Edgar Bangkok
29-05-2008, 04:05
giovedì 29 maggio 2008
Mi riferisco al sito del Comune di Grugliasco che era stato uno dei primi ad essere segnalati durante l'attacco del 10 maggio scorso, nuovamente compromesso dopo la probabile bonifica degli script qualche giorno fa, ribonificato e oggi ancora colpito dal massiccio upload sulle sue pagine di nuovi scripts che linkano a dota11(dot)cn.
Da una analisi della struttura del sito e delle pagine coinvolte su alcune siamo a livelli da “guinness dei primati' come numero di scripts scaricati che appaino in piu' di 2500 (duemilacinquecento scripts) !!!
(img sul blog)
Proprio una di queste pagine pesantemente attaccate presenta a differenza di altre, gli script non visibili in chiaro
(img sul blog)
ma nascosti nel codice.
Mentre al homepage e' nuovamente invasa dagli scripts che ne modificano il layout.
(img sul blog)
Il link indicato negli scripts e' attivo e carica m.js di cui vediamo il codice
(img sul blog)
Interessante notare che questa volta anche per chi carica lo script su computer con browser in lingua cinese viene attivato un link contrariamente ad uno script precedente (denominato sempre m.js) dove chi utilizzava linguaggio cinese non veniva coinvolto nel caricamento di pagine con exploit.
(img sul blog)
I links portano alle solite pagine contenenti exploit assortiti e probabilmente anche quello che sfrutta vulnerabilita' di adobe flash palyer anche se non nell'utima versione rilasciata.
Il dubbio che sorge e' che a questo punto, il tentativo di scaricare script java pericolosi sul sito , sia sempre attivo ed approfitti di vulnerabilita' non ancora patchate per 'aggiornare' nuovamente le pagine gia' colpite.
In pratica chi esegue gli attacchi potrebbe essersi creato un database di urls vulnerabili e ciclicamente provare a 'riaggiornarle' con un nuovo upload di javascript che linkano a malware
Edgar :D
fonte: http://edetools.blogspot.com/
Mi riferisco al sito del Comune di Grugliasco che era stato uno dei primi ad essere segnalati durante l'attacco del 10 maggio scorso, nuovamente compromesso dopo la probabile bonifica degli script qualche giorno fa, ribonificato e oggi ancora colpito dal massiccio upload sulle sue pagine di nuovi scripts che linkano a dota11(dot)cn.
Da una analisi della struttura del sito e delle pagine coinvolte su alcune siamo a livelli da “guinness dei primati' come numero di scripts scaricati che appaino in piu' di 2500 (duemilacinquecento scripts) !!!
(img sul blog)
Proprio una di queste pagine pesantemente attaccate presenta a differenza di altre, gli script non visibili in chiaro
(img sul blog)
ma nascosti nel codice.
Mentre al homepage e' nuovamente invasa dagli scripts che ne modificano il layout.
(img sul blog)
Il link indicato negli scripts e' attivo e carica m.js di cui vediamo il codice
(img sul blog)
Interessante notare che questa volta anche per chi carica lo script su computer con browser in lingua cinese viene attivato un link contrariamente ad uno script precedente (denominato sempre m.js) dove chi utilizzava linguaggio cinese non veniva coinvolto nel caricamento di pagine con exploit.
(img sul blog)
I links portano alle solite pagine contenenti exploit assortiti e probabilmente anche quello che sfrutta vulnerabilita' di adobe flash palyer anche se non nell'utima versione rilasciata.
Il dubbio che sorge e' che a questo punto, il tentativo di scaricare script java pericolosi sul sito , sia sempre attivo ed approfitti di vulnerabilita' non ancora patchate per 'aggiornare' nuovamente le pagine gia' colpite.
In pratica chi esegue gli attacchi potrebbe essersi creato un database di urls vulnerabili e ciclicamente provare a 'riaggiornarle' con un nuovo upload di javascript che linkano a malware
Edgar :D
fonte: http://edetools.blogspot.com/