Dopo l'incredibile vicenda di
Hosting solutions e' la notissima societa'
Aruba a fare le spese della violenza e dell'abilita' della nuova cyber-criminalita' organizzata.
Tutti i dettagli li potete trovare sul sito della symantec
ad opera dell'ottimo Elia Florio e sul sito pcalsicuro
http://www.symantec.com/enterprise/security_response/weblog/2007/06/italy_under_attack_mpack_gang.htmlhttp://www.pcalsicuro.com/main/2007/06/possibile-intrusione-nei-sistemi-aruba/http://www.hwupgrade.it/forum/showthread.php?t=1494289Un'intrusione davvero preoccupante visto la mole di siti web coinvolti e l'importanza dell'aziende sul panorama italiano.
Ma cerchiamo di capire cosa sta succendo ....
-
obiettivi di questa gang (Russi , Ucraini)
fare soldi....infettando computer avendone il controllo da remoto
per rubare dati sensibili, per usarli per attacchi Ddos, per l'invio spam, per dirottare il traffico
verso determinati siti scelti da loro
-
Metodologie di attacco e strategie tipiche1) violare server generalmente poco sicuri (in questo caso si tratta di macchine con windows)
modificare le pagine ospitate con
iframe e jscript infetti.
2) usare google e gli altri motori come mezzo di diffusione dell'epidemia grazie ad una attenta politica di scelta delle keyword e di SEO delle pagine civetta con gli exploit
3) spam
4) inganni tramite falsi antispyware
-
Contromisureper gli hoster:
1)vigilare su eventuali vulnerabilta' e tappare le falle immediatamente
(non come hosting solutions che avvisata se ne è beatamente fregata)
2)Segnalare il problema ai clienti e modificare preventivamente tutti i siti che contengono codice infetto
per gli utenti:
1) aggiornare con tutte le patch i loro sistemi ed anche i programmi con
secunia inspector2) usare
account limitato3) utilizzare un AV efficace (ma l'antivirus non basta piu')
4) bloccare con un firewall gli
Ip pericolosi5) usare una sandbox sul browser (
sandboxie)
6) non usare I.E. (il 15% degli utenti di questo blog usa I.E. 6 che senza sandbox è veramente un colabrodo )
7) leggere la posta via web ed utilizzare un servizio valido tipo gmail
8) usare antirootkit (piu' se ne usano e meglio è ...
gmer, darkspy,icesword,....)
Eventualmente
9) usare hips (
host-based intrusion-prevention system)10) virtualizzazione del sistema (vmware, virtual pc , ecc..)
Ma forse conviene utilizzare s.o. diversi da win per la navigazione se continua di questo passo
ed io sono uno di quelli a cui non frega nulla delle guerre di religione tra sistemi operativi
uso qualsiasi cosa possa essere utile.
adesso mostro l'n-esimo esempio di una pagina civetta infetta (questa è stata appena sfornata)
o meglio dove si viene reidirizzati dopo aver visitato delle pagine civetta che in questo caso erano una serie di falsi blog ospitati in francia xxxxxxxxxxx.aceblog.fr
Il messaggio ovviamente è ingannevole perche il codice della pagina è questo
ed una addirittura istituzionale del
comune di bisignano (la vera pagina del comune non un falso) 
Detto questo , io ho fatto il mio dovere adesso la palla passa a voi :-)
Aggiornamento 19/6/07 0re 00.30
Segnalo 2 articoli che parlano di quello che sta accadendo (
UNA SITUAZIONE GRAVISSIMA)
uno preso da punto informatico, l'altro dal blog della societa' giapponese trendmicro
http://blog.trendmicro.com/another-malware-pulls-an-italian-job/
http://punto-informatico.it/p.aspx?i=2022019nel frattempo mi diverto a mostrare come è cambiata la pagina civetta col messaggio che ci avvertiva che il "file era stato cancellato". Ora giustamente ci invitano ad aspettare altrimenti come fa l'exploit a compromettere in nostro sistema se chiudiamo troppo presto la finesta? :-D
Qui sotto ho preparato
una mini lista di IP da bloccare nel caso in cui non volete utilizzare quella full che si trova in alto a destra del blog
58.65.239.0 - 58.65.239.255 Hostfresh Hong Kong
64.38.33.10 - 64.38.33.14 FastServers, Inc Usa
89.253.192.0 - 89.253.255.255 RUSONYX-NET Russia
89.108.64.0 - 89.108.71.255 AGAVA-DATACENTER-NET Russia
88.214.192.0 - 88.214.255.255 UK-UAONLINE UK
87.248.208.22 system doctor Limelight Networks Inc Netherlands
87.248.163.0 - 87.248.163.255 SC STARNET SRL Moldova
85.255.112.0 - 85.255.127.255 Inhoster hosting company Ucraina
85.249.128.0 - 85.249.143.255 DATAPOINT-NET1 Russia
84.252.152.0 - 84.252.159.255 RUSONYX-NET Russia
82.208.60.0 - 82.208.63.255 UPL-TELECOM-CZ Czech Republic
82.204.219.0 - 82.204.219.255 POCHTA_RU-NET Russia
81.95.148.0 - 81.95.151.255 Too Coin Software Limited Russia
81.9.5.0 - 81.9.5.255 ELTEL Russia
81.29.240.0 -81.29.242.63 GLOBALTRADE-NET-1 Russia
81.177.8.0 - 81.177.9.255 Consult It Co. Ltd Russia
81.177.16.0 - 81.177.17.255 NETHOUSE-MOSCOW Russia
81.0.250.0 - 81.0.250.255 UPL TELECOM, s.r.o
80.77.80.0 - 80.77.95.255 UK-UAONLINE UK
66.244.254.64, 66.244.254.63 Big Pipe Inc.Canada
217.11.233.0 - 217.11.233.255 UPL-TELECOM-CZ Czech Republic
213.186.116.0 - 213.186.116.255 Utel DataCenter networks. Colocation Ucraina
212.176.41.8 GRL-EQUANT-NET russia
206.161.121.115 Beyond The Network America, Inc. Usa (server Russo)
204.16.207.50 Setupahost Canada
204.16.204.56 Setupahost Canada
195.95.218.0 - 195.95.219.255 INHOSTER Ucraina
195.238.242.0 - 195.238.242.255 MEDIADAT-MOLDOVA
195.234.159.0 - 195.234.159.255 LINO-NET Israele
195.225.176.0 - 195.225.179.255 NETCATHOST Ucraina
194.146.204.0 - 194.146.207.255 Nevacon Ltd Russia
194.135.19.0 - 194.135.19.255 RELCOM.BUSINESS NETWORK" Ltd. Russia
81.95.144.0 - 81.95.147.255 RBusiness Network (Russia)
Aggiornamento 19/6/07 ore 12:00
Aggiungere anche questo:203.121.71.165 - 203.121.71.166 hackhost.biz Malaysia
Qui ne parla repubblica:
http://www.repubblica.it/2005/b/sezioni/scienza_e_tecnologia/sicurezzaweb/italian-job/italian-job.htmlIl TG1 DELLE 13.30 RIPRENDE L'ARTICOLO DI REPUBBLICASembra che parecchi siti infetti di
Aruba siano stati "bonificati", anche se come io stesso ho
potuto verificare ce ne sono ancora molti attivi con l'
iframe malevolo
