Avviso importante

Questo blog e’ copia  NON AGGIORNATA del blog edetools.blogspot.com ed e’ utilizzato per proporre i vecchi posts (anni 2007 -2008 – 2009) le cui immagini e screenshot allegati, sono stati eliminati , per motivi di spazio disco, dal blog originale blogspot
Per una versione aggiornata del blog Edetools consultare il blog originale su edetools.blogspot.com

Per consultare i vecchi post utilizzare l’opzione elenco ‘Archivio storico posts’ presente sulla barra laterale.

This blog is NOT UPDATED copy of the blog edetools.blogspot.com and is used to bring old posts (years 2007 -2008 – 2009) whose images and screenshots attached, were removed for reasons of space, from the original blog blogspot.
For an updated version of the blog Edetools see the original blog on edetools.blogspot.com

To see older posts use the list box present on this sidebar.

29 gennaio 2010 at 9:22 am

Aggiornamento situazione sito compromesso Istituto Luce .IT (luce.it)

AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc…

Sempre presente lo script offuscato malevolo sulla home dell’istuto Luce

Al momento mente McAfee Site Advisor marca come senza problemi il sito

Norton Safe Web evidenzia il pericolo forse anche per il fatto di aver sottoposto l’altro ieri il sito luce.it all”attenzione’ di Safe Web, che genera il seguente report

A parte il fatto di aver ‘tentato’ di avvisare via mail chi gestisce il sito (senza apparenti risultati) ancora una volta si evidenza come, in generale, i servizi web che notificano la pericolosita’ di siti in rete, attraverso una scansione automatica degli stessi, lasciano alquanto a desiderare.

In questo caso McAfee Site Advisor, ha probabilmente effettuato una analisi del sito, da tempo, e quindi risulta completamente sconosciuta l’inclusione di javascript pericoloso all’interno di luce.it.

Per avere una certa validita’ bisognerebbe che servizi come Site Advisor o Safe Web, effettuassero la scansione dei siti che hanno indicizzato, ad intervalli di tempo molto ridotti ed in maniera costante, per garantire un minimo di attendibilita’ di quanto propongono, cosa che pero’ e praticamente irrealizzabile, vista l’enorme quantita’ di siti compromessi ogni giorno.

Edgar

28 gennaio 2010 at 5:12 pm

Siti compromessi con inclusione javascript su servers Aruba (aggiornamento ore 8 am Thai time , 2 am Ita time) Aggiornamento url linkata da javascript

AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc…

Dopo qualche ora il link presente sul sito corriereuniv.it, che e’ generato tramite lo script malevolo presente, e’ cambiato ripetto a quello di questa mattina

in accordo a quanto proposto dall’pplicazione su http://www.unmaskparasites.com/security-tools/torpig-domain-generator.html

Edgar

28 gennaio 2010 at 4:22 pm

Non piu’ certificato ma… sempre online .Sito di phishing PosteIT

Ricorderete la mail di cui ho scritto in questo post e che puntava a sito PosteIT utilizzando, cosa non molto comune, una connessione via HTTPS, ossia HTTP su protocollo sicuro SSL.

A distanza di piu’ di due settimane, il dominio di phishing, non e’ piu’ certificato , ma ………. comunque sempre online.


Sempre anche la medesima caratteristica di essere attivo solo su IP italiani e non ad esempio thai….
Il sito di phishing e’ migrato su altro IP e precisamente, al momento, su


mentre questa una analisi piu’ dettagliata dell’IP di provenienza.


Da notare i due NS con IP di server giapponese


Edgar

28 gennaio 2010 at 11:34 am

Sempre attive le pagine fake di Microsoft Windows Live

Le pagine di Microsoft Live Spaces gia’ viste piu’ volte descritte in diversi post, continuano a proporre links di vario genere, che paiono sempre ben aggiornati.

Ecco un attuale report URIBL che indica come non si fermi la creazione di falsi account Live Space solo alla scopo di proporre links di tutti i tipi ma sempre a siti dubbi o pericolosi

Tra l’altro Microsoft sembra avere piu” di una difficolta a bonificare e/o bloccare questo genere di spam, se consideriamo che queste sono due pagine presenti dal 23 e 24 gennaio 2010

ed anche

Collegato a questo, c’e’ l’invio di mails di spam, come questa ricevuta ieri

che sfrutta proprio il supporto di Windows Live per linkare, ad esempi in questo caso, a sito di dating russo

Edgar

28 gennaio 2010 at 11:30 am

Siti compromessi con inclusione javascript su servers Aruba (aggiornamento ore 8 am Thai time , 2 am Ita time) Alcuni dettagli.

Questo un aggiornamento che presenta alcuni dei siti compromessi , come risultano da una scansione Webscanner, eseguita questa mattina ora Thai (le 2 am del 28 gennaio in Italia)

Rispetto ad ieri sembra quasi del tutto bonificata la presenza dello script java offuscato, visto che ad una scansione degli indirizzi precedentemente colpiti abbiamo solo tre positivi.

Quello che pare particolare e’ che uno dei tre siti presenti (corriereuniv.it) , ieri non compariva nella scansione, come positivo , ma solo nelle liste di siti infetti pubblicate in rete, in precedenza.

Vediamo qualche dettaglio in piu’ utilizzando proprio il sito corriereuniv.it che parrebbe essere il piu recente attaccato.
Questa la homepage del sito corriereuniv.it con in evidenza la connessione a Twitter generata dallo script

che se abilitata , a sua volta, attiva la generazione del nome di sito con contenuti pericolosi (come descritto qui)


e che coincide perfettamente con l’indirizzo web generato da questa applicazione online (Torpig Domain Generator) che utilizza l”algoritmo estratto dallo script java malevolo presente sui siti colpiti.

Come, gia scritto in passato, Torpig Botnet usa le API di Twitter per generare nuovi nomi di indirizzi web in maniera pseudo-casuale sui quali vengono reindirizzati i visitatori dei siti colpiti. I nomi di dominio attivi cambiano sino a due volte al giorno.

Il tools online genera anche i nomi di dominio che verranno attivati ed utilizzati nelle prossime 24 ore. (active soon)

Un whois dell’indirizzo web generato punta a

Per concludere, l’analisi online presente su http://www.UnmaskParasites.com/security-report/?page=corriereuniv.it evidenzia come il sito IT, sia stato sviluppato in WordPress 2.3.3 Warning: Old version of WordPress. It may be vulnerable. Please upgrade.


Edgar

28 gennaio 2010 at 9:59 am

Siti compromessi con inclusione javascript su servers Aruba (aggiornamento ore 8 am Thai time , 2 am Ita time)

Questo un aggiornamento che presenta alcuni dei siti compromessi , come risultano da una scansione Webscanner, eseguita questa mattina ora Thai (le 2 am del 27 gennaio in Italia)

Ecco la lista completa generata da Webscanner (diversi IP)

http://www.abodybuilding.com
http://www.actarus.it
http://www.agdesktop.com
http://www.agriturismofrattavecchia.it
http://www.amiciinsoliti.it
http://www.a-newyork.com
http://www.archeoempoli.it
http://www.arkearcheologiasperimentale.it
http://www.arribalafoto.com
http://www.asciitable.it
http://www.aulamanga.it
http://www.avellinomagazine.it
http://www.batsweb.org
http://www.beachsolaire.it
http://www.bleachrevolution.net
http://www.broderie.it
http://www.brucespringsteen.it
http://www.buffyitalianworld.com
http://www.bugatticlubitalia.it
http://www.capware.it
http://www.ceptive.it
http://www.clubclio.com
http://www.codda.org
http://www.compagniadragonero.it
http://www.confortino.com
http://www.continuitas.com
http://www.csame.it
http://www.cucinaconme.it
http://www.daisoft.it
http://www.damagedsoul.net
http://www.dragonballworld.it
http://www.encirobot.com
http://www.forzalghero.com
http://www.galleriaborghese.it
http://www.gifforyou.com
http://www.ginevra2000.it
http://www.icarli.com
http://www.iconbulk.com
http://www.ildizionario.eu
http://www.indicededibujos.com
http://www.indicedejuegos.com
http://www.indicedepaginas.com
http://www.interelectron.com
http://www.latrabajadera.com
http://www.linguafrancese.it
http://www.marcoardigo.it
http://www.mattbates.net
http://www.metalzone.biz
http://www.mondobirra.org
http://www.monza-news.com
http://www.msnmessenger7es.com
http://www.nuestrocine.com
http://www.oasidelpensiero.it
http://www.ordinarydream.com
http://www.pescainmare.com
http://www.portalnet.org
http://www.primitaly.it
http://www.ristoranteilcacciatore.com
http://www.rosannalambertucci.com
http://www.scricciolo.com
http://www.scultura-italiana.com
http://www.storiain.net
http://www.verdealloggio.it

Naturalmente possono esserci altri siti con inclusione di javascript che non sono presenti in lista a causa del reverse IP non accurato.

Lo script presente risulata leggermente diverso per alcuni siti che probabilmente sono stati compromessi non in data recente (vedi ad es http://www.archeoempoli.it)

Edgar

27 gennaio 2010 at 8:49 am

Articoli meno recenti


Archivio storico posts

RSS edetools.blogspot.com