mercoledì 30 aprile 2008

Un sito dimenticato e "The Wayback Machine"

Facendo le 'solite' ricerche in rete spesso capita di trovare dei siti che , probabilmente abbandonati da chi li ha utilizzati negli scorsi anni, continuano ad essere comunque online ma con contenuti totalmente diversi da quelli originari come ad esempio vvv.atstorre.it.
La pagina che si apre caricando il link e' chiaramente frutto di un hacking del sito e presenta un lungo elenco di links, dal testo di natura porno,
che conducono a pagine conosciute,
come ad esempio alcune di Google Groups, abbastanza recenti (2008) , che pero' sono a loro volta utilizzate per linkare a malware.

Quello delle pagine di Goolge Groups e' un problema abbastanza serio in quanto sono migliaia i contenuti con link a malware hostati sulle pagine di discussione di Google.

Inoltre sulla stessa pagina atstorre abbiamo anche javascript offuscati che puntano a siti .cn che pero' al momento non sembrerebbero attivi.

Invecc i links presenti su Google Groups sono attivi e conducono a pagine

che tentano di far scaricare l'ormai noto (ma non per gli antivirus) falso codec video necessario per visualizzare i filmati contenuti sul sito.

Solo pochi software AV riescono ad individuare il malware.


Come dicevamo il sito ATSTORRE non sembra piu' attivo anche se come si vede rimane ancora raggiungibile con contenuti certamente diversi dall'originale.

Per trovare una versione della home page 'originale' dato che la cache del motore di ricerca non ne propone si puo ricorrere al sito "The Wayback Machine"che conserva una incredibile quantita' di layout di siti online a partire dalla fine degli anni 90.

Nella presentazione di Wayback Machine e' scritto "Browse through 85 billion web pages archived from 1996 to a few months ago." che tradotto "Sfogliare 85 miliardi di pagine web archiviate dal 1996 a pochi mesi fa"

Come si vede, l'ultima home consultabile di ATSTORRE risale al 2004 in quanto le pagine memorizzate dopo quella data presentano errore di caricamento.


Edgar

martedì 29 aprile 2008

Phishing Ebay

Dopo qualche giorno di relativa calma riprendono le mails di phishing
Questa volta. nel mirino dei truffatori e' il servizio di Ebay Italia

La mail, costituita da un messaggio in codice html che simula una pagina Ebay, informa della richiesta da parte di un certo 'Bonetti' di chiarimenti sulle modalita' di pagamento di un oggetto messo in vendita appunto su Ebay.

Lo scopo e' chiaramente quello di incuriosire l'eventuale utente Ebay che riceve il messaggio per indurlo ad effettuare un accesso a Ebay.it attraverso la falsa pagina di login proposta e catturare i dati personali.

Notare che i molti links presenti in mail puntano tuttti a http://ebaysigninsslaccedih100t.by.ru/eBaysignin%20accedissl%20httpeBayit%20verizon.html dove e' hostato il sito di phishing.

Il dominio by.ru e' noto da tempo come host di pagine di phishing gia' viste in un precedente post.
Si va da pagine fasulle di Poste It http://poste-it-rebancoposteonl.by.ru/ a pagine di Istituti Bancari italiani come Bancaintesa http://bancaintesa.by.ru/ (ora offline)

Altri links sempre by.ru sembrerebbero tuttora funzionanti

poste-it-rebancoposteonl.by.ru/
poste.by.ru
bancoposteit.by.ru/
banco.by.ru
posteitsign.by.ru
postelogin.by.ru
bancposteitsecuritylogin.by.ru

Questo e' il collegamento su by.ru relativo al phishing odierno ai danni di Ebay.it


Il phishing consiste nel presentare una pagina di login a Ebay.it che una volta introdotti e catturati i dati utente reindirizza sulla reale pagina del sito di Ebay Italia.

Edgar

lunedì 28 aprile 2008

Aggiornamento javascript offuscati

Piccolo aggiornamento su alcuni links a siti che, al momento della pubblicazione del post, contengono ancora javascript offuscato pericoloso.
Come al solto evitate di aprire queste pagine se non avete preso le dovute precauzioni (Javascripts disabilitati, Noscript e Sandboxie).

Edgar

Hacking quotidiano

Ieri stavo visitando alcuni siti che avevo segnalato come compromessi da parte di un attacco di hacking alcune settimane fa.

Non mi sorprende il fatto che le pagine con messaggi relativi all'hacking, per quei siti dove sono state aggiunte e non hanno sostituito la homepage, siano ancora presenti e ben funzionanti.

Particolare e' il caso di questa importante Casa Editrice italiana che, tra l'altro, ho cercato di avvisare ma senza successo in quanto scrivendo all'indirizzo mail posto nella home (vedi screenshot) e' stato generato una messaggio di risposta "Mail Delivery System".

Vediamo in dettaglio:

Questa la homepage che si carica attraverso l'url della Casa Editrice.


La cosa particolare e' che se noi richiamiamo l'url aggiungendo /index.html otteniamo questa pagina chiaramente di hacking ed evidentemente inserita sul sito della casa editrice



Ma c'e' di piu'; richiamando invece una pagina del tipo /index.htm (senza la l) otteniamo il caricamento di questo codice
che reindirizza a questa pagina con whois in Turchia

che reindirizza a sua volta su un sito


anche lui con whois in turchia.

Pare quantomeno strano che chi amministra il sito di questa azienda non si accorga del fatto di hostare ben due pagine linkate alla home dato che , sulla homepage ufficiale , appaiono date e riferimenti attuali che denotano un continuo aggiornamento del sito stesso.

Edgar

domenica 27 aprile 2008

Webscanner 3.5.3 e nuovo ranges IP esaminato

Con la versione 3.5.3 di Webscanner viene introdotta la possibilita' di limitare il numero di links su cui ricercare per ogni singolo ip quando si esamina un range di indirizzi

Questa l interfaccia di webscanner con settati es. a 100 i siti da esaminare per ogni singolo IP del range di indirizzi.


Con questa configurazione di soli 100 links per IP e la stringa di ricerca costituita da un frammento del codice javascript offuscato ecco un report che ancora una volta ci dimostra la presenza di decine di pagine web con il recentissimo javascript offuscato.


Sono tutti siti con javascript ancora presente e presumibilmente attivo.

Edgar

Disponibile la vers.Beta di Webscanner 3.5.3

E' disponibile qui la nuova versione di Webscanner o a questo (link alternativo ) che consente di limitare il numero di links recuperati dal reverse IP. (usare esempio 1 - 500 e poi 501 - 1000 ....ecc.)
Questo perche' su alcuni range IP adesso il reverse IP restituisce migliaia di link (anche duplicati) che purtroppo mandavano in crash webscanner.
Inoltre e' funzionante il trasferimento delle url con il copia e incolla da questa pagina di reverse IP in quanto il sito Seologs rimanda appunto a questa pagina di reverse IP il cui formato in output e' diverso da quello che si otteneva da un copia e incolla su seologs.
Ricordo che comunque tutte le modifiche sono state fatte in qualche ora senza la possibilita' di testarle in maniera approfondita e quindi potrebbero esserci ancora dei bugs ....

Edgar

Sarebbero decine i siti italiani compromessi da javascript pericolosi.

Riassumo i commenti al precedente post di Juninho85 che dimostrano ancora una volta la difficile situazione in fatto di sicurezza di numerosi siti su dominio .IT.
Leggendo questi commenti al post sembrerebbe che le pagine compromesse dal javascript non siano un caso isolato e limitato ad un solo server web ma che ma ci troviamo di fronte ad una situazione abbastanza allarmante con decine di siti che presentano problemi.

Ecco un riassunto dei commenti:


IP:62.149.140.11
barracudarecords.it:
javascript offuscato con reindirizzamento a nark0diler.ru,IP 58.22.101.122

unknow.it/portal/

oltre non riesco ad andare per via di webscanner...comunque è la conferma che bisogna passare al setaccio anche questo range

62.149.140.12
forumartimarziali.com infetto dal solito checkrate.info

62.149.140.13
www.custommania.com(qui è pari/pari allo script presente su chicchedicala.it)

62.149.140.14
supermaestro.org iframe reindirizza a http://124.217.252.62/~admin/count.php?o=3(già noto)

62.149.140.15
mrprofit.it(già trovato da te)
http://www.onepieceplanet.com/
www.rome-hotels-reservation.com(redirect a http://77.221.133.150/.sp3/check.cgi?e)


comunevillaga.vi.it/ javascript che reindirizza a
http://81.95.148.42/stat1/index.php

ebaylogia.com/

62.149.140.21
http://www.sevenpress.com/(redirect identico a eaofir.com,MBR rootkit)

62.149.140.23

bbfragolina.it(redirect a 77.221.133.150)
fasterage.net(redirect a eofir.com)
photofeet.net(idem come sopra)


la situazione per technorail è veramente ALLARMANTE
tenete conto che ho analizzato soltanto le prime parti del range,non oso immaginare cosa salterebbe fuori se dovessi continuare fino all'ultimo IP 27

62.149.140.25

ottimizzare.com
friulanialseguito.it

entrambi reindirizzano a Hnoafir.com,hostato sul solito 71.6.151.188

62.149.140.27
qui segnalo http://www.bonsairecording.it/...sembrerebbe uno script diverso da quelli incontrati finora,non son riuscito a decriptarlo


-------------------------------------------------------------------------------------------

Come si vede sembrerebbe che la quantita' di siti con script simili a quello gia' trovato o comunque con script pericolosi sia notevole.
D'altronde, come scritto piu' volte, la situazione relativa alla sicurezza di siti e servers web anche italiani non e' delle migliori e porta inevitabilmente alla nascita di questo tipo di problemi.


Edgar

sabato 26 aprile 2008

Prosegue la scansione del range e vengono rilevati nuovi siti compromessi

Altri 5 siti .it con javascript offuscato

A questo punto sembra chiaro che ci saranno sicuramente anche altri siti con codice simile inserito al loro interno oltre a quelli visti adesso.

Comunque al momento dalle scansioni effettuate la percentuale e' ancora abbastanza bassa, si parla di una decina di siti su una scansione di un migliaio e piu'.

Cio' non toglie che il problema ci sia e possa anche estendersi.

Maverik in un suo commento mi informa che il maware dovrebbe essere Mbr rootkit!

Per quanto si riferisce a Sbronzo di Riace che chiede se il sito Chicche di Cala e' bonificato posso confermare che a me. al momento, risulta pulito. Guarda di non avere la vecchia pagina magari in cache del browser...

Edgar

Recente javascript presente su altre pagine .it

La presenza del javascript pericoloso sul sito “Le chicche di Cala” , peraltro prontamente bonificato, ha posto il dubbio che esistessero altre pagine in rete con il medesimo problema.
Il test e' stato fatto eseguendo una ricerca con il mio tool Webscanner sul medesimo IP del sito di Cala.

La ricerca ha individuato un altro sito vvv.mrprofit.it che contiene nella pagina di avvio lo script pericoloso.
Come si vede dai risultati chi si connette al sito non puo' vedere lo script in quanto la pagina iniziale redirige su magazine/default.php appena viene caricata.


Nello screenshot potete vedere il frammento di codice javascript che ho utilizzato per la ricerca confrontato con quello che era presente sul sito di Cala.
Sarebbe ora interessante estendere la ricerca al altri range IP, magari del medesimo hoster italiano, per verificare se esistono altri siti con il problema visto.

Aggiornamento
Sto estendendo la scansione del range IP ed al momento parrebbero essere compromessi altri 6 siti ma c'e' da rilevare che per ora siamo solo ad una piccola percentuale di pagine analizzate sul totale hostato nel range , che penso raggiunga qualche migliaio di siti.

Questi i siti che danno positivita', al frammento di codice javascript visto prima, nel parziale report di Webscanner, tra cui ad esempio abbiamo il sito della
cantante e showgirl italiana Sabrina Salerno

Inoltre, visto che sembra di essere come a pesca, nella rete di Webscanner, e rimasto anche 'impigliato' questo sito vvv.fondiesicav.info che presenta codice offuscato definito dal NOD32 come trojan downloader.

Per chi volesse analizzare gli script raccomando sempre la massima attenzione in quanto si tratta di codici potenzialmente pericolosi.

Edgar

venerdì 25 aprile 2008

Sito Le chicche di Cala con javascript offuscato

Juninho85 ha lasciato un nuovo commento sul blog riferito alla presenza di un javascript offuscato sul sito "Le chicche di Cala", sito che tra l'altro seguo spesso in quanto pubblica interessanti articoli.

In effetti il codice della homepage presenta, come segnalato questo javascript offuscato


la cui decodifica porta a questo codice (la decodifica e' stata eseguita semplicemente limitando la funzione write con il comando TEXTAREA ed eseguendo lo script, per sicurezza, all'interno di un pc virtuale)

che linka una pagina con altro javascript offuscato


Aggiornamento

Il codice javascript e' stato rimosso dal sito; comunque a chi interessa dare una occhiata, chiaramente con le dovute precauzioni (Noscript attivo se si usa Firefox), e' ancora disponibile in cache Google.

Edgar

Ancora su 'Mass Attack JavaScript injection' e siti italiani

Anche il sito dell'autore di fumetti italiano, conosciuto in Italia e all'estero, Milo Manara sembrerebbe essere stato colpito dal javascript che reindirizzava su sito cinese con pericolosi exploit di cui avevo scritto in un precedente post

Questa e' la homepage della versione italiana del sito

che presenta al suo interno lo script gia' visto nel precedente post

che punta al sito cinese
che, fortunatamente, al momento sembrerebbe aver cessato di distribuire malware sotto forma di exploit di vario genere.

Dancho Danchev nel suo blog elencava una grande quantita' di codici pericolosi hostati appunto sulle pagine linkate da nihaorr1.com/ 1.js (219.153.46.28) attraverso il caricamento della pagina nihaorr1.com/ 1.htm che tramite iframes linkava ad exploits :

nihaorr1.com/ Real.gif
nihaorr1.com/ Yahoo.php
nihaorr1.com/ cuteqq.htm
nihaorr1.com/ Ms07055.htm
nihaorr1.com/ Ms07033.htm
nihaorr1.com/ Ms07018.htm
nihaorr1.com/ Ms07004.htm
nihaorr1.com/ Ajax.htm
nihaorr1.com/ Ms06014.htm
nihaorr1.com/ Bfyy.htm
nihaorr1.com/ Lz.htm
nihaorr1.com/ Pps.htm
nihaorr1.com/ XunLei.htm.

Edgar

Normale hacking quotidiano

Sono sempre numerosi i siti su dominio .it che risultato oggetto di hacking che, fortunatamente (si fa per dire) , si limita solo a sostituire la homepage del sito con una che segnala del riuscito attacco.
Questi i due report ottenuti scansionando ranges IP di hoster italiani e la relativa pagina che sostituisce la home.

la home sostituita

ed anche

con la home

Come sempre questo dimostra la scarsa sicurezza dei siti in questione e/o del relativo server web che li ospita.

Edgar

giovedì 24 aprile 2008

CreVal vecchio e nuovo phishing

Prendo spunto dall' n-esima mail di phishing ai danni del Credito Valtellinese per due segnalazioni.
La prima riferita ad una nuova mail di phishing con whois in USA e con indirizzo

http://static-71-115-188-19.gdrpmi.dsl-w.verizon.net/www.creval.it/index.htm

che presenta forse una novita' da parte dell 'Istituto Bancario nel tentare di limitare il problema phishing in quanto una volta inseriti i dati , quando di solito i siti di phishing, per dare una certa autenticita' alla truffa, redirigono sul sito ORIGINALE della banca, appare la seguente videata che avvisa del la truffa attuata.

In effetti basta che il sito della banca verifichi il referer di provenienza di chi accede al sito per attivare l'avviso
A conferma di questo uso , uscendo dal sito di phishing, avendo forzato un referer diverso da quello del sito fasullo , l'avviso non compare.
Questo tipo di allerta non funziona nel sito visto qualche giorno fa

l http://www.ssedu.org.cn/dede/cre.html

che esce direttamente sulla homepage originale di CreVal senza che venga proposta la pagina di avvertimento.

In ogni caso, a differenza di qualche giorno fa, questo sito e' ora ONline e permette di analizzare parte del sistema utilizzato per gestire il phishing mostrando un folder con un completo campionario di pagine fasulle relative a diversi istitui bacari facenti parte del gruppo CreVal

Questo il link: e questa la pagina

Come si vede sono disponibili i sorgenti per ognuna delle Banche del Gruppo coinvolte.

L'idea di avvisare chi viene reindirizzato da un sito di phishing al sito originale e' certamente interessante anche se probabilmente e' aggirabile e comunque prevede che ci sia un costante monitoraggio della provenienza del sito di phishing ai danni dell'Istituo Bancario.

Inoltre c'e' da dire che l'avviso avviene quando purtroppo si e' gia caduti nella trappola del sito truffa e quindi senza una tempestiva comunicazione alla banca il danno potrebbe essere ormai compiuto.

Edgar

Mass Attack JavaScript injection colpisce anche siti italiani

Come premessa importante bisogna evidenziare che, al momento, il sito con whois in Cina

che hostava gli exploit sembrerebbe OFFline, ma, vista la notevole quantita' di pagine colpite, vale la pena di analizzare quello che e' successo.

Il 22 aprile infatti Websense Security Labs ha pubblicato un interessante articolo nel quale lancia un allerta per migliaia di domini compromessi tramite 'JavaScript injection' a cui fa seguito, ieri, un post di Dancho Danchev sempre al riguardo di questo attacco a siti USA e UK ma non solo.

Come appare da una ricerca in rete anche un sito web delle Nazioni Unite e' stato colpito ed ora Google avverte del pericolo presente sulla pagina.

L'attacco sembra essere la copia di uno precedente che aveva utilizzato una tecnica simile per redirigere la navigazione su un sito contenente exploit di vario genere.

Vediamo qualche dettaglio:

Questa e' una ricerca effettuata con Google da cui si nota che il numero dei link a pagine con lo script pericoloso e' ancora molto elevato


e questa e' una ricerca effettuata con il mio nuovo tools che utilizza un ulteriore filtro sui codici delle pagine trovate per estrarre solo quelle che realmente hanno ancora il contenuto pericoloso. (di solito anche se bonificate le pagine rimangono per qualche tempo linkate dal motore di ricerca)


Come si vede, su un campione di 389 pagine, ne abbiamo una ottantina che presentano all'interno un codice simile a questo

Per quanto si riferisce all'Italia, una ricerca filtrata per domini IT ci porta comunque ad individuare un certo numero di siti che presentavano lo script pericoloso ma c'e' da dire che al momento la maggior parte e' stata presumibilmente gia' bonificata


L'attacco, come dicevamo, e' la copia di uno precedente di cui ancora numerosi siti portano all'interno lo script che linkava a pagina con exploit e di cui vediamo una ricerca con Google

Come curiosita', il sito http://isc.sans.org/ ha pubblicato una analisi di un tools e la relativa interfaccia (cinese) usata da chi che esegue questo tipo di attacchi e che dimostra come l'enorme quantita' di pagine compromesse sia ottenuta rendendo automatiche una serie di operazioni alla cui base sta comunque una ricerca eseguita su Google di siti vulnerabili.

Edgar

mercoledì 23 aprile 2008

Mail di phishing CreVal

Continuano ad arrivare mails di phishing ai danni del Credito Valtellinese

L'unico motivo per cui ho scritto di queste 2 mails, diverse solo nell'oggetto , ma con testo del messaggio uguale e scritto in pessimo italiano, e' dovuto al fatto che questa volta linkano ad un server locato in Thailandia gestito dalla compagnia telefonica True.

Questo il link completo che comunque al momento sembra non funzionare.

http://ppp-58-8-88-197.revip2.asianet.co.th/www.creval.it/login2007/loginCreval.html

Edgar

martedì 22 aprile 2008

Primi risultati dell'utilizzo del nuovo tool di scansione Internet

Ecco un primo risultato utilizzando il tool di ricerca e scansione pagine web appena terminato di programmare
Il file generato con la scansione di ricerca ha dato 297 risultati (limitati dalla prima ricerca) che al secondo filtro del tools sono diventati 91 links a pagine con problemi tuttora presenti.
Questo a conferma dell'utilita' del secondo filtro del tool che analizza il codice sorgente delle pagine e seleziona solo quelle che realmente contengono la stringa di ricerca evitando cosi' perdite di tempo nel caricamento di siti ormai bonificati o OFFline.

Questa e' una parte del report generato dal tool


ed ecco alcuni esempi

Forum Firenze Botteghe IT

Scuolamedica unisa .it

bolognaprogetti.it
che apparentemente sembra OK ma il cui codice rivela una notevole quantita' di links a siti porno

che puntano, dopo reindirizzamento, a falso player video con il solito malware scarsamente riconosciuto dai softwares antivirus


Come si vede, si potrebbe continuare per pagine e pagine di post senza esaurire l'elenco di links a siti compromessi.

In conclusione sembra che questo primo test, confermi le previsioni fatte, al riguardo della validita' del tool ed ancora una volta evidenzia come esistano un numero enorme di siti .it che loro malgrado e probabilmente per una superficiale gestione del sito o del server che li ospita, sono quotidianamente soggetti ad hacking.