ITALIA SOTTO ATTACCO DI NUOVO!!!!

mausap · 16-06-2007, 01:02

Questa volta giro un post di symantec:

http://www.symantec.com/enterprise/s...pack_gang.html

symantec con elia florio
sunbelt con un altro ricercatore italiano
prevx con marco

sono le piu' grosse aziende antivirus-antimalware che si stanno occupando
di questi gravissimi attacchi.

che si basano sempre sulla solita tecnica: pagine civetta costruite ad arte o hack di siti del tutto legittimi in cui sono inseriti iframe o jscript per exploit.
guardate quanti pc hanno infettato.

Per fare questi attacchi hanno utizzato mpack

http://www.oneitsecurity.it/25/05/20...e-commerciale/

secondo panda la prima versione di questo infame malware (commerciale :-D ) è apparsa su un forum russo a dicembre 2006

lucas84 · 16-06-2007, 01:54

Non penso che siano le uniche, anzi ne sono sicuro

, le altre lavorano silenziosamente, ti ricorderai benissimo il caso del provider italiano, se provi a leggere il blog sophos, leggerai qualcosa di interessante, naturalmente devi fare 1+1 dato che non viene mai citato direttamente

http://www.sash.cc/ un bel mercatino

Ciao e grazie per il link di Florio

ercolino · 16-06-2007, 17:17

Per chi ha un sito Web deve subito bloccare gli Ip a livello Server nel file httpaccess

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL51152

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL54249

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL43489

mausap · 16-06-2007, 17:57

Quote:

Originariamente inviato da ercolino

Per chi ha un sito Web deve subito bloccare gli Ip a livello Server nel file httpaccess

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL51152

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL54249

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL43489

Ottimo!

ercolino · 16-06-2007, 18:11

I server di Aruba sono sotto attacco.

Alcuni sono stati messi down per evitare la propagazione dell'infezione

lucas84 · 16-06-2007, 18:13

Quote:

Originariamente inviato da ercolino

I server di Aruba sono sotto attacco.

Alcuni sono stati messi down per evitare la propagazione dell'infezione

I furbetti del quartiere

si sono rifatti vivi

xcdegasp · 16-06-2007, 18:33

non credo tutti i server... quello su cui è residente il mio sito è bello che attivo e immune

ercolino · 16-06-2007, 18:35

Infatti ho scritto alcuni.

Inizialmente sono stati messi down e poi riattivati dopo aver preso provvedimenti

Comunque se riesci blocca gli Ip che ho messo

lucas84 · 16-06-2007, 18:36

no, ma lui è immune, tra pochi i server di aruba riceveranno un attacco ddos

xcdegasp · 16-06-2007, 19:02

Quote:

Originariamente inviato da lucas84

no, ma lui è immune, tra pochi i server di aruba riceveranno un attacco ddos

difronte ad un "ddos" contro la rete aruba anche se mettesi la lista degli ip da bannare farei ben poco...

raffree · 16-06-2007, 19:19

Cosa sta succedendo non ho capito bene, un attacco cracker in tutta la rete internet d'Italia?

ercolino · 16-06-2007, 22:44

Quote:

Originariamente inviato da xcdegasp

non credo tutti i server... quello su cui è residente il mio sito è bello che attivo e immune

Visto che Aruba non ci ha pensato di avvisare i suoi clienti ,ho avvisato io una persona che aveva il sito compromesso

Avviso su Aruba

ercolino · 16-06-2007, 22:45

Quote:

Originariamente inviato da raffree

Cosa sta succedendo non ho capito bene, un attacco cracker in tutta la rete internet d'Italia?

Principalmente su Aruba.

Infettano i siti cosi quando uno ci va a visitarli a sua volta si infetta il Pc.

xcdegasp · 16-06-2007, 23:47

hai proprio rimarcato un concetto fondamentale..

perchè solo windows-server vengono infettati?

prima infatti parlavi del file "httpaccess", ma ci sono i casi dei server linux (come il mio sito)...
è una falsa sensazione di protezione?

escludendo appunto attacchi "ddos"

khael · 17-06-2007, 00:21

ragazzi, di solito su aruba sono infettati server con win vecchio e non aggiornato;
E cmq aruba usa al 99% server windows quindi!
Posso dire (mia opinione) che seocndo me a partire da win 2003 con l'ultimo sp, se CONFIGURATO A DOVERE, fa il suo sporco lavoro come un qualsiasi altro server....se non fosse per il fatto che e' a pagamento!

xcdegasp · 17-06-2007, 01:00

io prediligo di gran lunga server-linux ma è un mio fatto puramente personale..

sampei.nihira · 17-06-2007, 08:00

Metto questa immagine postata da ERASER su PC al Sicuro,per far notare ancora una volta,anche se non c'è bisogno,che la propagazione dell'infezione è dipendente dal browser usato dagli utenti naviganti.
Potete notare da voi i dati e fare le vs considerazioni.

trinkity · 18-06-2007, 08:23

Quote:

Originariamente inviato da xcdegasp

hai proprio rimarcato un concetto fondamentale..

perchè solo windows-server vengono infettati?

prima infatti parlavi del file "httpaccess", ma ci sono i casi dei server linux (come il mio sito)...
è una falsa sensazione di protezione?

escludendo appunto attacchi "ddos"

Il mio sito su hostato su server linux e' stato attaccato!

xcdegasp · 18-06-2007, 11:58

Quote:

Originariamente inviato da trinkity

Il mio sito su hostato su server linux e' stato attaccato!

ti andrebbe di darmi ulteriori dettagli, se preferisci anche privatamente...
tipo come lo avevi realizzato il sito, come lo avevi protetto (permessi dei files, password su directory, robot.txt, ...), cosa hanno fatto e cosa hanno sfruttato per violarlo...

mi faresti una grande cortesia se mi daresti queste info

khael · 18-06-2007, 13:07

Quote:

Originariamente inviato da sampei.nihira

Metto questa immagine postata da ERASER su PC al Sicuro,per far notare ancora una volta,anche se non c'è bisogno,che la propagazione dell'infezione è dipendente dal browser usato dagli utenti naviganti.
Potete notare da voi i dati e fare le vs considerazioni.

scusami (è un fatto di pura curiosità è

) secondo me quelle statistiche non fanno testo perche':
E' chiero che i.e. abbia una diffusione nettamente maggiore rispetto a tutti gli altri browser, senza contare poi che secondo me chi di solito usa ie e' un utente "standard" per cui è più vulnerabile, mentre chi usa opera, firefox e co, e' un utente piu' esperto e sa cosa deve e cosa non deve fare, per cui e' meno vulnerabile!
ad esempio, i dialer secondo me erano al 99% diffusi su ie, non perche' ie fosse soltanto insicuro, ma perche' l'utente non sapeva che era un dialer quello che stava aprendo, per cui ie o opera o firefox non sarebbe cambiato nulla...pero' siccome opera e firefox l'utilizzano persone di nicchia e piu' "esperte" e' improbabile che restino fregati!
Ciao a tutti
Simone

16-06-2007, 01:02	#1
mausap Senior Member Iscritto dal: Jan 2007 Messaggi: 308	ITALIA SOTTO ATTACCO DI NUOVO!!!! Questa volta giro un post di symantec: http://www.symantec.com/enterprise/s...pack_gang.html symantec con elia florio sunbelt con un altro ricercatore italiano prevx con marco sono le piu' grosse aziende antivirus-antimalware che si stanno occupando di questi gravissimi attacchi. che si basano sempre sulla solita tecnica: pagine civetta costruite ad arte o hack di siti del tutto legittimi in cui sono inseriti iframe o jscript per exploit. guardate quanti pc hanno infettato. Per fare questi attacchi hanno utizzato mpack http://www.oneitsecurity.it/25/05/20...e-commerciale/ secondo panda la prima versione di questo infame malware (commerciale :-D ) è apparsa su un forum russo a dicembre 2006 Ultima modifica di mausap : 16-06-2007 alle 02:12.

16-06-2007, 01:54	#2
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	Non penso che siano le uniche, anzi ne sono sicuro , le altre lavorano silenziosamente, ti ricorderai benissimo il caso del provider italiano, se provi a leggere il blog sophos, leggerai qualcosa di interessante, naturalmente devi fare 1+1 dato che non viene mai citato direttamente http://www.sash.cc/ un bel mercatino Ciao e grazie per il link di Florio __________________ Il dubbio è il padre del sapere.

16-06-2007, 18:33	#7
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	non credo tutti i server... quello su cui è residente il mio sito è bello che attivo e immune __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

16-06-2007, 18:36	#9
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	no, ma lui è immune, tra pochi i server di aruba riceveranno un attacco ddos __________________ Il dubbio è il padre del sapere.

16-06-2007, 23:47	#14
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	hai proprio rimarcato un concetto fondamentale.. perchè solo windows-server vengono infettati? prima infatti parlavi del file "httpaccess", ma ci sono i casi dei server linux (come il mio sito)... è una falsa sensazione di protezione? escludendo appunto attacchi "ddos" __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

16-06-2007, 17:17	#3
ercolino Senior Member Iscritto dal: Feb 2003 Città: Torino Messaggi: 3708	Per chi ha un sito Web deve subito bloccare gli Ip a livello Server nel file httpaccess http://www.spamhaus.org/sbl/sbl.lasso?query=SBL51152 http://www.spamhaus.org/sbl/sbl.lasso?query=SBL54249 http://www.spamhaus.org/sbl/sbl.lasso?query=SBL43489

16-06-2007, 18:11	#5
ercolino Senior Member Iscritto dal: Feb 2003 Città: Torino Messaggi: 3708	I server di Aruba sono sotto attacco. Alcuni sono stati messi down per evitare la propagazione dell'infezione

16-06-2007, 18:35	#8
ercolino Senior Member Iscritto dal: Feb 2003 Città: Torino Messaggi: 3708	Infatti ho scritto alcuni. Inizialmente sono stati messi down e poi riattivati dopo aver preso provvedimenti Comunque se riesci blocca gli Ip che ho messo

16-06-2007, 19:19	#11
raffree Senior Member Iscritto dal: Oct 2006 Città: Napoli Messaggi: 2235	Cosa sta succedendo non ho capito bene, un attacco cracker in tutta la rete internet d'Italia?

17-06-2007, 00:21	#15
khael Senior Member Iscritto dal: Aug 2002 Città: Centro Italia Messaggi: 11096	ragazzi, di solito su aruba sono infettati server con win vecchio e non aggiornato; E cmq aruba usa al 99% server windows quindi! Posso dire (mia opinione) che seocndo me a partire da win 2003 con l'ultimo sp, se CONFIGURATO A DOVERE, fa il suo sporco lavoro come un qualsiasi altro server....se non fosse per il fatto che e' a pagamento! __________________ Cerco: Raspberry Pi Model B+ (B Plus 512MB)

17-06-2007, 01:00	#16
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	io prediligo di gran lunga server-linux ma è un mio fatto puramente personale.. __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

17-06-2007, 08:00	#17
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Metto questa immagine postata da ERASER su PC al Sicuro,per far notare ancora una volta,anche se non c'è bisogno,che la propagazione dell'infezione è dipendente dal browser usato dagli utenti naviganti. Potete notare da voi i dati e fare le vs considerazioni.

Strumenti
Mostra una versione stampabile Invia questa pagina per email