[NEWS] Sito bonificato ma nuovamente e ripetutamente colpito ?

Edgar Bangkok · 29-05-2008, 04:05

giovedì 29 maggio 2008

Mi riferisco al sito del Comune di Grugliasco che era stato uno dei primi ad essere segnalati durante l'attacco del 10 maggio scorso, nuovamente compromesso dopo la probabile bonifica degli script qualche giorno fa, ribonificato e oggi ancora colpito dal massiccio upload sulle sue pagine di nuovi scripts che linkano a dota11(dot)cn.

Da una analisi della struttura del sito e delle pagine coinvolte su alcune siamo a livelli da “guinness dei primati' come numero di scripts scaricati che appaino in piu' di 2500 (duemilacinquecento scripts) !!!
(img sul blog)
Proprio una di queste pagine pesantemente attaccate presenta a differenza di altre, gli script non visibili in chiaro
(img sul blog)
ma nascosti nel codice.
Mentre al homepage e' nuovamente invasa dagli scripts che ne modificano il layout.
(img sul blog)
Il link indicato negli scripts e' attivo e carica m.js di cui vediamo il codice
(img sul blog)
Interessante notare che questa volta anche per chi carica lo script su computer con browser in lingua cinese viene attivato un link contrariamente ad uno script precedente (denominato sempre m.js) dove chi utilizzava linguaggio cinese non veniva coinvolto nel caricamento di pagine con exploit.
(img sul blog)
I links portano alle solite pagine contenenti exploit assortiti e probabilmente anche quello che sfrutta vulnerabilita' di adobe flash palyer anche se non nell'utima versione rilasciata.

Il dubbio che sorge e' che a questo punto, il tentativo di scaricare script java pericolosi sul sito , sia sempre attivo ed approfitti di vulnerabilita' non ancora patchate per 'aggiornare' nuovamente le pagine gia' colpite.
In pratica chi esegue gli attacchi potrebbe essersi creato un database di urls vulnerabili e ciclicamente provare a 'riaggiornarle' con un nuovo upload di javascript che linkano a malware

Edgar

fonte: http://edetools.blogspot.com/

Edgar Bangkok · 29-05-2008, 12:57

Il sito e' stato nuovamente bonificato e non presenta piu' gli scripts pericolosi.

Edgar

**Chill-Out** · 30-05-2008, 17:05

Quote:

Originariamente inviato da Edgar Bangkok

Il sito e' stato nuovamente bonificato e non presenta piu' gli scripts pericolosi.

Edgar

Ciao Edgar e complimenti per il tuo lavoro, nel momento in cui scrivo risulta compresso il sito vvv.lombardia.cri.it Croce Rossa Italiana Comitato regionale Lombardia

Sql Injection + Adobe Flash Zero Day Vulnerability

**Chill-Out** · 01-06-2008, 21:29

Il sito è nuovamente infetto

29-05-2008, 04:05	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Sito bonificato ma nuovamente e ripetutamente colpito ? giovedì 29 maggio 2008 Mi riferisco al sito del Comune di Grugliasco che era stato uno dei primi ad essere segnalati durante l'attacco del 10 maggio scorso, nuovamente compromesso dopo la probabile bonifica degli script qualche giorno fa, ribonificato e oggi ancora colpito dal massiccio upload sulle sue pagine di nuovi scripts che linkano a dota11(dot)cn. Da una analisi della struttura del sito e delle pagine coinvolte su alcune siamo a livelli da “guinness dei primati' come numero di scripts scaricati che appaino in piu' di 2500 (duemilacinquecento scripts) !!! (img sul blog) Proprio una di queste pagine pesantemente attaccate presenta a differenza di altre, gli script non visibili in chiaro (img sul blog) ma nascosti nel codice. Mentre al homepage e' nuovamente invasa dagli scripts che ne modificano il layout. (img sul blog) Il link indicato negli scripts e' attivo e carica m.js di cui vediamo il codice (img sul blog) Interessante notare che questa volta anche per chi carica lo script su computer con browser in lingua cinese viene attivato un link contrariamente ad uno script precedente (denominato sempre m.js) dove chi utilizzava linguaggio cinese non veniva coinvolto nel caricamento di pagine con exploit. (img sul blog) I links portano alle solite pagine contenenti exploit assortiti e probabilmente anche quello che sfrutta vulnerabilita' di adobe flash palyer anche se non nell'utima versione rilasciata. Il dubbio che sorge e' che a questo punto, il tentativo di scaricare script java pericolosi sul sito , sia sempre attivo ed approfitti di vulnerabilita' non ancora patchate per 'aggiornare' nuovamente le pagine gia' colpite. In pratica chi esegue gli attacchi potrebbe essersi creato un database di urls vulnerabili e ciclicamente provare a 'riaggiornarle' con un nuovo upload di javascript che linkano a malware Edgar fonte: http://edetools.blogspot.com/ Ultima modifica di Edgar Bangkok : 29-05-2008 alle 12:56.

29-05-2008, 12:57	#2
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Aggiornamento Il sito e' stato nuovamente bonificato e non presenta piu' gli scripts pericolosi. Edgar

01-06-2008, 21:29	#4
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Il sito è nuovamente infetto __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

Strumenti
Mostra una versione stampabile Invia questa pagina per email