-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Continua..
Scrivo un po' di fretta, scusate: Un altro server della subnet sospettata[1] di bucare vari gateway residenziali, questa volta un server http mostra un banale quanto lamer script al pubblico non invitato[2]. E chissa' cos'altro nasconde quell'IP.. Questo script viene chiamato dall'attacker immagino per modificare i settaggi dell'apparecchio, tramite un demone[3] che pero' in quanto incapace non riesco a decompilare. Se qualcuno in lista lo puo' gentilmente fare al posto mio - grazie! E' evidente che qui ho a che fare con script-kiddies se si chiamano cosi', perche' comunque l'attacker non e' riuscito a far scomparire neanche l'IP di questo altro server. Riepilogando sembra che il-o-gli attacker abbiano banalmente sfruttato il vecchissimo bug di autenticazione a cui sono soggetti i firmware dlink dsl-g* (pre 2007?[4]) di cui al post precedente. Di questo ve ne era traccia (tra amici ovviamente che erano stati a loro volta vittime dell'attacco) nei file /var/tmp/fw_ip che riportavano i due IP segnalati. Il resto lo facevano copiando un tool sull'apparecchio (demone, exploit, sniffer, port scanner ??), e pensando di eliminare le tracce. Pare dunque che non si trattasse di modifiche permanenti su memoria flash: quindi in caso di riavvio dell'apparecchio ogni modifica scompariva automaticamente; credo che non si possa neanche parlare di botnet: e la gestione tutto sommato veniva credo fatta manualmente. Un passo indietro, dopo la scoperta di un paio di giorni fa ho segnalato la stranezza del server IRC al legittimo proprietario della rete mondoirc.net (per chi si fosse perso una puntata sul server IRC appare un Benvenuti su irc.mondoirc.it). Purtroppo non ho ancora ricevuto risposta, devo dire che pero' per quasi una giornata intera i probe sulla 23 tcp da parte di IP Telecom residenziali si erano fermati. Ora, invece riprendono con una certa regolarita'. Mi spiace ammetterlo ma questa e' un' imprudenza grossa: ora forse sono OT ma forse le mie congetture sono dimostrabili e qualcuno con un po' piu' di conoscenza in materia, o senso civico, qui in lista sa se rivolgersi alla PdS (i berretti blu non il partito :-/) Chiudo qui questo triste annuncio, se avete maggiori dati li aspetto con ansia. Ciao P.S. Se possibile evitare assolutamente flame anche fuori dalla ml al riguardo..insomma ci siamo capiti. [1] 82.211.36.0 - 82.211.36.127 [2] http://82.211.36.15/diciamocelocel/lifz.sh Anche in cache - http://82.211.36.15.nyud.net:8080/diciamocelocel/lifz.sh [3] http://82.211.36.15/apache2-default/systcp.d e in cache - http://82.211.36.15.nyud.net:8080/apache2- default/systcp.d [4] IP che mi probavano oggi: DSL-502T / V1.00B02T02.EU.20040611 DSL-G604T / V1.00B02T02.EU.20050815 DSL-G624T / V3.02B01T02.EU-A.20061124 ... -----BEGIN PGP SIGNATURE----- Charset: UTF8 Note: This signature can be verified at https://www.hushtools.com/verify Version: Hush 3.0 wpwEAQMCAAYFAkja038ACgkQxcpfdCBapkdLkQP9GuAl+VPvCBp6PZztl0bIZutMvHLt pAbLhhfFB4YJJXEdFjQq/sFeECsIUA1/m1bCX2g/NTpjT05sFZGsmajp2nEMtz6mg7NV IjY9v6gjIlRe3xBoYEyqccen0Hrxl8BFTyAxyCeVmTL3umRWuqOKdFEtKtir9+iIlxev E4AjLrM= =Qvf6 -----END PGP SIGNATURE----- -- Hotel pics, info and virtual tours. Click here to book a hotel online. http://tagline.hushmail.com/fc/Ioyw6h4eRClIWj1cCnNaKsCuaq78JyQTghFazmAmy9POR3iiaTqqEl/
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
