Comments on: Seeweb, riflessioni post-attacco https://www.pcalsicuro.com/main/2007/10/seeweb-riflessioni-post-attacco/ Tue, 27 Jul 2010 06:48:00 +0000 http://wordpress.org/?v=2.9.2 hourly 1 By: Anonymous https://www.pcalsicuro.com/main/2007/10/seeweb-riflessioni-post-attacco/comment-page-1/#comment-1855 Anonymous Mon, 24 Mar 2008 04:11:52 +0000 http://www.pcalsicuro.com/main/2007/10/seeweb-riflessioni-post-attacco/#comment-1855 <strong>Anita Dark Free Movie Downloads...</strong> Anita Dark Free Movie Downloads... Anita Dark Free Movie Downloads…

Anita Dark Free Movie Downloads…

]]> By: Valeria https://www.pcalsicuro.com/main/2007/10/seeweb-riflessioni-post-attacco/comment-page-1/#comment-1850 Valeria Fri, 01 Feb 2008 18:40:02 +0000 http://www.pcalsicuro.com/main/2007/10/seeweb-riflessioni-post-attacco/#comment-1850 Salve a tutti, io ho vissuto in prima persona l'attacco ai server Seeweb a più ondate, a partire dal 4 aprile 2007, perchè per lavoro realizzo siti web, e ho in gestione almeno 40 domini presso di loro. Ho segnalato fin dai primi di aprile la stranezza di aver trovato infette le home page sia di siti appena aggiornati che di siti che non aggiornavo da mesi, e ancora di siti registrati mesi prima e mai utlizzati. Come avrebbero potuto sniffare le password nel caso di siti per i quali ancora dall'anno precedente non venivano effettuati accessi FTP? Seeweb ha insistito per settimane sulla presunta presenza di malware sul mio PC, e io fin da subito per sicurezza ho effettuato le verifiche da una postazione estranea al mio lavoro, ritrovando appunto infettate le home page di domini per i quali nemmeno avevo le password memorizzate sul PC, e di domini teoricamente addirittura disdetti da anni. In questi casi presumo che non si possa parlare di sniffing dei dati, ma le modifiche ci sono state eccome...come spiegarlo? Salve a tutti, io ho vissuto in prima persona l’attacco ai server Seeweb a più ondate, a partire dal 4 aprile 2007, perchè per lavoro realizzo siti web, e ho in gestione almeno 40 domini presso di loro. Ho segnalato fin dai primi di aprile la stranezza di aver trovato infette le home page sia di siti appena aggiornati che di siti che non aggiornavo da mesi, e ancora di siti registrati mesi prima e mai utlizzati. Come avrebbero potuto sniffare le password nel caso di siti per i quali ancora dall’anno precedente non venivano effettuati accessi FTP? Seeweb ha insistito per settimane sulla presunta presenza di malware sul mio PC, e io fin da subito per sicurezza ho effettuato le verifiche da una postazione estranea al mio lavoro, ritrovando appunto infettate le home page di domini per i quali nemmeno avevo le password memorizzate sul PC, e di domini teoricamente addirittura disdetti da anni. In questi casi presumo che non si possa parlare di sniffing dei dati, ma le modifiche ci sono state eccome…come spiegarlo?

]]> By: Anonymous https://www.pcalsicuro.com/main/2007/10/seeweb-riflessioni-post-attacco/comment-page-1/#comment-1851 Anonymous Mon, 10 Dec 2007 07:40:13 +0000 http://www.pcalsicuro.com/main/2007/10/seeweb-riflessioni-post-attacco/#comment-1851 <strong>Adult Passwors...</strong> Boss present; seeing flowers visible sister cooling. Rremont Chlow Dior adult passwors dealer. ... Adult Passwors…

Boss present; seeing flowers visible sister cooling. Rremont Chlow Dior adult passwors dealer. …

]]> By: Edgar https://www.pcalsicuro.com/main/2007/10/seeweb-riflessioni-post-attacco/comment-page-1/#comment-1853 Edgar Sun, 14 Oct 2007 13:18:31 +0000 http://www.pcalsicuro.com/main/2007/10/seeweb-riflessioni-post-attacco/#comment-1853 Vorrei anche far notare che rispetto a tre giorni fa oggi mi si e' scaricato nella scansione anche un sito con iframe e link all IP 81.29.241.234 che punta al solito sito con pagina contenente javascript offuscato iframe src="http://81.29.241.234/user2/neon0111........ Saluti edgar Vorrei anche far notare che rispetto a tre giorni fa oggi mi si e’ scaricato nella scansione anche un sito con iframe e link all IP 81.29.241.234 che punta al solito sito con pagina contenente javascript offuscato
iframe src=”http://81.29.241.234/user2/neon0111……..

Saluti
edgar

]]> By: Luca Mercuri https://www.pcalsicuro.com/main/2007/10/seeweb-riflessioni-post-attacco/comment-page-1/#comment-1852 Luca Mercuri Sun, 14 Oct 2007 10:21:19 +0000 http://www.pcalsicuro.com/main/2007/10/seeweb-riflessioni-post-attacco/#comment-1852 Un unico commento all'interessante Post. Da quello che dice anche Baldassarra in quanto riportato da Punto Informatico, alcuni degli utenti colpiti avevano modificato in tempi non lontani le loro credenziali di accesso. Il sospetto quindi che le 2 attivita' (acquisizione dei dati e attacco) e' probabile, ma probabilmente il tempo passato tra l'uno e l'altro potrebbe essere abbastanza limitato. Saluti Un unico commento all’interessante Post. Da quello che dice anche Baldassarra in quanto riportato da Punto Informatico, alcuni degli utenti colpiti avevano modificato in tempi non lontani le loro credenziali di accesso.
Il sospetto quindi che le 2 attivita’ (acquisizione dei dati e attacco) e’ probabile, ma probabilmente il tempo passato tra l’uno e l’altro potrebbe essere abbastanza limitato.

Saluti

]]> By: Edgar https://www.pcalsicuro.com/main/2007/10/seeweb-riflessioni-post-attacco/comment-page-1/#comment-1854 Edgar Sun, 14 Oct 2007 09:28:26 +0000 http://www.pcalsicuro.com/main/2007/10/seeweb-riflessioni-post-attacco/#comment-1854 Solo per segnalare una cosa: Lo stesso sito scaricato una volta l undici ottobre www.trattozero.it presenta data del file 5/10/2007 e il 14 ottobre www.trattozero.it data del file 14/10/2007 in ntrambi i casi abbiamo l iframe con il link a 81.29.241.238 ma il sorgente della pagina risulta leggermente diverso come se nell intervallo di questi tre giorni si fosse mofdificato Per la precisione e' cambiato il codice che ora ha di diverso ....'0' width='0' scrolling='no' frameborder='no'> .... ecc Non credo che wget da una volta all'altra cambi il codice..che scarica .. Il fatto che anche el date cambiano (e nel primo caso e' ben diversa dal giorno in cui e' stato scaricato il sorgente) potrebbe significare che c e ' un continuo aggiornamento del codice malevolo sulle pagine... ??? La stessa cosa e' presente anche per altri siti sull ip ed e' ancora piu' evidente in quanto cambia la posizione dell iframe Saluti Edgar i due esempi con sorgenti gli ho aggiunti qui http://edetools.blogspot.com/ Solo per segnalare una cosa:
Lo stesso sito scaricato una volta l undici ottobre
http://www.trattozero.it presenta data del file 5/10/2007
e il 14 ottobre
http://www.trattozero.it data del file 14/10/2007
in ntrambi i casi abbiamo l iframe con il link a 81.29.241.238 ma il sorgente della pagina risulta leggermente diverso come se nell intervallo di questi tre giorni si fosse mofdificato
Per la precisione e’ cambiato il codice che ora ha di diverso ….’0′ width=’0′ scrolling=’no’ frameborder=’no’> …. ecc

Non credo che wget da una volta all’altra cambi il codice..che scarica ..
Il fatto che anche el date cambiano (e nel primo caso e’ ben diversa dal giorno in cui e’ stato scaricato il sorgente) potrebbe significare che c e ‘ un continuo aggiornamento del codice malevolo sulle pagine… ???

La stessa cosa e’ presente anche per altri siti sull ip ed e’ ancora piu’ evidente in quanto cambia la posizione dell iframe

Saluti
Edgar

i due esempi con sorgenti gli ho aggiunti qui
http://edetools.blogspot.com/

]]>