CLAMOROSO! www.anti-phishing.it bucato e infettato con script malevolo!

mausap · 22-01-2010, 15:58

ITALIA sotto attacco. Dopo i siti che avevo segnalato e che sono stati bonificati

ho individuato anche

xxx.anti-phishing.it/
xxx.italia-news.it

Stesso tipo di script offuscato. Non è un caso. I server sono sempre 72.51.41.83 e 70.38.31.90

Incredibile. ATTENZIONE Che con gli script si scarica il terribile mbr rootkit anche detto sinowal

LA FONTE SONO IO quindi credetemi!

e anche google

http://safebrowsing.clients.google.c...lechrome&hl=it

Aggiornamento: per quello che sto vedendo tutti i siti si trovano su aruba.
NON puo' essere un caso

c.m.g · 22-01-2010, 17:31

grazie per la segnalazione

eraser · 22-01-2010, 17:34

Sono decine i siti web compromessi

Sto scrivendoci un articolo in effetti

GmG · 22-01-2010, 17:46

Script di MBR Rootkit

sampei.nihira · 22-01-2010, 17:46

Avira per Anti-Phishing.it interviene

per gli altri non sò.

Eress · 22-01-2010, 18:17

E no direi proprio che non è un caso. Grazie per la segnalazione

eraser · 22-01-2010, 20:08

http://www.pcalsicuro.com/main/2010/...a-dellattacco/

mausap · 22-01-2010, 21:16

altri 2 siti infetti

xxx.napoliaffari.com
xxx.francobarbato.com

eraser · 22-01-2010, 21:18

Quote:

Originariamente inviato da mausap

altri 2 siti infetti

xxx.napoliaffari.com
xxx.francobarbato.com

Ce ne sono una 70ina di siti web infetti fino ad ora e sto continuando l'analisi

eraser · 22-01-2010, 22:47

Tra i siti famosi annoveriamo anche il sito ufficiale degli Zero Assoluto

eraser · 23-01-2010, 00:39

Aggiungo il sito della rete sismica sperimentale italiana, IESN

mausap · 23-01-2010, 01:38

Quote:

Originariamente inviato da eraser

Ce ne sono una 70ina di siti web infetti fino ad ora e sto continuando l'analisi

Per fortuna qualcuno è gia' stato bonificato. Comunque appena puoi pubblica la lista e soprattutto comunicala ad aruba.

E non puo' essere un caso che siano solo sul quell'hoster.
Il problema è loro anche se lo negheranno.

c.m.g · 23-01-2010, 08:24

MBR Rootkit attacca Anti-Phishing Italia su anti-phishing italia

confermo che Anti-Phishing Italia è stato bonificato e cita anche questo thread nell'articolo e quello di eraser.

JavaScript offuscati: Aruba vittima dell'attacco su webnews

mausap · 25-01-2010, 18:31

I siti ancora con lo script malevolo sono ancora parecchi anche se molti sono stati bonificati.

Un altro ip che ospita exploit e mbr rootkit è questo 115.124.108.151

**Chill-Out** · 26-01-2010, 11:46

http://www.sophos.com/blogs/sophoslabs/?p=8315

Edgar Bangkok · 26-01-2010, 12:40

In realta' si tratta anche di alcuni siti , forse eravamo solo all'inizio dell'attacco, gia' segnalati a dicembre 2009 sempre su ARUBA in questo post

http://edetools.blogspot.com/2009/12...-botnet-e.html

anche se adesso il loro numero e' evidentemente enormemente aumentato.

http://edetools.blogspot.com/2010/01...offuscato.html

Saluti

Edgar

edetools.blogspot.com

mausap · 26-01-2010, 17:16

Alcuni siti continuano ad essere infetti come ad esempio

xxx.actarus.it
xxx.harrrdito.it
xxx.archeoempoli.it (segnalato da edgar tempo fa)

altri ip da cui si scarica l'infezione sono

bcexvmjlev.com (ma questi mutano sempre)
IP: 67.205.103.198

aghijekauno.com
IP: 190.120.228.44

Edgar Bangkok · 27-01-2010, 02:04

http://edetools.blogspot.com/2010/01...nclusione.html

Edgar

Edgar Bangkok · 28-01-2010, 03:23

Siti compromessi con inclusione javascript su servers Aruba (aggiornamento ore 8 am Thai time , 2 am Ita time) Alcuni dettagli.

http://edetools.blogspot.com/2010/01...usione_28.html

Saluti

Edgar

vic_20 · 02-08-2012, 19:43

edit

22-01-2010, 15:58	#1
mausap Senior Member Iscritto dal: Jan 2007 Messaggi: 308	CLAMOROSO! www.anti-phishing.it bucato e infettato con script malevolo! ITALIA sotto attacco. Dopo i siti che avevo segnalato e che sono stati bonificati ho individuato anche xxx.anti-phishing.it/ xxx.italia-news.it Stesso tipo di script offuscato. Non è un caso. I server sono sempre 72.51.41.83 e 70.38.31.90 Incredibile. ATTENZIONE Che con gli script si scarica il terribile mbr rootkit anche detto sinowal LA FONTE SONO IO quindi credetemi! e anche google http://safebrowsing.clients.google.c...lechrome&hl=it Aggiornamento: per quello che sto vedendo tutti i siti si trovano su aruba. NON puo' essere un caso __________________ maipiugromozon.blogspot.com Ultima modifica di mausap : 22-01-2010 alle 16:15.

22-01-2010, 17:31	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	grazie per la segnalazione __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

22-01-2010, 17:34	#3
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	Sono decine i siti web compromessi Sto scrivendoci un articolo in effetti __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

22-01-2010, 18:17	#6
Eress Senior Member Iscritto dal: Jan 2010 Messaggi: 37102	E no direi proprio che non è un caso. Grazie per la segnalazione __________________ Analemma - Slowdive - Facebook Motto Microsoft: "If it's broken, and I'm the one who broke it, I won't fix it!"

22-01-2010, 20:08	#7
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	http://www.pcalsicuro.com/main/2010/...a-dellattacco/ __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

22-01-2010, 17:46	#4
GmG Senior Member Iscritto dal: Aug 2006 Città: Riviera del Brenta Messaggi: 2058	Script di MBR Rootkit

22-01-2010, 17:46	#5
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Avira per Anti-Phishing.it interviene per gli altri non sò.

22-01-2010, 21:16	#8
mausap Senior Member Iscritto dal: Jan 2007 Messaggi: 308	altri 2 siti infetti xxx.napoliaffari.com xxx.francobarbato.com __________________ maipiugromozon.blogspot.com

22-01-2010, 22:47	#10
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	Tra i siti famosi annoveriamo anche il sito ufficiale degli Zero Assoluto __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

23-01-2010, 00:39	#11
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	Aggiungo il sito della rete sismica sperimentale italiana, IESN __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

23-01-2010, 08:24	#13
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	MBR Rootkit attacca Anti-Phishing Italia su anti-phishing italia confermo che Anti-Phishing Italia è stato bonificato e cita anche questo thread nell'articolo e quello di eraser. JavaScript offuscati: Aruba vittima dell'attacco su webnews __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 27-01-2010 alle 08:55.

25-01-2010, 18:31	#14
mausap Senior Member Iscritto dal: Jan 2007 Messaggi: 308	I siti ancora con lo script malevolo sono ancora parecchi anche se molti sono stati bonificati. Un altro ip che ospita exploit e mbr rootkit è questo 115.124.108.151 __________________ maipiugromozon.blogspot.com

26-01-2010, 11:46	#15
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	http://www.sophos.com/blogs/sophoslabs/?p=8315 __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

26-01-2010, 12:40	#16
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Gia' da dicembre 2009 erano presenti su Aruba siti colpiti con script simile In realta' si tratta anche di alcuni siti , forse eravamo solo all'inizio dell'attacco, gia' segnalati a dicembre 2009 sempre su ARUBA in questo post http://edetools.blogspot.com/2009/12...-botnet-e.html anche se adesso il loro numero e' evidentemente enormemente aumentato. http://edetools.blogspot.com/2010/01...offuscato.html Saluti Edgar edetools.blogspot.com __________________ http://edetools.blogspot.com/ Ultima modifica di Edgar Bangkok : 26-01-2010 alle 12:43.

26-01-2010, 17:16	#17
mausap Senior Member Iscritto dal: Jan 2007 Messaggi: 308	Alcuni siti continuano ad essere infetti come ad esempio xxx.actarus.it xxx.harrrdito.it xxx.archeoempoli.it (segnalato da edgar tempo fa) altri ip da cui si scarica l'infezione sono bcexvmjlev.com (ma questi mutano sempre) IP: 67.205.103.198 aghijekauno.com IP: 190.120.228.44 __________________ maipiugromozon.blogspot.com Ultima modifica di mausap : 26-01-2010 alle 17:35.

27-01-2010, 02:04	#18
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Inclusione javascript su servers Aruba (aggiornamento ore 2 AM 27 gen 2010 ) http://edetools.blogspot.com/2010/01...nclusione.html *Edgar* __________________ http://edetools.blogspot.com/

28-01-2010, 03:23	#19
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Nuovo aggiornamento 28/1 ore 8 am Thai time , 2 am Ita time Siti compromessi con inclusione javascript su servers Aruba (aggiornamento ore 8 am Thai time , 2 am Ita time) Alcuni dettagli. http://edetools.blogspot.com/2010/01...usione_28.html Saluti Edgar __________________ http://edetools.blogspot.com/

02-08-2012, 19:43	#20
vic_20 Senior Member Iscritto dal: Jul 2009 Messaggi: 1202	edit Ultima modifica di vic_20 : 02-08-2012 alle 19:46.

Strumenti
Mostra una versione stampabile Invia questa pagina per email