Edgar Bangkok
08-05-2008, 05:19
giovedì 8 maggio 2008
Plone , Zope e siti italiani compromessi. (seconda parte)
(immagini sul blog)
Diamo una occhiata piu' da vicino ai layout di pagine che attualmente sono presenti come 'add-ons” non voluti su alcuni siti .IT.
Chiaramente, anche se vengono presi in considerazione i soli domini .IT il problema risulta esteso anche a siti appartenenti ad altri domini non solo italiani.
Come avevamo visto, in questo specifico caso prendiamo in considerazione quei codici aggiunti a siti internet che soffrono di vulnerabilita' riconducibili al sistema di gestione dei contenuti multipiattaforma, Plone, basato sul server per applicazioni web Zope.
Una prima tipologia di pagine e' costituita essenzialmente da questo giavascript offuscato
(immagine sul blog)
Questi alcuni dei siti che presentano lo script in questione
(immagine sul blog)
Come vediamo da una decodifica del codice esistono pagine con script simili ma con una leggera differenza sulla url risultante dalla decodifica
(immagine sul blog)
Una volta eseguito lo script , se e' la prima volta che viene richiamata la pagina si viene reindirizzati su di un sito contenente falsi player video che necessitano di plugin (file malware) per essere eseguiti
(immagine sul blog)
oppure se la pagina era gia' stata caricata altre volte (stesso IP rilevato) viene presentata questa pagina dalla url che ricorda il noto motore di ricerca
(immagine sul blog)
e che linka in automatico a diversi software antivirus fasulli.
(immagine sul blog)
Da notare che a seconda del codice inserito sullo script cambiano le pagine del falso scanner antimalware (es. XPA XPB XPC ecc...)
(immagine sul blog)
Il whois di queste pagine punta in Germania
(immagine sul blog)
Un altro tipo di pagine hostate all'interno dei siti attaccati e' questo, con script che presenta differenti valori numerici nel codice a seconda della pagina caricata
(immagine sul blog)
con un comportamento simile alle pagine viste in precedenza.
Questa un lista parziale dei siti coinvolti
(immagine sul blog)
Un whois di alcune di queste pagine linkate negli script punta a noto range di siti pericolosi
(immagine sul blog)
Ancora un altra tipologia di script in queste pagine
(immagine sul blog)
con script che se eseguito carica un altro script offuscato che decodificato punta a
(immagine sul blog)
Questa una lista parziale dei siti coinvolti
(immagine sul blog)
Tra le tante differenti pagine inserite e' interessante questa presente sul portale della cartografia della provincia di Brindisi riferito al Sistema Informativo Territoriale SIT
(immagine sul blog)
insieme ad altre pagine piu' o meno simili a quelle viste in precedenza
(immagine sul blog)
Se gli script java sono disabilitati possiamo vedere una pagina che presenta una falsa lista di mp3 scaricabili
(immagine sul blog)
Questa la pagina ci propone lo scaricamento del file mp3 cliccndo sul bottone 'download album'
(immagine sul blog)
chiaramente si tratta di un file eseguibile che ad una analisi Virus Total dimostra tutta la sua pericolosita'
(immagine sul blog)
Per concludere in questa schermata si puo' notare l'elevato numero dei risultati di una ricerca in rete relativamente a siti creati con Plone su domini .IT e che presentano un link con il riferimento al folder /portraits/ seguito da un nome inglese che indica la probabile pagina pericolosa aggiunta al sito.
Edgar :D
fonte http://edetools.blogspot.com/2008/05/plone-zope-e-siti-italiani-compromessi.html
Plone , Zope e siti italiani compromessi. (seconda parte)
(immagini sul blog)
Diamo una occhiata piu' da vicino ai layout di pagine che attualmente sono presenti come 'add-ons” non voluti su alcuni siti .IT.
Chiaramente, anche se vengono presi in considerazione i soli domini .IT il problema risulta esteso anche a siti appartenenti ad altri domini non solo italiani.
Come avevamo visto, in questo specifico caso prendiamo in considerazione quei codici aggiunti a siti internet che soffrono di vulnerabilita' riconducibili al sistema di gestione dei contenuti multipiattaforma, Plone, basato sul server per applicazioni web Zope.
Una prima tipologia di pagine e' costituita essenzialmente da questo giavascript offuscato
(immagine sul blog)
Questi alcuni dei siti che presentano lo script in questione
(immagine sul blog)
Come vediamo da una decodifica del codice esistono pagine con script simili ma con una leggera differenza sulla url risultante dalla decodifica
(immagine sul blog)
Una volta eseguito lo script , se e' la prima volta che viene richiamata la pagina si viene reindirizzati su di un sito contenente falsi player video che necessitano di plugin (file malware) per essere eseguiti
(immagine sul blog)
oppure se la pagina era gia' stata caricata altre volte (stesso IP rilevato) viene presentata questa pagina dalla url che ricorda il noto motore di ricerca
(immagine sul blog)
e che linka in automatico a diversi software antivirus fasulli.
(immagine sul blog)
Da notare che a seconda del codice inserito sullo script cambiano le pagine del falso scanner antimalware (es. XPA XPB XPC ecc...)
(immagine sul blog)
Il whois di queste pagine punta in Germania
(immagine sul blog)
Un altro tipo di pagine hostate all'interno dei siti attaccati e' questo, con script che presenta differenti valori numerici nel codice a seconda della pagina caricata
(immagine sul blog)
con un comportamento simile alle pagine viste in precedenza.
Questa un lista parziale dei siti coinvolti
(immagine sul blog)
Un whois di alcune di queste pagine linkate negli script punta a noto range di siti pericolosi
(immagine sul blog)
Ancora un altra tipologia di script in queste pagine
(immagine sul blog)
con script che se eseguito carica un altro script offuscato che decodificato punta a
(immagine sul blog)
Questa una lista parziale dei siti coinvolti
(immagine sul blog)
Tra le tante differenti pagine inserite e' interessante questa presente sul portale della cartografia della provincia di Brindisi riferito al Sistema Informativo Territoriale SIT
(immagine sul blog)
insieme ad altre pagine piu' o meno simili a quelle viste in precedenza
(immagine sul blog)
Se gli script java sono disabilitati possiamo vedere una pagina che presenta una falsa lista di mp3 scaricabili
(immagine sul blog)
Questa la pagina ci propone lo scaricamento del file mp3 cliccndo sul bottone 'download album'
(immagine sul blog)
chiaramente si tratta di un file eseguibile che ad una analisi Virus Total dimostra tutta la sua pericolosita'
(immagine sul blog)
Per concludere in questa schermata si puo' notare l'elevato numero dei risultati di una ricerca in rete relativamente a siti creati con Plone su domini .IT e che presentano un link con il riferimento al folder /portraits/ seguito da un nome inglese che indica la probabile pagina pericolosa aggiunta al sito.
Edgar :D
fonte http://edetools.blogspot.com/2008/05/plone-zope-e-siti-italiani-compromessi.html