martedì 24 luglio 2007

Work in progress

Prosegue il test del software webscanner.

Il software ha trovato in circa 15 minuti di scansione 309 siti e su questi , ben 71 che presentano al loro interno lo script offuscato che punta a siti con malware...

Una particolarita' che sarebbe interessante capire e' la data dei files sorgenti delle pagine scaricate che e' in gran parte il 19 luglio 2007, adesso se questa data corrisponde all ultimo aggiornamento dei files e' impossibile che tutti i siti siano stati aggiornati manualmente il 17 luglio, la data potrebbe riferisrsi quindi al momento di una operazione di backup e restore di folder sul server??? o peggio starebbe ad indicare che tutti questi files sono stati manomessi in quella data??? (il time sui files e' sequenziale, parte dalle 21 e qrriva sino alle 22, un.altro gruppo di file risulta con data 24 luglio dalle 13 alle 13,30. Anche pensando che la data fosse presa dal server al momento del download dei files non si spiga comunque visto che non corrisponde alla data di oggi o all ora di oggi nel caso dei files datati 24 luglio...

Ecco la lista dei siti contaminati da script ottenuta con webscanner.

D:\webscan\htmtotxt\xxx.nonlavoro.net .txt,5 KB,19/07/2007 21:34:52
D:\webscan\htmtotxt\xxx.mecondor.com .txt,3 KB,19/07/2007 21:36:19
D:\webscan\htmtotxt\xxx.novachem.it .txt,10 KB,19/07/2007 21:39:47
D:\webscan\htmtotxt\xxx.cantinesonore.it .txt,1 KB,19/07/2007 21:40:03
D:\webscan\htmtotxt\xxx.museostorico.it .txt,4 KB,19/07/2007 21:40:42
D:\webscan\htmtotxt\xxx.museostorico.tn.it .txt,4 KB,19/07/2007 21:40:42
D:\webscan\htmtotxt\xxx.itcfood.it .txt,5 KB,19/07/2007 21:41:12
D:\webscan\htmtotxt\xxx.giumajeans.it .txt,8 KB,19/07/2007 21:43:11
D:\webscan\htmtotxt\xxx.diveitaly.com .txt,17 KB,19/07/2007 21:44:08
D:\webscan\htmtotxt\xxx.dataar.it .txt,7 KB,19/07/2007 21:44:50
D:\webscan\htmtotxt\xxx.newcharter.com .txt,1 KB,19/07/2007 21:45:52
D:\webscan\htmtotxt\xxx.teleinformazioni.it .txt,31 KB,19/07/2007 21:46:15
D:\webscan\htmtotxt\xxx.percossipapi.com .txt,2 KB,19/07/2007 21:49:41
D:\webscan\htmtotxt\xxx.voguecasarredo.it .txt,3 KB,19/07/2007 21:50:51
D:\webscan\htmtotxt\xxx.euroged.it .txt,2 KB,19/07/2007 21:52:02
D:\webscan\htmtotxt\xxx.seccoservice.it .txt,7 KB,19/07/2007 21:53:11
D:\webscan\htmtotxt\xxx.teleinformazioni.com .txt,31 KB,19/07/2007 21:53:21
D:\webscan\htmtotxt\xxx.scsnet.it .txt,1 KB,19/07/2007 21:55:32
D:\webscan\htmtotxt\xxx.newlast.com .txt,2 KB,19/07/2007 21:56:52
D:\webscan\htmtotxt\xxx.creability.it .txt,10 KB,19/07/2007 21:59:11
D:\webscan\htmtotxt\xxx.argentiaprodotti.it .txt,6 KB,19/07/2007 22:00:15
D:\webscan\htmtotxt\xxx.teleconsulenti.it .txt,27 KB,19/07/2007 22:00:31
D:\webscan\htmtotxt\xxx.arsweb.it .txt,2 KB,19/07/2007 22:03:01
D:\webscan\htmtotxt\xxx.eventyr-records.it .txt,2 KB,19/07/2007 22:03:44
D:\webscan\htmtotxt\xxx.magnum.re.it .txt,11 KB,19/07/2007 22:03:50
D:\webscan\htmtotxt\xxx.otticain.it .txt,4 KB,19/07/2007 22:06:16
D:\webscan\htmtotxt\xxx.oshocircleschool.it .txt,5 KB,19/07/2007 22:06:23
D:\webscan\htmtotxt\xxx.fratellicrosta.it .txt,11 KB,19/07/2007 22:08:10
D:\webscan\htmtotxt\xxx.omasoft.com .txt,2 KB,19/07/2007 22:08:22
D:\webscan\htmtotxt\xxx.hairmodeformula.it .txt,10 KB,19/07/2007 22:08:26
D:\webscan\htmtotxt\xxx.germinara.it .txt,24 KB,19/07/2007 22:08:32
D:\webscan\htmtotxt\xxx.parcoappiaantica.it .txt,3 KB,19/07/2007 22:08:41
D:\webscan\htmtotxt\xxx.monopoli.it .txt,2 KB,19/07/2007 22:09:17
D:\webscan\htmtotxt\xxx.afasia-er.it .txt,6 KB,19/07/2007 22:09:43
D:\webscan\htmtotxt\xxx.settimo.net .txt,2 KB,19/07/2007 22:11:14
D:\webscan\htmtotxt\xxx.pasqualebruni.it .txt,1 KB,19/07/2007 22:12:27
D:\webscan\htmtotxt\xxx.epd.it .txt,2 KB,19/07/2007 22:13:43
D:\webscan\htmtotxt\xxx.dylon.it .txt,4 KB,19/07/2007 22:13:51
D:\webscan\htmtotxt\xxx.termoda.com .txt,14 KB,19/07/2007 22:15:23
D:\webscan\htmtotxt\xxx.sving.it .txt,2 KB,19/07/2007 22:15:32
D:\webscan\htmtotxt\xxx.equal-dialogos.it .txt,2 KB,19/07/2007 22:18:38
D:\webscan\htmtotxt\xxx.cybercasa.com .txt,3 KB,19/07/2007 22:19:09
D:\webscan\htmtotxt\xxx.ampollina.it .txt,4 KB,19/07/2007 22:19:23
D:\webscan\htmtotxt\xxx.italian-products.it .txt,1 KB,19/07/2007 22:20:00
D:\webscan\htmtotxt\xxx.extremshoes.it .txt,2 KB,19/07/2007 22:20:52
D:\webscan\htmtotxt\xxx.steelcomp.it .txt,11 KB,19/07/2007 22:22:56
D:\webscan\htmtotxt\xxx.lagobin.it .txt,11 KB,19/07/2007 22:23:09
D:\webscan\htmtotxt\xxx.lemorghe.it .txt,11 KB,19/07/2007 22:23:09
D:\webscan\htmtotxt\xxx.promecelettronica.it .txt,15 KB,24/07/2007 13:13:18
D:\webscan\htmtotxt\xxx.spazio10.it .txt,6 KB,24/07/2007 13:13:20
D:\webscan\htmtotxt\xxx.esisrl.com .txt,13 KB,24/07/2007 13:16:00
D:\webscan\htmtotxt\xxx.morani.it .txt,10 KB,24/07/2007 13:17:27
D:\webscan\htmtotxt\xxx.marcobarbieri.org .txt,11 KB,24/07/2007 13:17:34
D:\webscan\htmtotxt\xxx.sotral.it .txt,2 KB,24/07/2007 13:17:41
D:\webscan\htmtotxt\xxx.sotral.com .txt,2 KB,24/07/2007 13:17:43
D:\webscan\htmtotxt\xxx.formazioneulisse.it .txt,13 KB,24/07/2007 13:17:59
D:\webscan\htmtotxt\xxx.kalatambiente.net .txt,14 KB,24/07/2007 13:18:15
D:\webscan\htmtotxt\xxx.aziendauslba5.it .txt,50 KB,24/07/2007 13:18:29
D:\webscan\htmtotxt\xxx.andreapagnossin.com .txt,2 KB,24/07/2007 13:19:59
D:\webscan\htmtotxt\xxx.areamare.com .txt,6 KB,24/07/2007 13:20:23
D:\webscan\htmtotxt\xxx.areamare.it .txt,6 KB,24/07/2007 13:20:26
D:\webscan\htmtotxt\xxx.motoemoto.com .txt,74 KB,24/07/2007 13:20:51
D:\webscan\htmtotxt\xxx.sigg.it .txt,18 KB,24/07/2007 13:23:52
D:\webscan\htmtotxt\xxx.studentcard.it .txt,2 KB,24/07/2007 13:24:06
D:\webscan\htmtotxt\xxx.asstex.com .txt,35 KB,24/07/2007 13:24:21
D:\webscan\htmtotxt\xxx.neldiritto.it .txt,76 KB,24/07/2007 13:26:54
D:\webscan\htmtotxt\xxx.medeacom.it .txt,26 KB,24/07/2007 13:30:54
D:\webscan\htmtotxt\xxx.spqrdipsociale.it .txt,18 KB,24/07/2007 13:31:24
D:\webscan\htmtotxt\xxx.avolta.pg.it .txt,21 KB,24/07/2007 13:31:29
D:\webscan\htmtotxt\xxx.scuolaaperta.it .txt,6 KB,24/07/2007 13:31:55
D:\webscan\htmtotxt\xxx.legnitalia-porte.it .txt,5 KB,24/07/2007 13:32:13


Il range IP esaminato appartiene a SEEWEB Hosting Company.

La lista estratta da webscanner potrebbe essere non completa in quanto webscanner acquisice il reverse IP in maniera automatica ma comunque al momento della scansione delle pagine il programma di supporto WGET potrebbe non caricare un sito per via o di timeout , di problemi di connessione o perche ' non trova la pagina con estensione htm o html.

Edgar

2 commenti:

maverick ha detto...

Ciao edgar.
Appena puoi mandami il tool così lo testo anch'io. E poi eventualmente lo rilasci al pubblico.
Magari se metti un contatore vediamo quandi lo scaricano :-)

Edgar Bangkok ha detto...

Ho mandato il file zip della beta per mail, conferma se arriva e poi se funziona
Ciao
Edgar