eaoafir.com
hnoafir.com
ces2vif.com
fhv5vif.com
cyzmvif.com
Ora puntano a 71.6.218.207 California Regional Intranet, Inc. USA
Aggiornamento 30/4/08
Ora puntano a 66.240.209.93 California Regional Intranet, Inc. USA
Aggiornamento 07/5/08
ces2vif.com , eaoafir.com 74.50.117.49 Noc4hosts Inc USA
fhv5vif.com , hnoafir.com , cyzmvif.com 66.240.234.196 California Regional Intranet, Inc. USA
La societa' giapponese Tredmicro (Antivirus pc-cillin) segnala l'attacco che ricalca quello avvenuto verso l'Italia l'anno scorso piu' o meno nello stesso periodo (attacco con mpack) : lo definiscono un nuovo italian job
http://blog.trendmicro.com/one-year-later-italian-job-still-working-overtime/
Aggiornamento
Dopo una fitta corrispondenza con un analista di kasperskylab alcuni siti (ma non tutti) vengono bloccati dall'Av omonimo
Nell'immagine il sito ufficiale di monica bellucci.
PER I WEBMASTER:
- Rimuovere i seguenti script (di solito si trovano in fondo alla pagina ma non sempre)
PER GLI UTENTI:
- Fare una scansione con i tool per controllare se sieti infetti con il MBR rootkit/trojan Sinowal
PREVXCSI http://info.prevx.com/download.asp?grab=prevxcsi
ROOTKIT BUSTER http://www.trendmicro.com/download/rbuster.asp
GMER (solo per utenti esperti) http://gmer.net/gmer.zip
Aggiornamento 5/5/08
Sono ancora molti i siti infetti ospitati da aruba s.p.a. ma le cose sono migliorate.
Alcuni tra i piu' importanti come ad esempio quello di sabrina salerno sono stati bonificati.
Una cosa interessante riguarda www.comonight.com
perche' lo script malevolo non si trova nell'index
ma in un file chiamato bordo_flash.js
Aggiornamento 7/5/08
Riprende la notizia dell'attacco anche la stampa di Torino citando come fonte TrendMicro (l'articolo NON è aggiornato):
http://www.lastampa.it/_web/cmstp/tmplrubriche/blog/grubrica.asp?ID_blog=100&ID_articolo=217&ID_sezione=&sezione=
Aggiornamento 14/5/08
un lettore del blog mi segnala il seguente dominio:
cyzmvif.com che punta al solito ip:66.240.234.196
18 commenti:
sul precedente IP non ve n'è più traccia?
Non mi pare che ci sia piu'
Ciao, oggi ho scoperto che anche la mia homepage ospitata su aruba è stata attaccata. Ho sistemato il tutto, ma non sono riuscito a capire come abbiano fatto. Si trattava di un file index.html chiuso alla scrittura... Sapete darmi qualche indicazione per proteggermi da questi tipi di attacchi?
Grazie
devi tenerti i software aggiornati all'ultima versione,in maniera tale che sia immune dai bug conosciuti.
questo file com'era esattamente?sei sicuro fosse index.html?mi pare che su aruba non si siano ancora visti...
Al primo livello avevo un file index.html (ora index.php) scritto a mano e poi una directory "blog" con dentro wordpress. Se l'attacco fosse arrivato sul blog avrei capito... ma è stato modificato il file principale index.html.
Infine il mio sito è in hosting su Aruba ed è un hosting di tipo Linux... avevo letto che questo tipo di attacchi riguardava IIS e quindi hosting Windows.
Ho scritto ad Aruba per chiedere qualche info sull'accaduto.
Grazie per la segnalazione Bug Corretto.
la cosa interessante sul nostro sito Comonight.com rimane da capire se è stato possibile essere infettati visto che per esempio noi non utilizziamo wordpress
probabile bucato il server di aruba. Gia' era successo l'anno scorso con l'attacco mpack ad opera della cybercriminalita' russa
Si infatti anche l'anno scorso ci siamo accorti in tempo di quello che stava succedendo. Mi chiedo come mai Aruba invece non faccia circolare una nota per informare i clienti...farebbe una minor figura di M.
Comunque grazie ancora per la segnalazione.
Staff Comonight.com
Il problema non è che si facciano bucare i server. Quello capita anche a siti importantissimi negli stati uniti ma loro bonificano nel giro di qualche ora. Qui sono settimane che ci sono pagine infette. Comunichi la cosa via mail ed aruba non risponde neppure. La cosa pero' era successa anche ad altri hoster. Aruba pero' è recidiva.
Ho chiesto spiegazioni sull'accaduto ad aruba... di fatto mi hanno consigliato di aggiornare la password di accesso, tenere aggiornati i software (wordpress, ...) ed infine tenermi aggiornato su eventuali buchi di sicurezza dei miei software... ma non hanno fatto cenno a loro eventuali responsabilità.
Bha... il risultato della vicenda è che ora ho lmi è venuta la fobia da attacco e un paio di volte ad giorno mi guardo i sorgente della homepage... :(
beh è ridico che loro non ammettano le loro resposabilita'. Puo' anche essere vero che quanche sito che usi wordpress o un cms possa essere stato hackerato per colpa dell'utente ma è quanto meno sospetto per non dire altro che tutti i siti con il javascript offuscato appartengano ad aruba. Comunque nell'attacco con mpack mi sembra che le modifiche avvenissero attraverso l'uso delle password il che mi pa pensare ad un attacco diretto al server di aruba
"Entrambi i domini contengono gli stessi script maligni che scaricano ed eseguono varianti del Trojan SINOWAL, un tipo di minaccia informatica che, com’è noto, ha l’obiettivo di sottrarre informazioni personali, in particolare dati bancari."
han fatto confusione con la variante sinowal che circolava uno/due anni fa
in blocklist hai inserito l'IP 216.75.35.91 con sede a san degiego su sui risulta hostato il solo baxet.com...nulla a che vedere con Sinowal?
Sempre i soliti exploit di RBN.
Non so ci sia anche il trojan Sinowal. Quella rete e' utilizzata dai russi ma non credo sia un range malevolo
L'analisi del fenomeno fatta da trendmicro mi sembra perlomeno approssimativa. Quello dello scorso anno ("the italian job") era stato un attacco "one shot" su siti in hosting su aruba.
L'attacco in atto in questo momento va avanti almeno dalla metà dello scorso dicembre (5 mesi), è un'operazione ripetuta e continuativa e non riguarda solo siti italiani. Tra i siti compromessi, ad esempio, vi è www.internationalbadminton.org. Ho trovato anche decine di siti della repubblica ceca, slovacchia, spagna , eccetera, con lo stesso iframe.
Anche il tool di exploiting ed il malware scaricato sono diversi.
Se volessimo fare un'analogia tra questo attacco ed uno dello scorso anno, lo accosterei a quello che ha interessato il sito di Vecchioni (http://www.pcalsicuro.com/main/
2007/04/roberto-vecchioni-vittima-della-vulnerabilita-ani), non certo a "the italian job".
L'attacco dell'anno scorso effettuato con mpack non è stato solo verso server aruba ma anche contro seeweb ed hostingsolutions.
Di altri non sono a conoscenza.
Questo è il terzo attacco di una certa consistenza verso il nostro paese dopo quello fatto con gromozon (hack dei motori di ricerca con seo)e quello con mpack. L'attacco dell'anno scorso duro' moltissimo comunque e i siti ripuliti venivano puntualmente rinfettati. Trendmicro ha fatto solo un'analogia perchè le tecniche di attacco sono davvero simili. E' una questione di lana caprina. La sostanza non cambia
A livello di dimensioni dell'attacco, l'analogia con italian job è corretta, ma il perimetro di azione (non solo italiano, ma perlomeno europeo, infatti ci sono molti siti compromessi anche in altri paesi, es. www.psn.cz/js/gen_validatorv2.js
www.salonel.sk/lib/javascript.js), i tool di exploiting e il malware scaricato (nome dell'eseguibile compreso), mi fanno pensare che la gang che sta dietro questi attacchi sia la stessa che ha compromesso, tra i tanti, il sito di Vecchioni lo scorso anno.
Il sito col malware ora è: cyzmvif.com
Posta un commento