Analizziamo un caso di phishing

Lunedì 29 Ottobre 2007, 00:02 in Browser, Defacement, Phishing di Davide Denicolo

In questo articolo analizziamo un attacco di phishing a posteitaliane

Ricevo spesso in casella attacchi di Phishing i quali,promuovendo una fantomatica ricarica ricevuta sul mio conto Bancoposta, mi invitano ad accedere all'indirizzo da loro citato.
Spinto dalla curiosità ho innanzitutto segnalato il tentativo di Phishing a Google Safe Browsing e successivamente, ho cominciato ad analizzare l'host per capire di più in merito a questo attacco.

Il sito incriminato http://65.111.164.97/~steve/ /online/login-home.php?TYPE=LogIn è hostato su un server Linux Debian di proprietà del provider americano Serverpronto.com.
La root principale http://65.111.164.97 consente il Listing Directory dove, tra le diverse cartelle intravedo un sistema di amministrazione mysql via php (phpmyadmin), un analizzatore di accessi web (webalizer) ed altre directory non meno interessanti. Accedendo infatti alla cartella ATM_orig si possono notare warning php mentre in basso sembrano esser stati caricati diversi rootkit ed una php-shell (c99.php); quest'ultima consente di comandare via web un server remoto; tutto questo mi lascia pensare che qualcuno abbia sfruttato un Remote File Include dell'applicazione web per iniettarci il file e aver accesso libero al sistema.

Cambio cartella, mi reco nella phpmyadmin; l'accesso è deniato da password: chi lo installa grossolanamente di solito sceglie la coppia user/pass: admin/admin e così è! Ma all'interno non ci trovo niente di interessante; accedo allora al webalizer dove mi vengono mostrate le statistiche d'accesso; la pagina con percentuale più alta di accessi è proprio quella di Phishing ed il 60% dei browser acceduti sono Internet Explorer.

Mi dirigo nella home del phisher e noto che sono ben due i siti clonati: bancadiroma.it e Poste Italiane.
Dal sito riesco a recuperare un file.txt che l'applicazione web popola con le utenze inserite delle vittime: http://65.111.164.97/~steve/%20/online/user.txt. Per fortuna, come potete vedere, molti utenti si sono resi conto della truffa ma analizzando bene il file, esso sembre contenere alcuni account autentici; il phisher per qualche motivo ha preferito custodire anche la lista IP delle vittime http://65.111.164.97/~steve/%20/online/ip.txt ;per il momento non son riuscito a recuperare il file con le password, ma vi farò sapere.

10 commenti

08 Nov 2007
alle 16:53

pop

Non ho letto il sito in oggetto...ma ne ho tracciati altri...sono hostati un pò dappertutto..e il codice è grossomodo quello descritto.Di solito restano attivi 2-3 giorni e vi si trova anche un indirizzo mail a cui vengono automaticamente inviati i dati che memorizza nei file citati....Quello che faccio io???mando una mail all'indirizzo presente attraverso un programma di fake-mail con scritto we track you, we fuck you... Purtroppo il sito della polizia postale non è aggiornato e non mi sembrano interessati al problema..

06 Nov 2007
alle 09:25

Federica

Ciao!

Scusate gli sbagli in italiano...permettete a un Austriacha di fare sbagli scrivendo...

Volevo solo aggiungere ch adesso manda in giro Mail finti di PayPal!

02 Nov 2007
alle 15:05

Davide Denicolo

Corrado: Che problema ci sarebbe sul termine acceduti? Io conosco il termine "denied" e non faccio la traduzione perchè sempre più nel campo informatico lo sento pronunciare ( essendo IO un informatico e non un professore di lingue ).
Mi vuoi scusare per questi tentativi di italianizzazione, la prossima volta eviterò di usarli ;)

01 Nov 2007
alle 19:55

Corrado

Italiano agghiacciante: a parte "deniato", c'e' anche un orrendo "acceduti"...

E' una questione di pigrizia che sta ammazzando la nostra lingua: uno non sa bene cosa vuol dire "denied" e non azzarda una traduzione...

01 Nov 2007
alle 02:57

Manuel

@Luca: sono tante le parole che trasformiamo dall'italiano all'italiaese :asd:

Cosa c'è di male in "deniato" =P

30 Ott 2007
alle 10:27

Davide

Chissà come mai adesso la pagina è inesistente :P

Denis: no non ho avuto modo di notificare il tutto all'admin.Riguardo invece al phpmyadmin, non occorre alcun crack perchè la coppia user/pass sono: admin/admin

30 Ott 2007
alle 09:15

Luca

"l'accesso è deniato da password"...ti prego... lasciamo un pò di dignità almeno alla lingua italiana...

cmq ora non è più raggiungibile...

29 Ott 2007
alle 22:34

denis

hai pensato a usare password cracker sul login del phpmyadmin?

29 Ott 2007
alle 22:27

denis

correggo, non tutto è come prima, il percorso indicato per il file di testo contenente gli utenti è sparito.

29 Ott 2007
alle 22:24

denis

e bastoniamoli un poco sti st----i !
Sono passate oltre 22 ore da quando hai postato l'articolo, e fortunatamente l'accoppiata firefox&google ci avvisa del pericolo.
Ma il sito è ancora li.
Hai provato ad avvisare il fornitore dello spazio e l'amministratore?

vedi i prossimi 10
vedi tutti

Lascia il tuo commento

Accedi con Facebook

Esci da Facebook

Exploit