martedì 14 luglio 2009
martedì 25 novembre 2008
La fine di Estdomains
sabato 8 novembre 2008
Italian Job 3 :compromessi siti web su server Tiscali
Come avevo immaginato sono almeno centinaia i siti web compromessi con script malevoli sul server di Tiscali con ip 213.205.40.169.
Una lista incompleta (ad esempio mancano quelli che ho segnalato io) la potete trovare sul blog dell'amico edgar:
http://edetools.blogspot.com/2008/11/aggiornamento-situazione-siti-colpiti.html
Così come un'analisi degli exploit per infettare il vs. computer
http://edetools.blogspot.com/2008/11/il-contenuto-delle-pagine-linkate.html
http://edetools.blogspot.com/2008/11/aggiornamento-attacco-siti-web-su.html
Fortunatamente alcuni sono segnalati da google
e firefox 3 ( che vi invito fortemente ad usare)
AGGIORNAMENTO 10/11/08
Un veloce aggiornamento per mostrare alcuni tipi di virus dell'attacco (denominazione Kaspersky AV) :
hxxp://62.16.112.143/e/[edit]load.php?ssv is infected with Trojan.Win32.Agent.amku
hxxp://79.135.167.63/x/[edit]load.php?ssv is infected with Trojan.Win32.Agent.amku
hxxp://79.135.167.63/d/[edit]load.php?ssv is infected with Trojan-Downloader.Win32.Agent.aoja
hxxp://78.109.25.199/[edit]load.php?ssv is infected with Trojan-Downloader.Win32.Agent.aoja
Una lista incompleta (ad esempio mancano quelli che ho segnalato io) la potete trovare sul blog dell'amico edgar:
http://edetools.blogspot.com/2008/11/aggiornamento-situazione-siti-colpiti.html
Così come un'analisi degli exploit per infettare il vs. computer
http://edetools.blogspot.com/2008/11/il-contenuto-delle-pagine-linkate.html
http://edetools.blogspot.com/2008/11/aggiornamento-attacco-siti-web-su.html
Fortunatamente alcuni sono segnalati da google
e firefox 3 ( che vi invito fortemente ad usare)
AGGIORNAMENTO 10/11/08
Un veloce aggiornamento per mostrare alcuni tipi di virus dell'attacco (denominazione Kaspersky AV) :
hxxp://62.16.112.143/e/[edit]load.php?ssv is infected with Trojan.Win32.Agent.amku
hxxp://79.135.167.63/x/[edit]load.php?ssv is infected with Trojan.Win32.Agent.amku
hxxp://79.135.167.63/d/[edit]load.php?ssv is infected with Trojan-Downloader.Win32.Agent.aoja
hxxp://78.109.25.199/[edit]load.php?ssv is infected with Trojan-Downloader.Win32.Agent.aoja
giovedì 6 novembre 2008
Un nuovo hack di massa sui server di Tiscali?
Dopo i clamorosi attacchi perpetrati ai danni di hoster italiani come aruba , seeweb , hostingsolutions
degli scorsi anni
potrebbe essere in atto o c'è gia' stato un nuovo hack di massa su server tiscali.
Non credo che avro' il tempo do verificare la cosa ma ho notato la presenza di javascript offuscati che celavano i soliti iframe infetti.
In particolare sul server 213.205.40.169 risultano compromessi i domini
www.reperunanotte.it
www.accaddeoggi.it
www.reggiavenariareale.it
www.medicidigruppo.it
e www.adipa.org
www.dellotto.it
iframe malevolo in chiaro ( server dell'attacco 79.135.167.63 )
Se qualcuno volesse verificare se ce ne sono altri sul server (ancora meglio su tutto il range) , magari utilizzando il tool webscanner di edgar, sarebbe molto utile.
degli scorsi anni
potrebbe essere in atto o c'è gia' stato un nuovo hack di massa su server tiscali.
Non credo che avro' il tempo do verificare la cosa ma ho notato la presenza di javascript offuscati che celavano i soliti iframe infetti.
In particolare sul server 213.205.40.169 risultano compromessi i domini
www.reperunanotte.it
www.accaddeoggi.it
www.reggiavenariareale.it
www.medicidigruppo.it
e www.adipa.org
www.dellotto.it
iframe malevolo in chiaro ( server dell'attacco 79.135.167.63 )
Se qualcuno volesse verificare se ce ne sono altri sul server (ancora meglio su tutto il range) , magari utilizzando il tool webscanner di edgar, sarebbe molto utile.
lunedì 3 novembre 2008
Cybercriminalita': anche la stampa italiana si sveglia
Dopo anni di torpore anche la stampa italiana pubblica 2 interessanti articoli sul fenomeno
della cybercriminalita' dilagante sul web:
Il primo è della stampa di torino:
http://www.lastampa.it/_web/cmstp/tmplrubriche/tecnologia/grubrica.asp?ID_blog=30&ID_articolo=5116&ID_sezione=38&sezione=News
L'altro dell'espresso:
http://demo.extra.kataweb.it/eolextrademo/eol.jsp?id=1891462&page=article&giornale=espresso
della cybercriminalita' dilagante sul web:
Il primo è della stampa di torino:
http://www.lastampa.it/_web/cmstp/tmplrubriche/tecnologia/grubrica.asp?ID_blog=30&ID_articolo=5116&ID_sezione=38&sezione=News
L'altro dell'espresso:
http://demo.extra.kataweb.it/eolextrademo/eol.jsp?id=1891462&page=article&giornale=espresso
mercoledì 29 ottobre 2008
Estdomains alla resa dei conti
Dopo la scomparsa dell'infame hoster Atrivo/Intercage, c'è un'altra bellissima notizia.
L'ICANN sta per escludere dalla lista della societa' accreditate per registrare i domini Estdomains
Inc.
Tutti i dettagli li potete leggere sul blog della famosa azienda finlandese F-secure.
http://www.f-secure.com/weblog/archives/00001522.html
I prossimi ad essere buttati fuori della rete spero siano quelli dalle gang russa di Klikrevenue.
AGGIORNAMENTO 30/10/08
Ulteriori sviluppi qui, con la risposta di quelle anime pie di Estdomains:
http://www.icann.org/en/announcements/announcement-2-29oct08-en.htm
Riportano la notizia anche il washingtonpost e Zdnet
http://voices.washingtonpost.com/securityfix/2008/10/icann_de-accredits_estdomains.html?hpid=sec-tech
http://blogs.zdnet.com/security/?p=2089
qui invece qualcosa in italiano:
http://www.sicurezzainformatica.it/2008/10/estdomains-de-accreditato-da-icann.html
L'ICANN sta per escludere dalla lista della societa' accreditate per registrare i domini Estdomains
Inc.
Tutti i dettagli li potete leggere sul blog della famosa azienda finlandese F-secure.
http://www.f-secure.com/weblog/archives/00001522.html
I prossimi ad essere buttati fuori della rete spero siano quelli dalle gang russa di Klikrevenue.
AGGIORNAMENTO 30/10/08
Ulteriori sviluppi qui, con la risposta di quelle anime pie di Estdomains:
http://www.icann.org/en/announcements/announcement-2-29oct08-en.htm
Riportano la notizia anche il washingtonpost e Zdnet
http://voices.washingtonpost.com/securityfix/2008/10/icann_de-accredits_estdomains.html?hpid=sec-tech
http://blogs.zdnet.com/security/?p=2089
qui invece qualcosa in italiano:
http://www.sicurezzainformatica.it/2008/10/estdomains-de-accreditato-da-icann.html
lunedì 22 settembre 2008
Atrivo/Intercage (AS27595) off-line
Per la serie good news sembra che uno dei piu' famosi network di cybercriminali del mondo sia finalmente off-line.
Pare infatti che estdomains (l'infame registro di domini fraudolenti) abbia spostato il suo sito che prima era ospitato da atrivo/intercage USA , sul server 94.102.49.4
e esthost.com su 94.102.49.3
Ecatel LTD NETHERLANDS
94.102.48.0 - 94.102.63.255
Staremo a vedere come si evolvera' la situazione nei prossimi giorni.
AGGIORNAMENTO
Atrivo ha trovato ancora una volta un nuovo fornitore di accesso dopo che molti gli avevano "staccato la spina". Si tratta di
Pare infatti che estdomains (l'infame registro di domini fraudolenti) abbia spostato il suo sito che prima era ospitato da atrivo/intercage USA , sul server 94.102.49.4
e esthost.com su 94.102.49.3
Ecatel LTD NETHERLANDS
94.102.48.0 - 94.102.63.255
Staremo a vedere come si evolvera' la situazione nei prossimi giorni.
AGGIORNAMENTO
Atrivo ha trovato ancora una volta un nuovo fornitore di accesso dopo che molti gli avevano "staccato la spina". Si tratta di
AS23342 UNITEDLAYER - Unitedlayer, Inc
Articoli sulla scomparsa dell'infame Atrivo/Intercage
http://www.pcworld.com/article/151386/.html?tk=rss_news
http://rbnexploit.blogspot.com/2008/09/rbn-atrivo-goes-dark.html
Sul forum di malwaredomainlist.com c'è una discussione su estdomains
http://www.malwaredomainlist.com/forums/index.php?topic=2180.0
Un altro interessante articolo è su arstechnica
http://arstechnica.com/news.ars/post/20080923-bad-seed-isp-atrivo-cut-off-from-rest-of-the-internet.html
AGGIORNAMENTO 25/9/08
Estdomains continua la ricerca di una nuova casa.
Attualmente il dominio dell'infame registro punta al server 78.157.142.165 Latvia Vdhost Ltd
appartente ad un blocco gia' noto per ospitare malware e falsi antivirus.
AGGIORNAMENTO II - 25/9/08
Estdomains ha trovato la sua naturale collocazione. Il server russo 83.171.76.98 è
di una societa' di SanPietroburgo (probabilmente la capitale mondiale del cybercrime)
ZAO Petersburg Transit Telecom (PTT).
Qui nessuno potra' buttarli fuori dalla rete.
AGGIORNAMENTO III - 28/9/08
Atrivo/intercage sembra effettivamente sparita dalla rete :-)
Iscriviti a:
Post (Atom)