente alcuni sono segnalati da google



e firefox 3 ( che vi invito fortemente ad usare)




AGGIORNAMENTO 10/11/08

Un veloce aggiornamento per mostrare alcuni tipi di virus dell'attacco (denominazione Kaspersky AV) :

hxxp://62.16.112.143/e/[edit]load.php?ssv is infected with Trojan.Win32.Agent.amku
hxxp://79.135.167.63/x/[edit]load.php?ssv is infected with Trojan.Win32.Agent.amku
hxxp://79.135.167.63/d/[edit]load.php?ssv is infected with Trojan-Downloader.Win32.Agent.aoja
hxxp://78.109.25.199/[edit]load.php?ssv is infected with Trojan-Downloader.Win32.Agent.aoja

giovedì 6 novembre 2008

Un nuovo hack di massa sui server di Tiscali?

Dopo i clamorosi attacchi perpetrati ai danni di hoster italiani come aruba , seeweb , hostingsolutions
degli scorsi anni
potrebbe essere in atto o c'è gia' stato un nuovo hack di massa su server tiscali.
Non credo che avro' il tempo do verificare la cosa ma ho notato la presenza di javascript offuscati che celavano i soliti iframe infetti.

In particolare sul server 213.205.40.169 risultano compromessi i domini

www.reperunanotte.it
www.accaddeoggi.it
www.reggiavenariareale.it
www.medicidigruppo.it






e www.adipa.org



www.dellotto.it

iframe malevolo in chiaro ( server dell'attacco 79.135.167.63 )


Se qualcuno volesse verificare se ce ne sono altri sul server (ancora meglio su tutto il range) , magari utilizzando il tool webscanner di edgar, sarebbe molto utile.

lunedì 3 novembre 2008

Cybercriminalita': anche la stampa italiana si sveglia

Dopo anni di torpore anche la stampa italiana pubblica 2 interessanti articoli sul fenomeno
della cybercriminalita' dilagante sul web:

Il primo è della stampa di torino:

http://www.lastampa.it/_web/cmstp/tmplrubriche/tecnologia/grubrica.asp?ID_blog=30&ID_articolo=5116&ID_sezione=38&sezione=News

L'altro dell'espresso:

http://demo.extra.kataweb.it/eolextrademo/eol.jsp?id=1891462&page=article&giornale=espresso

mercoledì 29 ottobre 2008

Estdomains alla resa dei conti

Dopo la scomparsa dell'infame hoster Atrivo/Intercage, c'è un'altra bellissima notizia.
L'ICANN sta per escludere dalla lista della societa' accreditate per registrare i domini Estdomains
Inc.

Tutti i dettagli li potete leggere sul blog della famosa azienda finlandese F-secure.

http://www.f-secure.com/weblog/archives/00001522.html



I prossimi ad essere buttati fuori della rete spero siano quelli dalle gang russa di Klikrevenue.


AGGIORNAMENTO 30/10/08

Ulteriori sviluppi qui, con la risposta di quelle anime pie di Estdomains:

http://www.icann.org/en/announcements/announcement-2-29oct08-en.htm


Riportano la notizia anche il washingtonpost e Zdnet

http://voices.washingtonpost.com/securityfix/2008/10/icann_de-accredits_estdomains.html?hpid=sec-tech

http://blogs.zdnet.com/security/?p=2089


qui invece qualcosa in italiano:

http://www.sicurezzainformatica.it/2008/10/estdomains-de-accreditato-da-icann.html

lunedì 22 settembre 2008

Atrivo/Intercage (AS27595) off-line

Per la serie good news sembra che uno dei piu' famosi network di cybercriminali del mondo sia finalmente off-line.
Pare infatti che estdomains (l'infame registro di domini fraudolenti) abbia spostato il suo sito che prima era ospitato da atrivo/intercage USA , sul server 94.102.49.4
e esthost.com su 94.102.49.3

Ecatel LTD NETHERLANDS
94.102.48.0 - 94.102.63.255

Staremo a vedere come si evolvera' la situazione nei prossimi giorni.

AGGIORNAMENTO

Atrivo ha trovato ancora una volta un nuovo fornitore di accesso dopo che molti gli avevano "staccato la spina". Si tratta di
 AS23342         UNITEDLAYER - Unitedlayer, Inc



Articoli sulla scomparsa dell'infame Atrivo/Intercage

http://www.pcworld.com/article/151386/.html?tk=rss_new
s

http://rbnexploit.blogspot.com/2008/09/rbn-atrivo-goes-dark.html

Sul forum di malwaredomainlist.com c'è una discussione su estdomains

http://www.malwaredomainlist.com/forums/index.php?topic=2180.0



Un altro interessante articolo è su arstechnica

http://arstechnica.com/news.ars/post/20080923-bad-seed-isp-atrivo-cut-off-from-rest-of-the-internet.html


AGGIORNAMENTO 25/9/08

Estdomains continua la ricerca di una nuova casa.
Attualmente il dominio dell'infame registro punta al server 78.157.142.165 Latvia Vdhost Ltd
appartente ad un blocco gia' noto per ospitare malware e falsi antivirus.

AGGIORNAMENTO II - 25/9/08

Estdomains ha trovato la sua naturale collocazione. Il server russo
83.171.76.98 è
di una societa' di SanPietroburgo (probabilmente la capitale mondiale del cybercrime)
ZAO Petersburg Transit Telecom (PTT).

Qui nessuno potra' buttarli fuori dalla rete.

AGGIORNAMENTO III - 28/9/08

Atrivo/intercage sembra effettivamente sparita dalla rete
:-)