|
|
|
![]() |
|
Strumenti |
![]() |
#1 |
Senior Member
Iscritto dal: Aug 2006
Città: Riviera del Brenta
Messaggi: 2047
|
SEEWEB Sempre più infetto!
Stavo verificando alcuni siti web di seeweb che tempo fa mausap aveva postato sul suo blog ed ho scoperto che sono nuovamente infetti.
Gli IP da bloccare sono 66.36.243.97 72.29.74.243 58.65.237.106 Le pagine contengono uno script offuscato che punta ad un sito che scarica un' altro javascript offuscato che richiama lo script infetto. Lo script infetto (è stato usato l' IcePack) contiene vari exploit tra cui uno 0day Exploit (DirectX Media SDK 6.x) exploit per Yahoo Messenger, QuickTime, Winzip, Firefox, Ie, WMP. Il file scaricato è riconosciuto da pochi antivirus ![]() lo script è riconosciuto da ![]() Alcuni dei siti web sono completamente compromessi ![]() PS :Tra i siti infetti c'è anche il sito dei Democratici di Sinistra della Marsica Ultima modifica di GmG : 02-09-2007 alle 12:17. |
![]() |
![]() |
![]() |
#2 |
Messaggi: n/a
|
Mamma mia, fa veramente così schifo Seeweb?
Comunque purtroppo il provider non lo scelsi io ai tempi. Grazie delle info. |
![]() |
![]() |
#3 |
Senior Member
Iscritto dal: Aug 2006
Città: Riviera del Brenta
Messaggi: 2047
|
No so che dirti, ho scritto un e-mail a seeweb per segnalare l'accaduto e mi ha risposto che si tratto di un vecchissimo server frutto di una acquisizione e che stanno migrano i clienti alla piattaforma seeweb.
|
![]() |
![]() |
![]() |
#4 | |
Senior Member
Iscritto dal: Jan 2007
Messaggi: 308
|
Quote:
mi pare che aruba sia quello che ne sia uscito leggermente meglio dopo l'attacco con mpack Seeweb e hostingsolutins invece molto molto male.....
__________________
maipiugromozon.blogspot.com |
|
![]() |
![]() |
![]() |
#5 |
Senior Member
Iscritto dal: Sep 2007
Messaggi: 467
|
Riguardo agli indirizzi IP riportati nel post
66.36.243.97
72.29.74.243 58.65.237.106 questi IP citati nel post appartengono a hoster registrati in USA e AUSTRALIA, Non capisco riguardo a SEEWEB, forse vi riferite ad altri IP ????? Ciao Edgar ![]() http://edetools.blogspot.com/ |
![]() |
![]() |
![]() |
#6 | |
Senior Member
Iscritto dal: Aug 2006
Città: Riviera del Brenta
Messaggi: 2047
|
Quote:
Il server SEEWEB compromesso è 217.64.193.XXX. Ultima modifica di GmG : 27-09-2007 alle 12:07. |
|
![]() |
![]() |
![]() |
#7 |
Senior Member
Iscritto dal: Sep 2007
Messaggi: 467
|
IP
OK, avevo capito male, pensavo fossero degli ip di server dove sono ospitati i siti italiani di seeweb. ma mi sembrava strano con quegli indirizzi.
Comunque al momento non mi sembrano piu' attivi. Per quanto riguarda Hosting Solutions. invece, praticamente tutti i siti hackerati a maggio contengono ancora lo script java offuscato anche se al momento punta ad un server non attivo. Ho fatto un po di ricerche con il mio tool in autoit e il report e' praticamente lo stesso dei primi di luglio. http://edetools.blogspot.com/2007/09...-italiani.html ciao edgar ![]() Ultima modifica di Edgar Bangkok : 27-09-2007 alle 12:11. |
![]() |
![]() |
![]() |
#8 | |
Senior Member
Iscritto dal: Aug 2006
Città: Riviera del Brenta
Messaggi: 2047
|
Quote:
72.29.74.243 (wbest[DOT]info) attivo 58.65.237.106 non attivo comunque alcuni dei siti su SEEWEB contengono dei nuovi iframe ![]() ![]() su ip 203.121.67.117 Codice:
Antivirus Versione Ultimo aggiornamento Risultato AhnLab-V3 2007.9.27.0 2007.09.27 - AntiVir 7.6.0.15 2007.09.27 TR/Dldr.Bagle.DS.45 Authentium 4.93.8 2007.09.27 - Avast 4.7.1043.0 2007.09.26 - AVG 7.5.0.488 2007.09.26 Generic7.UEV BitDefender 7.2 2007.09.27 DeepScan:Generic.LdPinch1.D50CF89D CAT-QuickHeal 9.00 2007.09.26 (Suspicious) - DNAScan ClamAV 0.91.2 2007.09.26 - DrWeb 4.33 2007.09.27 - eSafe 7.0.15.0 2007.09.23 Suspicious Trojan/Worm eTrust-Vet 31.2.5168 2007.09.27 - Ewido 4.0 2007.09.27 - FileAdvisor 1 2007.09.27 - Fortinet 3.11.0.0 2007.09.27 W32/LdPinch.CZP!tr.pws F-Prot 4.3.2.48 2007.09.26 - F-Secure 6.70.13030.0 2007.09.27 Trojan-PSW.Win32.LdPinch.czp Ikarus T3.1.1.12 2007.09.27 Generic.LdPinch1 Kaspersky 7.0.0.125 2007.09.27 Trojan-PSW.Win32.LdPinch.czp McAfee 5128 2007.09.26 - Microsoft 1.2803 2007.09.27 PWS:Win32/Ldpinch.gen NOD32v2 2554 2007.09.26 probably a variant of Win32/Genetik Norman 5.80.02 2007.09.27 - Panda 9.0.0.4 2007.09.27 - Prevx1 V2 2007.09.27 Heuristic: Suspicious Self Modifying EXE Rising 19.42.32.00 2007.09.27 - Sophos 4.21.0 2007.09.27 - Sunbelt 2.2.907.0 2007.09.26 VIPRE.Suspicious Symantec 10 2007.09.27 Infostealer.Banker.C TheHacker 6.2.6.072 2007.09.27 - VBA32 3.12.2.4 2007.09.26 - VirusBuster 4.3.26:9 2007.09.26 - Webwasher-Gateway 6.0.1 2007.09.27 Trojan.Dldr.Bagle.DS.45 Informazioni addizionali File size: 54784 bytes MD5: e80c274a648711f7cb201983eff62154 SHA1: 9737586ddb8027bf0107ef467c27230c4ac48a52 packers: PECOMPACT packers: PecBundle, PECompact packers: PE_Patch.PECompact, PecBundle, PECompact Codice:
ntivirus;Versione;Ultimo aggiornamento;Risultato AhnLab-V3;2007.9.27.0;2007.09.27;- AntiVir;7.6.0.15;2007.09.27;HEUR/Malware Authentium;4.93.8;2007.09.27;- Avast;4.7.1043.0;2007.09.26;- AVG;7.5.0.488;2007.09.26;- BitDefender;7.2;2007.09.27;BehavesLike:Win32.ProcessHijack CAT-QuickHeal;9.00;2007.09.26;- ClamAV;0.91.2;2007.09.26;- DrWeb;4.33;2007.09.27;- eSafe;7.0.15.0;2007.09.23;- eTrust-Vet;31.2.5168;2007.09.27;- Ewido;4.0;2007.09.27;- FileAdvisor;1;2007.09.27;- Fortinet;3.11.0.0;2007.09.27;- F-Prot;4.3.2.48;2007.09.26;- F-Secure;6.70.13030.0;2007.09.27;- Ikarus;T3.1.1.12;2007.09.27;BehavesLikeWin32.ProcessHijack Kaspersky;7.0.0.125;2007.09.27;- McAfee;5128;2007.09.26;- Microsoft;1.2803;2007.09.27;TrojanDownloader:Win32/Nurech.R NOD32v2;2554;2007.09.26;- Norman;5.80.02;2007.09.27;- Panda;9.0.0.4;2007.09.27;- Prevx1;V2;2007.09.27;Malware.Gen Rising;19.42.32.00;2007.09.27;- Sophos;4.21.0;2007.09.27;- Sunbelt;2.2.907.0;2007.09.26;Trojan-Downloader.Win32.Nurech.r Symantec;10;2007.09.27;Infostealer.Banker.C TheHacker;6.2.6.072;2007.09.27;- VBA32;3.12.2.4;2007.09.26;suspected of Embedded.Trojan-Downloader.Win32.Small.dge VirusBuster;4.3.26:9;2007.09.26;- Webwasher-Gateway;6.0.1;2007.09.27;Win32.NewMalware.HW!28160 Informazioni addizionali File size: 28160 bytes MD5: 797aab994063f402237de3c14ea8b370 SHA1: 308840d4ac5653430794e67ba886ee3a4e4a2c27 |
|
![]() |
![]() |
![]() |
#9 |
Senior Member
Iscritto dal: Sep 2007
Messaggi: 467
|
IP e IFRAME
Sto facendo una scansione con il mio tool ma non sapendo che ip di seeweb risulta compromesso sono partito tanto per provare da 217.64.193.10 in poi ...
per ora ho trovato un po' di iframe con indirizzo IP che punta a 69.50.190.xxx OrgName: InterCage, Inc. OrgID: INTER-359 Address: 1955 Monument Blvd. Address: #236 City: Concord StateProv: CA gia' ampiamente conosciuto... Vediamo cosa esce proseguendo ... nella scansione Edgar |
![]() |
![]() |
![]() |
#10 | |
Senior Member
Iscritto dal: Aug 2006
Città: Riviera del Brenta
Messaggi: 2047
|
Quote:
217.64.193.7 217.64.193.19 217.64.193.39 217.64.193.55 217.64.193.71 217.64.193.76 217.64.193.91 EDIT: Ho usato il tuo ottimo tool e come testo di ricerca iframe$document.write Ciao, GmG Ultima modifica di GmG : 27-09-2007 alle 13:43. |
|
![]() |
![]() |
![]() |
#11 |
Senior Member
Iscritto dal: Sep 2007
Messaggi: 467
|
Scansione
Infatti ero arrivato ad un ip di quelli compromessi, e sono saltati fuori alcuni siti,
Uno ad esempio ha un java script offuscato, molto semplice, che decodificato punta a crunet.info Mi pare che da una prima scansione escano fuori un mix di siti sia con iframe ma in chiaro ... con indirizzo IP, sia con javascript offuscati..ma semplici da decodificare. Se devo dare retta alle date dei files che scarico con il tool sembrerebbe che la data di modifica del file html dei siti con l'inserimento dello script sia abbastanza recente... es.. 3/9/2007... Poi faccio una scansione piu approfondita degli IP in questione e posto il report che esce fuori. Grazie delle info... Saluti Edgar PS ora sospendo il tutto perche' qui a Bangkok sono le 7 di sera e vado a cena.... hehehe ![]() |
![]() |
![]() |
![]() |
#12 |
Senior Member
Iscritto dal: Sep 2007
Messaggi: 467
|
per il tool
Dimenticavo....
ho modificato poco fa il tool per scansionare anche domini RU e CN visto che la routine di decodifica era solo predisposta su IT ORG EU COM Poi posto sul mio sito la versione aggiornata... se puo' interessare.. Ciao Edgar |
![]() |
![]() |
![]() |
#13 |
Member
Iscritto dal: Sep 2007
Messaggi: 41
|
.
|
![]() |
![]() |
![]() |
#14 |
Senior Member
Iscritto dal: Jan 2007
Messaggi: 308
|
appena ho tempo faccio un post in cui metto qualche faccia di alcuni di questi stro.... e quello che fanno...compresi i loro famosi party
e' davvero incredibile che vengano presi a calci nel sedere visto che fanno quasi tutto alla luce del sole.
__________________
maipiugromozon.blogspot.com |
![]() |
![]() |
![]() |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 17:48.