A distanza di tempo ho voluto ripetere la scansione di un indirizzo IP appartenente ad un server della societa' fiorentina Hosting Solutions compromesso da javascripts offuscati nel periodo maggio, giugno e che avevo gia' verificato nuovamente a settembre.
Normalmente ci si aspetterebbe che il numero dei siti con problemi malware decresca con il passare del tempo, ma in questo specifico caso, considerando anche un solo IP, le cose vanno diversamente.
Questi i risultati della scansione eseguita con il tool webscanner:
il report di luglio:
---------------------------------------------------------
Num. 60 SITES at IP 194.242.61.188 con javascript offuscato
il report di settembre dello stesso IP
--------------------------------------------------------
Num. 56 SITES at IP 194.242.61.188 con javascript offuscato
e questi sono i risultati della scansione eseguita il 4 novembre
----------------------------------------------------------------
Num. 96 SITES at IP 194.242.61.188 con javascript offuscato
Come si puo' notare a distanza di tempo il numero dei siti con javascript offuscato invece di diminuire e' aumentato.
Questo appare ancora piu' strano se si considera che attualmente il server che distribuiva malware all'indirizzo IP 81.95.148.42 , indirizzo ottenuto deoffuscando lo script presente nelle pagine, e' ormai inattivo da molto tempo.
Sarebbe quindi da escludere che ci siano dei nuovi tentativi da parte di chi aveva compromesso questi siti, di colpirne di nuovi su questo server.
Nel report di webscanner appaiono pero' nomi di siti che precedentemente non erano presenti, come ad esempio vvv.cebip.com
Home page del sito cebip.com
che tra l'altro ha sulla pagina un riferimento alla data del 3 novembre 2007 e quindi non si puo' neanche considerare come sito non aggiornato o inattivo.
Un altro esempio e' vvv.exateam.it che visualizza sulla home riferimenti a date recenti e quindi presumibilmente attivo e mantenuto aggiornato.
Home page del sito exateam.it
Una prima considerazione da fare' e' come sia possibile che chi si occupa di questi siti, tuttora on line e aggiornati , non riesca a eliminare dal codice un semplice codice javascript.
Normalmente ci si aspetterebbe che il numero dei siti con problemi malware decresca con il passare del tempo, ma in questo specifico caso, considerando anche un solo IP, le cose vanno diversamente.
Questi i risultati della scansione eseguita con il tool webscanner:
il report di luglio:
---------------------------------------------------------
Num. 60 SITES at IP 194.242.61.188 con javascript offuscato
il report di settembre dello stesso IP
--------------------------------------------------------
Num. 56 SITES at IP 194.242.61.188 con javascript offuscato
e questi sono i risultati della scansione eseguita il 4 novembre
----------------------------------------------------------------
Num. 96 SITES at IP 194.242.61.188 con javascript offuscato
Come si puo' notare a distanza di tempo il numero dei siti con javascript offuscato invece di diminuire e' aumentato.
Questo appare ancora piu' strano se si considera che attualmente il server che distribuiva malware all'indirizzo IP 81.95.148.42 , indirizzo ottenuto deoffuscando lo script presente nelle pagine, e' ormai inattivo da molto tempo.
Sarebbe quindi da escludere che ci siano dei nuovi tentativi da parte di chi aveva compromesso questi siti, di colpirne di nuovi su questo server.
Nel report di webscanner appaiono pero' nomi di siti che precedentemente non erano presenti, come ad esempio vvv.cebip.com
Home page del sito cebip.comUn altro esempio e' vvv.exateam.it che visualizza sulla home riferimenti a date recenti e quindi presumibilmente attivo e mantenuto aggiornato.
Home page del sito exateam.it
Source pagina vvv.exateam.itInoltre e' anche strano dare una spiegazione al numero di queste pagine contenenti malware che costantemente aumenta con il passare del tempo come se esistesse un qualche sistema che periodicamente infetta i codici anche se vengono bonificati.
C'e' solo da sperare, ma non ne esiste la certezza, che il server a cui linkavano gli script java rimanga inattivo perche' in caso contrario queste pagine ritornerebbero a ridistribuire malware o links a siti pericolosi come nel mese di maggio quando c'era stato il noto attacco a server italiani.
Questo e' il report ottenuto da webscanner relativo all'indirizzo IP 194.242.61.188 citato nel post:
----------------------------------------------------------------
vvv.solaris.it
vvv.tapematic.it
vvv.jwtitalia.it
vvv.nessimajocchi.it
vvv.ticonzeroassociazione.it
vvv.polenghigroup.it
vvv.duepuntiapertevirgolette.it
vvv.espressoitaliano.org
vvv.nationalgalleryfirenze.it
vvv.filevideo.it
vvv.alohaclub.it
vvv.umb-utensileria.it
vvv.cantinedamilano.it
vvv.gilasrecords.it
vvv.groovemasteredition.com
vvv.visusottica.com
vvv.casevacanze-initaly.com
vvv.bb-opera.com
vvv.villafragenea.it
vvv.tigertaekwondo.it
vvv.cooperativaarchimede.it
vvv.vidalaser.com
vvv.divinarivelazione.org
vvv.ostelloriva.com
vvv.poletticentrocopia.it
vvv.lavage.it
vvv.sinergiesrl.org
vvv.alrifugio.com
vvv.nerosubianco.org
vvv.freerideparadise.it
vvv.3emme.com
vvv.raviproductions.com
vvv.deplano.it
vvv.irsina.net
vvv.casedicutalia.it
vvv.hotel-fiori.com
vvv.bindistones.com
vvv.bresciagolf.com
vvv.ordineveterinari.pg.it
vvv.bottegadartetoscana.it
vvv.irri.it
vvv.zonatex.net
vvv.cebip.com
vvv.lampedusalastminute.it
vvv.arcierivirtusaltogarda.it
vvv.ottonidarte.com
vvv.dataease.it
vvv.atnimpianti.it
vvv.newsail.it
vvv.exateam.it
vvv.frescolatte.it
vvv.sviluppoeambiente.it
vvv.robertocavallo.it
vvv.ghiglia.it
vvv.antichierari.com
vvv.mazzonimoto.it
vvv.olimpiaonline.com
vvv.concessionarivolvotrucks.it
vvv.ostelloriva.it
vvv.sviluppoeambiente.it
vvv.cicloverdi.it
vvv.mazzonimoto.it
vvv.robertocavallo.it
vvv.ghiglia.it
vvv.moncini-industrie.com
vvv.leadersnc.com
vvv.concessionarivolvotrucks.it
vvv.neurochirurgiaoncologica.it
vvv.ilgrandecarro.org
vvv.sgc-italia.it
vvv.mondanita.it
vvv.baldorappresentanze.it
vvv.frescolatte.it
vvv.ostelloriva.it
vvv.sviluppoeambiente.it
vvv.cicloverdi.it
vvv.mazzonimoto.it
vvv.robertocavallo.it
vvv.ghiglia.it
vvv.moncini-industrie.com
vvv.ferrosport.it
vvv.allecottarze.it
vvv.leadersnc.com
vvv.concessionarivolvotrucks.it
vvv.terrasalento.it
vvv.neurochirurgiaoncologica.it
vvv.danzapersempre.it
vvv.alessandrocereda.net
vvv.ilgrandecarro.org
vvv.pcsprint.it
vvv.actionbikeworld.com
vvv.mentorweb.it
vvv.miralagonemi.it
vvv.daveriopallets.it
vvv.mjay.it
vvv.tessituragiaquinto.com
----------------------------------------------------------------
Num. 96 SITES at IP 194.242.61.188
==================================
Aggiornamento
GMG mi segnala che nella lista sonopresenti alcuni duplicati ed alcuni siti risultano nell'elenco pur risultando puliti; in effetti quando ho usato il tool ho cercato le occorrenze della stringa 'unescape' e qualche sito presenta l'istruzione java unescape nel sorgente utilizzata per scopi diversi da quello di decodificare un codice offuscato.
In ogni caso il numero di siti infetti si aggira sulle 69 unita' e come segnala GMG il sito vvv.aifr.it contiene un iframe con hxxp://ntkrnlpa.info/rc/?i=1 che scarica il file infector W32/Virut.
Aggiornamento 05/11/2007
Una ulteriore spiegazione del numero di siti con javascript offuscato che aumenta.
Forse non tutti i siti presenti su un unico IP vengono indicizzati subito dai motori di ricerca ma solo dopo un po di tempo da quando sono attivati e quindi siti presenti al momento dell'attacco e in cui e' stato inserito il codice java potrebbero comparire nella lista dopo settimane (o mesi ???) e non essere presenti subito nell'elenco di reverse IP ?????????.
Escludo invece che il sistema adottato da webscanner quando esegue il reverse IP tralasci un numero rilevante di pagine rispetto esempio al Reverse IP di SEOLOGS.COM in quanto da un test fatto Seolog rileva 342 websites with the IP 194.242.61.188 mentre webscanner ne rileva 385 SITES at IP 194.242.61.188 e considerando che potrebbero esserci duplicati sulla lista webscanner mi pare che i numeri si equivalgano.
Forse non tutti i siti presenti su un unico IP vengono indicizzati subito dai motori di ricerca ma solo dopo un po di tempo da quando sono attivati e quindi siti presenti al momento dell'attacco e in cui e' stato inserito il codice java potrebbero comparire nella lista dopo settimane (o mesi ???) e non essere presenti subito nell'elenco di reverse IP ?????????.
Escludo invece che il sistema adottato da webscanner quando esegue il reverse IP tralasci un numero rilevante di pagine rispetto esempio al Reverse IP di SEOLOGS.COM in quanto da un test fatto Seolog rileva 342 websites with the IP 194.242.61.188 mentre webscanner ne rileva 385 SITES at IP 194.242.61.188 e considerando che potrebbero esserci duplicati sulla lista webscanner mi pare che i numeri si equivalgano.
Edgar
2 commenti:
Nella lista ci sono alcuni valori duplicati come vvv.mazzonimoto.it
risultano 79 senza i duplicati
mi risultano puliti
vvv.arcierivirtusaltogarda.it
vvv.casevacanze-initaly.com
vvv.cicloverdi.it
vvv.freerideparadise.it
vvv.irri.it
vvv.mentorweb.it
vvv.miralagonemi.it
vvv.solaris.it
vvv.tapematic.it
vvv.terrasalento.it
vvv.tigertaekwondo.it
ma infetti
vvv.cmtraslochi.it
vvv.cortiascuola.com
vvv.daquegrulli.it
vvv.holympic.it
vvv.lorussoserramenti.it
vvv.progetto626.it
e
vvv.aifr.it
Quest'ultimo contiene un iframe
hxxp://ntkrnlpa.info/rc/?i=1
che scarica il file infector W32/Virut
Ciao,
GmG
Si, visto che il tool mi scarica i sorgenti ho cercato con un programma di ricerca sui files sorgenti e in effetti ne seleziona 69 con codice offuscato.Il report cercava la stringa 'unescape'che e' presente ad esempio anche in solaris.it e altri.
La cosa che non mi spiego e che comunque non sono diminuiti di numero ma anzi il numero e' aumentato rispetto esempio a settembre.
Che le altre volte il tool ne abbia saltato cosi' tanti mi pare strano, e tra l'altro alcuni sembrano sorgenti abbastanza recenti.
O che abbiano in qualche modo riorganizzato il server e spostato alcuni siti su diverso IP e quindi se ne siano aggiunti sul ...61.188 ?
boh...
ciao
Edgar
Posta un commento