Come riportato nel precedente post una enorme quantita' di siti web ospitati su sever ARUBA, un importantissimo Isp/hoster italiano è stata infettata con codice malevolo e nella fattispecie con un iframe.
Come io stesso ho potuto vedere il numero è superiore alle 11000 unita'.....
La cosa è confermata anche da vari articoli internazionali
http://www.eweek.com/article2/0,1895,2147711,00.asp
Quindi un numero molto elevato di computer di navigatori sono stati infettati dall'exploit dei siti compromessi.
Questo non solo in Italia ma in tutto il mondo anche se la parte del leone principalmente la fa il nostro paese visto che si trattava comunque di siti in lingua italiana.
Questo attacco segue quello di circa un mese e mezzo fa a hosting solutions:
stessa tecnica, stesso iframe e sempre server windows compromessi.
Una ragazza poi riporta una notizia ancora tutta da verificare...
Anche i server della societa' seeweb avrebbero avuto problemi ed in questo caso si tratterebbe di server linux. Questo pero' va preso con il beneficio di inventario.
Questo per quanto riguarda i siti del tutto legittimi....pero' come sapete l'attacco verso il nostro paese va avanti ormai da parecchio ed ha trovato il suo acme l'anno scorso con il famosissimo virus Gromozon/LinkOptimizer da cui questo blog ha tratto il nome.
Pochi giorni fa un utente del forum di Hwupgrade è stato infettato con una nuova variante di questo terribile virus che si diffonde con le stranote pagine civetta (leggete i post precedenti per capirci qualcosa) di cui ho parlato in tutto il blog. Un virus che era perfino stato considerato innocuo da un analista Kaspersky!
Un analista di Kaspersky sbaglia su un malware pericolosissimo
Per quanto riguardo le modalita' vi invito a leggere questo vecchio articolo di Elia Florio di Symantec. Gli Ip ora sono diversi ma lo schema di attacco e le strategie sono rimasti invariati: si tratta di un'architettura a piu' livelli
http://www.symantec.com/enterprise/security_response/weblog/2006/10/gromozon_reloaded_everything_t.html
Gromozon e i suoi fratelli godono di ottima salute ma difendersi è possibile.
Infine una buona notizia:Dialer: denunciati gli autori del capitano Prisco Mazzi
Aggiornamento:
Symantec sta investigando sull'accaduto:
http://www.symantec.com/enterprise/security_response/weblog/2007/06/mpack_the_strange_case_of_the.html
Qui sotto l'immagine dell'Iframe Manager usato dalla gang, un tool che permette di automatizzare l'attivita' (criminale) su vasta scala.
qui c'è un pdf interessatissimo sul tool Mpack ad opera di PandaLabs:
http://blogs.pandasoftware.com/blogs/images/PandaLabs/2007/05/11/MPack.pdf
8 commenti:
Ciao Maverick. Se mi dai un tuo contatto email ti posso mandare tutti i dati che ho sul problema relativo all'attacco "iframe" subìto dai server di Seeweb nel mese di aprile 2007, nomi dei domini, date e ore delle modifiche, numeri IP dei servers, quello che ti serve per verificare. Anch'io sono rimasta stupita della situazione occorsa sui server di Seeweb quando me ne sono accorta. Pensavo proprio che la serietà dell'azienda e il fatto che usasse prevalentemente server linux fossero una garanzia di una buona sicurezza (la sicurezza al 100% non esiste mi sa). Purtroppo forse anche loro sono stati spiazzati dalla situazione, e ci hanno messo ben 20 giorni per risolverla...Da quel poco che ho potuto capire dalle notizie degli ultimi due mesi forse sono stati i primi a subìre questo attacco in massa, ma ancora mi lascia dubbiosa il fatto che abbiano violato dei server Linux che se configurati bene e seguiti con professionalità dovrebbero essere decisamente robusti. O mi sbaglio? Comunque sono a disposizione per tutti i chiarimenti che vuoi...
Saluti
Valeria
Certo valeria ma preferisco non farlo
qui sul blog e poi ti spiego anche il perche'. Ti scrivo io :-)
Nessun problema Maverick, neanch'io ho lasciato contatti diretti, ma so che se abbastanza in gamba per riuscire a contattarmi :)
Ci sentiamo.
Ciao Maverick, ci sono problemi a scriverti sull'indirizzo da cui mi hai scritto ieri...ho provato a risponderti maricevo un blocco di una blacklist...puoi provare a scrivermi con un'altra email please? Grazie mille. Valeria
Ho ricevuto la nuova email e nessu errore, ma...tu hai ricevuto tutto?
Saluti
Ho risposto a quella in cui mi chiedevi chiarimenti sui range e su come utilizzare la blacklist con il firewall. Sulla documentazione riguardante seeweb nulla.
Ora dovresti aver ricevuto tutto :) se servissero altri chiarimenti sono a disposizione...spero di esserti stata utile. Saluti.
Si ho ricevuto tutto. Non c'è dubbio che sia lo stesso gruppo di simpaticoni. Adesso ne parlo con qualcuno che ne sa piu' di me per capire qualcosa in piu'
Posta un commento