giovedì 11 ottobre 2007

Scansione con Webscanner dell' IP 212.25.179.97

In riferimento ad un nuovo problema di iframe malevoli presenti in homepage di siti web ospitati sui servers di S e e w e b ecco i risultati di una prima scansione dell'IP 212.25.179.97.
Il problema su questi siti, descritto in un post apparso su PC al Sicuro e' diverso da quello che ho descritto nel post precedente, pur essendo sempre riferito a servers S e e w e b.
In questo caso ci troviamo di fronte ad alcuni siti ospitati sul server, all'indirizzo IP riportato sopra, che presentano un iframe con un link all'IP 81.29.241.238. (whois LLC GlobalWholesaleTrade country: Moscow Russia) e relativo a server contenente malware.
Al contrario di altre volte il codice sembra interessare solo la homepage del sito attacato e non le sottopagine.

Questo e' un estratto del report di Webscanner dell'IP 212.25.179.97 .

----------------------------------------------------------------

List ONLY sites filtered by string.
Report generated by WEBSCANNER by Edgar 2007
IP adr. range and date time = 212.25.179.97_101_11102007_2133
Filter sites with string = unescape$81.29.241.238
Number of show results on each page = 50
WGET timeout seconds = 2 WGET number retries to connect site = 2
----------------------------------------------------------------
vvv.nausicaaclub.it
vvv.grafichedelliri.com
vvv.kawasakiday.com
vvv.sorgentegroup.it
vvv.kawasakiday.it
vvv.zaia.it
vvv.factotumsas.com
vvv.pugliapnl.net
vvv.inlavoro.it
vvv.siderservices.it
vvv.cedelba-soft.it
vvv.mspfrosinone.it
vvv.meteomonti.com
vvv.cimetsrl.it
vvv.trattozero.it
vvv.vspto.com
vvv.dsmelzo.it
vvv.viagginkenya.com
vvv.bracagliasrl.it
vvv.biomedicals.it
vvv.thermoelettra.com
vvv.gruppodibartolo.it
vvv.guidahairbeauty.it
vvv.vespaio.net
vvv.porfidiitalia2000.it
----------------------------------------------------------------
Num. 26 SITES at IP 212.25.179.97
===================================
----------------------------------------------------------------
Da notare che tutti i sorgenti scaricati da Webscanner con all'interno l'iframe, riportano come data dell'ultima modifica il 5/10/2007 con un orario che varia dalle 22.49 alle 23.05.
A mio avviso potrebbe anche essere il momento in cui e' stato aggiunto l'iframe malevolo ai files presenti sul server.
Se fosse cosi', ci troveremmo di fronte ad un attacco che e' stato portato solo pochi giorni fa al server S e e w e b che ospita questi siti.

Edgar


Nessun commento: