martedì 10 luglio 2007

L'hoster Seeweb ancora sotto scacco da parte della mpack gang

Faccio un post veloce per segnalare l'incredibile situazione di un altro hoster italiano, Seeweb che continua ad essere attaccato dalla gang di mpack.
Non ho molto tempo a mia disposizione per fare i necessari approfondimenti.
Per adesso bloccate questo indirizzo Ip 202.75.33.238 che si trova in malesia.
Ci saranno aggiornamenti......

Aggiornamento


La situazione apparentemente mi sembra meno grave di quanto mi aspettassi:
Molto probabilemente si tratta di un colpo di coda di un attacco che è avvenuto un mese fa.

Per quello che ho potuto osservare, da un valutazione molto molto rapida e sommaria, i siti infetti non sono molti sul server che mi era stato segnalato.

hxxp://www.franciacortaonline.it
hxxp://barbados4u.com
hxxp://www.viniquattrocchi.it
hxxp://flexso.it (ora bonificato)

E non mi sembra, ma questo prendetelo con il benificio di inventario, che l'exploit sia attivo.

la decodifica di un javascript offuscato svela un iframe che punta a questo dominio: hxxp://crunet.info il cui Ip è 203.121.73.229 sempre in malesia

Per quanto riguarda questo dominio ci sono gia' discussioni sui forum datati 7 giugno
come questa:

http://www.gemboy.it/forum/viewtopic.php?p=109968

la cui registrazione è la seguente
Registrant Name:Vladimir Kokonin
Registrant Organization:N/A
Registrant Street1:84/211 Lenina st.
Registrant Street2:
Registrant Street3:
Registrant City:Moscow
Registrant State/Province:Moskva
Registrant Postal Code:117000
Registrant Country:RU
Registrant Phone:+7.0957402221
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:Whois Privacy and Spam Prevention by DomainTools.com
Notare l'email del servizio satellite-email.com fornito dal telenor, una compagnia norvegese

Aggiornamento

Ci sono altri 2 domini che puntano a quell'ip malese.

- traffa.info
-
crunet.biz

Alla fine facendo le solite ricerche incrociate dove sono finito?
Sul solito forum di hacker russi dove le discussioni e codici che vengono scambiati o venduti sono per aggirare le protezioni antivirus ed evitare il filtro dei firewall.
Non c'è dubbio che per lavorare nel settore sicurezza con successo si dovra' imparare il cirillico.

4 commenti:

OliVale ha detto...

Vedo che i problemi proseguono anche su Seeweb... ultimamente ho segnalato strani comportamenti a livello POP3 e SMTP per alcuni siti web hostati presso di loro, ma le loro verifiche non hanno rivelato problemi... Ho una domanda: ma questi tipi di attacchi sono limitati all'inserimento di IFRAME nelle index oppure si può ipotizzare anche una qualche attività di disturbo/compromissione a livello POP3/SMTP che potrebbe essere buona cosa conoscere per prevenire?

maverick ha detto...

Ciao!
Non so che dirti di sicuro le pagine che ho visto io non avevano solo l'index modificato ma anche le altre pagine. Basta che guardi il sito

hxxp://www.barbados4u.com/italiano/informazioni.htm

Per il resto non so che dirti non sono l'helpdesk della seeweb :-)

maverick ha detto...

In fondo alla pagina ci sono 2 javascript offuscati
che nascondono i soliti infami IFRAME

OliVale ha detto...

Sai Maverick, non sarai l'HelpDesk della Seeweb ma spesso sembra che ne sai più tu di loro :) Sui miei siti ospitati presso seeweb ogni tanto controllo, ma da quando ho impostato i permessi sulle index a 444 non ho più notato nessun problema, nemmeno su altri files. Ho però ricevuto come webmaster di un sito una segnalazione da un altro cliente Seeweb che ha problemi di attacchi sui siti dei suoi clienti, ti ho mandato email con dettagli. Buon weekend!