SEEWEB Sempre più infetto!

GmG · 02-09-2007, 11:30

Stavo verificando alcuni siti web di seeweb che tempo fa mausap aveva postato sul suo blog ed ho scoperto che sono nuovamente infetti.

Gli IP da bloccare sono

66.36.243.97
72.29.74.243
58.65.237.106

Le pagine contengono uno script offuscato che punta ad un sito che scarica un' altro javascript offuscato che richiama lo script infetto.

Lo script infetto (è stato usato l' IcePack) contiene vari exploit tra cui uno 0day Exploit (DirectX Media SDK 6.x) exploit per Yahoo Messenger, QuickTime, Winzip, Firefox, Ie, WMP.

Il file scaricato è riconosciuto da pochi antivirus

lo script è riconosciuto da

Alcuni dei siti web sono completamente compromessi

PS :Tra i siti infetti c'è anche il sito dei Democratici di Sinistra della Marsica

06-09-2007, 20:00

Mamma mia, fa veramente così schifo Seeweb?

Comunque purtroppo il provider non lo scelsi io ai tempi.

Grazie delle info.

GmG · 06-09-2007, 20:25

No so che dirti, ho scritto un e-mail a seeweb per segnalare l'accaduto e mi ha risposto che si tratto di un vecchissimo server frutto di una acquisizione e che stanno migrano i clienti alla piattaforma seeweb.

mausap · 07-09-2007, 12:35

Quote:

Originariamente inviato da GmG

No so che dirti, ho scritto un e-mail a seeweb per segnalare l'accaduto e mi ha risposto che si tratto di un vecchissimo server frutto di una acquisizione e che stanno migrano i clienti alla piattaforma seeweb.

la lentezza con cui gli hoster stanno affrontando il problema è vergognosa.

mi pare che aruba sia quello che ne sia uscito leggermente meglio dopo l'attacco con mpack

Seeweb e hostingsolutins invece molto molto male.....

Edgar Bangkok · 27-09-2007, 11:54

66.36.243.97
72.29.74.243
58.65.237.106

questi IP citati nel post appartengono a hoster registrati in USA e AUSTRALIA,

Non capisco riguardo a SEEWEB, forse vi riferite ad altri IP ?????

Ciao

Edgar

http://edetools.blogspot.com/

GmG · 27-09-2007, 11:56

Quote:

Originariamente inviato da Edgar Bangkok

66.36.243.97
72.29.74.243
58.65.237.106

questi IP citati nel post appartengono a hoster registrati in USA e AUSTRALIA,

Non capisco riguardo a SEEWEB, forse vi riferite ad altri IP ?????

Ciao

Edgar

Sono gli ip dei siti con exploit a cui puntano gli iframe e script contenuti nelle pagine infette nei server di SEEWEB.

Il server SEEWEB compromesso è 217.64.193.XXX.

Edgar Bangkok · 27-09-2007, 12:09

OK, avevo capito male, pensavo fossero degli ip di server dove sono ospitati i siti italiani di seeweb. ma mi sembrava strano con quegli indirizzi.
Comunque al momento non mi sembrano piu' attivi.
Per quanto riguarda Hosting Solutions. invece, praticamente tutti i siti hackerati a maggio contengono ancora lo script java offuscato anche se al momento punta ad un server non attivo. Ho fatto un po di ricerche con il mio tool in autoit e il report e' praticamente lo stesso dei primi di luglio.

http://edetools.blogspot.com/2007/09...-italiani.html

ciao

edgar

GmG · 27-09-2007, 12:49

Quote:

Originariamente inviato da Edgar Bangkok

OK, avevo capito male, pensavo fossero degli ip di server dove sono ospitati i siti italiani di seeweb. ma mi sembrava strano con quegli indirizzi.
Comunque al momento non mi sembrano piu' attivi.
Per quanto riguarda Hosting Solutions. invece, praticamente tutti i siti hackerati a maggio contengono ancora lo script java offuscato anche se al momento punta ad un server non attivo. Ho fatto un po di ricerche con il mio tool in autoit e il report e' praticamente lo stesso dei primi di luglio.

http://edetools.blogspot.com/2007/09...-italiani.html

ciao

edgar

66.36.243.97 (krutik[DOT]info) è attivo prima puntava ad un exploit su un sito all' ip 72.29.74.243 ora punta ad un exploit su se stesso

72.29.74.243 (wbest[DOT]info) attivo
58.65.237.106 non attivo

comunque alcuni dei siti su SEEWEB contengono dei nuovi iframe

su ip 203.121.67.117

Codice:

Antivirus	Versione	Ultimo aggiornamento	Risultato
AhnLab-V3	2007.9.27.0	2007.09.27	-
AntiVir	7.6.0.15	2007.09.27	TR/Dldr.Bagle.DS.45
Authentium	4.93.8	2007.09.27	-
Avast	4.7.1043.0	2007.09.26	-
AVG	7.5.0.488	2007.09.26	Generic7.UEV
BitDefender	7.2	2007.09.27	DeepScan:Generic.LdPinch1.D50CF89D
CAT-QuickHeal	9.00	2007.09.26	(Suspicious) - DNAScan
ClamAV	0.91.2	2007.09.26	-
DrWeb	4.33	2007.09.27	-
eSafe	7.0.15.0	2007.09.23	Suspicious Trojan/Worm
eTrust-Vet	31.2.5168	2007.09.27	-
Ewido	4.0	2007.09.27	-
FileAdvisor	1	2007.09.27	-
Fortinet	3.11.0.0	2007.09.27	W32/LdPinch.CZP!tr.pws
F-Prot	4.3.2.48	2007.09.26	-
F-Secure	6.70.13030.0	2007.09.27	Trojan-PSW.Win32.LdPinch.czp
Ikarus	T3.1.1.12	2007.09.27	Generic.LdPinch1
Kaspersky	7.0.0.125	2007.09.27	Trojan-PSW.Win32.LdPinch.czp
McAfee	5128	2007.09.26	-
Microsoft	1.2803	2007.09.27	PWS:Win32/Ldpinch.gen
NOD32v2	2554	2007.09.26	probably a variant of Win32/Genetik
Norman	5.80.02	2007.09.27	-
Panda	9.0.0.4	2007.09.27	-
Prevx1	V2	2007.09.27	Heuristic: Suspicious Self Modifying EXE
Rising	19.42.32.00	2007.09.27	-
Sophos	4.21.0	2007.09.27	-
Sunbelt	2.2.907.0	2007.09.26	VIPRE.Suspicious
Symantec	10	2007.09.27	Infostealer.Banker.C
TheHacker	6.2.6.072	2007.09.27	-
VBA32	3.12.2.4	2007.09.26	-
VirusBuster	4.3.26:9	2007.09.26	-
Webwasher-Gateway	6.0.1	2007.09.27	Trojan.Dldr.Bagle.DS.45

Informazioni addizionali
File size: 54784 bytes
MD5: e80c274a648711f7cb201983eff62154
SHA1: 9737586ddb8027bf0107ef467c27230c4ac48a52
packers: PECOMPACT
packers: PecBundle, PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact

Codice:

ntivirus;Versione;Ultimo aggiornamento;Risultato
AhnLab-V3;2007.9.27.0;2007.09.27;-
AntiVir;7.6.0.15;2007.09.27;HEUR/Malware
Authentium;4.93.8;2007.09.27;-
Avast;4.7.1043.0;2007.09.26;-
AVG;7.5.0.488;2007.09.26;-
BitDefender;7.2;2007.09.27;BehavesLike:Win32.ProcessHijack
CAT-QuickHeal;9.00;2007.09.26;-
ClamAV;0.91.2;2007.09.26;-
DrWeb;4.33;2007.09.27;-
eSafe;7.0.15.0;2007.09.23;-
eTrust-Vet;31.2.5168;2007.09.27;-
Ewido;4.0;2007.09.27;-
FileAdvisor;1;2007.09.27;-
Fortinet;3.11.0.0;2007.09.27;-
F-Prot;4.3.2.48;2007.09.26;-
F-Secure;6.70.13030.0;2007.09.27;-
Ikarus;T3.1.1.12;2007.09.27;BehavesLikeWin32.ProcessHijack
Kaspersky;7.0.0.125;2007.09.27;-
McAfee;5128;2007.09.26;-
Microsoft;1.2803;2007.09.27;TrojanDownloader:Win32/Nurech.R
NOD32v2;2554;2007.09.26;-
Norman;5.80.02;2007.09.27;-
Panda;9.0.0.4;2007.09.27;-
Prevx1;V2;2007.09.27;Malware.Gen
Rising;19.42.32.00;2007.09.27;-
Sophos;4.21.0;2007.09.27;-
Sunbelt;2.2.907.0;2007.09.26;Trojan-Downloader.Win32.Nurech.r
Symantec;10;2007.09.27;Infostealer.Banker.C
TheHacker;6.2.6.072;2007.09.27;-
VBA32;3.12.2.4;2007.09.26;suspected of Embedded.Trojan-Downloader.Win32.Small.dge
VirusBuster;4.3.26:9;2007.09.26;-
Webwasher-Gateway;6.0.1;2007.09.27;Win32.NewMalware.HW!28160

Informazioni addizionali
File size: 28160 bytes
MD5: 797aab994063f402237de3c14ea8b370
SHA1: 308840d4ac5653430794e67ba886ee3a4e4a2c27

Edgar Bangkok · 27-09-2007, 13:17

Sto facendo una scansione con il mio tool ma non sapendo che ip di seeweb risulta compromesso sono partito tanto per provare da 217.64.193.10 in poi ...

per ora ho trovato un po' di iframe con indirizzo IP che punta a 69.50.190.xxx

OrgName: InterCage, Inc.
OrgID: INTER-359
Address: 1955 Monument Blvd.
Address: #236
City: Concord
StateProv: CA

gia' ampiamente conosciuto...

Vediamo cosa esce proseguendo ... nella scansione

Edgar

GmG · 27-09-2007, 13:30

Quote:

Originariamente inviato da Edgar Bangkok

Sto facendo una scansione con il mio tool ma non sapendo che ip di seeweb risulta compromesso sono partito tanto per provare da 217.64.193.10 in poi ...

Edgar

Sono

217.64.193.7
217.64.193.19
217.64.193.39
217.64.193.55
217.64.193.71
217.64.193.76
217.64.193.91

EDIT:
Ho usato il tuo ottimo tool e come testo di ricerca iframe$document.write

Ciao,
GmG

Edgar Bangkok · 27-09-2007, 13:57

Infatti ero arrivato ad un ip di quelli compromessi, e sono saltati fuori alcuni siti,
Uno ad esempio ha un java script offuscato, molto semplice, che decodificato
punta a crunet.info
Mi pare che da una prima scansione escano fuori un mix di siti sia con iframe ma in chiaro ... con indirizzo IP, sia con javascript offuscati..ma semplici da decodificare.
Se devo dare retta alle date dei files che scarico con il tool sembrerebbe che la data di modifica del file html dei siti con l'inserimento dello script sia abbastanza recente... es.. 3/9/2007...
Poi faccio una scansione piu approfondita degli IP in questione e posto il report che esce fuori.
Grazie delle info...
Saluti
Edgar

PS
ora sospendo il tutto perche' qui a Bangkok sono le 7 di sera e vado a cena.... hehehe

Edgar Bangkok · 27-09-2007, 14:00

Dimenticavo....
ho modificato poco fa il tool per scansionare anche domini RU e CN visto che la routine di decodifica era solo predisposta su IT ORG EU COM
Poi posto sul mio sito la versione aggiornata... se puo' interessare..

Ciao

Edgar

cameociobar · 27-09-2007, 15:25

.

mausap · 27-09-2007, 20:09

appena ho tempo faccio un post in cui metto qualche faccia di alcuni di questi stro.... e quello che fanno...compresi i loro famosi party
e' davvero incredibile che vengano presi a calci nel sedere visto che fanno quasi tutto alla luce del sole.

02-09-2007, 11:30	#1
GmG Senior Member Iscritto dal: Aug 2006 Città: Riviera del Brenta Messaggi: 2052	SEEWEB Sempre più infetto! Stavo verificando alcuni siti web di seeweb che tempo fa mausap aveva postato sul suo blog ed ho scoperto che sono nuovamente infetti. Gli IP da bloccare sono 66.36.243.97 72.29.74.243 58.65.237.106 Le pagine contengono uno script offuscato che punta ad un sito che scarica un' altro javascript offuscato che richiama lo script infetto. Lo script infetto (è stato usato l' IcePack) contiene vari exploit tra cui uno 0day Exploit (DirectX Media SDK 6.x) exploit per Yahoo Messenger, QuickTime, Winzip, Firefox, Ie, WMP. Il file scaricato è riconosciuto da pochi antivirus lo script è riconosciuto da Alcuni dei siti web sono completamente compromessi PS :Tra i siti infetti c'è anche il sito dei Democratici di Sinistra della Marsica Ultima modifica di GmG : 02-09-2007 alle 12:17.

27-09-2007, 11:54	#5
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Riguardo agli indirizzi IP riportati nel post 66.36.243.97 72.29.74.243 58.65.237.106 questi IP citati nel post appartengono a hoster registrati in USA e AUSTRALIA, Non capisco riguardo a SEEWEB, forse vi riferite ad altri IP ????? Ciao Edgar http://edetools.blogspot.com/

27-09-2007, 12:09	#7
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	IP OK, avevo capito male, pensavo fossero degli ip di server dove sono ospitati i siti italiani di seeweb. ma mi sembrava strano con quegli indirizzi. Comunque al momento non mi sembrano piu' attivi. Per quanto riguarda Hosting Solutions. invece, praticamente tutti i siti hackerati a maggio contengono ancora lo script java offuscato anche se al momento punta ad un server non attivo. Ho fatto un po di ricerche con il mio tool in autoit e il report e' praticamente lo stesso dei primi di luglio. http://edetools.blogspot.com/2007/09...-italiani.html ciao edgar Ultima modifica di Edgar Bangkok : 27-09-2007 alle 12:11.

27-09-2007, 13:17	#9
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	IP e IFRAME Sto facendo una scansione con il mio tool ma non sapendo che ip di seeweb risulta compromesso sono partito tanto per provare da 217.64.193.10 in poi ... per ora ho trovato un po' di iframe con indirizzo IP che punta a 69.50.190.xxx OrgName: InterCage, Inc. OrgID: INTER-359 Address: 1955 Monument Blvd. Address: #236 City: Concord StateProv: CA gia' ampiamente conosciuto... Vediamo cosa esce proseguendo ... nella scansione Edgar

27-09-2007, 13:57	#11
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Scansione Infatti ero arrivato ad un ip di quelli compromessi, e sono saltati fuori alcuni siti, Uno ad esempio ha un java script offuscato, molto semplice, che decodificato punta a crunet.info Mi pare che da una prima scansione escano fuori un mix di siti sia con iframe ma in chiaro ... con indirizzo IP, sia con javascript offuscati..ma semplici da decodificare. Se devo dare retta alle date dei files che scarico con il tool sembrerebbe che la data di modifica del file html dei siti con l'inserimento dello script sia abbastanza recente... es.. 3/9/2007... Poi faccio una scansione piu approfondita degli IP in questione e posto il report che esce fuori. Grazie delle info... Saluti Edgar PS ora sospendo il tutto perche' qui a Bangkok sono le 7 di sera e vado a cena.... hehehe

06-09-2007, 20:00	#2
anonimizzato Messaggi: n/a	Mamma mia, fa veramente così schifo Seeweb? Comunque purtroppo il provider non lo scelsi io ai tempi. Grazie delle info.

06-09-2007, 20:25	#3
GmG Senior Member Iscritto dal: Aug 2006 Città: Riviera del Brenta Messaggi: 2052	No so che dirti, ho scritto un e-mail a seeweb per segnalare l'accaduto e mi ha risposto che si tratto di un vecchissimo server frutto di una acquisizione e che stanno migrano i clienti alla piattaforma seeweb.

27-09-2007, 14:00	#12
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	per il tool Dimenticavo.... ho modificato poco fa il tool per scansionare anche domini RU e CN visto che la routine di decodifica era solo predisposta su IT ORG EU COM Poi posto sul mio sito la versione aggiornata... se puo' interessare.. Ciao Edgar

27-09-2007, 15:25	#13
cameociobar Member Iscritto dal: Sep 2007 Messaggi: 41	.

27-09-2007, 20:09	#14
mausap Senior Member Iscritto dal: Jan 2007 Messaggi: 308	appena ho tempo faccio un post in cui metto qualche faccia di alcuni di questi stro.... e quello che fanno...compresi i loro famosi party e' davvero incredibile che vengano presi a calci nel sedere visto che fanno quasi tutto alla luce del sole. __________________ maipiugromozon.blogspot.com

Strumenti
Mostra una versione stampabile Invia questa pagina per email