[News]

News: Seeweb si unisce ad Hosting Solutions e Aruba

Come si è parlato già addietro, il 2007 è diventato di diritto l’anno delle compromissioni dei siti web da parte dei malware writer. Si è parlato di Hosting Solutions, si è parlato di Aruba, si è parlato di alcuni siti di rilevanza nazionale infettati da iframe nocivi.

Continuando nelle indagini, anche il noto fornitore di connettività e hosting/housing Seeweb sembrerebbe essere stato preso di mira durante questa ondata di pirateria informatica.

[edgra0024]

Ho installato , visto il crescente numero di siti web infettati in questi giorni, il plugin blackpost per outpost firewall.
Premetto che uso freepops con outlook express per leggere la mail direttamente sul client di posta; 
Al momento di leggere le mails quando arrivo a leggere quelle sul dominio yahoo che vedete nel log mi esce questo messaggio di blackpost:

08:55:20   192.168.0.10   us.f301.mail.yahoo.com   68.142.192.0-68.142.255.255#Inktomi Corporation, sexybabesx.com/dollarrevenue hijack   FREEPOPSD.EXE

Chiaramente il messaggio da' freepops come applicazione incriminata dato che lo uso per bypassare il problema della lettura con outlook expres delle mail web.

Adesso per quello che ne capisco, visto che con gli altri indirizzi mails (e ne ho parecchi    - 11 hehehehe) non danno messaggi con blackpost , parrebbe che il dominio us.f301.mail.yahoo.com    rientri nella lista IP da bloccare. E' cosi' Qualcuno mi puo' confermare questo oppure c e' qualche altro problema.
La lista IP da bloccare l ho scaricata da pianeta pc "Blocklist aggiornata al 06/06/2007 -->Items 5844 - IP blocked 4794379"

saluti e grazie

Edgar from BANGKOK (thailandia) 

[Alessandro Recchia]

Grazie della segnalazione. Ho provveduto a rimuovere l'indirizzo IP che per errore era stato inserito nella blocklist.

Mi scuso con te e con chiunque avesse avuto problemi o inconvenienti con l'ultimo aggiornamento della blocklist.


Ringrazio l'amico Marco per lo spazio concesso per questo post "di servizio", anche se non riguarda il suo ottimo sito.

[edgra0024]

Nessun problema per la lista che penso invece e' utilissima.
Vorrei segnalare che anche aprendo yahoo messenger mi vengono fuori alcuni allarmi da parte di blackpost.
Saro' piu preciso in seguito in quanto non ho avuto il tempo di prendere nota dell IP incriminato
Penso che comunque il fatto che con yahooo mails o messenger escano allarmi sia dovuto al fatto che nel range ip di yahoo ci siano anche siti pericolosi.
Esempio tempo fa', facendo un trace di un falso sito di Poste Italiane il risulato finale era un IP appartenente ad un server YAHOO.

saluti dalla Thailandia

Edgar 

[Alessandro Recchia]

Nessun problema per la lista che penso invece e' utilissima.
Vorrei segnalare che anche aprendo yahoo messenger mi vengono fuori alcuni allarmi da parte di blackpost.
Saro' piu preciso in seguito in quanto non ho avuto il tempo di prendere nota dell IP incriminato
Penso che comunque il fatto che con yahooo mails o messenger escano allarmi sia dovuto al fatto che nel range ip di yahoo ci siano anche siti pericolosi.
Esempio tempo fa', facendo un trace di un falso sito di Poste Italiane il risulato finale era un IP appartenente ad un server YAHOO.

saluti dalla Thailandia

Edgar 

Grazie. Non appena avrai la possibilità di segnalarmi gli ip erroneamente inseriti, provvederò alla loro rimozione.

[edgra0024]

Ho verificato con PeerGuardian 2 la lista e quando apro Yahoo Messenger esce questo log

2007-06-21 16:14:05;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3020;68.142.233.167:5050;TCP;Blocked
2007-06-21 16:14:08;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3020;68.142.233.167:5050;TCP;Blocked
2007-06-21 16:14:12;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3024;68.142.213.132:80;TCP;Blocked
2007-06-21 16:14:14;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3020;68.142.233.167:5050;TCP;Blocked
2007-06-21 16:14:15;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3024;68.142.213.132:80;TCP;Blocked
2007-06-21 16:14:21;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3024;68.142.213.132:80;TCP;Blocked
2007-06-21 16:14:57;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3035;68.142.213.132:80;TCP;Blocked
2007-06-21 16:15:00;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3035;68.142.213.132:80;TCP;Blocked
2007-06-21 16:15:06;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3035;68.142.213.132:80;TCP;Blocked
2007-06-21 16:15:35;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3043;68.142.233.152:443;TCP;Blocked
2007-06-21 16:15:36;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3044;68.142.213.132:80;TCP;Blocked
2007-06-21 16:15:37;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3047;68.142.194.14:80;TCP;Blocked
2007-06-21 16:15:37;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3049;68.142.219.132:80;TCP;Blocked
2007-06-21 16:15:38;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3050;68.142.226.207:80;TCP;Blocked
2007-06-21 16:15:38;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3043;68.142.233.152:443;TCP;Blocked
2007-06-21 16:15:39;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3044;68.142.213.132:80;TCP;Blocked
2007-06-21 16:15:40;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3047;68.142.194.14:80;TCP;Blocked
2007-06-21 16:15:40;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3049;68.142.219.132:80;TCP;Blocked
2007-06-21 16:15:41;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3050;68.142.226.207:80;TCP;Blocked
2007-06-21 16:15:44;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3043;68.142.233.152:443;TCP;Blocked
2007-06-21 16:15:45;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3044;68.142.213.132:80;TCP;Blocked
2007-06-21 16:15:46;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3047;68.142.194.14:80;TCP;Blocked
2007-06-21 16:15:46;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3049;68.142.219.132:80;TCP;Blocked
2007-06-21 16:15:47;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3050;68.142.226.207:80;TCP;Blocked
2007-06-21 16:15:58;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3056;68.142.231.252:80;TCP;Blocked
2007-06-21 16:16:01;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3057;68.142.233.152:5050;TCP;Blocked
2007-06-21 16:16:01;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3056;68.142.231.252:80;TCP;Blocked
2007-06-21 16:16:04;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3057;68.142.233.152:5050;TCP;Blocked
2007-06-21 16:16:07;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3056;68.142.231.252:80;TCP;Blocked
2007-06-21 16:16:10;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3057;68.142.233.152:5050;TCP;Blocked
2007-06-21 16:16:26;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3059;68.142.213.132:80;TCP;Blocked
2007-06-21 16:16:29;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3059;68.142.213.132:80;TCP;Blocked
2007-06-21 16:16:29;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3060;68.142.233.152:80;TCP;Blocked
2007-06-21 16:16:32;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3060;68.142.233.152:80;TCP;Blocked
2007-06-21 16:16:34;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3059;68.142.213.132:80;TCP;Blocked
2007-06-21 16:16:38;Inktomi Corporation, sexybabesx.com/dollarrevenue hijack;192.168.0.10:3060;68.142.233.152:80;TCP;Blocked

Probabilmente yahoo messenger si collega a diversi indirizzi IP per aggiornare i vari messaggi pubblicitari  che visualizza di contorno all elenco contatti...

Comunque pare che come messenger continui a funzionare ......  evidentemente sono bloccate solo connessioni accessorie.
Quindi nessun problema.

Saluti

Edgar from Bangkok   

[edgra0024]

Piccola aggiunta 

In effetti facendo un trace di uno degli ip bloccati si trova che:

 14  |       | 216.115.101.137 | so-0-0-0.pat1.da3.yahoo.com   | ?Sunnyvale, CA, USA | -08:00 | 282 |          x | Yahoo! A-YAHOO-US2                                                                                             
| 15  |       | 216.115.104.81  | ge-0-1-0-p120.msr1.mud.yahoo.com  | ?Sunnyvale, CA, USA | -08:00 | 281 |         x  | Yahoo! A-YAHOO-US2                                                                                              |
| 16  |       | 68.142.209.11   | bas4.v206.mud.yahoo.com           | ?Sunnyvale, CA, USA | -08:00 | 281 |         x  | Inktomi Corporation INKTOMI-BLK-4                                                                               |
| ... |       |                 |                                   |                     |        |     |            |                                                                                                                 
| ?   |       | 68.142.219.132  | radio1.us.music.vip.mud.yahoo.com | ?Sunnyvale, CA, USA | -08:00 |     |            | Inktomi Corporation INKTOMI-BLK-4                   


cioe'      radio1.us.music.vip.mud.yahoo.com     Inktomi Corporation INKTOMI-BLK-4           che poi e' anche il nominativo che appare nel range della lista degli ip pericolosi..La Inktomi ( "The Inktomi mission is to build scalable software applications that are core to the Internet infrastructure.")  e' una compagnia che sviluppa software per providers che nel 2002 e' stata acquisita da YAHOO, quindi il cerchio si chiude.... heheheh.

Edgar