Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Hijack incredibile!

Hai problemi con i file Zip, vuoi formattare l'HD, non sai come funziona FireFox? O magari ti serve proprio quel programmino di cui non ricordi il nome! Ecco il forum dove poter risolvere i tuoi problemi.

Moderatori: Dylan666, hydra, gahan

Hijack incredibile!

Postdi Dylan666 » 25/03/04 15:53

Vi sottopongo il mio GROSSO problema che causerà fino alla sua risoluzione un grosso assenteismo da parte mia sul forum (prego a qualche MOD di segnalarlo su GL). Il problema è questo: quando cerco sul mio WinME di connettermi a molti siti (in prevalenza.COM .ORG e .NET, ma non è una regola) vengo reindirizzato sul classico sito porno.

Il sito a questo IP: http://69.93.21.42/ e mostra solo uno sfondo blu con una scritta gialla ENTER. Mentre fa ciò si vede che carica roba (o tenta un redirect, non l'ho capito) verso questa pagina: http://www.cashz.info/cgi-bin/in.cgi?49&sid=6
Fino a ieri venivo reindirizzato verso http://www.drunkyoung.com/v/ oggi non va da nessuna parte... posso solo aggiungere che, mentre carica la suddetta pagina, in basso si vede che carica qualcosa del tipo u5354.86.spylog.com e poi un percorso molto lungo.

Sul come l'ho preso ancora non l'ho capito... niente mail, niente file o programma "estraneo" installato di recente (di alcun tipo, ne giochi, ne crack, ne screensaver ne niente). L'unico indizio forse può venire dal sito drunkyoung che mi riporta alla mente che forse scaricando un filmato (da Kazaa, fra l'altro cercando per dado quello del cane ubriaco, ed ecco spiegato come sono incappato in questo) mi pare che visionando i filmati ne sia apparso uno che possa aver lanciato quel sito, ma di WMV così ne ho visti tanti e non penso (e spero) che non sia colpa di un file di questo tipo (tra l'altro non è tecnicamente possibile, almeno non lo è stato ancora dimostrato, vero?).

Vi riporto al volo il codice della pagina che mi appare:
Codice: Seleziona tutto
<HTML>
<HEAD>
<META HTTP-EQUIV="Refresh" CONTENT="1;url=http://www.cashz.info/cgi-bin/in.cgi?49&sid=6">
</HEAD>
<BODY BGCOLOR=#0070A6 TEXT=#000000 LINK=#0000FF VLINK=#800080><br><br><br><br><br><br><br><br><br> <br><br><br><center>
<A HREF="http://www.cashz.info/cgi-bin/in.cgi?49&sid=6"><b><font size=7 face="Comic Sans MS" color="#FFFF00
">ENTER</font></b></A></center>

<!-- SpyLOG f:0211 -->
<script language="javascript"><!--
Mu="u5354.86.spylog.com";Md=document;Mnv=navigator;Mp=0;
Md.cookie="b=b";Mc=0;if(Md.cookie)Mc=1;Mrn=Math.random();
Mn=(Mnv.appName.substring(0,2)=="Mi")?0:1;Mt=(new Date()).getTimezoneOffset();
Mz="p="+Mp+"&rn="+Mrn+"&c="+Mc+"&t="+Mt;
if(self!=top){Mfr=1;}else{Mfr=0;}Msl="1.0";
//--></script><script language="javascript1.1"><!--
Mpl="";Msl="1.1";Mj = (Mnv.javaEnabled()?"Y":"N");Mz+='&j='+Mj;
//--></script><script language="javascript1.2"><!--
Msl="1.2";Ms=screen;Mpx=(Mn==0)?Ms.colorDepth:Ms.pixelDepth;
Mz+="&wh="+Ms.width+'x'+Ms.height+"&px="+Mpx;
//--></script><script language="javascript1.3"><!--
Msl="1.3";//--></script><script language="javascript"><!--
My="";My+="<a href='http://"+Mu+"/cnt?cid=535486&f=3&p="+Mp+"&rn="+Mrn+"' target='_blank'>";
My+="<img src='http://"+Mu+"/cnt?cid=535486&"+Mz+"&sl="+Msl+"&r="+escape(Md.referrer)+"&fr="+Mfr+"&pg="+escape(window.location.href);
My+="' border=0 width=1 height=1 alt='SpyLOG'>";
My+="</a>";Md.write(My);//--></script><noscript>
<a href="http://u5354.86.spylog.com/cnt?cid=535486&f=3&p=0" target="_blank">
<img src="http://u5354.86.spylog.com/cnt?cid=535486&p=0" alt='SpyLOG' border='0' width=1 height=1 >
</a></noscript>
<!-- SpyLOG -->
</BODY></HTML>


Vi dico cosa ho già tentato: ho cercato soluzioni su Google ma alle volte l'Hijack "si mangia" anche il dominio Google.it e poi dopo un po' me lo ri-sblocca ( comunque non o trovato nulla cercando il nome del sito, nemmeno nel registro). Comunque non ho trovato nulla. Ho già passato sia AD-aware che Spybot AGGIORNATISSIMI. Ho passato HijackThis e ho rimosso TUTTE le voci che c'erano (anche quelle sicure) e ho resettato. Poi ho rimesso tutto a posto tramite il backup dato ch non era cambiato nulla. Ho già passato l'antivirus (NAV 2002) aggiornato. Ho provato in modalità provvisoria caricando solo i file VxD (altrimenti il modem naturalmente non parte), quindi escludendo anche win.ini e system.ini. Ho provato a navigare con Firebird, Linx e OffByOne e nulla cambia. Ho provato (tentaivo disperatissimo) di mettere i DNS di Alice (sperando che il contagio fosse loro)

Non solo: il bello è che ho provto a connettermi con la partizione XP ma pure quella risulta "contagiata"!
Per ora vado avanti così: per consultare il sito di PC-facile devo dare come URL il suo IP (64.66.149.197) mentre per scrivere (come ora) devo ricorrere a ProxyWeb.net.

Mi dite che fare? Vi prego, non so più dove sbattere la testa!!
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Sponsor
 

Postdi mrblue » 25/03/04 16:06

Ciao su google ho trovato questo link
http://www.tjhsst.edu/~agupta/ecard-hijack/
http://198.38.16.47/~agupta/ecard-hijack/
riguardo SpyLOG.
forse ti è utile
Sbagliare è umano, ma per riuscire davvero a incasinare completamente le cose ci vuole un computer.
---------------------
http://mrblue73.blogspot.com/
mrblue
Utente Senior
 
Post: 364
Iscritto il: 22/10/01 01:00
Località: Roma

Postdi Dylan666 » 25/03/04 16:25

Ora mi leggo gli articoli,ma da quanto ho visto al volo c'è scritto come agisce il codice malevolo nella pagina HTM ma io non ho caito cosa caspita la faccia azionare qui sul mio PC...
Comunque adesso (incredibile ma vero) dopo un apparente blocco del PC di alcuni secondi il sito di PC-facile mi è tornato tranquilamente navigabile...
Chi ci capisce qualcosa è bravo! :eeh:
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi cassioli » 25/03/04 16:45

mrblue ha scritto:Ciao su google ho trovato questo link
http://www.tjhsst.edu/~agupta/ecard-hijack/
http://198.38.16.47/~agupta/ecard-hijack/
riguardo SpyLOG.
forse ti è utile


IMPRESSIONANTE!! :eeh:

Un simpaticone, l'hacker che ha spazzato via tutti gli account rubati & fottuto il pc del verme che ha scritto il virus!!! :lol: :lol: Pero' e' stato troppo buono, io gli avrei installato di nascosto un keylogger collegato con la polizia locale... :D (Non che sarei stato in grado... :P ma certo l'hacker si'!)

Luca
cassioli
Utente Senior
 
Post: 1014
Iscritto il: 05/03/04 11:02

Postdi verbal666 » 25/03/04 17:33

prova a cancellare TUTTO quel che hai dentro la
%windir%\Downloaded Program Files
!sto con Windows, ma amo Linux! ;)
Immagine
http://www.verbal.it
verbal666
Utente Senior
 
Post: 693
Iscritto il: 27/12/02 12:13

Postdi Dylan666 » 25/03/04 17:35

Già fatto. Comunque ora sembra sia poassata. Piuttosto ha smesso di funzionare "Trova file e cartelle": dal collegamento e con Win+F non va mentre dall'esplorar risorse sì. Qualche idea?
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Sergio1983 » 25/03/04 18:13

Hai risolto? Come?

Altrimenti prova a controllare, se hai un modem con la configurazione tramite browser, che non sia stato alterato qualche parametro lì.
E' meglio aver amato e perduto, piuttosto che non aver amato mai. (A. Tennyson)
Sergio1983
Utente Senior
 
Post: 2584
Iscritto il: 09/10/03 13:47
Località: Basso Piemonte

Postdi Dylan666 » 25/03/04 18:55

È tutto passato così come è venuto, senza un perché... ora mi interesserebbe mettere a posto il "Cerca"
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 25/03/04 21:02

Lascio ai posteri la soluzione del problema col "Cerca", che purtroppo non diedi a uno che me la chiese qui sul forum tempo fa (non per cattiveria, è che non ci avevo pensato): dato che il ripristino configurazione di sistema non aveva punti selezionabili (avevo disattivato l'opzione per fare la scansione antivirus approfondita) ho resettato col floppy di emergenza e ho usato il comando scanreg /restore per ripristinare una copia funzionante del registro.

Sul modo in cui mi sono preso l'hijack comincio a pensare fosse un problema di provider... :-?
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi MrOZ » 26/03/04 11:22

Il prob sembra aver riguardato alcuni server della zona del Lazio e coloro ke hanno Alice http://www.sicurezzainrete.com/

Prob qualcuno si è divertito con i dns ...e qualke amministratore è stato un po' troppo distratto.
MrOZ
Utente Junior
 
Post: 35
Iscritto il: 23/06/03 19:50

Postdi Dylan666 » 26/03/04 11:28

Grazie mi hai dato la conferma che cercavo! :)
Se fosse stato un hijack software sarebe stato il migliore che avessi mai visto! :lol:
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi zello » 26/03/04 11:36

chi sono questi simpatici fenomeni?
Codice: Seleziona tutto
[zello@zello zello]$ host www.cashz.info
www.cashz.info has address 69.31.80.106
[zello@zello zello]$ rbl 69.31.80.106
69.31.80.106 RBL filtered by l1.spews.dnsbl.sorbs.net: ! [1] nLayer, see http:/spews.org/ask.cgi?S2453

e i ragazzi di spews aggiungono:
, 69.31.64.0 - 69.31.127.255, nLayer (has gblx.net feed, had verio.net feed)
Interesting ARIN data. Torino to Ashburn, 1991 to 2003? Hmmm...
(No more "Hmmm...", one more stolen ARIN netblock)

Quick check shows quite the group of IRC scripty rDNS boys scattered in
this space, lack of many "normal" domains.

Routing to fellow "netblock stealer" Atrivo: AS4474 => AS27595
<http://www.cidr-report.org/cgi-bin/as-report?as=AS4474>

See:
<http://groups.google.com/groups?selm=ba86vt%24bcl%241%40half.spin.it>
----------------------------------------------------------------------------
Oh, and spammers of course.

Gente che ha fatto un hijack di alcuni netblock non usati, e qualcuno che continua a dar loro il feed. Roba da matti.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Dylan666 » 26/03/04 21:40

MrOZ ha scritto:Il prob sembra aver riguardato alcuni server della zona del Lazio e coloro ke hanno Alice http://www.sicurezzainrete.com/

Prob qualcuno si è divertito con i dns ...e qualke amministratore è stato un po' troppo distratto.


Leggete le nuove news da quello stesso link...
Roba da matti! Un'altro po' diventavo pazzo per quegli imbecilli di Alice!
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46


Torna a Software Windows


Topic correlati a "Hijack incredibile!":

controllo Hijack
Autore: dayfreeman
Forum: Sicurezza e Privacy
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti