Gioxx

Firesort

Sono un maniaco dell’ordine dei segnalibri nel mio Firefox. Ho provato svariate estensioni che si dilettano nell’ordinamento automatico dei collegamenti ma sfortunatamente nessuna ha mai saputo soddisfarmi per i più disparati motivi. Mi sembra comunque giusto citarle: Sort Bookmarks Bookmark Sync and Sort La prima serve solo ed esclusivamente ad … Leggi tutto

Vivo, morto o X

Sono vivo e vegeto. Poco in forma data la mole di eventi alla quale mi sono auto-sottoposto per lavoro e piacere ma… vivo, almeno per il momento. Qualche veloce nota per lettori e non: Chiedo venia se non ho letto e risposto a tutte le vostre mail. Non ho avuto … Leggi tutto

Aruba bucata: la storia si ripete

Correva l’anno 2004 d.C. Quel pomeriggio la rete era in fermento ed il sesto senso aveva quella percezione di qualcosa “di sbagliato” nell’aria. Non è la trama di un film horror… è solo la soddisfazione di un povero pirla pseudo-tecnico/sistemista che durante tutto questo tempo ha sempre ripetuto che di Aruba non c’è da fidarsi assolutamente. Frotte di conoscenti, amici, blogger e chi più ne ha più ne metta, continuava a ripetere di trovarsi particolarmente bene con l’azienda aretina leader del settore italiano.

Poveri stolti. E’ solo questione di tempo“. Una frase che ho ripetuto più di una volta. Aruba è ufficialmente entrata nelle blacklist del sottoscritto da quando subì quel mass-deface nel 2004. Migliaia di siti devastati da un solo script lanciato dopo aver ottenuto i diritti di root su una macchina (e da quella alle altre nello stesso identico modo). Non pensavo potesse succedere ancora o almeno non subito. Ultime parole famose.

Stamattina in azienda abbiamo ricevuto la lista completa dei siti bucati. Stavolta niente deface. Solo un simpaticissimo iframe con codice di installazione automatica del trojan di turno. Una sana coltivazione di PC zombie da sfruttare per futuri attacchi.

Il codice dell’iFrame è particolarmente semplice e preciso (come da immagine), i codici maligni inseriti sono i seguenti:


Clicca per ingrandire

  • HTML_IFRAME.CU (info)
  • JS_DLOADER.NTJ (info)
  • TROJ_SMALL.HCK (info)
  • TROJ_AGENT.UHL (info)

Per difendere i vari clienti dai potenziali problemi che tali siti possono ancora arrecare, parecchie aziende hanno deciso di inserire l’intera lista nei filtri di Squid e dei proxy server in generale. Dal canto mio ho già provveduto ad inserire le 464 vittime negli “squid filters” di 3 clienti. So che i webmaster non c’entrano nulla e che la colpa è come al solito di Aruba, ma non ci si può permettere la minima distrazione, altrimenti si rischia di dover rimettere a posto decine di client.

Dell’evento ne parla anche Symantec che riporta il tutto con un apposito documento:

symantec.com/…/2007/06/italy_under_attack_mpack_gang.html

La lista completa dei domini è disponibile leggendo tutto il post (così da evitare di farvi arrivare la pagina alle stelle) ! ;)

Che dire se non “Ve lo avevo detto“? :P

Leggi tutto

Condividi l'articolo con i tuoi contatti:

gioxxDinner 26.06.07

Sto organizzando una cena pubblica prevista per giovedì prossimo (26 giugno) in quel di Milano. Sarò li per seguire una conferenza Sophos per lavoro e L’intenzione sarebbe quella di riunire la solita “cumpa” per mangiare qualcosina e farsi una sana chiacchierata. So che si tratta di un giorno in mezzo … Leggi tutto