[NEWS] Siti su dominio .IT con problemi (aggiornamento)

[Edgar Bangkok]

lunedì 29 settembre 2008


Nonostante se ne scriva poco, il numero di siti web, anche su dominio .IT, che vengono utilizzati per ospitare in maniera nascosta al loro interno, pagine od addirittura siti completi, e' in continuo aumento.
Infatti si legge molto in rete di avvisi al riguardo di pagine con links a malware, siti attaccati con sistemi vari tra cui sql injection, ma non si trovano molte info sul numero di siti colpiti da inclusione nascosta di pagine con link a malware o a siti poco affidabili (pharmacy, falsi softwares AV ecc...)

La spiegazione di questa poca attenzione a questo genere di attacchi si spiega con il fatto che , almeno apparentemente, il sito web colpito continua a funzionare normalmente e probabilmente chi lo amministra se si limita ad aggiornare solo alcuni dati, neanche si accorge di quello che sta succedendo.

Inoltre puo anche accadere che un sito una volta individuato come vulnerabile, subisca non uno ma ripetuti attacchi, anche non collegati tra loro, che permettono a chi gestisce la distribuzione di malware, di inserire centinaia di pagine anche con diversi links a varie tipologie di siti pericolosi.

Vediamo due nuovi casi individuati con una semplice ricerca in rete.

Dato che di questi due esempi riportero' le url complete poiche' sono disponibili usando qualsiasi motore di ricerca, raccomando a chi volesse esplorare i siti in questione, di prendere le dovute precauzioni. Si tratta infatti di pagine con probabili links a malware spesso NON riconosciuto dai softwares Av e quindi ancora piu' pericoloso.(utilizzare ad esempio sandbox, noscript e possibilmente il tutto in esecuzione all'interno di una macchina virtuale con i dovuti settaggi (non condivisione files o cartelle, firewall con blocco degli indirizzi di rete locali ecc....ecc.....)


Il primo sito esaminato riguarda un rivenditore di hardware
(url sul blog)
la cui homepage e' al momento solo disponibile in cache di Google, in quanto la homepage e' ora interamente compromessa

e che mostra, in cache, il seguente codice

Notare che gia sulla pagina in cache del motore di ricerca se gli scripts sono abilitati, viene eseguito in automatico il download di un piccolo file pdf

In realta' si tratta non di un comune file pdf ma di un codice exploit individuato come

Mentre se tentiamo di aprire il link originale al momento abbiamo solo
(img sul blog)
A parte questo , l'ormai EX sito, incorpora al suo interno centinaia di pagine con differenti layout, (falso forum, falso blog wiki ecc...)

ed anche

oppure
(img sul blog)
che a seconda del layout proposto hanno anche diverso redirect su siti o di falso Av oppure al sito Adult Friend Finder

cosa da ricordare in quanto vedremo che anche il secondo sito esaminato conterra' pagine che punteranno ad una medesima pagina.
In ogni caso una cronologia degli aggiornamenti eseguiti sul sito

dimostrerebbe che, probabilmente, si tratta di sito 'abbandonato' e che quindi continuera' ad hostare queste pagine ed eventuali nuovi links a malware finche' non definitivamente chiuso.

Il secondo caso invece tratta di sito sicuramente aggiornato e probabilmente anche piu' conosciuto
Mi riferisco a questo sito:

relativo a "Max" Pezzali, cantautore italiano, co fondatore, leader e voce degli 883, ed in seguito, solista.

Anche in questo caso se andiamo ad analizzare i contenuti del sito oltre la homepage scopriamo interessanti contenuti nascosti
Ad esempio:

con redirect su (notare nella url un riferimento al sito di provenienza)

oppure

Si tratta di centinaia di pagine con links automatici ad Adult Friend Finder e con registrar

cosa che non sorprende piu' di tanto visti i contenuti.

Ed ecco uno stralcio dei links presenti sul sito, sempre naturalmente corrispondenti a pagine nascoste.

In definitiva altri due esempi di un sistema utilizzato sempre piu' spesso e che non sembra essere contrastato in maniera efficace da chi amministra siti web.
Non e' possibile al momento stabilire il numero di siti che presentano tale problema in quanto continuamente variabile ma credo di non sbagliare dicendo che si tratta di centinaia solo per quelli su dominio .IT

Per quanto si riferisce a potenziali problemi di sicurezza per chi vista i siti visti ora mentre nel primo caso (formatcomputers) c'e' sicuramente il pericolo di vedersi scaricato sul pc files malware il secondo sito (Max Pezzali) non presenta problemi per chi lo visita in quanto le pagine aggiunte sono nascoste e non raggiungibili se non da una ricerca di rete.
Comunque, anche senza questo rischio, rimane evidente che, intanto, si tratta di sito vulnerabile e non si puo' escludere che in futuro qualche malintenzionato aggiunga links o scripts pericolosi, e inoltre la presenza di queste pagine puo' generare un aumento di traffico Internet non voluto da e verso il sito, con possibili problemi di accesso allo stesso.

Edgar

fonte: http://edetools.blogspot.com/

[FulValBot]

ma un qualunque firewall potrebbe impedire st'infezione o no?

[Edgar Bangkok]

Quote:

Originariamente inviato da FulValBot

ma un qualunque firewall potrebbe impedire st'infezione o no?

Per sua natura un firewall puo' prevenire ad esempio la possibilità che un programma malevolo possa connettere il computer su cui e' in esecuzione con l'esterno pregiudicandone la sicurezza, puo' bloccare connessioni non autorizzate, tentativi di intrusione sul proprio pc ecc. ma non blocca l'esecuzione di software malevolo se lanciamo un file eseguibile che' in realta e' malware.
Quindi l'uso di un firewall e' complementare ad altri softwares (antivirus, sandbox, noscript ecc....) per prevenire possibili problemi da parte di virus sul proprio computer.
Un uso utile di un firewall nei casi visti nel post potrebbe quindi essere quello di servirsene, se dispone di queste opzioni, per bloccare gli indirizzi o ranges IP presenti es.su una blacklist di siti pericolosi e per evitare una involontaria navigazione sugli stessi.
Io, ad esempio, uso un semplicissimo firewall per bloccare gli indirizzi IP relativi ad altri PC della rete casalinga per evitare che un qualche problema all'interno del pc virtuale che utilizzo per i miei test su siti malware, si rifletta su altri computers connessi sulla stessa home lan.

[c.m.g]

ci aggiungo a quello detto dal bravo edgar che un firewall con funzioni di hips/cips potrebbe impedire l'avvio di un file eseguibile ma con un popup di richiesta, o magari impedire modifiche particolari al sistema. ovvio che se si risponde si alla finestra, il file verrà comunque avviato e/o le modifiche apportate al sistema. Il firewall comunque, come detto da edgar, è un complemento di quel parco software dedicato alla sicurezza (antivirus/antispyware/sandbox ecc...).