Edgar Bangkok
29-09-2008, 04:48
lunedì 29 settembre 2008
Nonostante se ne scriva poco, il numero di siti web, anche su dominio .IT, che vengono utilizzati per ospitare in maniera nascosta al loro interno, pagine od addirittura siti completi, e' in continuo aumento.
Infatti si legge molto in rete di avvisi al riguardo di pagine con links a malware, siti attaccati con sistemi vari tra cui sql injection, ma non si trovano molte info sul numero di siti colpiti da inclusione nascosta di pagine con link a malware o a siti poco affidabili (pharmacy, falsi softwares AV ecc...)
La spiegazione di questa poca attenzione a questo genere di attacchi si spiega con il fatto che , almeno apparentemente, il sito web colpito continua a funzionare normalmente e probabilmente chi lo amministra se si limita ad aggiornare solo alcuni dati, neanche si accorge di quello che sta succedendo.
Inoltre puo anche accadere che un sito una volta individuato come vulnerabile, subisca non uno ma ripetuti attacchi, anche non collegati tra loro, che permettono a chi gestisce la distribuzione di malware, di inserire centinaia di pagine anche con diversi links a varie tipologie di siti pericolosi.
Vediamo due nuovi casi individuati con una semplice ricerca in rete.
Dato che di questi due esempi riportero' le url complete poiche' sono disponibili usando qualsiasi motore di ricerca, raccomando a chi volesse esplorare i siti in questione, di prendere le dovute precauzioni. Si tratta infatti di pagine con probabili links a malware spesso NON riconosciuto dai softwares Av e quindi ancora piu' pericoloso.(utilizzare ad esempio sandbox, noscript e possibilmente il tutto in esecuzione all'interno di una macchina virtuale con i dovuti settaggi (non condivisione files o cartelle, firewall con blocco degli indirizzi di rete locali ecc....ecc.....)
Il primo sito esaminato riguarda un rivenditore di hardware
(url sul blog)
la cui homepage e' al momento solo disponibile in cache di Google, in quanto la homepage e' ora interamente compromessa
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/cached2008-09-28_212220.jpg
e che mostra, in cache, il seguente codice
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/iframesource2008-09-28_212632.jpg
Notare che gia sulla pagina in cache del motore di ricerca se gli scripts sono abilitati, viene eseguito in automatico il download di un piccolo file pdf
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/pdffile.jpg
In realta' si tratta non di un comune file pdf ma di un codice exploit individuato come
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/vt.jpg
Mentre se tentiamo di aprire il link originale al momento abbiamo solo
(img sul blog)
A parte questo , l'ormai EX sito, incorpora al suo interno centinaia di pagine con differenti layout, (falso forum, falso blog wiki ecc...)
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/fakeforum2008-09-28_215647.jpg
ed anche
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/terzotipo.jpg
oppure
(img sul blog)
che a seconda del layout proposto hanno anche diverso redirect su siti o di falso Av oppure al sito Adult Friend Finder
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/adultfrobfus.jpg
cosa da ricordare in quanto vedremo che anche il secondo sito esaminato conterra' pagine che punteranno ad una medesima pagina.
In ogni caso una cronologia degli aggiornamenti eseguiti sul sito
dimostrerebbe che, probabilmente, si tratta di sito 'abbandonato' e che quindi continuera' ad hostare queste pagine ed eventuali nuovi links a malware finche' non definitivamente chiuso.
Il secondo caso invece tratta di sito sicuramente aggiornato e probabilmente anche piu' conosciuto
Mi riferisco a questo sito:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/home2008-09-28_221644.jpg
relativo a "Max" Pezzali, cantautore italiano, co fondatore, leader e voce degli 883, ed in seguito, solista.
Anche in questo caso se andiamo ad analizzare i contenuti del sito oltre la homepage scopriamo interessanti contenuti nascosti
Ad esempio:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/nascosto1page.jpg
con redirect su (notare nella url un riferimento al sito di provenienza)
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/obfunascosto1linksadultff.jpg
oppure
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/nascosto2page.jpg
Si tratta di centinaia di pagine con links automatici ad Adult Friend Finder e con registrar
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/nascosto2whois.jpg
cosa che non sorprende piu' di tanto visti i contenuti.
Ed ecco uno stralcio dei links presenti sul sito, sempre naturalmente corrispondenti a pagine nascoste.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/parzialelinks.jpg
In definitiva altri due esempi di un sistema utilizzato sempre piu' spesso e che non sembra essere contrastato in maniera efficace da chi amministra siti web.
Non e' possibile al momento stabilire il numero di siti che presentano tale problema in quanto continuamente variabile ma credo di non sbagliare dicendo che si tratta di centinaia solo per quelli su dominio .IT
Per quanto si riferisce a potenziali problemi di sicurezza per chi vista i siti visti ora mentre nel primo caso (formatcomputers) c'e' sicuramente il pericolo di vedersi scaricato sul pc files malware il secondo sito (Max Pezzali) non presenta problemi per chi lo visita in quanto le pagine aggiunte sono nascoste e non raggiungibili se non da una ricerca di rete.
Comunque, anche senza questo rischio, rimane evidente che, intanto, si tratta di sito vulnerabile e non si puo' escludere che in futuro qualche malintenzionato aggiunga links o scripts pericolosi, e inoltre la presenza di queste pagine puo' generare un aumento di traffico Internet non voluto da e verso il sito, con possibili problemi di accesso allo stesso.
Edgar :D
fonte: http://edetools.blogspot.com/
Nonostante se ne scriva poco, il numero di siti web, anche su dominio .IT, che vengono utilizzati per ospitare in maniera nascosta al loro interno, pagine od addirittura siti completi, e' in continuo aumento.
Infatti si legge molto in rete di avvisi al riguardo di pagine con links a malware, siti attaccati con sistemi vari tra cui sql injection, ma non si trovano molte info sul numero di siti colpiti da inclusione nascosta di pagine con link a malware o a siti poco affidabili (pharmacy, falsi softwares AV ecc...)
La spiegazione di questa poca attenzione a questo genere di attacchi si spiega con il fatto che , almeno apparentemente, il sito web colpito continua a funzionare normalmente e probabilmente chi lo amministra se si limita ad aggiornare solo alcuni dati, neanche si accorge di quello che sta succedendo.
Inoltre puo anche accadere che un sito una volta individuato come vulnerabile, subisca non uno ma ripetuti attacchi, anche non collegati tra loro, che permettono a chi gestisce la distribuzione di malware, di inserire centinaia di pagine anche con diversi links a varie tipologie di siti pericolosi.
Vediamo due nuovi casi individuati con una semplice ricerca in rete.
Dato che di questi due esempi riportero' le url complete poiche' sono disponibili usando qualsiasi motore di ricerca, raccomando a chi volesse esplorare i siti in questione, di prendere le dovute precauzioni. Si tratta infatti di pagine con probabili links a malware spesso NON riconosciuto dai softwares Av e quindi ancora piu' pericoloso.(utilizzare ad esempio sandbox, noscript e possibilmente il tutto in esecuzione all'interno di una macchina virtuale con i dovuti settaggi (non condivisione files o cartelle, firewall con blocco degli indirizzi di rete locali ecc....ecc.....)
Il primo sito esaminato riguarda un rivenditore di hardware
(url sul blog)
la cui homepage e' al momento solo disponibile in cache di Google, in quanto la homepage e' ora interamente compromessa
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/cached2008-09-28_212220.jpg
e che mostra, in cache, il seguente codice
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/iframesource2008-09-28_212632.jpg
Notare che gia sulla pagina in cache del motore di ricerca se gli scripts sono abilitati, viene eseguito in automatico il download di un piccolo file pdf
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/pdffile.jpg
In realta' si tratta non di un comune file pdf ma di un codice exploit individuato come
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/vt.jpg
Mentre se tentiamo di aprire il link originale al momento abbiamo solo
(img sul blog)
A parte questo , l'ormai EX sito, incorpora al suo interno centinaia di pagine con differenti layout, (falso forum, falso blog wiki ecc...)
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/fakeforum2008-09-28_215647.jpg
ed anche
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/terzotipo.jpg
oppure
(img sul blog)
che a seconda del layout proposto hanno anche diverso redirect su siti o di falso Av oppure al sito Adult Friend Finder
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/adultfrobfus.jpg
cosa da ricordare in quanto vedremo che anche il secondo sito esaminato conterra' pagine che punteranno ad una medesima pagina.
In ogni caso una cronologia degli aggiornamenti eseguiti sul sito
dimostrerebbe che, probabilmente, si tratta di sito 'abbandonato' e che quindi continuera' ad hostare queste pagine ed eventuali nuovi links a malware finche' non definitivamente chiuso.
Il secondo caso invece tratta di sito sicuramente aggiornato e probabilmente anche piu' conosciuto
Mi riferisco a questo sito:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/home2008-09-28_221644.jpg
relativo a "Max" Pezzali, cantautore italiano, co fondatore, leader e voce degli 883, ed in seguito, solista.
Anche in questo caso se andiamo ad analizzare i contenuti del sito oltre la homepage scopriamo interessanti contenuti nascosti
Ad esempio:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/nascosto1page.jpg
con redirect su (notare nella url un riferimento al sito di provenienza)
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/obfunascosto1linksadultff.jpg
oppure
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/nascosto2page.jpg
Si tratta di centinaia di pagine con links automatici ad Adult Friend Finder e con registrar
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/nascosto2whois.jpg
cosa che non sorprende piu' di tanto visti i contenuti.
Ed ecco uno stralcio dei links presenti sul sito, sempre naturalmente corrispondenti a pagine nascoste.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/maxpezza/parzialelinks.jpg
In definitiva altri due esempi di un sistema utilizzato sempre piu' spesso e che non sembra essere contrastato in maniera efficace da chi amministra siti web.
Non e' possibile al momento stabilire il numero di siti che presentano tale problema in quanto continuamente variabile ma credo di non sbagliare dicendo che si tratta di centinaia solo per quelli su dominio .IT
Per quanto si riferisce a potenziali problemi di sicurezza per chi vista i siti visti ora mentre nel primo caso (formatcomputers) c'e' sicuramente il pericolo di vedersi scaricato sul pc files malware il secondo sito (Max Pezzali) non presenta problemi per chi lo visita in quanto le pagine aggiunte sono nascoste e non raggiungibili se non da una ricerca di rete.
Comunque, anche senza questo rischio, rimane evidente che, intanto, si tratta di sito vulnerabile e non si puo' escludere che in futuro qualche malintenzionato aggiunga links o scripts pericolosi, e inoltre la presenza di queste pagine puo' generare un aumento di traffico Internet non voluto da e verso il sito, con possibili problemi di accesso allo stesso.
Edgar :D
fonte: http://edetools.blogspot.com/