23 ottobre 2018

Priv8 PhpMailer, questa versione sembra contenere modelli già pronti per truffe fatte in casa.



la firma per clamAv,
1d042f181ad9ec64be6d04ece307a885b181461c:489449:adminn.php

25 settembre 2018

sfruttando un baco wordpress, dei cari amici hanno caricato la shell,by pass 1.0 (forse migliorata e richiamata 'Our shell, by Mister Spy & Souheyl Bypass Shell').
Semplice, ma ben fatta, doveroso è divulgare la firma per clamAv.
b3d2d78a7d93b8b4cf3ed51f1fd62f3ca7f086d2:10443:bypass.php

bypass 1.0, Devloped By El Moujahidin

30 agosto 2018

un indirizzo IP cinese (118.74.66.218.broad.fz.fj.dynamic.163data.com.cn)ci ha permesso di scoprire un'altra shell russa.
Riporto qui solo una parte dei commenti in essa.



firma clamav,
6be215c2eb4182e87b32622aca1e57bd4ac88cfa:28617:controller.php

23 agosto 2018

regalo dal gruppo Xwizx404 o LCR99X (fate voi). Si tratta solo di una semplice form per caricare file.



Ecco lo screen caricato nel sito preso di mira.



Il gruppo non potendo caricare codice php (per via della protezione WAF), si è limitato a caricare il codice php,
con estensione .jpg, e l'immagine del rigraziamento alla Francia nella pagina index del sito.

firma clamav del codice sopra illustrato,
b2a695c93d1da4649e26da9617b608eaf630313c:887:icon_up-jpg_cedebb6e872f539bef8c3f919874e9d7_c164bbc9d6c72a52c599bbb43d8db8e1.jpg

17 agosto 2018

Probabile pagina cinese di un prodotto, o malware.. riesco a vedere solo il titolo



Parte del codice,



firma clamav,
f2a6e191fba36269a0b4359f82067a3d0ad3f5f7:3072:index.html

18 giugno 2018

un gruppo ha fatto visita nelle pagine index.php.



Firma clamAv (se mai dovesse servire)
4257832f9d38d328d651e83ba1e0b3907bbe0336:2307:login.php

6 giugno 2018

7od.info/wordpress/, un caricatore di shell criptate..




21 aprile 2018

trovo un'altra shell con questa firma, WeLcome Abdelhak
Non riesco ancora a capire perchè ClamAv non la rilevi.
c2d5276130fefc444bfc749ca23d6f7824744d70:43618:__hacked_wp-config.php





26 febbraio 2018

collegato al post del 2 febbraio, ho trovato il file usato dagli stessi ignoti per replicare file criptati con IonCube.


riporto la firma clamAv,
79a49722912b9c5df0af359c0fedff3efbab8077:134:aohxhequ.php

Di seguito alcune classi di indirizzi IP usate dagli ignoti, per attivare il kit.
185.50.25.0/24 BEGET
104.237.0.0/16 colocrossing
82.146.44.0/24 brushkernel.com
78.110.50.0/24 RU
184.168.0.0/16 secureserver.net
198.56.144.0/24 m2.evesnn.com.

10 febbraio 2018

Simpatici amici hanno caricato una versione di coinminer.AE, facendo un po' di rumore nel sito web.
In caso fosse utile, ecco la signature per clamav.

7924512bbc936f865bcf243db140697ee4335f5b:351632:shared

2 febbraio 2018

due indirizzi ip (108.167.137.45, 212.24.44.172), hanno richiesto questo file codificato con il metodo IonCube.

I due indirizzi IP potrebbero far parte di una botnet che da più di un anno infastidisce il sito che ospitava i files.

10 gennaio 2018

Trovato durante una scansione.


La stringa porta ad un altro file, wp-includes/Requests/Response/favicon_582e68.ico (in cui sono presenti le solite stringhette).



25 dicembre 2017

Alla vigilia di Natale qualcuno ha giocato con queste paginette.



Risultato, abbiamo trovato anche simpatiche paginette contenenti una linea



Nel caso servisse, questa è la firma clamAv della pagina con una linea.
991269630083b11031ea9cc96cf7e9534c9cf07f:70:jsystem.nhvld.php

Buon Natale

8 dicembre 2017

Da circa due settimana sono alle prese con una serie di indirizzi IP, i quali richiamano
script abbastanza già noti con questa composizione,



Un indirizzo IP raccolto è presente nella lista CBL, 213.0.15.128. I riferimenti della lista indirizzano ad una gestione della pagine virate, fatta tramite una botnet formata da infezioni con conficker A.

21 novembre 2017

Hasil Bajakan / IndoXploit shell
Quest'ultima sembra già essere in circolazione da due anni.


464d85ad43efbe2dff679682c69ec1cf6a436c76:25945:indo.php

12 ottobre 2017

php shell WSO 2.8
Trovata come file 404.php in un tema wordpress



0e4520175b7b43f250f066bda272c3253d95db2a:41157:404.php

04 ottobre 2017

Codice in chiaro (macro excel) per scaricare un binario da hXXps://iaieqqo.review/data



Riferimento VirusTotal.

21 settembre 2017

Indirizzi ip asiatici, hanno regalato oggi queste simpatiche php shell.
Allego per ciascuna le firme ClamAv



Nome sconosciuto, criptata con uno strumento di Vrana
45abfa2872f66faa3ec81d93e56012ce61b1b7f5:403677:Ad.php



Scritta da Cyber404
d61e75e4b791bc49421faebcd8b15cfdd8d02aad:305472:core.php



Katenbad (potrebbe essere il nome di una chiave)
d47d5c381749655cfca01943fc688b876c84f303:51273:190_recoded2.php

8 settembre 2017

un indirizzo ip della rete topnet (TN) 197.3.206.255, ha iniziato ieri pomeriggio ad utilizzare
questo codice php per inviare email con contenuto truffaldino. Sembra il tipico funzionamento
di DarkMailer. Si nota la parola engenharia nel codice.



la firma clamAv
e4989a9311a38768761a3783666e524ef0f46d58:3488:c.php

14 agosto 2017

ennesima shell php usata per configurare pagine di phishing. Questa volta porta il nome
di AbdelHak.



Quasi discreto il nascondiglio, nella directory di Awstats.



La firma clamAv
c2d5276130fefc444bfc749ca23d6f7824744d70:43618:awstats-tt-ea.php


18 luglio 2017

Abbiamo raccolto una piccola struttura php usata per truffare NetFlix.



I file sono firmati con questa firma,
scamz.gq WORLD FIRST SCAM SOURCE

Alcune firme per clamav,
8d68a692417a56f104d549a0e31cb50a055c6a1d:87:index.php
5620b464c4e6bf80df81757fcd87fd3ed9eb7bbe:12225:r1.php
9cdfb8980e838eed4a392c75830590e173be4a23:11039:r2.php
f9fc1fbe914a0087832ba52ba5ac6a1065fa402d:356700:check.php 7b23a6a2ba2741fa2edefbc563d803ede4645105:25011:darknethost.js f4eee2b05b8cd8005eb4b1cf0a96cab6962db702:363:index.php c2d5276130fefc444bfc749ca23d6f7824744d70:43618:theme-edite.php

Alcuni indirizzi IP continuano a chiamare le pagine contenute nella directory /ID/,
69.164.111.198
82.132.236.241
62.149.225.67
178.18.201.54
54.233.206.147
46.101.94.163

Un esempio della pagina r1.php che invia i dati all'esterno,



10 luglio 2017

Ignoti usano un binario, nel quale si nasconde codice per rilevare CVE 2016 5195
71e2eda4d0a04863d44cf65b70550df8a1e774df:12476:0x

I caratteri ascii presenti nel binario

26 maggio 2017

LeafMailer installato nel plugin revslider di Wordpress. Curiosa la funzione di gestione bot.


La stringa per ClamAv
40a767b0e1ea2a123e36f0b23ddb650912faa082:160587:leafmailer.php

09 aprile 2017

Riporto delle firme ClamAv, questa mattina un indirizzo ip di origine coreana (211.174.100.15), ha portato
alla luce, curiosi file.
8a2ba07743336f7fa429361600a0cdaa8c2e9e68:26361:shot.php
621f6fd4e588c445727374255a0a32258d8e3c79:34682:realme.php
9c0397439d8e56ba2cab8b68b01951beb49a4462:168:defau1t.php
4b86d8e5cdce2cd09ff40f8aab61f5e79bcbb6b0:109311:default.php
0cc6e832a9246c6f5618b3db38670cdb6c3a99aa:59:temp.php
5bc3e3b90ec91a3d8598ce7a9b0db53ee57a549a:201:indax.php
561ea234b166845cb477dc1b0063daba51b34a29:45:add.php
6bcda862a6b54cee12a8efa5534db69c532cd482:132:.__u__.txt
6a78f33bd5943101ef9a772b3ed7a2bba1c29356:82:x.txt

Il file x.txt


21 marzo 2017

La settimana è iniziata con un altro massiccio invio di documenti, contenenti traccie
di stringhe pronte a criptare file. Vediamo il testo dell'email di oggi,



Osserviamo il testo del corpo del messaggio, si parla ancora di una fattura.
Apriamo questo scenario. Non possiamo acquistare un filtro APT per ragioni economiche.
Abbiamo educato in ufficio gli utenti, eppure il rischio che qualcuno di loro apra i file,
è alto. Cosa possiamo fare per tenere lontano questa minaccia?
Creiamo una serie di regole nel nostro filtro postale, che spostino un'email simile a quella sopra citata,
nelle cartelle posta indesiderata (del server postale).
Un esempio, (scritto per SpamAssassin)



Se l'utente finale verrà avvisato (meglio dopo 12 o 24 ore) dell'azione del filtro, tenterà di
reuperare il file allegato dalla quarantena, abbiamo ampie possibiltà che l'antivirus a bordo
del suo PC, rilevi il documento come infetto.


14 marzo 2017

Trovato un file in formato Excel, contenente il codice di una vulnerabilità 0day visibile.
Non è possibile disabitare il lancio di cmd.exe (per il sistema operativo windows), quindi evitare l'evocazione di PowerShell.

d14437c75071ec0cca36d19cd3316eb97adf31ec:37094:AUTO9X_779753.xls



Materiale raccolto nell'anno 2016



back