Il meccanismo è sempre lo stesso, si riceve da un proprio contatto uno strano messaggio che sembra indicare la presenza di una nostra foto su un sito esterno:
http://PiczFlick.com/?user=nostro_nick&image=DSC00275.JPG ?!?A cambiare di volta in volta è il dominio di riferimento. Nel caso che segnalo oggi si tratta PiczFlick.com (server allocati nei pressi Nottingham e dominio registrato a nome della solita CSS Management Inc. di Hector Sanchez). Rispetto ai casi precedenti stavolta il nome di dominio scelto vuole richiamare Flickr (noto servizio di hosting di immagini che ovviamente è del tutto estraneo alla vicenda). Per il resto vale quanto scritto in precedenza.
... HAHAHA!! :P
mi permetto di postare un ulteriore commento.
RispondiEliminaho provato facendo prima ping, poi tracroute sulla mia macchina verso quel dominio.
La sorpresa....
inizialmente ho ricevuto:
l@Deimos:~$ ping img2952.imagestonez.com
PING img2952.imagestonez.com (91.207.192.88) 56(84) bytes of data.
64 bytes from 91.207.192.88: icmp_seq=1 ttl=47 time=360 ms
64 bytes from 91.207.192.88: icmp_seq=2 ttl=47 time=386 ms
64 bytes from 91.207.192.88: icmp_seq=3 ttl=47 time=363 ms
^C64 bytes from 91.207.192.88: icmp_seq=4 ttl=47 time=368 ms
.......
ma se faccio un ping su:
www.imagestonez.com
ottengo
PING www.imagestonez.com (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.034 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttl=64 time=0.041 ms
64 bytes from localhost (127.0.0.1): icmp_seq=3 ttl=64 time=0.042 ms
64 bytes from localhost (127.0.0.1): icmp_seq=4 ttl=64 time=0.045 ms
Questo è molto strano, ho tirato giù tomcat ed apache, e finalmente non lo pingo più, tuttavia se mi collego alla url originale, la vedo ancora online (non ho processi web attivi).
Vi invito a fare le stesse verifiche.
Alb3rt
Ciao,
RispondiEliminaottengo gli stessi tuoi risultati e posso aggiungere che anche con una interrogazione Whois il primo dominio viene localizzato mentre il secondo non da esito.
Penso però che le impostazioni locali non c'entrino nulla. Ho prima controllato il file host e risultava pulito, poi per maggiore sicurezza ho fatto un secondo test con un altro computer ed il risultato del ping non è cambiato.
Non ne so abbastanza di reti per spiegare questo comportamento, però in effetti è una anomalia che finora non avevo mai incontrato.
Ti ringrazio della segnalazione
Aggiungo altro materiale di analisi:
RispondiEliminauso una ubuntu 9.10 con pidgin, uso il plugin di msn per collegarmi....
Mi sembra troppo assurdo per concludere qui l'analisi, ancora non ho visto virus diffondersi via msn e cross platform....
Un ps sulla macchina al momento del check di cui ti ho dato info rilevava una serie abbastanza nutrita di processi apache, lanciati con utenza non amministrativa, per il momento non ho intenzione di riattivare apache.
Ho paura che in questo modo possa essersi insinuato qualcosa in ascolto sulla mia utenza. Ora sto lavorando, passare la serata a crivellarmi i log di audit non è una bellissima prospettiva.
Qualsiasi info è benvenuta a questo punto.
Alb3rt
Non so se può esserti di aiuto ma ho provato a fare un Traceroute non direttamente dalla shell ma tramite DNSStuff, ed il risultato è sempre lo stesso, restituisce il localhost:
RispondiEliminahttp://tinyurl.com/pr5nz6
La cosa incredibile è che dyndns ti permette di registrare 127.0.0.1
RispondiEliminaabbiamo replicato l'inghippo.
Alb3rt