ITALIA sotto attacco. Dopo i siti che avevo segnalato e che sono stati bonificati

ho individuato anche

xxx.anti-phishing.it/
xxx.italia-news.it


Stesso tipo di script offuscato. Non è un caso. I server sono sempre 72.51.41.83 e 70.38.31.90

Incredibile. ATTENZIONE Che con gli script si scarica il terribile mbr rootkit anche detto sinowal

LA FONTE SONO IO quindi credetemi!

e anche google

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http://www.anti-phishing.it/&client=googlechrome&hl=it



Aggiornamento: per quello che sto vedendo tutti i siti si trovano su aruba.
NON puo' essere un caso

grazie per la segnalazione

Sono decine i siti web compromessi ;) Sto scrivendoci un articolo in effetti

Script di MBR Rootkit

Avira per Anti-Phishing.it interviene ;) per gli altri non sò.

E no direi proprio che non è un caso. Grazie per la segnalazione ;)

http://www.pcalsicuro.com/main/2010/01/siti-web-compromessi-aruba-vittima-dellattacco/

altri 2 siti infetti

xxx.napoliaffari.com
xxx.francobarbato.com

altri 2 siti infetti

xxx.napoliaffari.com
xxx.francobarbato.com

Ce ne sono una 70ina di siti web infetti fino ad ora e sto continuando l'analisi

Tra i siti famosi annoveriamo anche il sito ufficiale degli Zero Assoluto ;)

Aggiungo il sito della rete sismica sperimentale italiana, IESN ;)

Ce ne sono una 70ina di siti web infetti fino ad ora e sto continuando l'analisi


Per fortuna qualcuno è gia' stato bonificato. Comunque appena puoi pubblica la lista e soprattutto comunicala ad aruba.

E non puo' essere un caso che siano solo sul quell'hoster.
Il problema è loro anche se lo negheranno.

MBR Rootkit attacca Anti-Phishing Italia (http://www.anti-phishing.it/sicurezza-informatica/2010/01/23/1640) su anti-phishing italia

confermo che Anti-Phishing Italia è stato bonificato e cita anche questo thread nell'articolo e quello di eraser.

JavaScript offuscati: Aruba vittima dell'attacco (http://www.webnews.it/news/leggi/12260/javascript-offuscati-aruba-vittima-dellattacco/) su webnews

I siti ancora con lo script malevolo sono ancora parecchi anche se molti sono stati bonificati.

Un altro ip che ospita exploit e mbr rootkit è questo 115.124.108.151

http://www.sophos.com/blogs/sophoslabs/?p=8315

In realta' si tratta anche di alcuni siti , forse eravamo solo all'inizio dell'attacco, gia' segnalati a dicembre 2009 sempre su ARUBA in questo post

http://edetools.blogspot.com/2009/12/twitter-come-supporto-torpig-botnet-e.html

anche se adesso il loro numero e' evidentemente enormemente aumentato.

http://edetools.blogspot.com/2010/01/siti-compromessi-con-script-offuscato.html

Saluti

Edgar :D

edetools.blogspot.com

Alcuni siti continuano ad essere infetti come ad esempio

xxx.actarus.it
xxx.harrrdito.it
xxx.archeoempoli.it (segnalato da edgar tempo fa)


altri ip da cui si scarica l'infezione sono


bcexvmjlev.com (ma questi mutano sempre)
IP: 67.205.103.198

aghijekauno.com
IP: 190.120.228.44

http://edetools.blogspot.com/2010/01/siti-compromessi-con-inclusione.html


Edgar :D

Siti compromessi con inclusione javascript su servers Aruba (aggiornamento ore 8 am Thai time , 2 am Ita time) Alcuni dettagli.

http://edetools.blogspot.com/2010/01/siti-compromessi-con-inclusione_28.html


Saluti

Edgar :D

edit

ITALIA sotto attacco. Dopo i siti che avevo segnalato e che sono stati bonificati

ho individuato anche

[url]xxx.anti-phishing.it


faccio notare che da qualche giorno e' irraggiungibile.

faccio notare che da qualche giorno e' irraggiungibile.

Infatti, non ho notizie nemmeno io in merito, ma gli anni scorsi era lo stesso... a periodi va ed altri no. -.-

dal 20 luglio e' sotto attacco.
qui (http://www.apilabs.it/web-security/2012/07/20/349) il link.

dal 20 luglio e' sotto attacco.
qui (http://www.apilabs.it/web-security/2012/07/20/349) il link.

Grazie per l'info.