lunedì 17 settembre 2007

Cosa e' successo ai siti italiani "hackerati" da Gromozon ?

A distanza di qualche mese ho voluto vedere cosa sia successo ai numerosi siti italiani che avevano subito un attacco informatico nel periodo maggio - giugno di quest'anno.
Come ricorderete un quantita' notevole di siti appartenenti a diversi hoster italiani era stata attaccata con l'inserimento all'interno di una o piu' pagine web , di un javascript offuscato che linkava a una pagina contenente malware.
Tramite il mio tool webscanner ho rifatto la scansione di uno dei numerosi IP appartenente ad un server della societa' fiorentina Hosting Solutions.


Questi sono i risultati del report di luglio:

---------------------------------------------------------
Num. 60 SITES at IP 194.242.61.188 con javascript offuscato


e questo e' il report ottenuto con webscanner adesso
--------------------------------------------------------

Num. 56 SITES at IP 194.242.61.188 con javascript offuscato


Come si vede la differenza e' di appena 4 siti che non presentano piu' lo script all'interno delle pagine.
Se, come e' probabile, la stessa situazione e' applicabile anche agli altri ranges IP, e penso anche ad altri hoster, ci troviamo nell'esatta situazione di quando i siti erano stati attacati a maggio. Fortunatamente l'IP a cui punta il file javascript offuscato e' inattivo, ma comunque e' raggiungibile e la scansione mostra la presenza di un server funzionante.( l'IP risulta ad un whois come registrato a una societa' di Panama.)
Se, per ipotesi, venisse riattivata la pagina che era presente all'IP a cui faceva puntare lo script offuscato, tutti questi siti ritornerebbero a diffondere malware.
La cosa piu sconcertante e' che ad esempio, nella lunga lista di siti compromessi, a luglio webscanner aveva rilevato un sito appartenente ad un Comune italiano.
Attualmente, il sito di questo comune, continua ad avere online lo script java nelle sue pagine e questo e' ancora piu grave in quanto si tratta di un sito di Ente Pubblico.

Mi pare che ogni commento sia superfluo.

Edgar



1 commento:

TNT ha detto...

Veramente incredibile. Verrebbe QUASI da pensare che lo stiano facendo apposta ed abbiano una percentuale sulle macchine infettate... sei mesi e passa senza sistemare i siti e' qualcosa di assolutamente ridicolo.