Comments on: Attacchi Hackers anzi Lamers. Spargete la voce.

By: alfredo bassani

alfredo bassani — Thu, 15 Jan 2009 17:45:46 +0000

seh…ma ke andassero a fanculo i hacker….bastardi..io sn contro gli hacker

By: PincoPallo

PincoPallo — Fri, 28 Nov 2008 19:13:33 +0000

By: 7 giorni di links #10, segnalazioni sempre migliori » Traffyk

7 giorni di links #10, segnalazioni sempre migliori » Traffyk — Sun, 30 Dec 2007 17:20:54 +0000

[...] con il mio blog: Attacchi Hackers anzi Lamers. Spargete la voce Top 10 dei segnali che stai diventando blog-dipendente WordPress VS Blogger: dico la mia Angoli [...]

By: Fabius

Fabius — Sat, 29 Dec 2007 00:40:02 +0000

Del virus non me ne preoccupo più di molto (sperando solo che non sia compatibile con linux ), ma cerco comunque di tener d’occhio il sorgente, non si sa mai. Comunque, ci sono novità in merito? Quelli di PHP hanno mosso almeno un dito?

By: Redemption

Redemption — Wed, 26 Dec 2007 17:06:06 +0000

abcreativity misà che hai centrato in pieno

By: abcreativity

abcreativity — Sun, 23 Dec 2007 11:33:45 +0000

Se può essere utile, qualche info ulteriore su quello che accade:

- Alcuni siti sono stati violati con iframe che punta a gfeptwe.com

- Da questo sito viene scaricato uno script offuscato che esegue vari exploit a seconda del browser

- Se si usa Firefox esegue un controllo per verificare la presenza di Apple Quicktime e se presente e vulnerabile ne esegue un exploit.

- Il virus scaricato è
AntiVir TR/PWS.Sinowal.Gen
Noman W32/Sinowal.ALH
Sophos Mal/Sinowa-A

Apple consiglia: di aggiornare quicktime alla versione 7.3.1
– http://secunia.com/advisories/28092/
– http://docs.info.apple.com/article.html?artnum=307176

By: abcreativity

abcreativity — Sun, 23 Dec 2007 00:40:36 +0000

Sembra utilizzino l’iframe per reindirizzare ad un url tramite il quale infettare il pc dell’utente con un trojan.
Ho trovato poco in giro, ma sembra che sia vulnerabile chi ha quicktime installato.
Qui ne parlano, e forniscono anche un sistema per pulire il proprio computer, se infetto: http://www.nextrl.it/forum/index.php?s=dbe288a5b618ad45451f1fe7996bc717&act=ST&f=27&t=19155

@Francesco: puoi indicarmi per favore via email di che falla di php si tratta ed eventualmente la pagina del forum php dove se ne parla. Grazie mille

By: Francesco

Francesco — Sat, 22 Dec 2007 19:34:54 +0000

Si, mi hanno colpito, diverse volte, fortunatamente me ne sono accorto in tempo e ho sistemato tutto in pochissimo!

By: Stefano

Stefano — Sat, 22 Dec 2007 13:47:18 +0000

No, non utilizzo Text Link Ads e non vendo link. Una curiosità..il tuo blog è stato vittima di questo attacco?

By: daniele

daniele — Fri, 21 Dec 2007 15:05:07 +0000

Ciao Stefano, no devo dire di non aver subito questo tipo di cali, ne nelle serp ne nel pr. Che software hai installato sul tuo host? Dove credi che sia la falla? Come hai risolto?

By: Francesco

Francesco — Fri, 21 Dec 2007 15:05:07 +0000

Ciao Stefano,

bene il tuo mi sembra un problema più complicato.
L’attacco probabilmente se viene rilevato dallo spider di Google potrebbe aver creato problemi nelle SERP.
A mio parere non dovrebbe avere alcun effetto sul PR.
Sembra che Google stia nel frattempo eseguendo una nuova indicizzazione.
Questo blog ha avuto una enorme diminuzione di traffico proveniente da Google ed anche la perdita delle migliori Keywords dalle SERP.
Ma non ha perduto il PR, almeno fino ad oggi!!!
Per la perdita di PR del tuo blog, la ragione potrebbe essere la vendita di link attraverso Text Link Ads, tu lo utilizzi per caso?
Infatti le perdite di PR registrate ultimamente sono tutte riconducibili alla vendita dei link.

Francesco

By: Stefano

Stefano — Fri, 21 Dec 2007 14:26:43 +0000

Ciao ragazzi, qualcuno di voi ha subito danni nelle SERP o al PR?
Anch’io hostato su aruba, ho subito questo attacco e ho rimosso il codice nel giro di 24 ore..ora, da quel giorno ho iniziato a notare un lieve ma costante calo del traffico, finchè oggi la mia homepage (che era a PR 5) è scesa a PR 3, mentre tutte le sottopagine (che avevano PR non nullo) sono andate a 0.

Qualcun altro ha problemi del genere?

By: daniele

daniele — Thu, 20 Dec 2007 14:41:58 +0000

Grazie francesco, si ti prego di fornirmi il nome via mail, provvederò a documentarmi.
Grazie

By: Francesco

Francesco — Thu, 20 Dec 2007 14:32:45 +0000

Daniele,

1) come gia’ scritto nell’articolo, e’ una tecnica molto semplice che sfrutta una falla di php per inserire del codice all’interno delle pagine.
2) Non voglio pubblicizzare il nome della tecnica sul blog per evitare una ulteriore diffusione.
Se vuoi contattami via email e ti do le informazioni sul tipo di attacco, ma non servira’ a molto visto che il forum di PHP non ritiene questa una falla importante.
3) Non infetta le pagine, il maleintenzionato della situazione inserisce del codice html nelle tue pagine. Le password non sono direttamente in pericolo con questo attacco, il problema e’ che ho scoperto che chi utilizza questa tecnica puo’ inserire codici html che automaticamente installano spyware attraverso ActiveX, quindi in teoria se il tuo pc e’ stato infettato potrebbero aver scoperto le tue passwords.
4) No, non esiste! Finche’ il forum di PHP non decide di prendere azione.
In teoria questa falla e’ molto ben conosciuta e documentata.

Francesco

By: daniele

daniele — Thu, 20 Dec 2007 13:45:32 +0000

Ciao Francesco,

innanzitutto grazie per la risposta.
Avrei un po di domande da porti, spero avrai la pazienza di illuminarmi, magari insieme riusciamo a trovare una soluzione definitiva (io mi occupo di sviluppo di siti e posizionamento nei motori di ricerca).

1. Come fai a dire che è una falla di php (e non magari un bug di qualche programma stile joomla)?
2. come si chiama?
3. infetta solo la index.php? riescono a “beccarmi” la pass ftp o leggere le pagine di codice?
4. non esiste un metodo per difendersi che nn sia quello di stare continuamente a controllare?

Grazie mille per le risposte, spero riusciremo a risolvere quanto prima, anche perchè mi sembra una cosa abbastanza grave!
p.s. io sono hostato su Aruba

By: Francesco

Francesco — Thu, 20 Dec 2007 12:57:59 +0000

Daniele,

Prima di pubblicare questo articolo ho cercato in rete come difendersi da questo tipo di attacco.
Sembra che non il team di PHP non sembra considerare questa una falla importante e quindi non hanno ancora rilasciato patch per risolvere il problema.
Per questo ho scritto questo articolo, almeno si puo’ fare attenzione e cercare di rimuovere il codice maligno prima che faccia danno!

Francesco

By: daniele

daniele — Thu, 20 Dec 2007 10:05:55 +0000

ciao ragazzi è successa anche a me esattamente la stessa cosa sul mio sito. Tolto il codice ieri. Vorrei chiedervi come posso difendere il mio sito da questo tipo di attacchi (vorrei avitare si ripetessero…) e dunque come tappare questa “falla”. Grazie mille

By: Francesco

Francesco — Wed, 19 Dec 2007 10:58:14 +0000

Occhi aperti!

Francesco

By: mirkox90

mirkox90 — Wed, 19 Dec 2007 10:31:44 +0000

ho fatto una ricerca e mi sà che ho capito a cosa ti riferisci… sono sconcertato incrociamo le dita..

By: Francesco

Francesco — Wed, 19 Dec 2007 10:19:10 +0000

Potrei riportare la tecnica, credetemi incredibilmente semplice da attuare, ma sono sicuro che sarebbe un tool troppo allettante, e mi dispiacerebbe vedere il proliferare di queste tecniche.
@Mirko, non e’ un problema di WP, questa tecnica sfrutta una falla di PHP.
Ma non vado oltre!

Francesco