giovedì 26 luglio 2007

Lista domini hackerati su server italiano hosting solutions

Grazie all'amico edgar ed al suo tool in fase di sviluppo ho fatto alcune ricerche per controllare se ancora vi siano tracce di siti hackerati sugli hoster presi di mira qualche mese fa.
Per adesso sui server della societa' fiorentina Hosting Solutions ho trovato questi domini infetti
con un javascript offuscato:

IP:194.242.61.210

hxxp://www.24net.it
hxxp://www.affittiinsardegna.it
hxxp://www.aissa.it
hxxp://www.brosmanifatture.it
hxxp://www.caprillina.it
hxxp://www.cdm-dellamura.it
hxxp://www.chiesadicristoroma.it
hxxp://www.cmdm.it
hxxp://www.comitatomadeinitaly.it
hxxp://www.conventionplanning.it
hxxp://www.crvo.it
hxxp://www.dodibattaglia.it
hxxp://www.euroufficio.org
hxxp://www.ffuture.it
hxxp://www.fitvillage.net
hxxp://www.gierre-group.it
hxxp://www.giuditta-countryhouse.it
hxxp://www.hotelriomarina.it
hxxp://www.hotels-hostels-florence.com
hxxp://www.leonberger.it
hxxp://www.man-group.it
hxxp://www.misericordia.firenze.it
hxxp://www.noleggioitalia.it
hxxp://www.ocabianca.com
hxxp://www.pii-cinisello-balsamo.it
hxxp://www.rudolf-keller.it
hxxp://www.scenarionline.it
hxxp://www.tsunami-3d.com
hxxp://www.vespaclubmilano.it

working progress...

Qui sotto c'è il javascript offuscato:



e la relativa decodifica



A proposito di javascript offuscati molto interessante è questo articolo di anti-phishing.it
che prende spunto da una pubblicazione di websense

http://www.anti-phishing.it/news/articoli/news.21102005.php


Aggiornamento 28/7/07:

Nei commenti a questo post troverete moltissimi altri siti legittimi hackerati con il
javascript offuscato


6 commenti:

Edgar Bangkok ha detto...

Una scansione del range 194.242.61.1 -194.242.61.134
Anche in questa parte di range IP continuano aad essere presenti un po di siti con script.
(scansione ottenuta con l ultima versione del mio tool.

------------------------------------
vvv.tuttoperlaricevitoria.it
------------------------------------
Num. 1 SITES at IP 194.242.61.20
===================================
vvv.ipocriti.com
vvv.kfactor.it
vvv.hotellombardia.com
vvv.eosmilano.com
vvv.ilmarchiodelleidee.com
vvv.alecampi.it
vvv.altatensioneitalia.com
vvv.valuesearch.it
vvv.fabiosironi.com
vvv.eufootballuniversity.com
vvv.gibilogic.com
vvv.florisitalia.com
vvv.mouillettes-and-co.com
vvv.piccolomarte.it
vvv.metaorizzonte.it
vvv.gshosting.it
vvv.scienzaesocieta.org
vvv.sailingproject.org
vvv.exentiaparma.com
vvv.exentiaparma.com
vvv.dreo.it
vvv.nuovoteatro.com
--------------------------------------
Num. 22 SITES at IP 194.242.61.121
======================================
vvv.simoe.it
vvv.b2comunicazione.com
vvv.laserlisi.net
vvv.bagatti.it
vvv.antonuccirestauri.it
vvv.sportplanetbovalino.com
------------------------------------
Num. 6 SITES at IP 194.242.61.122
====================================
vvv.giacin.com
-----------------------------------
Num. 1 SITES at IP 194.242.61.123
===================================
vvv.bohumil.it
vvv.cosimobuccolieri.com
vvv.systemflight.it
vvv.cregut.it
vvv.turin-gallery.com
vvv.obiettivorisarcimento.it
vvv.zaiti.com
vvv.spinoneitaliano.it
vvv.barlettapianoforti.it
vvv.studiozulian.it
vvv.ceispt.org
-------------------------------------
Num. 11 SITES at IP 194.242.61.128
====================================

Edgar

maverick ha detto...

Ottimo. Con questo tool possiamo avere una lista anche se non completa, perche' i servizi di reverse IP non elencano sempre tutti i domini, abbastanza efficace per minimizzare il danno

Edgar Bangkok ha detto...

Continua la scansione del range !!!!
---------------------------------------
vvv.milanomondana.it
---------------------------------------
Num. 1 SITES at IP 194.242.61.136
======================================
vvv.torte.it
---------------------------------------
Num. 1 SITES at IP 194.242.61.170
======================================
vvv.larotondasulmare.com
vvv.tvbsms.it
vvv.vacanze-ischia.it
vvv.dietinger.it
vvv.studioalbanese.it
vvv.alessandracanale.it
vvv.gbmeccanica.com
vvv.agrimanzoni.it
vvv.collezionialtamoda.it
vvv.comune.poggioreale.tp.it
vvv.royaltur.com
vvv.zonatortona.org
vvv.scais.it
vvv.micheladistefano.it
vvv.uiapoa.it
vvv.patriziaurbinati.it
vvv.progettosinergia.com
vvv.corazonlatino.it
vvv.zoldester.com
vvv.jatimusic.com
vvv.assonucleare.it
vvv.etruriarugby.it
vvv.vistamare-case.it
vvv.truffini.it
vvv.fagioielli.it
vvv.next-station.info
vvv.accadueo.net
vvv.dippolito.it
vvv.vinicamadresca.com
vvv.exportdental.com
vvv.sienaviplodge.it
vvv.mauromancia.it
vvv.winecom.it
vvv.cmat.it
vvv.theoryofmind.info
vvv.sienaviplodge.it
vvv.mauromancia.it
vvv.royaltur.net
vvv.tvbsms.com
vvv.winecom.it
vvv.cmat.it
vvv.cheap-hotel-florence.com
vvv.saporidelcuneese.it
vvv.villadelfini.it
vvv.stepscuoladidanza.it
vvv.luismedia.it
vvv.luismedia.it
vvv.zoldester.com
vvv.sssy.it
vvv.tinticarlo.it
vvv.sienanatura.net
vvv.basf-cv.it
----------------------------------------
Num. 52 SITES at IP 194.242.61.175
=======================================
vvv.sannicolamola.it
vvv.casalbertina.it
vvv.hotelrufolo.it
vvv.hotelpupetto.it
vvv.bluestarpositano.it
vvv.allegranzimarmisti.com
vvv.noleggisci2g.it
vvv.infoiper.it
vvv.metallurgicamotta.it
vvv.hotelmiravalle2000.it
vvv.brasseriehoublon.com
vvv.hotelmontepizzo.it
vvv.chryslersyncro.com
vvv.ituscany.it
vvv.matitablu.it
vvv.stamperiabaldan.it
vvv.silviocarta.it
vvv.metarex.it
vvv.sud-dinnerbar.it
vvv.valberti.com
vvv.ibrandoli.it
vvv.nuova3l.com
vvv.unimar.org
vvv.panguaneta.com
vvv.4-m.it
vvv.artlabstudio.it
vvv.sochive.com
vvv.rodewax.it
vvv.dolcemare.com
vvv.leottasrl.it
vvv.idloriaviaggi.it
vvv.aita-coibentazioni.it
vvv.clebari.com
vvv.difotografia.com
vvv.enricomaioli.com
vvv.ballandoballando-ge.it
vvv.barnesitalia.eu
vvv.cogegospa.it
vvv.unagro.it
vvv.vulcanair147.com
vvv.antlab.eu
-----------------------------------------
Num. 41 SITES at IP 194.242.61.177
=========================================
vvv.divinacommedia.com
------------------------------------------
Num. 1 SITES at IP 194.242.61.180
===================================
======
Mi pare che il numero di siti contaminati da script sia comunque rilevante
Continuo con le scansioni....

Edgar

Edgar Bangkok ha detto...

Ulteriore scansione da IP ....181 a 209
------------------------------------------
vvv.autolaghisrl.it
vvv.defmind.it
vvv.pandc.it
vvv.villadandrea.com
vvv.bioskygroup.com
vvv.pro-fly.it
vvv.mootz.it
----------------------------------------
Num. 7 SITES at IP 194.242.61.181
========================================
vvv.groovemasteredition.com
vvv.3emme.com
vvv.alrifugio.com
vvv.bb-opera.com
vvv.villafragenea.it
vvv.bottegadartetoscana.it
vvv.divinarivelazione.org
vvv.giorgioalbertazzi.it
vvv.concessionarivolvotrucks.it
vvv.technoplastic.it
vvv.autonoleggiomartinelli.com
vvv.cooperativaarchimede.it
vvv.assolaghi.it
vvv.robertocavallo.it
vvv.seakayakdesign.it
vvv.raviproductions.com
vvv.rosetofineschi.it
vvv.poletticentrocopia.it
vvv.irsina.net
vvv.discmatic.it
vvv.ilgrandecarro.org
vvv.frescolatte.it
vvv.entebacinigenova.it
vvv.atnimpianti.it
vvv.tessituragiaquinto.com
vvv.bindistones.com
vvv.sviluppoeambiente.it
vvv.hostelsinrome.net
vvv.gilasrecords.it
vvv.ghiglia.it
vvv.nas.it
vvv.newsail.it
vvv.mazzonimoto.it
vvv.alessandrocereda.net
vvv.vidalaser.com
vvv.icapitani.com
vvv.hotel-fiori.com
vvv.cmtraslochi.it
vvv.fiaipliguria.com
vvv.nerosubianco.org
vvv.iavicoli-rossi.com
vvv.pcsprint.it
vvv.deplano.it
vvv.duepuntiapertevirgolette.it
vvv.olimpiaonline.com
vvv.dataease.it
vvv.exateam.it
vvv.deplano.it
vvv.duepuntiapertevirgolette.it
vvv.olimpiaonline.com
vvv.dataease.it
vvv.exateam.it
vvv.exateam.it
vvv.baiacharter.com
vvv.studioprota.com
vvv.chiusarelli.it
vvv.nessimajocchi.it
vvv.promoarch.it
vvv.daveriopallets.it
----------------------------------------
Num. 60 SITES at IP 194.242.61.188
========================================
vvv.spaziomotoxrace.com
vvv.nuovavillani.it
vvv.aae-acquisti.it
----------------------------------------
Num. 3 SITES at IP 194.242.61.189
===================================
Riassumendo abbiamo quindi circa 200 siti con script offuscato nel range 194.242.61.1 - 194.242.61.209

Edgar

Edgar Bangkok ha detto...

Ho pubblicato il riassunto completo della scansione anche su http://edetools.blogspot.com/

Edgar

maverick ha detto...

ottimo edgar. Poi una volta ci facciamo una chiacchierata per parlarne.