• COMUNICATO IMPORTANTE: ACCOUNT BLOCCATI (16/02/2024) Clicca sul link per leggere il comunicato
  • Non sono ammesse registrazioni con indirizzi email temporanei usa e getta

Italia: Sotto Attacco con MPack

ERCOLINO

Membro dello Staff
Amministratore
Registrato
3 Marzo 2003
Messaggi
242.696
Località
Torino
Symantec segnala sul blog del suo Security Response di aver verificato un attacco web su larga scala che sta attualmente colpendo numerosi siti web italiani. L'attacco è simile, almeno negli effetti e forse nelle modalità di exploit, ad altri attacchi precedentemente segnalati sia su siti italiani (per esempio il caso della compromissione del sito del cantautore italiano Vecchioni, seguita da vicino da Marco Giuliani sul PC al Sicuro, e di un altro importante sito italiano, come segnalato giorni fa da Sophos) sia su siti esteri come riportato da Symantec a fine Maggio.

A quanto pare il nuovo attacco sfrutta un nuovo dominio finale ma esegue ugualmente i codici exploit del kit Mpack 0.86, un sistema di distribuzione malware simile al più famoso WebAttacker. Questo kit consiste in una collezione di componenti software PHP programmati accuratamente e progettati per essere hostati ed eseguiti su un server PHP con database lato backend. MPack, evidenzia Symantec, viene venduto da una gang russa già pronto per essere installato su un server e corredato di moduli exploit da usare "out of the box". Una volta istallato e attivato il server, i cybercriminali non devono far altro che iniziare a generare traffico web browser verso di esso. Come: eseguendo l'hacking di siti web popolari ed aggiungendo alle pagine web porzioni di codice IFRAME; attivando siti web di typo-squatting su domini popolari; eseguendo lo spamming di messaggi di posta con codice IFRAME integrato.


Dettagli


Pericolo Elevatissimo

Ne Parla Marco Giuliani su PC Al Sicuro dove ho fatto un paio di interventi

Dettagli


I siti compromessi sono soprattuto quelli sui server di ARUBA

img_5.gif
img_5.gif
 
ERCOLINO ha scritto:
Symantec segnala sul blog del suo Security Response di aver verificato un attacco web su larga scala che sta attualmente colpendo numerosi siti web italiani. L'attacco è simile, almeno negli effetti e forse nelle modalità di exploit, ad altri attacchi precedentemente segnalati sia su siti italiani (per esempio il caso della compromissione del sito del cantautore italiano Vecchioni, seguita da vicino da Marco Giuliani sul PC al Sicuro, e di un altro importante sito italiano, come segnalato giorni fa da Sophos) sia su siti esteri come riportato da Symantec a fine Maggio.

A quanto pare il nuovo attacco sfrutta un nuovo dominio finale ma esegue ugualmente i codici exploit del kit Mpack 0.86, un sistema di distribuzione malware simile al più famoso WebAttacker. Questo kit consiste in una collezione di componenti software PHP programmati accuratamente e progettati per essere hostati ed eseguiti su un server PHP con database lato backend. MPack, evidenzia Symantec, viene venduto da una gang russa già pronto per essere installato su un server e corredato di moduli exploit da usare "out of the box". Una volta istallato e attivato il server, i cybercriminali non devono far altro che iniziare a generare traffico web browser verso di esso. Come: eseguendo l'hacking di siti web popolari ed aggiungendo alle pagine web porzioni di codice IFRAME; attivando siti web di typo-squatting su domini popolari; eseguendo lo spamming di messaggi di posta con codice IFRAME integrato.


Dettagli


Pericolo Elevatissimo

Ne Parla Marco Giuliani su PC Al Sicuro dove ho fatto un paio di interventi

Dettagli

I siti compromessi sono soprattuto quelli sui server di ARUBA

img_5.gif
img_5.gif

confermo il mi osito su aruba .... OUT.......per lo meno non puo' infettare.....:doubt:
 
Ho fatto alcuni controlli di sicurezza in giro in modo da aumentare le protezioni ;)

Per chi ha un server deve bloccare alcuni IP ,quelli segnalati li sono solo una parte ho fatto un controllo + approfondito e ne risultano molti altri,sono generalmente tutti Russi.
 
Non ho capito bene se navigando con browser aggiornati, antivirus aggiornati e firewall si può stare ( relativamente ) sicuri oppure no... :eusa_think:
 
Abbastanza se si hanno tutte le patch rilasciate per Windows,comunque usate FF invece di I.E che è quello meno sicuro in questi casi.

Infezione

pic2%20sm.jpg


Sito infettato

pic1%20sm.jpg
 
Si vede anche cosi dove si trova il codice di infezione sul sito di esempio :)

C'è l'indirizzo IP ma è coperto,comunque è uno di quelli che ho segnalato io sopra
 
andresa ha scritto:
confermo il mi osito su aruba .... OUT.......per lo meno non puo' infettare.....:doubt:

Andresa controlla poi bene sul tuo sito ho fatto un controllo a caso su un sito hostato su Aruba nel codice HTML ed ho trovato che è stato compromesso.
 
ERCOLINO ha scritto:
Andresa controlla poi bene sul tuo sito ho fatto un controllo a caso su un sito hostato su Aruba nel codice HTML ed ho trovato che è stato compromesso.
il sito e' tuttora OUT ............non ce' nulla da visualizzare......comunque diro a mio fratello di dire alla persona che ne cura la grafica di controllare ed eventualmente rifleshare il tutto da beckup

Errore HTTP 403 - Accesso negato
Internet Explorer
da FF
Directory Listing Denied

This Virtual Directory does not allow contents to be listed.
 
Se c'è lo dovresti trovare nella home page,io ho controllato il codice HTML di un sito di Aruba 20 minuti fa e ho beccato l'inserimento dell'IFRAME nel codice HTML del sito
 
ERCOLINO ha scritto:
Se c'è lo dovresti trovare nella home page,io ho controllato il codice HTML di un sito di Aruba 20 minuti fa e ho beccato l'inserimento dell'IFRAME nel codice HTML del sito

non posso visitarlo.... e out....:D te lo mando in MP.....

cosi me lo tieni sotto controllo....:icon_rolleyes:
 
Ho controllato il server è down al momento o meglio il server è raggiungibile ,ma ti hanno bloccato l'accesso alle directory
 
Andresa disattiva subito il tuo sito

Il tuo sito è compromesso ti ho mandato un mp su cosa devi far verificare subito sulla home page
 
ERCOLINO ha scritto:
Andresa disattiva subito il tuo sito

Il tuo sito è compromesso ti ho mandato un mp su cosa devi far verificare subito sulla home page
ok.....grazie:eusa_wall:
 
Ti ho mandato un mp ,se puoi avvisami per favore quel poveraccio sul forum di Aruba che ha lo stesso problema ,visto che non si sono neanche degnati di avvisare i loro clienti :icon_rolleyes: :eusa_wall:
 
Ho trovato il modo di avvisarlo via email direttamente dal suo sito ;)
 
Visto che a quanto sembra Aruba non ha avvisato i suoi clienti ,ci ho pensato io ad avvisare questa persona in modo che avvisasse tutti sul forum di supporto di Aruba

Avviso su Aruba
 
Indietro
Alto Basso