Comments on: Seeweb si unisce a Hosting Solutions e Aruba

By: TNT

TNT — Tue, 16 Oct 2007 18:13:50 +0000

Ah eccolo, mi mancava.

By: suc

suc — Tue, 16 Oct 2007 17:13:10 +0000

“i siti web compromessi siano basati su GNU/Linux Debian”
alla faccia di chi dice che Linux è sicuro!

By: Siti e server italiani di nuovo sotto attacco | Networking - Reti, adsl, voip, wireless, firewalling

Mon, 15 Oct 2007 13:27:08 +0000

[...] Marco scrive: “Come si è parlato già addietro, il 2007 è diventato di diritto l’anno delle compromissioni dei siti web da parte dei malware writer. Si è parlato di Hosting Solutions, si è parlato di Aruba, si è parlato di alcuni siti di rilevanza nazionale infettati da iframe nocivi. Continuando nelle indagini, anche il noto fornitore di connettività e hosting/housing Seeweb sembrerebbe essere stato preso di mira durante questa ondata di pirateria informatica. Un discreto numero di siti web ospitati su alcuni server della nota società italiana sono stati alterati, molti dei quali sembrerebbero inoltre essere stati modificati durante queste ultime settimane. Poco meno di 100 siti web, di cui circa 70 ultimi arrivati, contengono nel codice della propria homepage un iframe che reindirizza il browser dell’utente ignaro verso un terzo server contenente codice maligno“. [...]

By: PC Al Sicuro » Blog Archive » Seeweb, riflessioni post-attacco

PC Al Sicuro » Blog Archive » Seeweb, riflessioni post-attacco — Sun, 14 Oct 2007 02:14:40 +0000

[...] Sono passati alcuni giorni dal mio primo articolo relativo alla compromissione dei siti web su alcuni server dell’hoster Seeweb ed è arrivata, per mezzo di Punto Informatico, una interessantissima risposta da parte della stessa società. A prescindere dai motivi tecnici e dall’analisi delle cause dell’attacco, è da apprezzare la veloce risposta pubblica che il CEO di Seeweb Antonio Baldassarra ha rilasciato per chiarire la situazione e mettere al corrente, indice di interessamento della società verso i propri clienti. [...]

By: TNT

TNT — Sat, 13 Oct 2007 20:24:56 +0000

Alpha, ok, quello che dici e’ ovvio… ma siamo sicuri che si tratti delle password di FTP? Ci credo poco… Ma e’ possibile, certo. La cosa piu’ probabile secondo me e’ che abbiano sfruttato delle falle nel server. Ma potrei sbagliarmi. Senza avere accesso ai server e’ possibile solo fare ipotesi.

By: juninho85

juninho85 — Sat, 13 Oct 2007 18:06:59 +0000

per caso anche un ntsystem.exe collocato in :\windows è riconducibile a questa infezione?

By: Alpha

Alpha — Sat, 13 Oct 2007 13:57:03 +0000

Attenti a non fare e creare confusione. Una volta che si possiedono le password ftp non c’è alcun bisogno di vulnerabilità dei server o degli script. Oltre a modificare le pagine si può inserire una shell o altro script da richiamare attraverso l’url e fare quindi ciò che si vuole, compreso ri-uploadare pagine rimosse. Come magari successo nel caso di Bank of India. Tutto ciò senza vulnerabilità di alcun tipo.
Il nodo da sciogliere è quello di dove e come sono state recuperate queste password. Lì sì potrebbe aver influito qualche vulnerabilità nascosta chissà dove.

By: Edgar

Edgar — Thu, 11 Oct 2007 07:45:37 +0000

Gia’ da qualche settimana avevo notato dei problemi su Seeweb con pagine che sembravano essere state compromesse di recente.

http://edetools.blogspot.com/2007/09/ancora-server-seeweb-con-seri-problemi.html

Se poi, adirittura, i siti hostati su hosting solution a distanza di mesi!!! hanno ancora le pagime con all’interno gli script offuscati, anche se non attivi, c’e’ poco da stare allegri.

http://edetools.blogspot.com/2007/09/cosa-e-successo-ai-siti-italiani.html

Sto rifacendo una scansione totale con il mio tool dei range ip di seeweb, vediamo cosa succede….

Edgar from Bangkok
http://edetools.blogspot.com/

By: Siti Compromessi: Ora Anche su Seeweb « Simply Security

Siti Compromessi: Ora Anche su Seeweb « Simply Security — Thu, 11 Oct 2007 07:44:55 +0000

[...] Pubblicato da angeliquewi su 11 Ottobre 2007 Marco Giuliani, malware analyst dell’azienda di sicurezza PrevX, ha pubblicato sul suo blog PC al Sicuro un interessante articolo che riporta alla luce il problema della compromissione dei siti web italiani. Si tratta di una disgraziata “moda del momento” in campo malware, quella di attaccare i siti web, compromettendoli e iniettando un javascript offuscato o un iframe che possa re-indirizzare i browser verso risorse nocive. Abbiamo già parlato ampiamente in news precedenti dell’attacco massiccio via Mpack che aveva colpito migliaia di siti web italiani a fine Giugno, “secondo modalità ancora sconosciute”. [...]

By: Marco

Marco — Wed, 10 Oct 2007 15:43:16 +0000

Vero È d’obbligo usare sempre il condizionale, non avendo sotto mano server e potendo così trarre conclusioni certe.