Il taccuino di Armando Leotta Rotating Header Image

defacement

Hack attempts & good news #security

Un alert insolito.

Fare un po’ di manutenzione e ritrovare tracce di 6 attacchi di crew diverse: priceless.

Codice base64 come se piovesse.
Decodificando mi ritrovo un PHP con POST con tanto di echo “indonesian people is here“.

Se non bastasse, ritrovo altri due php contenenti, secondo sophos per mac, il trojan PhpShel-G e altri dei tentativi di injection test.

Dimenticavo una jpg pronta all’uso: potevano mancare i Martiri di Gaza?

Tentativo di defacement

Cortese visita

I presidi funzionano così come gli alert.

Grazie Bluehost: well done!

 

Aruba massdefaced

Aruba ancora una volta sotto attacco di mass defacement.

Tra ieri e oggi l’indirizzo IP 62.149.136.12 ha visto la compromissione di 117 siti ospitati.

Ecco quanto campeggiava sulla homepage dei siti compromessi.

Questa volta era un OS windows 2003 e un IIS 6.0.

*** ATTENZIONE ***

Twitter hacked and defaced

Twitter è nuovamente online e disponibile.

Twitter hacked and defaced

Twitter hacked and defaced

A distanza di pochi mesi, fa riparlare di sè. Questa volta è stato oggetto di un attacco e di un defacement. Ecco il messaggio che campeggiava sulla home (vedi immagine a sinistra):

Iranian Cyber Army

THIS SITE HAS BEEN HACKED BY IRANIAN CYBER ARMY

iRANiAN.CYBER.ARMY@GMAIL.COM

U.S.A. Think They Controlling And Managing Internet By Their Access, But THey Don’t, We Control And Manage Internet By Our Power, So Do Not Try To Stimulation Iranian Peoples To….

NOW WHICH COUNTRY IN EMBARGO LIST? IRAN? USA?
WE PUSH THEM IN EMBARGO LIST
;)
Take Care.

Al momento non è chiaro se siano stati carpiti dati e/o password degli utenti o se si è trattato, secondo altre voci, di un DNS redirect verso la pagina del defacement.

Nel dubbio, consiglio vivamente di cambiare la password.

_____
Clusit

Bucato il sito di Poste Italiane

Sito delle Poste italiane violate

Sito delle Poste italiane violate

E’ stato violato il sito delle Poste Italiane.

Ecco la pagina ancora visibile sulla cache di Google:

Sito poste.it

Sito poste.it

Vediamo adesso, ahimè, i livelli di servizio che riusciranno ad onorare nonchè l’attenzione che pongono alla sicurezza delle informazioni nonchè gli investimenti nel settore sicurezza.

*********UPDATE************

Dalla copia della cache di google si nota che alle 18.33 il sito era già stato bucato (vedi screenshot qui).

Fino a tarda notte il tam tam viaggiava sui social network (quiqui su friendfeed e qui su twitter ad esempio) ed il sito era ancora irraggiungibile: sebbene non operativo era stata rimossa la pagina dimostrativa a favore di un mesto 404 (vedi screeshot di un google impietoso):

Google con chiave "poste italiane"

Google con chiave "poste italiane"

Ecco un’agenzia APCom di stamattina dove si specifica che la polizia postale sta svolgendo le indagini del caso.

Singolare e amara la notizia in prima pagina del sito delle poste che fa riferimento alla nuova partnership internazionale siglata da Poste Italiane a Ginevra per la Cyber Security: verrebbe da pensare che non sia servita a molto in questo caso.

*******UPDATE*******

Altri spunti di riflessione: http://www.ideama.it/blog… e http://unu1234567.baywords.com/2009/09/05/poste-italiane-hacked-sql-injection/

_____
Clusit

C’è defacement e defacement

(altro…)