A distanza di qualche mese ho voluto vedere cosa sia successo ai numerosi siti italiani che avevano subito un attacco informatico nel periodo maggio - giugno di quest'anno.
Come ricorderete un quantita' notevole di siti appartenenti a diversi hoster italiani era stata attaccata con l'inserimento all'interno di una o piu' pagine web , di un javascript offuscato che linkava a una pagina contenente malware.
Tramite il mio tool webscanner ho rifatto la scansione di uno dei numerosi IP appartenente ad un server della societa' fiorentina Hosting Solutions.
Come ricorderete un quantita' notevole di siti appartenenti a diversi hoster italiani era stata attaccata con l'inserimento all'interno di una o piu' pagine web , di un javascript offuscato che linkava a una pagina contenente malware.
Tramite il mio tool webscanner ho rifatto la scansione di uno dei numerosi IP appartenente ad un server della societa' fiorentina Hosting Solutions.
Questi sono i risultati del report di luglio:
---------------------------------------------------------
Num. 60 SITES at IP 194.242.61.188 con javascript offuscato
e questo e' il report ottenuto con webscanner adesso
--------------------------------------------------------
Num. 56 SITES at IP 194.242.61.188 con javascript offuscato
Come si vede la differenza e' di appena 4 siti che non presentano piu' lo script all'interno delle pagine.
Se, come e' probabile, la stessa situazione e' applicabile anche agli altri ranges IP, e penso anche ad altri hoster, ci troviamo nell'esatta situazione di quando i siti erano stati attacati a maggio. Fortunatamente l'IP a cui punta il file javascript offuscato e' inattivo, ma comunque e' raggiungibile e la scansione mostra la presenza di un server funzionante.( l'IP risulta ad un whois come registrato a una societa' di Panama.)
Se, per ipotesi, venisse riattivata la pagina che era presente all'IP a cui faceva puntare lo script offuscato, tutti questi siti ritornerebbero a diffondere malware.
La cosa piu sconcertante e' che ad esempio, nella lunga lista di siti compromessi, a luglio webscanner aveva rilevato un sito appartenente ad un Comune italiano.
Attualmente, il sito di questo comune, continua ad avere online lo script java nelle sue pagine e questo e' ancora piu grave in quanto si tratta di un sito di Ente Pubblico.
Mi pare che ogni commento sia superfluo.
Se, come e' probabile, la stessa situazione e' applicabile anche agli altri ranges IP, e penso anche ad altri hoster, ci troviamo nell'esatta situazione di quando i siti erano stati attacati a maggio. Fortunatamente l'IP a cui punta il file javascript offuscato e' inattivo, ma comunque e' raggiungibile e la scansione mostra la presenza di un server funzionante.( l'IP risulta ad un whois come registrato a una societa' di Panama.)
Se, per ipotesi, venisse riattivata la pagina che era presente all'IP a cui faceva puntare lo script offuscato, tutti questi siti ritornerebbero a diffondere malware.
La cosa piu sconcertante e' che ad esempio, nella lunga lista di siti compromessi, a luglio webscanner aveva rilevato un sito appartenente ad un Comune italiano.
Attualmente, il sito di questo comune, continua ad avere online lo script java nelle sue pagine e questo e' ancora piu grave in quanto si tratta di un sito di Ente Pubblico.
Mi pare che ogni commento sia superfluo.
Edgar
1 commento:
Veramente incredibile. Verrebbe QUASI da pensare che lo stiano facendo apposta ed abbiano una percentuale sulle macchine infettate... sei mesi e passa senza sistemare i siti e' qualcosa di assolutamente ridicolo.
Posta un commento