Tech & Coding

Aruba bucata: la storia si ripete

by

Correva l’anno 2004 d.C. Quel pomeriggio la rete era in fermento ed il sesto senso aveva quella percezione di qualcosa “di sbagliato” nell’aria. Non è la trama di un film horror… è solo la soddisfazione di un povero pirla pseudo-tecnico/sistemista che durante tutto questo tempo ha sempre ripetuto che di Aruba non c’è da fidarsi assolutamente. Frotte di conoscenti, amici, blogger e chi più ne ha più ne metta, continuava a ripetere di trovarsi particolarmente bene con l’azienda aretina leader del settore italiano.

Poveri stolti. E’ solo questione di tempo“. Una frase che ho ripetuto più di una volta. Aruba è ufficialmente entrata nelle blacklist del sottoscritto da quando subì quel mass-deface nel 2004. Migliaia di siti devastati da un solo script lanciato dopo aver ottenuto i diritti di root su una macchina (e da quella alle altre nello stesso identico modo). Non pensavo potesse succedere ancora o almeno non subito. Ultime parole famose.

Stamattina in azienda abbiamo ricevuto la lista completa dei siti bucati. Stavolta niente deface. Solo un simpaticissimo iframe con codice di installazione automatica del trojan di turno. Una sana coltivazione di PC zombie da sfruttare per futuri attacchi.

Il codice dell’iFrame è particolarmente semplice e preciso (come da immagine), i codici maligni inseriti sono i seguenti:


Clicca per ingrandire

  • HTML_IFRAME.CU (info)
  • JS_DLOADER.NTJ (info)
  • TROJ_SMALL.HCK (info)
  • TROJ_AGENT.UHL (info)

Per difendere i vari clienti dai potenziali problemi che tali siti possono ancora arrecare, parecchie aziende hanno deciso di inserire l’intera lista nei filtri di Squid e dei proxy server in generale. Dal canto mio ho già provveduto ad inserire le 464 vittime negli “squid filters” di 3 clienti. So che i webmaster non c’entrano nulla e che la colpa è come al solito di Aruba, ma non ci si può permettere la minima distrazione, altrimenti si rischia di dover rimettere a posto decine di client.

Dell’evento ne parla anche Symantec che riporta il tutto con un apposito documento:

symantec.com/…/2007/06/italy_under_attack_mpack_gang.html

La lista completa dei domini è disponibile leggendo tutto il post (così da evitare di farvi arrivare la pagina alle stelle) ! ;)

Che dire se non “Ve lo avevo detto“? :P

Leggi tutto

Condividi l'articolo con i tuoi contatti:

Phishing BancaIntesa: Gentile CLIENTE, …

by

E’ da giorni che mi stanno sommergendo di email con “obbligo di cambiare password” o “necessità di confermare i miei dati” e altre amenità varie. Il phishing paga e i truffatori se ne sono accorti da tempo. Gli utenti distratti che cascano nei trabocchetti appositamente costruiti da questi falsi professionisti … Leggi tutto

Joost: Now For Friends!

by

Da qualche giorno, Joost “ha donato” a tutti i beta tester accreditati circa 999 inviti da “smerciare” al miglior offerente. C’è aria di “apertura al pubblico” in grande stile e noi – me compreso – siamo qui per potervi far entrare nella combriccola degli allegri sfruttatori di questa applicazione ;) … Leggi tutto

Perchè uso Twitter?

by

Ieri, il buon Luca, mi ha coinvolto nel nuovo meme della blogosfera. Mi scuso per il ritardo nella risposta ed espongo le mie motivazioni sul “perchè utilizzare Twitter“. Motivazioni stupide, futili, ignoranti: Mi consente di saturare quella necessità di Gossip quotidiano che ha come protagonista la blogosfera; Non ho un … Leggi tutto

+ Altri articoli