|
|||||||
|
|
|
 |
|
|
Strumenti |
03-05-2009, 10:32
|
#1 |
|
Senior Member
Iscritto dal: Sep 2007
Messaggi: 467
|
[NEWS] Siti italiani compromessi da javascript offuscati (aggiornamento 3 maggio 09)
domenica 3 maggio 2009
Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Sulla lista degli aggiornamenti di www.malwaredomainlist.com relativa all'elenco di siti compromessi appare l'indicazione di un sito .IT che presenta l'inserimento nel codice della homepage, ma non solo, di javascript offuscato che punta a pagina Mbroot. Ricordo che il rootkit Mebroot, altrimenti noto come Torpig, Sinowal, o MBR, e' attivo da fine 2007 ed ultimamente e' in circolazione anche una nuova variante. Dato che appare improbabile che su centinaia di siti presenti su un singolo IP uno solo sia stato vittima di un attacco per comprometterne il codice inserendo script offuscato, e' stata eseguita una analisi Webscanner sia dell'IP che ospita il sito compromesso che di alcuni IP contigui a quello del sito segnalato da www.malwaredomainlist.com. Questo il sito attualmente compromesso da script offuscato presente su malwaredomainlist  Una scansione con webscanner a pero' portato a trovare ad esempio quest'altro sito su medesimo IP  mentre su altro IP contiguo al precedente abbiamo  Si tratta di siti compromessi che presentano tutti l'inserimento di questo script offuscato (img sul blog) non solo sulla home ma anche su altre pagine del sito e che deoffuscato ed analizzato con Wepawet viene classificato come (img sul blog) Edgar  fonte: http://edetools.blogspot.com/2009/05...avascript.html |
|
|
|
03-05-2009, 10:36
|
#2 |
|
Senior Member
Iscritto dal: Aug 2004
Messaggi: 19367
|
Bello schifo.. comunque grazie, quel blog sembra interessante appena ho qualche minuto lo leggo
__________________
"Le statistiche sono come le donne lascive: se riesci a metterci le mani sopra, puoi farci quello che ti pare" Walt Michaels |
|
|
|
|
03-05-2009, 11:44
|
#3 |
|
Senior Member
Iscritto dal: Sep 2007
Messaggi: 467
|
Aggiornamento
domenica 3 maggio 2009
A conferma dell'utilizzo di vulnerabilita presenti molto spesso negli ambienti di sviluppo per siti web e comunque di vulnerabilita' presenti in genere sui siti ma a volte anche su server, una analisi Webscanner degli stessi ranges IP visti prima, nel post al riguardo di malware Mebroot,....................... Edgar PS: grazie per i complimenti al mio blog Edgarfonte: http://edetools.blogspot.com/2009/05...maggio-09.html |
|
|
|
|
03-05-2009, 22:28
|
#4 |
|
Senior Member
Iscritto dal: Feb 2007
Città: Modena
Messaggi: 4904
|
ti rifaccio i complimenti anch'io
 E' da un pò che non leggevo il tuo blog.. Ma te almeno lavori per qualche compagni antivirus, o fai tutto per "passione" ? 
|
|
|
|
|
04-05-2009, 01:19
|
#5 |
|
Senior Member
Iscritto dal: Sep 2007
Messaggi: 467
|
Solo per hobby, anche se in passato ho lavorato nell'ambiente dell'informatica a partire dai tempi in cui Internet non esisteva ed i computers usavano solo monitor a fosfori verdi .....
 Edgar
|
|
|
|
|
04-05-2009, 16:12
|
#6 | |
|
Senior Member
Iscritto dal: Feb 2002
Città: Termini Im. (I)/Port Talbot (UK)/Ludwigshafen (D)
Messaggi: 936
|
Quote:
__________________
«Sono cristiano con Copernico, Descartes, Newton, Leibniz, Pascal, Eulero, Gerdil, con tutti i grandi astronomi e fisici del passato. E se mi si chiedessero le mie ragioni sarei felice di esporle» (Cauchy) /// I shall fear no evil, for Thou art with me  /// CLIO COMMUNITY /// AF inside  /// Sehnsucht
|
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 08:39.
