Tech & Coding

Aruba bucata: la storia si ripete

Correva l’anno 2004 d.C. Quel pomeriggio la rete era in fermento ed il sesto senso aveva quella percezione di qualcosa “di sbagliato” nell’aria. Non è la trama di un film horror… è solo la soddisfazione di un povero pirla pseudo-tecnico/sistemista che durante tutto questo tempo ha sempre ripetuto che di Aruba non c’è da fidarsi assolutamente. Frotte di conoscenti, amici, blogger e chi più ne ha più ne metta, continuava a ripetere di trovarsi particolarmente bene con l’azienda aretina leader del settore italiano.

Poveri stolti. E’ solo questione di tempo“. Una frase che ho ripetuto più di una volta. Aruba è ufficialmente entrata nelle blacklist del sottoscritto da quando subì quel mass-deface nel 2004. Migliaia di siti devastati da un solo script lanciato dopo aver ottenuto i diritti di root su una macchina (e da quella alle altre nello stesso identico modo). Non pensavo potesse succedere ancora o almeno non subito. Ultime parole famose.

Stamattina in azienda abbiamo ricevuto la lista completa dei siti bucati. Stavolta niente deface. Solo un simpaticissimo iframe con codice di installazione automatica del trojan di turno. Una sana coltivazione di PC zombie da sfruttare per futuri attacchi.

Il codice dell’iFrame è particolarmente semplice e preciso (come da immagine), i codici maligni inseriti sono i seguenti:


Clicca per ingrandire

  • HTML_IFRAME.CU (info)
  • JS_DLOADER.NTJ (info)
  • TROJ_SMALL.HCK (info)
  • TROJ_AGENT.UHL (info)

Per difendere i vari clienti dai potenziali problemi che tali siti possono ancora arrecare, parecchie aziende hanno deciso di inserire l’intera lista nei filtri di Squid e dei proxy server in generale. Dal canto mio ho già provveduto ad inserire le 464 vittime negli “squid filters” di 3 clienti. So che i webmaster non c’entrano nulla e che la colpa è come al solito di Aruba, ma non ci si può permettere la minima distrazione, altrimenti si rischia di dover rimettere a posto decine di client.

Dell’evento ne parla anche Symantec che riporta il tutto con un apposito documento:

symantec.com/…/2007/06/italy_under_attack_mpack_gang.html

La lista completa dei domini è disponibile leggendo tutto il post (così da evitare di farvi arrivare la pagina alle stelle) ! ;)

Che dire se non “Ve lo avevo detto“? :P

Leggi tutto

Condividi l'articolo con i tuoi contatti:

Twitter4Skype: Update 1

Piacevoli novità introdotte in Twitter4Skype a distanza di una manciata di giorni dal mio primo articolo. Dopo un paio di down “tattici” bopper ha introdotto due novità di cui una particolarmente comoda: E’ stata data “una faccia virtuale” all’utente. Un’icona personalizzata contraddistingue ora il bot :) Vengono salvati le vostre … Leggi tutto

Phishing BancaIntesa: Gentile CLIENTE, …

E’ da giorni che mi stanno sommergendo di email con “obbligo di cambiare password” o “necessità di confermare i miei dati” e altre amenità varie. Il phishing paga e i truffatori se ne sono accorti da tempo. Gli utenti distratti che cascano nei trabocchetti appositamente costruiti da questi falsi professionisti … Leggi tutto