Tutti i dettagli li potete trovare sul sito della symantec
ad opera dell'ottimo Elia Florio e sul sito pcalsicuro
http://www.symantec.com/enterprise/security_response/weblog/2007/06/italy_under_attack_mpack_gang.html
http://www.pcalsicuro.com/main/2007/06/possibile-intrusione-nei-sistemi-aruba/
http://www.hwupgrade.it/forum/showthread.php?t=1494289
Un'intrusione davvero preoccupante visto la mole di siti web coinvolti e l'importanza dell'aziende sul panorama italiano.
Ma cerchiamo di capire cosa sta succendo ....
- obiettivi di questa gang (Russi , Ucraini)
fare soldi....infettando computer avendone il controllo da remoto
per rubare dati sensibili, per usarli per attacchi Ddos, per l'invio spam, per dirottare il traffico
verso determinati siti scelti da loro
- Metodologie di attacco e strategie tipiche
1) violare server generalmente poco sicuri (in questo caso si tratta di macchine con windows)
modificare le pagine ospitate con iframe e jscript infetti.
2) usare google e gli altri motori come mezzo di diffusione dell'epidemia grazie ad una attenta politica di scelta delle keyword e di SEO delle pagine civetta con gli exploit
3) spam
4) inganni tramite falsi antispyware
- Contromisure
per gli hoster:
1)vigilare su eventuali vulnerabilta' e tappare le falle immediatamente
(non come hosting solutions che avvisata se ne è beatamente fregata)
2)Segnalare il problema ai clienti e modificare preventivamente tutti i siti che contengono codice infetto
per gli utenti:
1) aggiornare con tutte le patch i loro sistemi ed anche i programmi con secunia inspector
2) usare account limitato
3) utilizzare un AV efficace (ma l'antivirus non basta piu')
4) bloccare con un firewall gli Ip pericolosi
5) usare una sandbox sul browser (sandboxie)
6) non usare I.E. (il 15% degli utenti di questo blog usa I.E. 6 che senza sandbox è veramente un colabrodo )
7) leggere la posta via web ed utilizzare un servizio valido tipo gmail
8) usare antirootkit (piu' se ne usano e meglio è ... gmer, darkspy,icesword,....)
Eventualmente
9) usare hips (host-based intrusion-prevention system)
10) virtualizzazione del sistema (vmware, virtual pc , ecc..)
Ma forse conviene utilizzare s.o. diversi da win per la navigazione se continua di questo passo
ed io sono uno di quelli a cui non frega nulla delle guerre di religione tra sistemi operativi
uso qualsiasi cosa possa essere utile.
adesso mostro l'n-esimo esempio di una pagina civetta infetta (questa è stata appena sfornata)
o meglio dove si viene reidirizzati dopo aver visitato delle pagine civetta che in questo caso erano una serie di falsi blog ospitati in francia xxxxxxxxxxx.aceblog.fr
Il messaggio ovviamente è ingannevole perche il codice della pagina è questo
ed una addirittura istituzionale del comune di bisignano (la vera pagina del comune non un falso)
Detto questo , io ho fatto il mio dovere adesso la palla passa a voi :-)
Aggiornamento 19/6/07 0re 00.30
Segnalo 2 articoli che parlano di quello che sta accadendo (UNA SITUAZIONE GRAVISSIMA)
uno preso da punto informatico, l'altro dal blog della societa' giapponese trendmicro
http://blog.trendmicro.com/another-malware-pulls-an-italian-job/
http://punto-informatico.it/p.aspx?i=2022019
nel frattempo mi diverto a mostrare come è cambiata la pagina civetta col messaggio che ci avvertiva che il "file era stato cancellato". Ora giustamente ci invitano ad aspettare altrimenti come fa l'exploit a compromettere in nostro sistema se chiudiamo troppo presto la finesta? :-D
Qui sotto ho preparato una mini lista di IP da bloccare nel caso in cui non volete utilizzare quella full che si trova in alto a destra del blog
58.65.239.0 - 58.65.239.255 Hostfresh Hong Kong
64.38.33.10 - 64.38.33.14 FastServers, Inc Usa
89.253.192.0 - 89.253.255.255 RUSONYX-NET Russia
89.108.64.0 - 89.108.71.255 AGAVA-DATACENTER-NET Russia
88.214.192.0 - 88.214.255.255 UK-UAONLINE UK
87.248.208.22 system doctor Limelight Networks Inc Netherlands
87.248.163.0 - 87.248.163.255 SC STARNET SRL Moldova
85.255.112.0 - 85.255.127.255 Inhoster hosting company Ucraina
85.249.128.0 - 85.249.143.255 DATAPOINT-NET1 Russia
84.252.152.0 - 84.252.159.255 RUSONYX-NET Russia
82.208.60.0 - 82.208.63.255 UPL-TELECOM-CZ Czech Republic
82.204.219.0 - 82.204.219.255 POCHTA_RU-NET Russia
81.95.148.0 - 81.95.151.255 Too Coin Software Limited Russia
81.9.5.0 - 81.9.5.255 ELTEL Russia
81.29.240.0 -81.29.242.63 GLOBALTRADE-NET-1 Russia
81.177.8.0 - 81.177.9.255 Consult It Co. Ltd Russia
81.177.16.0 - 81.177.17.255 NETHOUSE-MOSCOW Russia
81.0.250.0 - 81.0.250.255 UPL TELECOM, s.r.o
80.77.80.0 - 80.77.95.255 UK-UAONLINE UK
66.244.254.64, 66.244.254.63 Big Pipe Inc.Canada
217.11.233.0 - 217.11.233.255 UPL-TELECOM-CZ Czech Republic
213.186.116.0 - 213.186.116.255 Utel DataCenter networks. Colocation Ucraina
212.176.41.8 GRL-EQUANT-NET russia
206.161.121.115 Beyond The Network America, Inc. Usa (server Russo)
204.16.207.50 Setupahost Canada
204.16.204.56 Setupahost Canada
195.95.218.0 - 195.95.219.255 INHOSTER Ucraina
195.238.242.0 - 195.238.242.255 MEDIADAT-MOLDOVA
195.234.159.0 - 195.234.159.255 LINO-NET Israele
195.225.176.0 - 195.225.179.255 NETCATHOST Ucraina
194.146.204.0 - 194.146.207.255 Nevacon Ltd Russia
194.135.19.0 - 194.135.19.255 RELCOM.BUSINESS NETWORK" Ltd. Russia
81.95.144.0 - 81.95.147.255 RBusiness Network (Russia)
Aggiornamento 19/6/07 ore 12:00
Aggiungere anche questo:
203.121.71.165 - 203.121.71.166 hackhost.biz Malaysia
Qui ne parla repubblica:
http://www.repubblica.it/2005/b/sezioni/scienza_e_tecnologia/sicurezzaweb/italian-job/italian-job.html
Il TG1 DELLE 13.30 RIPRENDE L'ARTICOLO DI REPUBBLICA
Sembra che parecchi siti infetti di Aruba siano stati "bonificati", anche se come io stesso ho
potuto verificare ce ne sono ancora molti attivi con l'iframe malevolo
Nessun commento:
Posta un commento