Feeds:
Posts
Comments

Archive for September, 2010

Due piccioni e una fava…

Nelle ultime ore, c’è in circolazione un proliferare di spam che vuol apparire come proveniente da LinkedIn, come quello che riporto qui accanto.

Lo spam esce dalla botnet denominata Cutwail, ben nota alle cronache per essere una delle botnet più grandi in circolazione e al centro di svariate attività (ovviamente tutte illegali) tra le quali alcuni recenti DDoS come quello ai danni di Twitter.

Abbastanza ovviamente, il contenuto dello spam non linka affatto LinkedIn: punta infatti a pagine html depositate su webserver “innocenti”, cui lo spammer ha avuto accesso grazie al fatto di essersi impossessato delle credenziali FTP. Nel caso specifico, il pattern è quello riconducibile allo Zeus Trojan, che ha infettato il PC del proprietario dell’account FTP, ha sniffato le credenziali e le ha solertemente mandate al suo controllore.

Nel caso della mail qui accanto, la pagina linkata è http://altanyilmaz .com.tr/1.html (lo spazio l’ho messo apposta per evitarvi tentazioni).

Se si va a vedere cosa contiene la pagina in questione, si trova:

In sostanza, la pagina fa due cose:

  • esegue una redirezione verso un sito di pilloline (il marchio “Pharmacy Express” riportato dallo stesso è di norma riconducibile alla gang che fa capo a Leo Kuvayev, recentemente incassettato)
  • include un iframe puntante ad un altro sito

A che serve l’iframe?

Facile: cerca di installare lo Zeus Trojan sul PC del visitatore incauto.

Prendono due piccioni con una fava, insomma.

E indovinate dove cercan di mettervi la fava…

Read Full Post »

http://www.seoptimise.com/blog/2010/09/clever-tricks-you-can-do-with-google-alerts.html

Read Full Post »

DNS-checking tools

Un utile elenco dei tool online disponibili, con alcune considerazioni all’intorno

http://www.bortzmeyer.org/tests-dns.html

Read Full Post »

Fatal System Error

Sto leggendo questo libro e mi sento vivamente di consigliarlo a chiunque abbia un interesse per l’Internet security.

Spam, Botnet, DDoS, scommesse online e infiltrazioni mafiose nei mercati clandestini (ma anche insospettabili e alla luce del sole) che hanno trovato una loro naturale collocazione online: chi di questi temi si interessa ma ne ha una visione parziale qui troverà date, luoghi, eventi e nomi, nella storia vissuta direttamente da alcuni tra i protagonisti delle relative vicende.

Qui una intervista all’autore, articolista del Financial Times:

Da leggere.

Read Full Post »

Bind 9.7 si sta rivelando estremamente schizzinoso per quanto riguarda deleghe e glue record delle zone che risolve.

Se il record A fornito dal parent non batte con quello fornito dalla zona child, bind bellamente lo cassa.

Ergo: se tutte le deleghe sono a farfalle, rifiuta di risolvere la zona, dato che non rimangono record NS a cui fare affidamento.

Questo, ad esempio, quello che mi è capitato sotto il naso quest’oggi:

zarathustra:~ skull$ dig ns +trace aroma-polifarma.com

; <<>> DiG 9.6.0-APPLE-P2 <<>> ns +trace aroma-polifarma.com
;; global options: +cmd
[…]
aroma-polifarma.com.    172800  IN      NS      ns5.ticariyer.com.
aroma-polifarma.com.    172800  IN      NS      ns6.ticariyer.com.
;; Received 115 bytes from 192.31.80.30#53(d.gtld-servers.net) in 141 ms

aroma-polifarma.com.    86400   IN      NS      ns6.ticariyer.com.
aroma-polifarma.com.    86400   IN      NS      ns5.ticariyer.com.
;; Received 115 bytes from 85.153.27.39#53(ns5.ticariyer.com) in 65 ms

Ora: se domandiamo chi siano i DNS alla zona parent otteniamo una risposta:

zarathustra:~ skull$ dig +noall +norec +authority +answer +additional ns aroma-polifarma.com @d.gtld-servers.net
aroma-polifarma.com.    172800  IN      NS      ns5.ticariyer.com.
aroma-polifarma.com.    172800  IN      NS      ns6.ticariyer.com.
ns5.ticariyer.com.      172800  IN      A       85.153.27.41
ns6.ticariyer.com.      172800  IN      A       85.153.27.42

Se invece domandiamo alla zona child…

zarathustra:~ skull$ dig +noall +norec +authority +answer +additional ns aroma-polifarma.com @85.153.27.41
aroma-polifarma.com.    31876   IN      NS      ns5.ticariyer.com.
aroma-polifarma.com.    31876   IN      NS      ns6.ticariyer.com.
ns5.ticariyer.com.      6767    IN      A       85.153.27.39
ns6.ticariyer.com.      9863    IN      A       85.153.27.40

…ne otteniamo un’altra.

Come risultato:

zarathustra:~ skull$ dig ns aroma-polifarma.com @dns2.spin.it

; <<>> DiG 9.6.0-APPLE-P2 <<>> ns aroma-polifarma.com @dns2.spin.it
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 9114
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;aroma-polifarma.com.           IN      NS

;; Query time: 135 msec
;; SERVER: 2a02:9a8:1::ff03#53(2a02:9a8:1::ff03)
;; WHEN: Wed Sep  1 18:03:49 2010
;; MSG SIZE  rcvd: 37

Mentre nei log del resolver:

Sep  1 18:03:49 dns2 named[32465]: DNS format error from 85.153.27.41#53 resolving aroma-polifarma.com/NS for client 2a02:9a8:1:100::ff3c#53124: sideways referral
Sep  1 18:03:49 dns2 named[32465]: DNS format error from 85.153.27.42#53 resolving aroma-polifarma.com/NS for client 2a02:9a8:1:100::ff3c#53124: sideways referral

Verificate le vostre zone DNS, che è meglio… 😉

Read Full Post »

%d bloggers like this: