Roberto Vecchioni vittima della vulnerabilità ANI

Il sito ufficiale del cantautore italiano Roberto Vecchioni è stato nei giorni scorsi attaccato. Infatti, la home page ufficiale includeva uno script che scaricava del malware all’interno del PC.

Il codice del sito web conteva del codice JavaScript offuscato, che sembrerebbe essere stato inserito da qualche attacker riuscito a modificare la pagina web.

IL JavaScript, una volta decodificato - la tecnica era particolarmente semplice - caricava un altro sito web, dramcnt.com (194.146.207.23), ospitato in Russia, dall’ISP NEVACON LTD.

Qui viene caricata una pagina html che contiene un exploit per la nuovissima - e gia patchata - vulnerabilità di Windows relativa ai file .ANI e altri JavaScript offuscati. Il tutto necessario a scaricare un malware dalle dimensioni di 29,112 bytes.

Il file è un trojan downloader che installa nel PC un keylogger, sottoforma di due dll denominate ibm00001.dll e ibm00002.dll all’interno della directory C:\Programmi\File Comuni\Microsoft Shared\Web Folders\.

Al momento Prevx1 individua e rimuove correttamente la minaccia. Ho contattato personalmente il webmaster del sito web con urgenza oggi pomeriggio - visto che il sito web è molto visitato, essendo il sito ufficiale di un importante cantautore italiano - la quale ha risolto questa sera il problema. Il sito è dunque di nuovo visitabile senza incorrere in nessun rischio.

Ringrazio Andrea per la segnalazione del problema.

*** UPDATE ***

il sito è stato di nuovo attaccato ed é nuovamente infetto. Sono in contatto con il webmaster per tentare di risolvere il problema. Il sito é stato messo in mattinata offline .
Il messaggio in home page:

*** UPDATE (2) - 29/04/2007 ***

Anche la pagina di offline risulta nuovamente infetta. Raccomando il blocco dei seguenti indirizzi IP per chi ancora non l’avesse fatto:

194.146.207.23
58.65.239.180
81.95.149.114
64.62.137.149

Gli utenti di Prevx sono protetti dalla minaccia.


43 Responses to “Roberto Vecchioni vittima della vulnerabilità ANI”

  1. questo iframe src=’http://58.65.239.180/’ width=’1′ height=’1′ style=’visibility: hidden;’>

  2. e punta a questo ip 81.95.149.114 che è nella mia blacklist antigromozon da una vita

  3. eh scusa? :D

  4. Mi chiedo quanto sia rimasta su. Un ulteriore prova, comunque, che il famoso e ridicolo “basta navigare su siti sicuri e non si prendono virus” che alcuni tuttoggi continuano ad affermare e’ un’emerita scempiaggine. :)

  5. @ marco :cosa c’è che non hai capito? :-D

  6. Magari è normale che il sito di Vecchioni contenga un iframe con ip di Hong Kong che poi se digitato nel browser ci porti dritti dritti in russia dove c’è uno script che ci attende paziente. :-)

  7. Marco, quei banner pubblicitari linkano spesso e volentieri a upspiral.com, distributore di adware… :\

  8. su upspiral ci sono capitato spesso quando davo un’occhiata alle famose pagine civetta

  9. Ehm, Marco, guarda che quella schifezza di exploit è ancora presente sul sito web: di solito lavoro con Firefox 2, ma facendo l’accesso con Internet Explorer 6 è tutto un risuonare di sirene di antivirus e sistema di protezione HIPS della mia macchina……

  10. Secondo me lo hanno “hackato” di nuovo. :\

  11. ma va? :-D :-D :-D

  12. non solo, stanno spostando il redirect :-D

  13. non è che leggono qui? Nooooo per carita’
    figuriamoci. Queste personcine per bene figurati se leggono questo blog.

  14. Certo che certi “webmaster” invece di togliere il link e rimettere subito tutto come prima farebbero meglio a vedere come mai e’ stato compromesso il sito, IMHO.

  15. si, lo hanno hackato di nuovo.

    @Alfonso: non c’è ancora, c’è di nuovo ;) è piu corretto :) Oggi pomeriggio non sono stato online per cui non ho visto.

    @maverick: non hai nella blacklist l’iframe originale. Questo nuovo lo vedo ora poiche prima, come detto, non ero online. Non avevo capito perche ti stai riferendo ad una cosa differente rispetto a quello che dice il mio articolo. Se ti attieni all’articolo bene, se cambi poi è ovvio che non ti capisco :D Quando hai scritto non ero in casa per cui non ho controllato il sito web e tu non avevi specificato si trattasse di un iframe differente da quello esposto negli screen :) Fino a questa mattina era pulito, ieri era infetto dall’altro iframe.

    @TNT: esatto, hackato di nuovo. Come vedi infatti gli screen sono relativi ad un altro iframe che c’era prima.

  16. Maverick, mah, forse. Spesso queste vulnerabilita’ di siti web fatti con gli ani :D sono talmente facili da sfruttare che ci sono script su server maligni che le sfruttano continuamente, ripristinando la pagina malefica appena viene sistemata.

  17. “Certo che certi “webmaster” invece di togliere il link e rimettere subito tutto come prima farebbero meglio a vedere come mai e’ stato compromesso il sito, IMHO”

    Parole sante :-D

  18. Con IE compare un messaggio: “Il sito web sta tentando di eseguire il componente aggiuntivo ‘outlook.exe’…

    Marco, si tratta della stessa infezione o di una diversa?

    Comunque, come al solito, ottimo lavoro :-)

  19. Ci stanno lavorando. Il sito é stato messo offline.

  20. Marco, non mi spiego come possono “attaccare” il sito, senza iniettare del codice infetto.

    Puoi spiegarmelo semplicemente?

  21. Dunque, l’articolo è stato scritto ovviamente per cercare di parlare il piu comprensibile a tutti.

    Molto probabilmente, tra le piu gravi che ci possono essere come possibilità, un bug in qualche servizio utilizzato nel server (magari non aggiornato) che ha permesso l’utilizzo di qualche exploit. Altrimenti potrebbe essere che il sito soffre di attacchi di tipo XSS o SQL injection. In entrambi i casi ovviamente c’è bisogno di aver accesso fisico al server, accesso che è possibile acquisire direttamente da servizi buggati o, in maniera più ridotta e quindi limitato al solo spazio web (se i permessi sono correttamente configurati ovviamente, parlo di una corretta configurazione dalla base) attraverso falle del sito web mal progettato.

  22. E poi vengono a dire che linux è sicuro, ma per favore… la maggior parte dei siti hackerati o che inviano malware sono server linux (vedi per es. 81.95.149.114)

  23. 81.95.149.114

    HTTP - 80 HTTP/1.1 200 OK
    Date: Fri, 27 Apr 2007 11:57:02 GMT
    Server: Apache/1.3.37 (Unix)

  24. Michele, risparmiaci la trollata, per favore. Non hai la piu’ pallida idea di come sia configurato quel server, se sia aggiornato, se la vulnerabilita’ risieda nell’implementazione del sito o del software. Per cui evita certe scempiaggini.

  25. Ah e poi “e che inviano malware”? Se un server invia malware significa che non e’ sicuro? Ridicolo.

  26. il sito che manda il malware è sicurissimo perche’ è di quella gang.
    Quello non è hackerato ma fa quello che deve fare: ovvero infettare
    le perosne
    Mentre il sito di vecchioni era ospitato su sever win2k.
    Ma non facciamo guerre di religioni per favore.
    Comunque michele mi sa che non hai capito come funzionano gli attacchi di questo tipo.
    I server che contengono i malware sono ben noti e quasi tutti sono in russia ed ucraina

  27. Beh, mi pare evidente che uno che afferma che un server che invia malware “non e’ sicuro” non conosce molto bene cio’ di cui parla. :(

  28. beh visto che non è sicuro gli passo un po’ di Ip e così ci elimina alla fonte un po’ di spazzatura che viene dall’est :-D

  29. ah ho scritto al webmaster del sito e gli ho consigliato di linkare questa pagina e il tool prevx in modo che chi è stato infettato possa
    sistemare il pc

  30. google ci dice che il sito di vecchioni potrebbe danneggiare il pc.
    :-D

  31. @marco: grazie mille, pensavo qualcosa del genere in effetti non mi era chiaro da come avevi impostato l’articolo, mi pareva tutt’altro.

    @michele: senza voler fare polemica, ne guerre di religione, ti consiglio di dare un occhio a questo sito, per sincerarti di quel che stai affermando: http://toolbar.netcraft.com/site_report?url=http://www.vecchioni.it
    Inoltre ti faccio notare, che l’IP che hai indicato, è quello relativo al sito che spara malware, non quello del sito di vecchioni.

    Saluti

  32. Scusate ma sono un po’ niubbo di blocchi…nell’update della notizia datato oggi ci sono degli ip che l’autore dice di bloccare…come si fa? Grazie e scusate per la domanda stupida…

  33. li blocchi con un firewall o con programmi tipo protowall o peerguardian2. se vuoi essere maggiormente protetto puoi dare un’occhiata alla blacklist del mio blog maipiugromozon.blogspot.com

  34. Io ho zone alarm versione free…ma non vedo impostazioni dove inserire ip da bloccare…

  35. beh allora usa protowall che è molto leggero e si installa come servizio. ZonaAlarm non l’ho mai usato. I programmi dovrebbero essere compatibili. http://www.bluetack.co.uk/
    c’è pure il vido che spiega come si installa sulla sinistra per ha bisogno di un intervento nel panello di controllo.
    Altrimenti smanetti con ZA o cambi firewall

  36. […] In riferimento al caso del noto cantante italiano Roberto Vecchioni, già analizzato precedentemente qui, ho avuto modo di andare un pò più a fondo sulla questione e mi sono accorto di qualcosa che sembrerebbe ben più grave. […]

  37. Ciao a tutti,
    abbiamo rilevato anche noi l’attacco su diversi siti da noi gestiti.
    La particolarità è che i nostri siti, come quello di vecchioni, sono appoggiati presso lo stesso provider/mantainer.

    Che si fa?

  38. Ciao :)

    Guarda qui: http://www.pcalsicuro.com/main/2007/04/possibile-intrusione-nei-sistemi-hosting-solutions/

  39. Stesso problema: circa 15 sito infetti, stesso provider e per di più non posso connettermi in ftp perchè non funziona.

  40. Ciao a tutti,
    anche i siti che amministro come webmaster e che sono ospitati tutti da Hosting Solutions hanno subito attacchi simili nei giorni scorsi.
    La colpa non è dei webmaster (noi clienti di HS) ma di una piccola falla (ma un buco emorme per un buon hacker) nella sicurezza dei server che ha causato parecchi danni agli ignari visitatori.
    Vi confermo che Hosting Solutions ha risolto i problemi di sicurezza e cambiato tutte le password per l’accesso ftp agli spazi web dei propri clienti (proprio l’accesso ai db degli utenti ftp ha permesso agli hacker di modificare il codice di molte pagine appartenenti a svariati domini).
    Concludo con il dire che Hosting Solutions in questo caso ha “toppato” in termini di sicurezza, ma resta comunque uno dei più affidabili servizi di hosting presenti in Italia.

    Wich

  41. Assolutamente, mai messa in dubbio l’ultima tua frase :)

    Per il resto, era abbastanza evidente che si trattasse di una falla del server, avrei voluto sapere solo se si tratta di falla direttamente accedibile dall’esterno (cioè, configurazione errata di qualche servizio ad esempio) o configurazione interna del servizio (in questo caso avrebbero dovuto trovare una falla in qualche sito web e poi da lì muoversi all’interno).

    Fa comunque piacere che Hosting Solutions abba cambiato le password agli utenti automaticamente, non lasciando l’utente stesso in balìa di sé stesso.

  42. […] Si raccomanda al momento di bloccare i seguenti indirizzi IP, oltre a quelli che avevo già comunicato nell’articolo pubblicato riguardo l’intrusione nel sito web di Roberto Vecchioni: 58.65.239.180 (già inserito nella pagina sopra linkata) 64.38.33.13 194.146.207.129 […]

  43. […] Si raccomanda al momento di bloccare i seguenti indirizzi IP, oltre a quelli che avevo già comunicato nell’articolo pubblicato riguardo l’intrusione nel sito web di Roberto Vecchioni: 58.65.239.180 (già inserito nella pagina sopra linkata) 64.38.33.13 194.146.207.129 194.146.207.18 […]

Lascia un commento