Questa volta giro un post di symantec:

http://www.symantec.com/enterprise/security_response/weblog/2007/06/italy_under_attack_mpack_gang.html

symantec con elia florio
sunbelt con un altro ricercatore italiano
prevx con marco

sono le piu' grosse aziende antivirus-antimalware che si stanno occupando
di questi gravissimi attacchi.

che si basano sempre sulla solita tecnica: pagine civetta costruite ad arte o hack di siti del tutto legittimi in cui sono inseriti iframe o jscript per exploit.
guardate quanti pc hanno infettato.

Per fare questi attacchi hanno utizzato mpack

http://www.oneitsecurity.it/25/05/2007/mpack-il-malware-commerciale/


secondo panda la prima versione di questo infame malware (commerciale :-D ) è apparsa su un forum russo a dicembre 2006

Non penso che siano le uniche, anzi ne sono sicuro:D , le altre lavorano silenziosamente, ti ricorderai benissimo il caso del provider italiano, se provi a leggere il blog sophos, leggerai qualcosa di interessante, naturalmente devi fare 1+1 dato che non viene mai citato direttamente :D
http://www.sash.cc/ un bel mercatino:sofico: :sofico:

Ciao e grazie per il link di Florio

Per chi ha un sito Web deve subito bloccare gli Ip a livello Server nel file httpaccess


http://www.spamhaus.org/sbl/sbl.lasso?query=SBL51152

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL54249

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL43489

Per chi ha un sito Web deve subito bloccare gli Ip a livello Server nel file httpaccess


http://www.spamhaus.org/sbl/sbl.lasso?query=SBL51152

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL54249

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL43489


Ottimo!

I server di Aruba sono sotto attacco.

Alcuni sono stati messi down per evitare la propagazione dell'infezione

I server di Aruba sono sotto attacco.

Alcuni sono stati messi down per evitare la propagazione dell'infezione
I furbetti del quartiere:D si sono rifatti vivi:cool:

non credo tutti i server... quello su cui è residente il mio sito è bello che attivo e immune :)

Infatti ho scritto alcuni. :D

Inizialmente sono stati messi down e poi riattivati dopo aver preso provvedimenti ;)

Comunque se riesci blocca gli Ip che ho messo ;)

no, ma lui è immune, tra pochi i server di aruba riceveranno un attacco ddos:D

no, ma lui è immune, tra pochi i server di aruba riceveranno un attacco ddos:D

difronte ad un "ddos" contro la rete aruba anche se mettesi la lista degli ip da bannare farei ben poco... :D

Cosa sta succedendo non ho capito bene, un attacco cracker in tutta la rete internet d'Italia?

non credo tutti i server... quello su cui è residente il mio sito è bello che attivo e immune :)


Visto che Aruba non ci ha pensato di avvisare i suoi clienti ,ho avvisato io una persona che aveva il sito compromesso

Avviso su Aruba (http://community.aruba.it/forums/ultimatebb.php?ubb=get_topic;f=58;t=000218)

Cosa sta succedendo non ho capito bene, un attacco cracker in tutta la rete internet d'Italia?

Principalmente su Aruba.

Infettano i siti cosi quando uno ci va a visitarli a sua volta si infetta il Pc. ;)

hai proprio rimarcato un concetto fondamentale..

perchè solo windows-server vengono infettati?

prima infatti parlavi del file "httpaccess", ma ci sono i casi dei server linux (come il mio sito)...
è una falsa sensazione di protezione?

escludendo appunto attacchi "ddos" :)

ragazzi, di solito su aruba sono infettati server con win vecchio e non aggiornato;
E cmq aruba usa al 99% server windows quindi!
Posso dire (mia opinione) che seocndo me a partire da win 2003 con l'ultimo sp, se CONFIGURATO A DOVERE, fa il suo sporco lavoro come un qualsiasi altro server....se non fosse per il fatto che e' a pagamento!

io prediligo di gran lunga server-linux ma è un mio fatto puramente personale..

http://www.pcalsicuro.com/images/mpack_stats1.jpg

Metto questa immagine postata da ERASER su PC al Sicuro,per far notare ancora una volta,anche se non c'è bisogno,che la propagazione dell'infezione è dipendente dal browser usato dagli utenti naviganti.
Potete notare da voi i dati e fare le vs considerazioni.;)

hai proprio rimarcato un concetto fondamentale..

perchè solo windows-server vengono infettati?

prima infatti parlavi del file "httpaccess", ma ci sono i casi dei server linux (come il mio sito)...
è una falsa sensazione di protezione?

escludendo appunto attacchi "ddos" :)


Il mio sito su hostato su server linux e' stato attaccato!

Il mio sito su hostato su server linux e' stato attaccato!

ti andrebbe di darmi ulteriori dettagli, se preferisci anche privatamente...
tipo come lo avevi realizzato il sito, come lo avevi protetto (permessi dei files, password su directory, robot.txt, ...), cosa hanno fatto e cosa hanno sfruttato per violarlo...

mi faresti una grande cortesia se mi daresti queste info :)

http://www.pcalsicuro.com/images/mpack_stats1.jpg

Metto questa immagine postata da ERASER su PC al Sicuro,per far notare ancora una volta,anche se non c'è bisogno,che la propagazione dell'infezione è dipendente dal browser usato dagli utenti naviganti.
Potete notare da voi i dati e fare le vs considerazioni.;)

scusami (è un fatto di pura curiosità è :D ) secondo me quelle statistiche non fanno testo perche':
E' chiero che i.e. abbia una diffusione nettamente maggiore rispetto a tutti gli altri browser, senza contare poi che secondo me chi di solito usa ie e' un utente "standard" per cui è più vulnerabile, mentre chi usa opera, firefox e co, e' un utente piu' esperto e sa cosa deve e cosa non deve fare, per cui e' meno vulnerabile!
ad esempio, i dialer secondo me erano al 99% diffusi su ie, non perche' ie fosse soltanto insicuro, ma perche' l'utente non sapeva che era un dialer quello che stava aprendo, per cui ie o opera o firefox non sarebbe cambiato nulla...pero' siccome opera e firefox l'utilizzano persone di nicchia e piu' "esperte" e' improbabile che restino fregati!
Ciao a tutti
Simone

Sul fatto che I.E sia più diffuso questo non ci piove ,ma è anche vero che se la diffuzione tra I.E e Firefox fosse la stessa ,I.E sarebbe sempre più vulnerabile :D

Poi comunque in questo caso l'infezione sfrutta anche falle in Win Zip e Quick time.

Per avere un Pc diciamo sicuro ,oltre ad aggiornare sempre il sistema operativo,il browser ,l'antivirus ed il firewall ,vanno sempre tenuti aggiornati anche tutti i programmi installati ,come adobe,quick time,winamp ecc.........


Basta anche uno solo di questi vulnerabile che il Pc non è più sicuro come dovrebbe.

Sul fatto che I.E sia più diffuso questo non ci piove ,ma è anche vero che se la diffuzione tra I.E e Firefox fosse la stessa ,I.E sarebbe sempre più vulnerabile :D

Poi comunque in questo caso l'infezione sfrutta anche falle in Win Zip e Quick time.

Per avere un Pc diciamo sicuro ,oltre ad aggiornare sempre il sistema operativo,il browser ,l'antivirus ed il firewall ,vanno sempre tenuti aggiornati anche tutti i programmi installati ,come adobe,quick time,winamp ecc.........


Basta anche uno solo di questi vulnerabile che il Pc non è più sicuro come dovrebbe.

sembra una cosa marginale e di limitati impatti, ma come ho sempre sostrenuto è doveroso aggiornare l'intero parco software!

sembra una cosa marginale e di limitati impatti, ma come ho sempre sostrenuto è doveroso aggiornare l'intero parco software!

si si sicuramente...
ma valle a far capire queste cose ;)

Ragazzi ho appena avuto notizie dell'attacco ed io stesso ho visto cosa sta accadendo.....

Pensavo che piovesse... sta piu' che diluviando

UNA CATASTROFE :-(

sento lo zampino di tnt per caso? :D

hai visto di persona? :D sento lo zampino di tnt per caso? :D

"Fatte l'affari tua" :-D :-D :-D

Si è il mio guru...

Dobbiamo assolutamente fare qualcosa.... ne stavamo parlando
La cosa è troppo grossa per fare finta di nulla
E' una notizia da tg delle 20

Perche' non chiami quelli che ti hanno intervistato per neapolis?

mi sto già muovendo da un pezzo, tranquillo ;)

però occhio a non trasformare ogni singola cosa in allarmismo generale che causa più disagi che altro (non lo dico in questo caso, parlo in generale). A volte la confusione è vero che muove qualcosa, ma non sempre nel verso giusto e può fare più danno :)

mi sto già muovendo da un pezzo, tranquillo ;)

però occhio a non trasformare ogni singola cosa in allarmismo generale che causa più disagi che altro (non lo dico in questo caso, parlo in generale). A volte la confusione è vero che muove qualcosa, ma non sempre nel verso giusto e può fare più danno :)


Se non fossi un secchione zelante mi saresti quasi simpatico :D :D

Scherzo ... pero ' la cosa è grave sul serio anche perche' c'è un sacco di gente che ha il pc gia' infetto per colpa di sti "fii de na mi...tta"
Mi pare che abbiano scassato a sufficienza l'anno scorso e se non sono gli stessi sono i loro parenti stretti.

Lo so, è grave :) E, visto che sai dove guardare, tieni sotto controllo alcuni numeri, vedrai che ogni ora aumentano - tanto per aggiungere gravità alla gravità :D

Non credere che solo un gruppo di due/tre persone sà che l'Italia è un paese interessante da attaccare per varie motivazioni, per cui la mano è sempre la stessa. Le informazioni si scambiano, si passano, il mondo dell'underground è ricchissimo sotto questo punto di vista :)

Se cerchi bene vedrai su forum esteri come spesso vengano richiesti e offerti attacchi verso l'Italia in termini di dialer e compagnia varia.

Un kit simile a MPack potrebbe essere stato utilizzato per l'attacco Gromozon, se ci pensi la struttura era la stessa sostanzialmente. Ma non è sempre la stessa mano che usa MPack, è un kit in vendita, a prezzi trattabili (si scende anche fino a 700$ dai 1000$ iniziali :D) per cui chiunque volendo lo può utilizzare.

ps: secchione io :D se sentissero i miei ex-colleghi di scuole superiori tutto direbbero meno che sia un secchione :D alla domanda della professoressa "La ginestra di Leopardi dove è ambientata? Dai su....è facile...è un posto turistico...." risposi a suo tempo "ah...posto turistico...Capri...o forse Ischia?" :D

Lo so, è grave :) E, visto che sai dove guardare, tieni sotto controllo alcuni numeri, vedrai che ogni ora aumentano - tanto per aggiungere gravità alla gravità :D

Non credere che solo un gruppo di due/tre persone sà che l'Italia è un paese interessante da attaccare per varie motivazioni, per cui la mano è sempre la stessa. Le informazioni si scambiano, si passano, il mondo dell'underground è ricchissimo sotto questo punto di vista :)

Se cerchi bene vedrai su forum esteri come spesso vengano richiesti e offerti attacchi verso l'Italia in termini di dialer e compagnia varia.

Un kit simile a MPack potrebbe essere stato utilizzato per l'attacco Gromozon, se ci pensi la struttura era la stessa sostanzialmente. Ma non è sempre la stessa mano che usa MPack, è un kit in vendita, a prezzi trattabili (si scende anche fino a 700$ dai 1000$ iniziali :D) per cui chiunque volendo lo può utilizzare.

Sono d'accordo con te al 100% meno sul fatto che non sei "secchione" :D

Quando dico che sono sempre gli stessi non voglio dire che sono 3 o 4

ma che la cerchia è sempre quella ... quelli appunto che bazzicano sui quei bei
forum scritti in russo.... Oppure i russi offrono ad altri.Quanti saranno? non credo piu' di in migliaio di persone forse anche molte meno.
Insomma non vengono dal sudamerica anche se li fanno casini lo stesso

AH una cosa buona notizia sta qui:
Dialer: denunciati gli autori del capitano Prisco Mazzi
http://www.anti-phishing.it/news/articoli/news.14062007.php

mi sto già muovendo da un pezzo, tranquillo ;)

però occhio a non trasformare ogni singola cosa in allarmismo generale che causa più disagi che altro (non lo dico in questo caso, parlo in generale). A volte la confusione è vero che muove qualcosa, ma non sempre nel verso giusto e può fare più danno :)


Quoto :D

Ottimo lavoro Eraser :D ;)

Altri casi simili Qui (http://www.repubblica.it/2005/b/sezioni/scienza_e_tecnologia/sicurezzaweb/italian-job/italian-job.html)


Fanno ridere :D :doh:

Per contrastarlo si deve aggiornare la versione di Explorer andando sul sito www.microsoft.com.

Ed usare Firefox no vero? :cool: :D

Come ho appena segnalato su PC Al Sicuro (http://www.pcalsicuro.com/main/2007/06/possibile-intrusione-nei-sistemi-aruba) sembrano esserci altre segnalazioni riguardo ad un nuovo Toolkit simile a WebAttacker ed a MPack



We’ve received reports of a web threat toolkit similar to WebAttacker and MPack being hosted at a particular domain. This new toolkit utilizes a variety of exploits to download TROJ_SMALL.FXD into the affected system. We’ve checked several obfuscated PHP files contained within a directory behind this domain and so far, here’s what we have on this new threat:

Dettagli (http://blog.trendmicro.com/all-roads-lead-to-troj-smallfxd/)

che schifo, più si va avanti e più internet diventa una giungla! :stordita: