Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > AV e sicurezza in generale

BYD Atto 2, il SUV elettrico del segmento B
BYD Atto 2, il SUV elettrico del segmento B
Atto 2 è l'ultima arrivata nella gamma di vetture completamente elettriche di BYD, posizionata nell'importante segmento di mercato dei SUV del segmento B. E' forte di una batteria strutturale che opera anche come telaio, di una buona autonomia per l'utilizzo in ambiente urbano e di elevata abitabilità pur con dimensioni compatte
Avowed: promosso il nuovo RPG di Microsoft Xbox
Avowed: promosso il nuovo RPG di Microsoft Xbox
Negli ultimi giorni abbiamo provato il nuovo gioco di ruolo d'azione di Microsoft Xbox e di Obsidian Entertainment, Avowed. Ambientato nell'immaginario di Pillars of Eternity, si è rivelato sorprendente in tanti aspetti, a cominciare dalla sua grafica colorata
Recensione Razer Basilisk V3 Pro 35K: è (quasi) perfetto, e vi spiego perché!
Recensione Razer Basilisk V3 Pro 35K: è (quasi) perfetto, e vi spiego perché!
Razer mi ha offerto l'opportunità di provare il nuovo Basilisk V3 Pro 35K e devo ammettere che mi ha stupito. Dopo anni trascorsi con il Logitech G502, dalla sua prima iterazione Proteus Core all'ultima G502 X Plus, è arrivato finalmente un degno avversario. La periferica di Logitech rimane un punto di riferimento in questo segmento ed è ancora uno dei miei mouse preferiti, ma alla fine il Razer si è guadagnato il "posto fisso" nel mio setup. Sfortunatamente, il costo non è propriamente accessibile.
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 02-09-2007, 11:30   #1
GmG
Senior Member
 
L'Avatar di GmG
 
Iscritto dal: Aug 2006
Città: Riviera del Brenta
Messaggi: 2047
SEEWEB Sempre più infetto!

Stavo verificando alcuni siti web di seeweb che tempo fa mausap aveva postato sul suo blog ed ho scoperto che sono nuovamente infetti.

Gli IP da bloccare sono

66.36.243.97
72.29.74.243
58.65.237.106

Le pagine contengono uno script offuscato che punta ad un sito che scarica un' altro javascript offuscato che richiama lo script infetto.

Lo script infetto (è stato usato l' IcePack) contiene vari exploit tra cui uno 0day Exploit (DirectX Media SDK 6.x) exploit per Yahoo Messenger, QuickTime, Winzip, Firefox, Ie, WMP.

Il file scaricato è riconosciuto da pochi antivirus



lo script è riconosciuto da



Alcuni dei siti web sono completamente compromessi



PS :Tra i siti infetti c'è anche il sito dei Democratici di Sinistra della Marsica

Ultima modifica di GmG : 02-09-2007 alle 12:17.
GmG è offline   Rispondi citando il messaggio o parte di esso
Old 06-09-2007, 20:00   #2
anonimizzato
 
Messaggi: n/a
Mamma mia, fa veramente così schifo Seeweb?

Comunque purtroppo il provider non lo scelsi io ai tempi.

Grazie delle info.
  Rispondi citando il messaggio o parte di esso
Old 06-09-2007, 20:25   #3
GmG
Senior Member
 
L'Avatar di GmG
 
Iscritto dal: Aug 2006
Città: Riviera del Brenta
Messaggi: 2047
No so che dirti, ho scritto un e-mail a seeweb per segnalare l'accaduto e mi ha risposto che si tratto di un vecchissimo server frutto di una acquisizione e che stanno migrano i clienti alla piattaforma seeweb.
GmG è offline   Rispondi citando il messaggio o parte di esso
Old 07-09-2007, 12:35   #4
mausap
Senior Member
 
Iscritto dal: Jan 2007
Messaggi: 308
Quote:
Originariamente inviato da GmG Guarda i messaggi
No so che dirti, ho scritto un e-mail a seeweb per segnalare l'accaduto e mi ha risposto che si tratto di un vecchissimo server frutto di una acquisizione e che stanno migrano i clienti alla piattaforma seeweb.
la lentezza con cui gli hoster stanno affrontando il problema è vergognosa.

mi pare che aruba sia quello che ne sia uscito leggermente meglio dopo l'attacco con mpack

Seeweb e hostingsolutins invece molto molto male.....
__________________
maipiugromozon.blogspot.com
mausap è offline   Rispondi citando il messaggio o parte di esso
Old 27-09-2007, 11:54   #5
Edgar Bangkok
Senior Member
 
L'Avatar di Edgar Bangkok
 
Iscritto dal: Sep 2007
Messaggi: 467
Riguardo agli indirizzi IP riportati nel post

66.36.243.97
72.29.74.243
58.65.237.106

questi IP citati nel post appartengono a hoster registrati in USA e AUSTRALIA,

Non capisco riguardo a SEEWEB, forse vi riferite ad altri IP ?????

Ciao

Edgar

http://edetools.blogspot.com/
Edgar Bangkok è offline   Rispondi citando il messaggio o parte di esso
Old 27-09-2007, 11:56   #6
GmG
Senior Member
 
L'Avatar di GmG
 
Iscritto dal: Aug 2006
Città: Riviera del Brenta
Messaggi: 2047
Quote:
Originariamente inviato da Edgar Bangkok Guarda i messaggi
66.36.243.97
72.29.74.243
58.65.237.106

questi IP citati nel post appartengono a hoster registrati in USA e AUSTRALIA,

Non capisco riguardo a SEEWEB, forse vi riferite ad altri IP ?????

Ciao

Edgar
Sono gli ip dei siti con exploit a cui puntano gli iframe e script contenuti nelle pagine infette nei server di SEEWEB.

Il server SEEWEB compromesso è 217.64.193.XXX.

Ultima modifica di GmG : 27-09-2007 alle 12:07.
GmG è offline   Rispondi citando il messaggio o parte di esso
Old 27-09-2007, 12:09   #7
Edgar Bangkok
Senior Member
 
L'Avatar di Edgar Bangkok
 
Iscritto dal: Sep 2007
Messaggi: 467
IP

OK, avevo capito male, pensavo fossero degli ip di server dove sono ospitati i siti italiani di seeweb. ma mi sembrava strano con quegli indirizzi.
Comunque al momento non mi sembrano piu' attivi.
Per quanto riguarda Hosting Solutions. invece, praticamente tutti i siti hackerati a maggio contengono ancora lo script java offuscato anche se al momento punta ad un server non attivo. Ho fatto un po di ricerche con il mio tool in autoit e il report e' praticamente lo stesso dei primi di luglio.

http://edetools.blogspot.com/2007/09...-italiani.html

ciao

edgar

Ultima modifica di Edgar Bangkok : 27-09-2007 alle 12:11.
Edgar Bangkok è offline   Rispondi citando il messaggio o parte di esso
Old 27-09-2007, 12:49   #8
GmG
Senior Member
 
L'Avatar di GmG
 
Iscritto dal: Aug 2006
Città: Riviera del Brenta
Messaggi: 2047
Quote:
Originariamente inviato da Edgar Bangkok Guarda i messaggi
OK, avevo capito male, pensavo fossero degli ip di server dove sono ospitati i siti italiani di seeweb. ma mi sembrava strano con quegli indirizzi.
Comunque al momento non mi sembrano piu' attivi.
Per quanto riguarda Hosting Solutions. invece, praticamente tutti i siti hackerati a maggio contengono ancora lo script java offuscato anche se al momento punta ad un server non attivo. Ho fatto un po di ricerche con il mio tool in autoit e il report e' praticamente lo stesso dei primi di luglio.

http://edetools.blogspot.com/2007/09...-italiani.html

ciao

edgar
66.36.243.97 (krutik[DOT]info) è attivo prima puntava ad un exploit su un sito all' ip 72.29.74.243 ora punta ad un exploit su se stesso

72.29.74.243 (wbest[DOT]info) attivo
58.65.237.106 non attivo

comunque alcuni dei siti su SEEWEB contengono dei nuovi iframe

su ip 203.121.67.117

Codice:
Antivirus	Versione	Ultimo aggiornamento	Risultato
AhnLab-V3	2007.9.27.0	2007.09.27	-
AntiVir	7.6.0.15	2007.09.27	TR/Dldr.Bagle.DS.45
Authentium	4.93.8	2007.09.27	-
Avast	4.7.1043.0	2007.09.26	-
AVG	7.5.0.488	2007.09.26	Generic7.UEV
BitDefender	7.2	2007.09.27	DeepScan:Generic.LdPinch1.D50CF89D
CAT-QuickHeal	9.00	2007.09.26	(Suspicious) - DNAScan
ClamAV	0.91.2	2007.09.26	-
DrWeb	4.33	2007.09.27	-
eSafe	7.0.15.0	2007.09.23	Suspicious Trojan/Worm
eTrust-Vet	31.2.5168	2007.09.27	-
Ewido	4.0	2007.09.27	-
FileAdvisor	1	2007.09.27	-
Fortinet	3.11.0.0	2007.09.27	W32/LdPinch.CZP!tr.pws
F-Prot	4.3.2.48	2007.09.26	-
F-Secure	6.70.13030.0	2007.09.27	Trojan-PSW.Win32.LdPinch.czp
Ikarus	T3.1.1.12	2007.09.27	Generic.LdPinch1
Kaspersky	7.0.0.125	2007.09.27	Trojan-PSW.Win32.LdPinch.czp
McAfee	5128	2007.09.26	-
Microsoft	1.2803	2007.09.27	PWS:Win32/Ldpinch.gen
NOD32v2	2554	2007.09.26	probably a variant of Win32/Genetik
Norman	5.80.02	2007.09.27	-
Panda	9.0.0.4	2007.09.27	-
Prevx1	V2	2007.09.27	Heuristic: Suspicious Self Modifying EXE
Rising	19.42.32.00	2007.09.27	-
Sophos	4.21.0	2007.09.27	-
Sunbelt	2.2.907.0	2007.09.26	VIPRE.Suspicious
Symantec	10	2007.09.27	Infostealer.Banker.C
TheHacker	6.2.6.072	2007.09.27	-
VBA32	3.12.2.4	2007.09.26	-
VirusBuster	4.3.26:9	2007.09.26	-
Webwasher-Gateway	6.0.1	2007.09.27	Trojan.Dldr.Bagle.DS.45

Informazioni addizionali
File size: 54784 bytes
MD5: e80c274a648711f7cb201983eff62154
SHA1: 9737586ddb8027bf0107ef467c27230c4ac48a52
packers: PECOMPACT
packers: PecBundle, PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact
Codice:
ntivirus;Versione;Ultimo aggiornamento;Risultato
AhnLab-V3;2007.9.27.0;2007.09.27;-
AntiVir;7.6.0.15;2007.09.27;HEUR/Malware
Authentium;4.93.8;2007.09.27;-
Avast;4.7.1043.0;2007.09.26;-
AVG;7.5.0.488;2007.09.26;-
BitDefender;7.2;2007.09.27;BehavesLike:Win32.ProcessHijack
CAT-QuickHeal;9.00;2007.09.26;-
ClamAV;0.91.2;2007.09.26;-
DrWeb;4.33;2007.09.27;-
eSafe;7.0.15.0;2007.09.23;-
eTrust-Vet;31.2.5168;2007.09.27;-
Ewido;4.0;2007.09.27;-
FileAdvisor;1;2007.09.27;-
Fortinet;3.11.0.0;2007.09.27;-
F-Prot;4.3.2.48;2007.09.26;-
F-Secure;6.70.13030.0;2007.09.27;-
Ikarus;T3.1.1.12;2007.09.27;BehavesLikeWin32.ProcessHijack
Kaspersky;7.0.0.125;2007.09.27;-
McAfee;5128;2007.09.26;-
Microsoft;1.2803;2007.09.27;TrojanDownloader:Win32/Nurech.R
NOD32v2;2554;2007.09.26;-
Norman;5.80.02;2007.09.27;-
Panda;9.0.0.4;2007.09.27;-
Prevx1;V2;2007.09.27;Malware.Gen
Rising;19.42.32.00;2007.09.27;-
Sophos;4.21.0;2007.09.27;-
Sunbelt;2.2.907.0;2007.09.26;Trojan-Downloader.Win32.Nurech.r
Symantec;10;2007.09.27;Infostealer.Banker.C
TheHacker;6.2.6.072;2007.09.27;-
VBA32;3.12.2.4;2007.09.26;suspected of Embedded.Trojan-Downloader.Win32.Small.dge
VirusBuster;4.3.26:9;2007.09.26;-
Webwasher-Gateway;6.0.1;2007.09.27;Win32.NewMalware.HW!28160

Informazioni addizionali
File size: 28160 bytes
MD5: 797aab994063f402237de3c14ea8b370
SHA1: 308840d4ac5653430794e67ba886ee3a4e4a2c27
GmG è offline   Rispondi citando il messaggio o parte di esso
Old 27-09-2007, 13:17   #9
Edgar Bangkok
Senior Member
 
L'Avatar di Edgar Bangkok
 
Iscritto dal: Sep 2007
Messaggi: 467
IP e IFRAME

Sto facendo una scansione con il mio tool ma non sapendo che ip di seeweb risulta compromesso sono partito tanto per provare da 217.64.193.10 in poi ...

per ora ho trovato un po' di iframe con indirizzo IP che punta a 69.50.190.xxx

OrgName: InterCage, Inc.
OrgID: INTER-359
Address: 1955 Monument Blvd.
Address: #236
City: Concord
StateProv: CA

gia' ampiamente conosciuto...


Vediamo cosa esce proseguendo ... nella scansione

Edgar
Edgar Bangkok è offline   Rispondi citando il messaggio o parte di esso
Old 27-09-2007, 13:30   #10
GmG
Senior Member
 
L'Avatar di GmG
 
Iscritto dal: Aug 2006
Città: Riviera del Brenta
Messaggi: 2047
Quote:
Originariamente inviato da Edgar Bangkok Guarda i messaggi
Sto facendo una scansione con il mio tool ma non sapendo che ip di seeweb risulta compromesso sono partito tanto per provare da 217.64.193.10 in poi ...

Edgar
Sono

217.64.193.7
217.64.193.19
217.64.193.39
217.64.193.55
217.64.193.71
217.64.193.76
217.64.193.91

EDIT:
Ho usato il tuo ottimo tool e come testo di ricerca iframe$document.write

Ciao,
GmG

Ultima modifica di GmG : 27-09-2007 alle 13:43.
GmG è offline   Rispondi citando il messaggio o parte di esso
Old 27-09-2007, 13:57   #11
Edgar Bangkok
Senior Member
 
L'Avatar di Edgar Bangkok
 
Iscritto dal: Sep 2007
Messaggi: 467
Scansione

Infatti ero arrivato ad un ip di quelli compromessi, e sono saltati fuori alcuni siti,
Uno ad esempio ha un java script offuscato, molto semplice, che decodificato
punta a crunet.info
Mi pare che da una prima scansione escano fuori un mix di siti sia con iframe ma in chiaro ... con indirizzo IP, sia con javascript offuscati..ma semplici da decodificare.
Se devo dare retta alle date dei files che scarico con il tool sembrerebbe che la data di modifica del file html dei siti con l'inserimento dello script sia abbastanza recente... es.. 3/9/2007...
Poi faccio una scansione piu approfondita degli IP in questione e posto il report che esce fuori.
Grazie delle info...
Saluti
Edgar

PS
ora sospendo il tutto perche' qui a Bangkok sono le 7 di sera e vado a cena.... hehehe
Edgar Bangkok è offline   Rispondi citando il messaggio o parte di esso
Old 27-09-2007, 14:00   #12
Edgar Bangkok
Senior Member
 
L'Avatar di Edgar Bangkok
 
Iscritto dal: Sep 2007
Messaggi: 467
per il tool

Dimenticavo....
ho modificato poco fa il tool per scansionare anche domini RU e CN visto che la routine di decodifica era solo predisposta su IT ORG EU COM
Poi posto sul mio sito la versione aggiornata... se puo' interessare..

Ciao

Edgar
Edgar Bangkok è offline   Rispondi citando il messaggio o parte di esso
Old 27-09-2007, 15:25   #13
cameociobar
Member
 
Iscritto dal: Sep 2007
Messaggi: 41
.
cameociobar è offline   Rispondi citando il messaggio o parte di esso
Old 27-09-2007, 20:09   #14
mausap
Senior Member
 
Iscritto dal: Jan 2007
Messaggi: 308
appena ho tempo faccio un post in cui metto qualche faccia di alcuni di questi stro.... e quello che fanno...compresi i loro famosi party
e' davvero incredibile che vengano presi a calci nel sedere visto che fanno quasi tutto alla luce del sole.
__________________
maipiugromozon.blogspot.com
mausap è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


BYD Atto 2, il SUV elettrico del segmento B BYD Atto 2, il SUV elettrico del segmento B
Avowed: promosso il nuovo RPG di Microsoft Xbox Avowed: promosso il nuovo RPG di Microsoft Xbox
Recensione Razer Basilisk V3 Pro 35K: è (quasi) perfetto, e vi spiego perché! Recensione Razer Basilisk V3 Pro 35K: è (...
Ecovacs Deebot X8 Omni, il robot che lava con il rullo Ecovacs Deebot X8 Omni, il robot che lava con il...
Recensione Turtle Beach Stealth Pivot: un controller dalla doppia personalità Recensione Turtle Beach Stealth Pivot: un contro...
Samsung Galaxy Watch e Apple Watch ora i...
Potenza, super schermo, peso ridicolo di...
Super portatili a prezzo stracciato con ...
ECOVACS DEEBOT X8 PRO OMNI e X8 OMNI in ...
Samsung Galaxy SmartTag2 (4 pezzi) scend...
ASUS TUF Gaming A15: ecco un super porta...
5 mini PC in forte sconto! Si va dai 139...
Torna a 99€ il super tablet 10,4" 2...
Terremoto Asahi Linux: lascia il fondato...
Il Consiglio di amministrazione di OpenA...
La Cina ha annunciato che le tute spazia...
La Cina ha lanciato altri satelliti Guow...
NASA NEO Surveyor: il telescopio che cer...
Nintendo Switch 2 è già in...
Blue Origin potrebbe licenziare oltre il...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 17:48.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Served by www2v