[NEWS] Hacking su servers all' IP 213.21.152.50

[Edgar Bangkok]

1 Marzo 2008 ore 10.22

Succede abbastanza frequentemente che vengano attaccati server web compromettendo, nel caso di vulnerabilita' esistenti, tutti, o una buona parte, dei siti hostati nello stesso range IP.
Questa volta e' stato preso di mira un server web con hosting all'IP 213.21.152.50.
Mi pare che il provider abbia prontamente bonificato i siti, che erano stati compromessi attraverso con la sostituzione della home page con una pagina contenente testi e un link a filmato youtube.(immagine allegata sul blog)
L'utilizzo del mio tool Webscanner ha pero' evidenziato che nel range, al momento di scrivere questo post, sono presenti ancora 2 siti che presentano il problema. (immagine allegata sul blog)
Non so se' questo sia dovuto al fatto che si stia provvedendo attualmente alla loro bonifica o che non siano stati evidenziati, al momento della verifica, i loro contenuti.
Il server utliizzato pare essere : Microsoft IIS/6.0 Windows 2003
In ogni modo il provider e' stato informato del problema.
Edgar

Fonte : http://edetools.blogspot.com/

[xcdegasp]

l'altra l'ho messa direttamente nel cestino

server su rete alpikom del trentino..

un altro caso interessante l'aveva riportato sampei in un thread nell'area generica ed è:
http://forum.pcalsicuro.com/index.php/topic,244.0.html
si possono trovare ben 20 exploit raggruppati in un unica pagina infetta e codificata in modo da complicarne l'identificazione agli antivirus..

[Edgar Bangkok]

Attualmente ho modificato il mio tool webscanner per completare l URL passatagli con l'aggiunta di un percorso predefinito .all url base trovata con reverse IP ; in quanto capita che a volte vengano depositate pagine all interno del sito hackerato e non venga ackerata la home page,
esempio www.xyz.it/redx.htm dove red . htm e' la pagina scaricata sul sito
Chiaramente una volta avuto accesso al server tutti i siti presenti ...fanno la stessa fine...

A questo modo facendo ad esempio la scansione dei siti hostati su IP 194.177.98.46 salta fuori questa bella lista che in automatico viene generata in pochi secondi..dal tool . a mano sarebbe un po' lungo....

www.adscons.com/redx.htm
www.associazionebattisti.com/redx.htm
www.associazionebattisti.it/redx.htm
www.centrostudisanpietroaneure.com/redx.htm
www.contoenergiasolare.it/redx.htm
www.edeamicis.eu/redx.htm
www.fianelloborgo.it/redx.htm
www.goldenretrievernoor.com/redx.htm
www.labadia.org/redx.htm
www.metapt.it/redx.htm
www.minlab.org/redx.htm
www.mutuimilano.com/redx.htm
www.occasionecasa.net/redx.htm
www.oggicasa.com/redx.htm
www.orgogliojuve.com/redx.htm
www.pitbullmuseum.org/redx.htm
www.scherzetti.com/redx.htm
www.termocaminomercury.it/redx.htm

edgar

[xcdegasp]

bella questa

[Lazza84]

Quote:

Originariamente inviato da Edgar Bangkok

server web con hosting all'IP 213.21.152.50.

Messo in lista

Quote:

Originariamente inviato da Edgar Bangkok

L'utilizzo del mio tool Webscanner ha pero' evidenziato che nel range, al momento di scrivere questo post, sono presenti ancora 2 siti che presentano il problema.

Ti interesserebbe collaborare ?
http://www.hwupgrade.it/forum/showthread.php?t=1683214

[deneb87]

complimenti, blog veramente molto interessante

[Edgar Bangkok]

Nessun problema a postarvi indirizzi IP o ranges di IP pericolosi.
Devo pero' fare una precisazione per quanto riguarda l' ip che appare nel post precedente.
In effetti e' l'IP e' di un server che hosta diversi siti senza problemi di malware , comunque non gli ho analizzati in dettaglio e mi riprometto di farlo .....
Il problema di questi siti e' che qualcuno sfruttando una vulnerabilita' ha aggiunto all'interno una pagina che evidenzia l'hacking del server
Probabilmente nel giro di qualche giorno queste pagine aggiunte dovrebbero essere cancellate ed i siti ritornare del tutto normali, a meno che il provider in questione si dimentichi di bonificare le pagine o peggio (puo' succedere) non si accorga che esistono sul suo server....
Non so quindi se paragonare questo Ip ad un Ip pericoloso sul tipo di quelli che ad esempio hostano pagine malware, finti softwares av e javascripts pericolosi... oppure come quelle pagine che una volta compromesse hanno al loro interno link automatici a pagine con download malware.
Chiaro che se bloccate questo ip automaticamente bloccate anche siti del tutto sicuri e che non presentano problemi....
Quindi, secondo me, l ip sarebbe solo da evidenziare come indirizzo di server compromesso ma che non hosta pagine malware, almeno al momento.... ed andrebbe riverificato dopo qualche giorno per vedere se i problemi sono stati risolti.

Edgar

Ho aggiunto un po piu' di dettagli su http://edetools.blogspot.com/2008/03...-modifica.html

[sampei.nihira]

Quote:

Originariamente inviato da Edgar Bangkok

Nessun problema a postarvi indirizzi IP o ranges di IP pericolosi.
Devo pero' fare una precisazione per quanto riguarda l' ip che appare nel post precedente.
In effetti e' l'IP e' di un server che hosta diversi siti senza problemi di malware , comunque non gli ho analizzati in dettaglio e mi riprometto di farlo .....
Il problema di questi siti e' che qualcuno sfruttando una vulnerabilita' ha aggiunto all'interno una pagina che evidenzia l'hacking del server
Probabilmente nel giro di qualche giorno queste pagine aggiunte dovrebbero essere cancellate ed i siti ritornare del tutto normali, a meno che il provider in questione si dimentichi di bonificare le pagine o peggio (puo' succedere) non si accorga che esistono sul suo server....
Non so quindi se paragonare questo Ip ad un Ip pericoloso sul tipo di quelli che ad esempio hostano pagine malware, finti softwares av e javascripts pericolosi... oppure come quelle pagine che una volta compromesse hanno al loro interno link automatici a pagine con download malware.
Chiaro che se bloccate questo ip automaticamente bloccate anche siti del tutto sicuri e che non presentano problemi....
Quindi, secondo me, l ip sarebbe solo da evidenziare come indirizzo di server compromesso ma che non hosta pagine malware, almeno al momento.... ed andrebbe riverificato dopo qualche giorno per vedere se i problemi sono stati risolti.

Edgar

Ho aggiunto un po piu' di dettagli su http://edetools.blogspot.com/2008/03...-modifica.html

Si infatti.
Premetto che sono contrario alle liste IP da bloccare,perchè in linea teorica si finisce sempre per bloccare ciò che è privo da pericoli.
Ma questo naturalmente è solo un mio pensiero........
Ma c'è anche l'aspetto che hai descritto tu cioè la bonifica in tempi brevi.
Quindi se la lista non è in continua evoluzione.....e ciò è un lavoro immane.....

[xcdegasp]

ma ora, leggendo anceh le parole dello Zio Sampei, mi si concretizza un 'idea...
vi ricordate che Sisupoika in un giorno come tantiprima di dare corso al progetti "browser" disse che pensava ad un pulgin rivolto alla sicurezza?

e se fosse da realizzare un plugin per piattaforma firefox in cui creare dinamicamente la blocklist delle pagine da non visitare?
magari associata alla lista di IP-dannosi così si avrebbe comunque un range di IP come costante da bloccare (aggiornati tramite il "know how" qui sul forum o con altra lista) e in più le pagine da impedirne la visita inquanto violate o aggiunte ad un server