[NEWS] Ancora alcuni siti compromessi su Tiscali.IT

[Edgar Bangkok]

lunedì 27 aprile 2009

Prima del testo del post alcune considerazioni:

Riporto in chiaro i links dei siti coinvolti in quanto pare utile informare di possibili problemi per chi li vistasse al momento ed inoltre perche' chi legge il post possa eventualmente collaborare , se possibile, ad avvisare i gestori dei siti stessi colpiti, per l'indispensabile bonifica. Scrivo questo poiche' per il sottoscritto e' materialmente impossibile, vista la grande mole di pagine compromesse trovate quasi ogni giorno, inviare notifiche dei problemi riscontrati ai rispettivi gestori dei siti, a meno di passare tutto il giorno all'invio di mails di avviso, tra l'altro il piu' delle volte ignorate .

Ricordo inoltre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti linkati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! dato che si tratta di pagine con malware attivo.

Riprendendo una segnalazione apparsa su Google Groups riguardo al sito www(dot)accaddeoggi(dot).it/ vediamo qualche dettaglio su cosa realmente e' presente nel sito e gli sviluppi seguiti a questa analisi.

Questo il source del sito www(dot)accaddeoggi(dot).it/

dove notiamo subito la presenza di uno script java offuscato

che puo' essere facilmente deoffuscato ottenendo un link che punta a IP
(whois sul blog)
La pagina linkata e' al momento attiva
(img sul blog)
e contiene a sua volta link ad exploits che analizzato con Wepawet rivela la sua pericolosita'

Considerato che e' difficile pensare che questo genere di attacchi colpisca solamente un sito ma quasi sempre ne coinvolge un certo numero sul medesimo server ho eseguito, sui dati ottenuti dal reverse IP,
(whois sul blog)
una analisi con il mio tool Webscanner ottenendo questo report

che conferma quanto ipotizzato precedentemente.

La percentuale dei siti colpiti questa volta e' veramente bassa rispetto al numero totale di quelli hostati sul server, ma cio' non toglie che ce ne sono alcuni, tra quelli coinvolti (es.quello della squadra di calcio), probabilmente molto visitati.

Ecco ad esempio il dettaglio del sito della nota squadra di calcio

con in evidenza il codice javascript identico a quello visto in precedenza.

C'e' anche da rilevare che sempre sul medesimo IP risultano presenti altri siti compromessi con l'inserimento di java scripts offuscati al momento che puntano a IP non piu' attivi e che sono da ricondurre ad una serie di attacchi subiti in passato.
Da notare che ripetendo piu' volte l'analisi, al caricamneto della pagina con gli exploit viene proposto un messaggio di 'NOT FOUND' in quanto, come accade quasi sempre in questi casi, viene memorizzato l'IP del visitatore dopo la prima volta che la si visita.

Edgar

fonte: http://edetools.blogspot.com/2009/04...omessi-su.html