PDA

View Full Version : [NEWS] Siti italiani compromessi da javascript offuscati (aggiornamento 3 maggio 09)


Edgar Bangkok
03-05-2009, 10:32
domenica 3 maggio 2009

Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!

Sulla lista degli aggiornamenti di www.malwaredomainlist.com relativa all'elenco di siti compromessi appare l'indicazione di un sito .IT che presenta l'inserimento nel codice della homepage, ma non solo, di javascript offuscato che punta a pagina Mbroot.
Ricordo che il rootkit Mebroot, altrimenti noto come Torpig, Sinowal, o MBR, e' attivo da fine 2007 ed ultimamente e' in circolazione anche una nuova variante.

Dato che appare improbabile che su centinaia di siti presenti su un singolo IP uno solo sia stato vittima di un attacco per comprometterne il codice inserendo script offuscato, e' stata eseguita una analisi Webscanner sia dell'IP che ospita il sito compromesso che di alcuni IP contigui a quello del sito segnalato da www.malwaredomainlist.com.

Questo il sito attualmente compromesso da script offuscato presente su malwaredomainlist

http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/compromessi%203%204/2obfu.jpg

Una scansione con webscanner a pero' portato a trovare ad esempio quest'altro sito su medesimo IP

http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/compromessi%203%204/1obfusco2009-05-03_122634.jpg

mentre su altro IP contiguo al precedente abbiamo

http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/compromessi%203%204/3obfu.jpg

Si tratta di siti compromessi che presentano tutti l'inserimento di questo script offuscato
(img sul blog)
non solo sulla home ma anche su altre pagine del sito e che deoffuscato ed analizzato con Wepawet viene classificato come
(img sul blog)

Edgar :D

fonte: http://edetools.blogspot.com/2009/05/siti-italiani-compromessi-da-javascript.html

Hal2001
03-05-2009, 10:36
Bello schifo.. comunque grazie, quel blog sembra interessante appena ho qualche minuto lo leggo ;)

Edgar Bangkok
03-05-2009, 11:44
domenica 3 maggio 2009

A conferma dell'utilizzo di vulnerabilita presenti molto spesso negli ambienti di sviluppo per siti web e comunque di vulnerabilita' presenti in genere sui siti ma a volte anche su server, una analisi Webscanner degli stessi ranges IP visti prima, nel post al riguardo di malware Mebroot,.......................

Edgar :D

PS: grazie per i complimenti al mio blog :D Edgar

fonte: http://edetools.blogspot.com/2009/05/hacking-quotidiano-3-maggio-09.html

leolas
03-05-2009, 22:28
ti rifaccio i complimenti anch'io ;) :p

E' da un pò che non leggevo il tuo blog.. Ma te almeno lavori per qualche compagni antivirus, o fai tutto per "passione" ? :confused:

Edgar Bangkok
04-05-2009, 01:19
Solo per hobby, anche se in passato ho lavorato nell'ambiente dell'informatica a partire dai tempi in cui Internet non esisteva ed i computers usavano solo monitor a fosfori verdi ..... :cool:

Edgar :D

Blue Spirit
04-05-2009, 16:12
Solo per hobby, anche se in passato ho lavorato nell'ambiente dell'informatica a partire dai tempi in cui Internet non esisteva ed i computers usavano solo monitor a fosfori verdi ..... :cool:

Edgar :D
mi associo ai complimenti,(seguo da tempo il tuo blog)...ero convinto che lavorassi in quel campo, ma considerato che lo fai solo per hobby, il tuo lavoro diventa ancora più ammirevole:)