Skip to content

Your web resource on Hymenoptera Chrysididae and Macrophotography

Indirizzi IP e domini bloccati

31/12/2009 - A seguito di una recente violazione del nostro sito ci vediamo costretti ad una azione di blocco nei confronti degli indirizzi IP e dei domini di cui alla tabella seguente.

In data 13/12/2009, infatti, ben 922 file del sito sono stati violati da un attacco distribuito su scala globale. La violazione ha consistito nella modifica del codice dei file e nell'inserimento di uno script offuscato con funzioni a noi ancora ignote. Abbiamo dovuto intervenire pesantemente e prontamente, in modo da arginare la propagazione del codice malevolo e ulteriori danni. Fortunatamente i database sono rimasti intatti e inviolati.

Siamo dispiaciuti per l'accaduto, anche perché non comprendiamo il motivo di un tale atto ostile. Ma è con altrettanta ostilità che reagiamo impedendo l'accesso a tutte le risorse del sito ai seguenti indirizzi:

Indirizzi IP e domini bloccati
IP Host bloccati Città, Regione, Paese
62.65.167.166 Bratislava, Bratislava, Slovakia
64.46.36.66 Kelowna, British Columbia, Canada
64.120.173.32 Unknown, Unknown, Unknown
66.197.202.141 Scranton, Pennsylvania, United States
67.205.67.17 Vienna, Virginia, United States
69.41.173.111 Dallas, Texas, United States
69.64.78.165 San Diego, California, United States
69.90.135.156 Puyallup, Washington, United States
70.86.16.162 Houston, Texas, United States
71.149.199.150 Steubenville, Ohio, United States
71.246.56.67 Manhattan Beach, California, United States
72.51.35.145 Los Angeles, California, United States
74.55.142.202 Houston, Texas, United States
74.208.72.174 Wayne, Pennsylvania, United States
74.208.149.83 Wayne, Pennsylvania, United States
74.208.166.27 Wayne, Pennsylvania, United States
74.222.3.75 Los Angeles, California, United States
75.127.87.101 Atlanta, Georgia, United States
75.127.87.123 Atlanta, Georgia, United States
75.127.113.20 Atlanta, Georgia, United States
76.74.236.72 Los Angeles, California, United States
76.224.244.5 Camp Pendleton, California, United States
77.48.46.46 Praha, Hlavni mesto Praha, Czech Republic
77.68.37.40 Gloucester, Gloucestershire, United Kingdom
78.129.146.145 Maidenhead, Windsor and Maidenhead, United Kingdom
82.99.134.254 Zdar Nad Sazavou, Vysocina, Czech Republic
83.3.243.74 Krzeszów, Bielsko, Poland
83.18.58.66 Jaroslaw, Legnica, Poland
83.18.58.154 Czudec, Rzeszow, Poland
85.214.76.236 Berlin, Berlin, Germany
85.214.106.178 Berlin, Berlin, Germany
87.106.70.42 Karlsruhe, Baden-Wurttemberg, Germany
87.106.95.3 Karlsruhe, Baden-Wurttemberg, Germany
87.230.88.149 Höst, Nordrhein-Westfalen, Germany
88.86.106.22 Praha, Hlavni mesto Praha, Czech Republic
88.208.201.48 Gloucester, Gloucestershire, United Kingdom
88.208.211.151 Gloucester, Gloucestershire, United Kingdom
88.208.229.24 Sudbury, Suffolk, United Kingdom
88.208.229.165 Sudbury, Suffolk, United Kingdom
88.208.229.173 Sudbury, Suffolk, United Kingdom
88.208.239.3 Sudbury, Suffolk, United Kingdom
88.208.244.116 Gloucester, Gloucestershire, United Kingdom
88.208.246.180 Gloucester, Gloucestershire, United Kingdom
89.188.109.222 Moscow, Moscow, Russian Federation
95.131.64.25 Unknown, Unknown, Unknown
173.45.84.90 Columbus, Ohio, United States
174.132.133.130 Houston, Texas, United States
207.30.13.76 Unknown, Unknown, United States
209.190.17.20 Columbus, Ohio, United States
209.190.54.58 New York, New York, United States
212.34.138.195 Madrid, Madrid, Spain
212.239.26.156 Milan, Lombardia, Italy
213.165.84.86 Karlsruhe, Baden-Wurttemberg, Germany
213.171.221.32 Gloucester, Gloucestershire, United Kingdom
213.246.53.38 Courbevoie, Ile-de-France, France
216.121.87.50 San Francisco, California, United States
216.187.92.146 Richmond, British Columbia, Canada
216.229.0.196 Lincoln, Nebraska, United States
Dominio Hosting
bestartsale . ru OVH ISP Paris, France
bluejackmusic . ru OVH ISP Paris, France
brownbagbar . ru OVH ISP Paris, France
easymusicstore . ru OVH ISP Paris, France
easytabletennis . ru OVH ISP Paris, France
greatsalecenter . ru OVH ISP Paris, France
homesaleplus . ru OVH ISP Paris, France
homesaleplus . ru OVH ISP Paris, France
musicboxpro . ru OVH ISP Paris, France
mygreatsale . ru OVH ISP Paris, France
simpleworldhouse . ru OVH ISP Paris, France
sugaryhome . ru OVH ISP Paris, France
themobisite . ru OVH ISP Paris, France
viewhomesale . ru OVH ISP Paris, France
votrelib . ru OVH ISP Paris, France

 

Gian Luca Agnoli

 

06/01/2010 - Approfondimenti

Polizia delle TelecomunicazioniDa un'indagine informale con la Polizia delle Telecomunicazioni, che ringraziamo, il codice malevolo risulta puntare al dominio easytabletennis . ru, già messo in blacklist da Google come dominio sospetto e veicolatore di software malevolo. Questo dominio risulta ospitato su ben 9 reti globali e con numerosissimi indirizzi IP, come risulta dal seguente rapporto: http://www.robtex.com/dns/*.easytabletennis.ru.html.

From Hidden Iframes to Obfuscated Scripts è un report (in inglese) molto esauriente su questo tipo di attacchi, fatto da Denis di Unmask Parasites.

La pagina Fixing GNU GPL Virus/Malware di F. Baguyo Jr. fornisce uno script PHP per tentare la pulizia dei file infetti direttamente sul server. Noi non lo abbiamo provato, dal momento che abbiamo agito manualmente:

  1. cambio password dell'account FTP;
  2. download completo del sito e censimento dei file infettati;
  3. sovrascrittura di tutti i file infettati a partire dal nostro backup locale;
  4. abilitazione del servizio SSH per usare il protocollo Secure-FTP (= SFTP) al posto dell'FTP.

For citation purposes
Agnoli G.L. & Rosa P., Chrysis.net website, interim version 10-Jan-2010 , URL: http://www.chrysis.net/.