giovedì 27 settembre 2007

Ancora server Seeweb con seri problemi malware

Un certo numero di siti presenti su di un server Seeweb appaiono seriamente compromessi da malware.

Riprendendo quanto apparso sul forum di Hardware Upgrade ho seguito una scansione con il tool webscanner degli indirizzi IP compresi tra 217.64.193.7 e 217.64.193.100 (server Seeweb)

In effetti, come era scritto sul forum alcuni siti risultano molto compromessi sia da javascripts offuscati che dalla presenza al loro interno di link a siti di vendita di falsi medicinale, viagra ecc...

Alcuni presentano un semplice iframe con un indirizzo ip che punta all.IP 69.50.190.xxx (che un whois rileva come appartenente ad InterCage, Inc. (ben noto a tutti quelli che si occupano di malware), mentre altri siti contengono uno o piu' java scripts offuscati che puntano a siti che tentano di scaricare sul pc malware di vario genere tramite exploit.

Per certi siti la quantita' di codice malevolo inserita e' tale che praticamente e' impossibile visualizzare il sito originale ma vengono visualizzati solo i link ai vari siti spazzatura.

Alcuni esempi di schermate di siti compromessi su server Seeweb.

e ancora


dove praticamnete si e' persa ogni traccia del sito originale.

Se osserviamo le date dei files scaricati dal tool webscanner, risultano nella magior parte dei primi giorni di settembre 2007 , cosa che confermerebbe che non si tratta di malware collegato agli attacchi del periodo di maggio... giugno quando Seeweb, Hosting Solution ed altri hoster italiani avevano subito un massiccio attacco da parte di Gromozon.


Edgar


Nessun commento: