Edgar Bangkok
02-06-2008, 05:25
luned́ 2 giugno 2008
Da qualche settimana stiamo assistendo, tra i centinaia di casi di pagine web compromesse dopo l'attacco de del 10 maggio, alla particolare situazione del sito del Comune di Grugliasco (TO) che passa continuamente tra stati di compromissione totale (nuovamente dal 1 giugno) a momenti in cui la situazione ritorna normale ed il sito bonificato.
Gli scripts presenti sono sempre gli stessi gia' visti anche su parecchi siti italiani colpiti da un attacco che sfrutta vulnerabilita' detta di SQL injection.
Al momento di scrivere il post , il sito e' nuovamente colpito e le pagine presentano anche sul layout visibile lo script che ancora una volta linka a dota11(dot)cn, attualmente attivo, e che reindirizza a sua volta ad altre pagine con exploits.
(img sul blog)
Un po di cronologia su quello che e' accaduto al sito del comune:
(tab sul blog)
Rispetto alla volta precedente l'aumento degli scripts e' dovuto al fatto che solo il forum da solo ne hosta circa 5800 e questo si spiega con la natura stessa dell'attacco che va probabilmente a modificare il database dei post inserendo per ognuno lo script pericoloso e generando quindi una quantita' elevata di riferimenti in ricerca.
A questo punto sembra evidente che :
1) gli attacchi stanno continuando anche dopo il primo eseguito il 10 maggio e sembrerebbero tuttora in corso (vista la struttura dello script la fonte potrebbe sempre essere la stessa che tenta di compromettere nuovamente i siti gia' colpiti)
2) gli sforzi per bonificare e rendere immune dagli attacchi le pagine colpite in questo caso non sembrerebbero dare risultati positivi, pare cioe' che al momento si riesca solo a “curare” i sintomi ma non le cause del problema e quindi lo stesso si ripresenti ad ogni nuovo attacco.
Edgar :D
fonte: http://edetools.blogspot.com/
Da qualche settimana stiamo assistendo, tra i centinaia di casi di pagine web compromesse dopo l'attacco de del 10 maggio, alla particolare situazione del sito del Comune di Grugliasco (TO) che passa continuamente tra stati di compromissione totale (nuovamente dal 1 giugno) a momenti in cui la situazione ritorna normale ed il sito bonificato.
Gli scripts presenti sono sempre gli stessi gia' visti anche su parecchi siti italiani colpiti da un attacco che sfrutta vulnerabilita' detta di SQL injection.
Al momento di scrivere il post , il sito e' nuovamente colpito e le pagine presentano anche sul layout visibile lo script che ancora una volta linka a dota11(dot)cn, attualmente attivo, e che reindirizza a sua volta ad altre pagine con exploits.
(img sul blog)
Un po di cronologia su quello che e' accaduto al sito del comune:
(tab sul blog)
Rispetto alla volta precedente l'aumento degli scripts e' dovuto al fatto che solo il forum da solo ne hosta circa 5800 e questo si spiega con la natura stessa dell'attacco che va probabilmente a modificare il database dei post inserendo per ognuno lo script pericoloso e generando quindi una quantita' elevata di riferimenti in ricerca.
A questo punto sembra evidente che :
1) gli attacchi stanno continuando anche dopo il primo eseguito il 10 maggio e sembrerebbero tuttora in corso (vista la struttura dello script la fonte potrebbe sempre essere la stessa che tenta di compromettere nuovamente i siti gia' colpiti)
2) gli sforzi per bonificare e rendere immune dagli attacchi le pagine colpite in questo caso non sembrerebbero dare risultati positivi, pare cioe' che al momento si riesca solo a “curare” i sintomi ma non le cause del problema e quindi lo stesso si ripresenti ad ogni nuovo attacco.
Edgar :D
fonte: http://edetools.blogspot.com/