Stavo verificando alcuni siti web di seeweb che tempo fa mausap aveva postato sul suo blog (http://maipiugromozon.blogspot.com/2007/07/lhoster-seeweb-ancora-sotto-scacco-da.html) ed ho scoperto che sono nuovamente infetti.

Gli IP da bloccare sono

66.36.243.97
72.29.74.243
58.65.237.106

Le pagine contengono uno script offuscato che punta ad un sito che scarica un' altro javascript offuscato che richiama lo script infetto.

Lo script infetto (è stato usato l' IcePack) contiene vari exploit tra cui uno 0day Exploit (DirectX Media SDK 6.x) (http://secunia.com/advisories/26426/) exploit per Yahoo Messenger, QuickTime, Winzip, Firefox, Ie, WMP.

Il file scaricato è riconosciuto da pochi antivirus

http://img120.imageshack.us/img120/2579/83141641fv8.th.png (http://img120.imageshack.us/my.php?image=83141641fv8.png)

lo script è riconosciuto da

http://img168.imageshack.us/img168/3924/79340270sc9.th.png (http://img168.imageshack.us/my.php?image=79340270sc9.png)

Alcuni dei siti web sono completamente compromessi

http://img478.imageshack.us/img478/3034/43188030jo9.th.png (http://img478.imageshack.us/my.php?image=43188030jo9.png)

PS :Tra i siti infetti c'è anche il sito dei Democratici di Sinistra della Marsica

Mamma mia, fa veramente così schifo Seeweb?

Comunque purtroppo il provider non lo scelsi io ai tempi.

Grazie delle info.

No so che dirti, ho scritto un e-mail a seeweb per segnalare l'accaduto e mi ha risposto che si tratto di un vecchissimo server frutto di una acquisizione e che stanno migrano i clienti alla piattaforma seeweb.

No so che dirti, ho scritto un e-mail a seeweb per segnalare l'accaduto e mi ha risposto che si tratto di un vecchissimo server frutto di una acquisizione e che stanno migrano i clienti alla piattaforma seeweb.

la lentezza con cui gli hoster stanno affrontando il problema è vergognosa.

mi pare che aruba sia quello che ne sia uscito leggermente meglio dopo l'attacco con mpack

Seeweb e hostingsolutins invece molto molto male.....

66.36.243.97
72.29.74.243
58.65.237.106

questi IP citati nel post appartengono a hoster registrati in USA e AUSTRALIA,

Non capisco riguardo a SEEWEB, forse vi riferite ad altri IP ?????

Ciao

Edgar :)

http://edetools.blogspot.com/

66.36.243.97
72.29.74.243
58.65.237.106

questi IP citati nel post appartengono a hoster registrati in USA e AUSTRALIA,

Non capisco riguardo a SEEWEB, forse vi riferite ad altri IP ?????

Ciao

Edgar :)

Sono gli ip dei siti con exploit a cui puntano gli iframe e script contenuti nelle pagine infette nei server di SEEWEB.

Il server SEEWEB compromesso è 217.64.193.XXX.

OK, avevo capito male, pensavo fossero degli ip di server dove sono ospitati i siti italiani di seeweb. ma mi sembrava strano con quegli indirizzi.
Comunque al momento non mi sembrano piu' attivi.
Per quanto riguarda Hosting Solutions. invece, praticamente tutti i siti hackerati a maggio contengono ancora lo script java offuscato anche se al momento punta ad un server non attivo. Ho fatto un po di ricerche con il mio tool in autoit e il report e' praticamente lo stesso dei primi di luglio.

http://edetools.blogspot.com/2007/09/cosa-e-successo-ai-siti-italiani.html

ciao

edgar :)

OK, avevo capito male, pensavo fossero degli ip di server dove sono ospitati i siti italiani di seeweb. ma mi sembrava strano con quegli indirizzi.
Comunque al momento non mi sembrano piu' attivi.
Per quanto riguarda Hosting Solutions. invece, praticamente tutti i siti hackerati a maggio contengono ancora lo script java offuscato anche se al momento punta ad un server non attivo. Ho fatto un po di ricerche con il mio tool in autoit e il report e' praticamente lo stesso dei primi di luglio.

http://edetools.blogspot.com/2007/09/cosa-e-successo-ai-siti-italiani.html

ciao

edgar :)

66.36.243.97 (krutik[DOT]info) è attivo prima puntava ad un exploit su un sito all' ip 72.29.74.243 ora punta ad un exploit su se stesso

72.29.74.243 (wbest[DOT]info) attivo
58.65.237.106 non attivo

comunque alcuni dei siti su SEEWEB contengono dei nuovi iframe :rolleyes: :muro:

su ip 203.121.67.117

Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2007.9.27.0 2007.09.27 -
AntiVir 7.6.0.15 2007.09.27 TR/Dldr.Bagle.DS.45
Authentium 4.93.8 2007.09.27 -
Avast 4.7.1043.0 2007.09.26 -
AVG 7.5.0.488 2007.09.26 Generic7.UEV
BitDefender 7.2 2007.09.27 DeepScan:Generic.LdPinch1.D50CF89D
CAT-QuickHeal 9.00 2007.09.26 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.09.26 -
DrWeb 4.33 2007.09.27 -
eSafe 7.0.15.0 2007.09.23 Suspicious Trojan/Worm
eTrust-Vet 31.2.5168 2007.09.27 -
Ewido 4.0 2007.09.27 -
FileAdvisor 1 2007.09.27 -
Fortinet 3.11.0.0 2007.09.27 W32/LdPinch.CZP!tr.pws
F-Prot 4.3.2.48 2007.09.26 -
F-Secure 6.70.13030.0 2007.09.27 Trojan-PSW.Win32.LdPinch.czp
Ikarus T3.1.1.12 2007.09.27 Generic.LdPinch1
Kaspersky 7.0.0.125 2007.09.27 Trojan-PSW.Win32.LdPinch.czp
McAfee 5128 2007.09.26 -
Microsoft 1.2803 2007.09.27 PWS:Win32/Ldpinch.gen
NOD32v2 2554 2007.09.26 probably a variant of Win32/Genetik
Norman 5.80.02 2007.09.27 -
Panda 9.0.0.4 2007.09.27 -
Prevx1 V2 2007.09.27 Heuristic: Suspicious Self Modifying EXE
Rising 19.42.32.00 2007.09.27 -
Sophos 4.21.0 2007.09.27 -
Sunbelt 2.2.907.0 2007.09.26 VIPRE.Suspicious
Symantec 10 2007.09.27 Infostealer.Banker.C
TheHacker 6.2.6.072 2007.09.27 -
VBA32 3.12.2.4 2007.09.26 -
VirusBuster 4.3.26:9 2007.09.26 -
Webwasher-Gateway 6.0.1 2007.09.27 Trojan.Dldr.Bagle.DS.45

Informazioni addizionali
File size: 54784 bytes
MD5: e80c274a648711f7cb201983eff62154
SHA1: 9737586ddb8027bf0107ef467c27230c4ac48a52
packers: PECOMPACT
packers: PecBundle, PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact


ntivirus;Versione;Ultimo aggiornamento;Risultato
AhnLab-V3;2007.9.27.0;2007.09.27;-
AntiVir;7.6.0.15;2007.09.27;HEUR/Malware
Authentium;4.93.8;2007.09.27;-
Avast;4.7.1043.0;2007.09.26;-
AVG;7.5.0.488;2007.09.26;-
BitDefender;7.2;2007.09.27;BehavesLike:Win32.ProcessHijack
CAT-QuickHeal;9.00;2007.09.26;-
ClamAV;0.91.2;2007.09.26;-
DrWeb;4.33;2007.09.27;-
eSafe;7.0.15.0;2007.09.23;-
eTrust-Vet;31.2.5168;2007.09.27;-
Ewido;4.0;2007.09.27;-
FileAdvisor;1;2007.09.27;-
Fortinet;3.11.0.0;2007.09.27;-
F-Prot;4.3.2.48;2007.09.26;-
F-Secure;6.70.13030.0;2007.09.27;-
Ikarus;T3.1.1.12;2007.09.27;BehavesLikeWin32.ProcessHijack
Kaspersky;7.0.0.125;2007.09.27;-
McAfee;5128;2007.09.26;-
Microsoft;1.2803;2007.09.27;TrojanDownloader:Win32/Nurech.R
NOD32v2;2554;2007.09.26;-
Norman;5.80.02;2007.09.27;-
Panda;9.0.0.4;2007.09.27;-
Prevx1;V2;2007.09.27;Malware.Gen
Rising;19.42.32.00;2007.09.27;-
Sophos;4.21.0;2007.09.27;-
Sunbelt;2.2.907.0;2007.09.26;Trojan-Downloader.Win32.Nurech.r
Symantec;10;2007.09.27;Infostealer.Banker.C
TheHacker;6.2.6.072;2007.09.27;-
VBA32;3.12.2.4;2007.09.26;suspected of Embedded.Trojan-Downloader.Win32.Small.dge
VirusBuster;4.3.26:9;2007.09.26;-
Webwasher-Gateway;6.0.1;2007.09.27;Win32.NewMalware.HW!28160

Informazioni addizionali
File size: 28160 bytes
MD5: 797aab994063f402237de3c14ea8b370
SHA1: 308840d4ac5653430794e67ba886ee3a4e4a2c27

Sto facendo una scansione con il mio tool ma non sapendo che ip di seeweb risulta compromesso sono partito tanto per provare da 217.64.193.10 in poi ...

per ora ho trovato un po' di iframe con indirizzo IP che punta a 69.50.190.xxx

OrgName: InterCage, Inc.
OrgID: INTER-359
Address: 1955 Monument Blvd.
Address: #236
City: Concord
StateProv: CA

gia' ampiamente conosciuto...


Vediamo cosa esce proseguendo ... nella scansione

Edgar

Sto facendo una scansione con il mio tool ma non sapendo che ip di seeweb risulta compromesso sono partito tanto per provare da 217.64.193.10 in poi ...

Edgar

Sono

217.64.193.7
217.64.193.19
217.64.193.39
217.64.193.55
217.64.193.71
217.64.193.76
217.64.193.91

EDIT:
Ho usato il tuo ottimo tool e come testo di ricerca iframe$document.write

Ciao,
GmG

Infatti ero arrivato ad un ip di quelli compromessi, e sono saltati fuori alcuni siti,
Uno ad esempio ha un java script offuscato, molto semplice, che decodificato
punta a crunet.info
Mi pare che da una prima scansione escano fuori un mix di siti sia con iframe ma in chiaro ... con indirizzo IP, sia con javascript offuscati..ma semplici da decodificare.
Se devo dare retta alle date dei files che scarico con il tool sembrerebbe che la data di modifica del file html dei siti con l'inserimento dello script sia abbastanza recente... es.. 3/9/2007...
Poi faccio una scansione piu approfondita degli IP in questione e posto il report che esce fuori.
Grazie delle info...
Saluti
Edgar

PS
ora sospendo il tutto perche' qui a Bangkok sono le 7 di sera e vado a cena.... hehehe :D

Dimenticavo....
ho modificato poco fa il tool per scansionare anche domini RU e CN visto che la routine di decodifica era solo predisposta su IT ORG EU COM
Poi posto sul mio sito la versione aggiornata... se puo' interessare..

Ciao

Edgar

.

appena ho tempo faccio un post in cui metto qualche faccia di alcuni di questi stro.... e quello che fanno...compresi i loro famosi party
e' davvero incredibile che vengano presi a calci nel sedere visto che fanno quasi tutto alla luce del sole.