giovedì 28 febbraio 2008

Elenco parziale di siti comunali con problemi di hacking

Quello che vedete e' un elenco, parziale, di siti comunali che attualmente presentano, od hanno presentato, al loro interno pagine o in qualche caso la stessa home page compromesse.

In lista non compaiono gli indirizzi di siti che hostano pagine nascoste contenenti links a malware, rogue appl. od altro, di cui ho scritto in precedenti post (vedi elenco NEWS a lato del post)

Per quanto si riferisce alla colonna Note la lettera:
H significa che l'hacking e' tuttora presente, (animaz vuole dire che e' presente anche una animazione ...)
C che l'hacking non e' piu' attivo ma a volte ancora rilevabile in cache page del motore di ricerca
P che si tratta di pagina a se stante aggiunta al sito.
F che viene proposto di scaricare un file dal sito

Ricordo che a volte, per visualizzare l'hacking della pagina quando e' presente sotto forma di animazione o script, bisogna che noscript, se utilizzato, venga abilitato ad eseguire i contenuti attivi del sito (fare sempre attenzione perche' potrebbero essere comunque presenti anche script pericolosi).

Aggiornamenti 29/2

comune di scordia, xxx.comune.scordia.ct.it/admin_sorry.htm , H
marina di ginosa , xxx.marinadiginosa.net/forum/topic.asp?TOPIC_ID=34, H
comune di monopoli , xxx.comune.monopoli.ba.it/comune/pagine/power.htm , H
comune di crispiano, xxx.comune.crispiano.ta.it/docs/ , H


ed anche

ECIPA, Ente Confederale per l'Istruzione Prof. e Artig, http://ecipa.ge.it/cra.htm , H

Edgar

mercoledì 27 febbraio 2008

Diamo un po' i numeri

Per non scrivere sempre di Comuni o comunque siti di Amministrazione Pubblica Italiana vediamo qualche numero che otteniamo da ricerche effettuate in rete con i piu' diffusi motori di ricerca.

Ad una ricerca tramite Yahoo della stringa di testo intext:”hacked by” site:.it risultano circa 279.000 (duecentosettatanovemila) links

Alla stessa ricerca effetuta in Google risultano circa 97.800 (novatasettemilaottocento) links

Sempre per questa stringa, a cui pero' non e' possibile associare gli operatori avanzati di ricerca in quanto da qualche tempo Microsoft gli ha disabilitati, con Live Search Microsoft risultano 84.300 (ottantaquattromilatrecento links)

Ammettiamo, per eccesso, che piu' della meta sia solo un risultato che non riveste alcuna importanza dal punto di vista di quello che volevamo trovare e cioe' pagine compromesse di siti attualmente online su domini italiani.
Mi sembra che comunque ci troviamo di fronte ad una quantita' di siti che hostano pagine spazzatura e forse non solo quello che e' impressionante e si badi bene che stiamo parlando solo di siti .it

Inoltre filtrando le ricerche per data sembra che anche negli ultimi mesi il problema rimanga e non si tratti di casi isolati e non piu' attuali.

Qualcuno potra obbiettare che si tratta solo, nel maggior numero dei casi, di un "paginetta" di testo con scritto sopra Hacked By e qualche file flash o immagine aggiunti qua e la' .... ma se e' stato possibile inserire questi files non vedo perche' chi ha compiuto questo non avrebbe potuto anche eseguire altre operazioni.(inserimento di programmi malware, software per accedere ai dati presenti sul sito, ecc..)

Sarei curioso di sapere cosa ne pensano gli esperti di sicurezza Internet....

(NB se effettuate qualche ricerca utilizzando la stringa di caratteri vista sopra state attenti quando accedete alle pagine poiche' potrebbero avere oltre ai soliti testi anche contenuti come ad esempio script java pericolosi .... Usate ad esempio Firefox con Noscript e/o Sandboxie)

Continua

Edgar

Fuori da ogni controllo

Innanzitutto una premessa relativa al mio interesse su problemi prevalentemente a siti di Amministrazione Pubblica.
Questo deriva dal fatto che oltre aver lavorato per circa 10 anni in Enti Pubblici nel campo dell'informatica e conoscendo quindi abbastanza bene l'ambiente credo che, visto il loro carattere istituzionale e di informazione per i cittadini, questi siti dovrebbero essere i primi a garantire una certa sicurezza per chi li visita e non proporre links o peggio tentativi di scaricare malware; invece non passa giorno che ricerche in rete piu' approfondite portino a risultati sconcertanti.

Inoltre credo che visto l'enorme numero di problemi di sicurezza collegati al web convenga orientarsi su un determinato genere di pagine e di tipologia di siti dato che sarebbe impossibile aggiornarsi ed aggironare il blog su tutto quello che accade in rete quotidianamente (pagine web con malware, ecc....).

Su alcuni post apparsi su questo blog un po di tempo fa, avevamo visto i sitemi , per cosi' dire 'soft', di link a pagine malware tramite i collegamenti aggiunti a messaggi di forum oppure inseriti nei guest bools su pagine appartenenti ad Enti Pubblici italiani.

Successivamente , i tentativi spesso riusciti, di linkare pagine malware o comunque non affidabili (rogue applications, siti porno ecc...) attraverso compromissione di siti sfruttando varie vulnerabilita' (es vulnerabilita' dell'ambiente di sviluppo web Plone).

Questo presupponeva che comunque, i siti in questione, avessero subito un attacco, che una volta eseguito, consentiva di inserire al loro interno contenuti di vario genere.

Continuando nelle ricerche, e c'era comunque da aspettarselo, viste le premesse , vediamo ora siti che presentano in maniera evidente, i risultati di questi attacchi.

Si tratta solo di alcune delle centinaia di pagine hostate da siti comunali che presentano problemi e che sono tuttora online senza che si sia provveduto a bonificarle.

Gli screenshot che posto sono tutti di siti comunali online ed attivi e c'e' da chiedersi se chi li gestisce sia a conoscenza di questi problemi.



pagina Informa Giovani di un sito comunale

in questa home e' presente un link ....


altro sito comunale


Notare la presenza nelle pagine anche di links a file flash o scripts

Molti di questi messaggi riconducono alla Turchia....

Questi screen sono solo una piccola parte di quello che si e' potuto trovare in rete relativamente alle ricerche su siti .comune. .... .it.

Resta inoltre da verificare se chi e' penetrato nei siti si sia solo limitato a lasciare in evidenza la propria 'firma' o invece abbia anche provveduto a uploadare scripts, files eseguibili di vario genere e software per poter accedervi da remoto e modificarne i contenuti.

E anche quasi certo che estendendo le ricerche a diverse altre tipologie di siti le sorprese non mancheranno.

Continua

Edgar

martedì 26 febbraio 2008

Ancora mails di phishing CartaSi

Ricevute a pochi minuti di intervallo l'una dall'altra due nuove mail di phishing ai danni di CartaSi

La particolarita' di una delle due e' che presenta oltre al link al sito di phishing anche un link a documento in formato pdf.


Il dubbio che questa volta oltre all'indirizzo do phishing avessero aggiunto un falso file pdf per sfruttare qualche vulnerabilita Adobe reader e' stato chiarito esaminando il file che risulta essere solo un semplice documento relativo a CartaSi aggiunto forse per aumentare la credibilita' del messaggio di phishing.


L'altra mail risulta simile ad una gia' ricevuta in precedenza con evidenti errori nel testo ( es. click qui e ' diventato scatto qui )

Tutte e due le mails sono hostate su sito austriaco
alla porta 90 invece che la consueta 80.


Aggiornamento 27 febbraio

Ricevuta ancora un'altra email di phishing sempre ai danni di CartaSi' il cui contenuto e' esattamente lo stesso di quella precedente che conteneva l'allegato PDF.
Unica differenza il server che ora risulterebbe locato in Korea. (e' sempre utilizzata la porta 90 anziche' la 80).
Proabilmente sono in circolazione piu' 'pacchetti' della identica procedura di phishing.

Edgar

lunedì 25 febbraio 2008

Aggiornamento su siti .IT con pagine e link a malware e rogue applications

Su utile segnalazione di Gmg riporto la notizia che Trend Labs Malware Blog pubblica un post con un chiarimento su quanto ho pubblicato nei giorni scorsi al riguardo dei siti italiani, e non, compromessi con pagine nascoste o files che linkano a malware

....... On Sunday, an Italian blog reported of several compromised sites. ...........

Io avevo attribuito a qualche vulnerabilita' Zope il problema di questi siti anche se il dubbio rimaneva in quanto alcuni siti non presentavano queste caratteristiche.
Secondo Trend Lab Blog infatti la vulnerabilita' dei siti sarebbe dovuta all'uso di plone come ambiente di sviluppo dei contenuti

"they were created using Plone, an open source content management system."

Il post poi illustra la tecnica di ricerca con Google attraverso l' operatore avanzato inurl di pagine che naturalmente sono presenti anche su domini non italiani.

Posso dire pero' che Google non si e' dimostrato il migliore come motore di ricerca in questo caso ma ho trovato molto piu' valida una ricerca tramite Yahoo che ha dato un maggior numero di risultati.

Resta anche da vedere se tutti i siti trovati dipendano da Plone in quanto mi pare che alcuni non siano stati creati con questo software.

Trend Labs conclude ricordando che :

In November 2007, Australian Computer Emergency Response Team (AusCERT) discovered a vulnerability in Plone. ...

cioe' sembra che da novembre 2007 sia stata rilevata questa vulnerabilita' e probabilmente qualcuno ne ha approfittato.

Un appunto a Trend Micro ed a Juan Castro che scrive il post e' quello che in ogni caso per maggior chiarezza le fonti a cui si attinge per scrivere il blog andrebbero sempre citate, (vedi " an Italian blog .." anonimo.) se non altro per avere un riscontro su quanto e' stato scritto; io di solito cerco nel possibile di fare sempre cosi' sia per i blog e gli articoli da cui traggo spunto sia anche per i commenti che ricevo e a cui rispondo nei post.
Sembra pero' che la tendenza attuale, non solo in contenuti blogs, ma anche di stampa, sia quella di usare il "copia e incolla" senza interssarsi di citare le fonti da cui si e' preso spunto.


Edgar

Interessante sistema di ricerca spyware, malware ecc...

Il sistema che sta diventando sempre piu' efficiente per individuare indirizzi sempre aggiornatissimi di pagine con spyware, falsi antivirus, motori di ricerca di dubbia affidabilita', siti che distribuiscono malware.... , sembra quello di andare a visionare qualche sito di Amministrazione Pubblica Italiana.
Infatti, non sono pochi e se ne aggiungo giornalmente (qui sotto una new entry) i siti di Comuni, in modo particolare, che hostano pagine con link a siti inaffidabili, oppure tramite forum e guestbook, visualizzano aggiornati links.
La possibilita' che questo fenomeno cessi e' praticamente nulla, in quanto oltre alla comparsa di nuovi siti comunali con i problemi visti sopra il tentare di informare webmaster o chi amministra questi siti si risolve quasi sempre in un nulla di fatto.
Questo succede sia per siti che sembrano abbandonati da chi li gestiva ( pagine con vecchie date e notizie di anni passati) ma anche per siti che sembrerebbero aggiornati ad oggi.
Come detto prima vediamo una new entry nella lunga lista (centinaia) di pagine di Comuni compromesse in qualche maniera o comunque utilizzate per linkare altra pagine dubbie.

Comune di Crucoli Pro Loco Aggionato 2008 e con post ad oggi


Notate il numero dei post effettuati e le date aggiornate
Come si vede gli screenshot si commentano da soli.

Vediamo invece come puo' essere utile un link presente inn folder di un comune per trovare e verificare nuove pagine di dubbia affidabilita'

Questo e' un risultato di una ricerca che visualizza le url di sito web comunale con file .jsp

Visitando questo indirizzo, con attivo il referer relativo al motore di ricerca che ci ha fornito i risultati, vediamo che si viene linkati ad IP in maniera random.

Basta cambiare l'ultimo numero dell'ip 8.151.113.xxx in un range che varia da .9 a .14 per avere un campionario di diversi layout di pagine di ricerca. Sugli stessi IP sono presenti domini con nomi simili tra loro : find.tj, find.tl, ecc. tutti che linkano a pagine di motori di ricerca.

Notate la piccola icona che ci ricorda il logo Microsoft

Inutile dire che le diverse pagine visualizzate sono tutte di dubbia affidabilita'; basta guardare le ricerche che ci propongono : pharmacy, siti porno ecc....

Un whois degli IP di questi siti punta a

sul cui genere di siti hostati non ci sono dubbi esaminando alcuni IP del range ottenuto dal whois


Edgar

Critical VMware Security Alert

Critical VMware Security Alert for Windows-Hosted VMware Workstation, VMware Player, and VMware ACE.

La virtualizzazione con VMvare viene anche utilizzata in ambienti di verifica di malware e il problema riscontrato potrebbe portare problemi a chi esegue test su codici pericolosi all'interno di una macchina virtuale VMware.

Sembra che, dal comunicato apparso su http://kb.vmware.com , ci sia un problema di sicurezza quando si esegue un programma in macchina virtuale con la condivisione di cartellle tra host e guest:
................... On Windows hosts, if you have configured a VMware host-to-guest shared folder, it is possible for a program running in the guest to gain access to the host's complete file system and create or modify executable files in sensitive locations. .........

Le versioni vulnerabili sono in ambiente Windows:

VMware Workstation 6.0.2 e precedenti
VMware Workstation 5.5.4 e precedenti
VMware Player 2.0.2 e precedenti
VMware Player 1.0.4 e precedenti
VMware ACE 2.0.2 e precedenti
VMware ACE 1.0.2 e precedenti

VMware Fusion and Linux-hosted VMware non avrebbero questi problemi

In pratica un software potrebbe, dall'interno del pc virtuale, andare a modificare i files del pc host quando ci sono cartelle in condivisione tra guest ed host.

Il consiglio che viene dato, in attesa di una patch, da parte di VMware e' di disabilitare la condivisione di folder tra pc virtuale e pc host tramite le opzioni che agiscono sia sul programma principale che sulle singole macchine virtuali.

Edgar

domenica 24 febbraio 2008

Falsi commenti al post con link a rogue applications

Da un po di tempo, appaiono nei commenti di questo blog e di altri, come segnalato anche da Sbronzo di Riace, dei commenti fasulli che hanno il solo scopo di linkare a una pagina blog di blogger che a sua volta tramite javascript ci collega a siti rogue application, falsi antivirus ecc...

Ecco un tipico commento fasullo con 2 links, uno diretto a sito rogue application (Warning link)

e uno tramite il richiamo di una pagina blogger con file java offuscato (Here link)



E' da notare che le pagine del falso antivirus, (xpantivirus) a cui puntano i links, sembrano create in modo da avere diversi layout disponibili, basta solo cambiare il numero /2/ nell' url per visualizzare un diverso tipo di falso software di scansione del pc.



per avere a seconda del valore numerico diversi layout






Inutile dire che si tratta di software antivirus fasullo e che e' da evitare assolutamente la sua installazione sul pc.

Il whois punta al solito provider Intercage ben conosciuto da chi si occupa di malware a affini.

Forse un rimedio per questo tipo di spamming di falsi commenti potrebbe essere quello di attivare del menu delle opzioni ai commenti, la richiesta di conferma tramite stringa di caratteri (captcha) quando chi visita il sito vuole lasciare una risposta.
Questo pero, ' sempre che i falsi commenti vengano generati in automatico e non manualmente e che i malintenzionati non abbiano in qualche maniera gia' trovato un sistema per aggirare l'eventuale captcha. (altre info a riguardo del blocco di commenti spam le trovate a questo link)

Edgar

C'era da aspettarselo

Avevamo visto precedentemente che parecchi siti, specialmente di Amministrazioni Pubblica, erano stati compromessi attraverso l'upload di pagine con link automatici a siti malware, porno, rogue applications ....... .

C'era anche chi avanzava la possibilita' che la causa di questi problemi fosse a una qualche vulnerabilita' di Zope ed in effetti questo sito potrebbe confermarlo.

Sembrava pero' strano che non si trovassero siti compromessi in maniera piu' seria, rispetto a quelli visti, ma non c'e' voluto molto a trovarne.

Vediamo il sito del comune di XYZ che presenta qualche problema in piu' non tanto per la presenza di links a siti malware ma per il fatto che praticamente tutto il contenuto del sito e' on line, con possibilita' di upload di files ed inoltre con all'interno un completo campionario di codici php di shells.

Questa e' la homepage che presenta comunicati in data odierna e che quindi ci dimostra che il sito e' comunque aggiornato a tuttoggi.


Come dicevamo i problemi sembrano, anche questa volta, derivare dall'uso di Zope.
Se diamo una occhiata esempio ad alcuni risultati di ricerca possiamo vedere il contenuto di un folder che presenta sia una certa quantita di sorgenti php di shells ma anche la possibilita' fornita da Zope di uploadare files.


Inoltre appare, in questa specifica directory, un file testo il cui contenuto si spiega da solo.
Stesso discorso vale anche per altri folders del sito comunale.

Il tutto, al momento di scrivere questo post e' online e chi gestisce il sito comunale presumibilmente non e' assolutamente a conoscenza di questa particolare situazione.

Edgar

sabato 23 febbraio 2008

Intranet , motori di ricerca e sicurezza.

L'intranet e' una rete locale (LAN), o un raggruppamento di reti locali, usata all'interno di una organizzazione per facilitare la comunicazione e l'accesso all'informazione, che puo' essere ad accesso ristretto. .............. “ (da Wikipedia)

Come si legge nella definizione data da Wikipedia per Intranet si intende una rete locale, il cui accesso dall'esterno ( es.tramite Internet) e' di solito consentito dietro previo login con password.

Sembra pero' che non sia sempre cosi'.

Cercando con vari motori di ricerca, e senza fornire password parrebbe essere possibile accedere a diverse intranet, che, dai dati visualizzati, non sembrerebbero certo essere aperte a visite dall'esterno e senza loggarsi.

Ecco alcune schermate di reti intranet che sono liberamente accessibili a chiunque e senza problemi ottenute ricercando in rete con un normale motore di ricerca e senza fornire alcuna password o login.

e in dettaglio

o ancora ...

Sembra quindi possibile che volutamente, ma mi sembra strano, oppure per errori di programmazione o di setup del server, contenuti che dovevano rimanere interni alla rete intranet siano messi a disposizione di chiunque attraverso Internet.

Il mio parere e' che questo sia dovuto in parte alle notevoli potenzialita' che hanno raggiunto i motori di ricerca nell'indicizzare in maniera veramente approfondita il contenuto di pagine e siti disponibili in rete ma anche, a volte, della scarsa preparazione di chi gestisce servers e reti sia Internet che locali.

Edgar

venerdì 22 febbraio 2008

Un'altra mail di phishing CartaSi.

Nuova mail di phishing CartaSi nel giro di poche ore e comunque su diverso server di posta (la prima era su Tiscali.it questa e' su Libero.it)
Si tratta di un messaggio dal testo alquanto approssimativo con evidenti errori.

Il sito di phishing e' online, anche se non facilmente raggiungibile, e da un whois risulterebbe essere locato in Korea.

E' sperabile che, visto il contenuto del messaggio, chi riceve la mail si renda conto che si tratta di una falsa comunicazione di cartaSi.

Edgar

Mail di phishing CartaSi

Ricevuta mail di phishing CartSi
Questa volta si tenta di ingannare chi riceve la mail attraverso la notizia della vincita di un BONUS da 250 EURO.

Evidentemente si e' visto che il sistema BONUS usato con i messaggi di phishing ai danni di POSTE IT funziona.

Un whois del sito punta a server brasiliano che parrebbe non hostare altri siti sullo stesso IP ma essere usato unicamente solo per phishing.

Al momento sembra che il sito di phishing sia stato messo OFF line oppure non sia ancora attivo.

Edgar

martedì 19 febbraio 2008

Aggiornamento siti .it con links malware

Dopo mia segnalazione alcuni dei siti .it trovati sono stati inseriti nella lista di www.malwaredomainlist.com sezione UPDATES.
Per chi non lo conoscesse ancora www.malwaredomainlist.com e' un sito che riporta aggiornati links a pagine che hostano malware o link a malware, rogue applications, ecc... molto utile per verificare nuovi pericoli presenti in rete.
E attivo anche un interessante forum con le ultime novita'.

Aggiornamento

Noto che sono apparsi anche su McAfee Site Advisor alcuni indirizzi dei siti di cui parlo nei precedenti post.
Chiaramente per McAfee Site Advisor i siti sono OK in quanto non esistono link diretti tra pagine on line del sito trovato e pagine con link malware hostate, che sono raggiungibili solo conoscendone l'indirizzo.

Edgar

lunedì 18 febbraio 2008

Virtualizzazione e malware.

Ho trovato interessante un articolo pubblicato dal blog Le chicche di Cala al riguardo di test eseguiti su alcuni software di virtualizzazione per verificare il grado di protezione al malware quando viene eseguito in macchina virtuale.

I test hanno riguardato essenzialmente
Capacita' di isolare malware
Capacita' di interdire l’accesso a configurazioni e informazioni di sistema,
Resistenza a terminazione forzata
Impedire la messa in crash del sistema

Per i dettagli dei test vi rimando all'articolo pubblicato sul Blog di Cala.

Come risulatati finali e' interessante notare che Altiris SVS si e' dimostrato non efficace ma in effetti e' stato rilevato che, anche se con poca chiarezza, viene specificato dal produttore (ora Symantec) che il programma non assicura protezione da virus e che e' progettato solo ed esclusivamente per testare installazioni software

VMware Player e Returnil hanno superato i test tranne che rispettivamente nei test di terminazione forzata e di crash.

Il software che invece parrebbe essere il piu efficace per isolare eventuali problemi e' stato Sandboxie che si e' dimostrato valido sotto tutti i test.

Edgar

Utilizzo dei siti con pagine e links a malware nascosti.

Nei post precedenti abbiamo visto come sia possibile che siti anche istituzionali hostino, a causa di problemi di sicurezza, delle pagine con link a siti porno e malware.

Vediamo ora come vengono sfruttati questi siti che loro malgrado sono diventati la connessione tra una ricerca in rete e le pagine malware.
Oltre ai risultati che sono restituiti da una ricerca internet, i links malware nascosti, possono essere utilizzati anche in altro modo

Ad esempio proviamo a visitare questo sito : “News e curiosita' dall'Abruzzo
Si tratta di sito italiano con notizie di vario genere riferite alla regione Abruzzo.


Uno dei problemi gia' visti per un numero elevato di siti, e' quello dell'utilizzo di forum o guest books per postare links malware.
Anche all'interno del sito News on Line esiste la possibilita' di aggiungere commenti e qui anonimi visitatori hanno aggiunto links ai siti compromessi visti in precedenza che a loro volta ci connetteranno alle pagine malware, rogue apps, ecc...

Le date del post non sono recenti e quindi e' probabilmente parecchio tempo che questi siti comunali hostano i links pericolosi.

La stessa cosa e' fatta su centinaia di altri siti italiani e non; ecco un altro esempio



In questo modo , per chi vuole linkare a pagine porno o malware, risulta facile utilizzare questi i nuovi collegamenti creati compromettendo normali siti internet.

Una delle conseguenze di questo e' che ad esempio il Comune di Moncucco risulta ora presente su centinaia di link porno sparsi su pagine di ogni tipo e di ogni nazionalita' (russe, usa, paesi dell'est europeo ecc....) e non credo fossero proprio queste le intenzioni di chi ha creato il sito del Comune.....

La stessa cosa succede, come vedete dai links, anche per altri siti.

Il problema di base e' comunque sempre lo stesso: o la bassa competenza di chi amministra il sito compromesso o forse il fatto che addirittura non esiste nessuno che ha questo compito, in quanto rimuovere le pagine con i links e i codici pericolosi e' cosa da pochi minuti e alla portata di chiunque abbia una minima conoscenza sulla creazione e amministrazione di pagine e di siti web.

Edgar

domenica 17 febbraio 2008

Elenco parziale di siti .it con problemi su /portal_memberdata/portraits/

Questo e' un parziale elenco di siti .it , oltre a quelli gia visiti in precedenza, che presentano problemi legati alla pagina hostata su /portal_memberdata/portraits/ che redirige tramite script su siti malware o comunque poco affidabili.

La prima colonna indica il risultato della ricerca effettuata tramite le parole chiave inurl:memberdata inurl:.it mentre la seconda colonna il link corrispondente alla pagina trovata.

Quando nell'elenco troviamo. ad esempio. per la chiave di ricerca un testo che appare con contenuti porno e sulla rispettiva colona delle URL un link a dominio di tutt'altro genere es. comune, associazione, universita' ecc... quasi sicuramente siamo di fronte ad un link a pagina con script pericoloso hostato sul dominio indicato.


Non e' comunque detto che in tutti i casi se passiamo il link cosi' come lo vediamo in elenco ad un browser si apra la pagina malware dato che spesso viene usato un referer per fare accedere al sito pericoloso solo se proveniamo da una pagina di ricerche internet. (google, yahoo, msn live search)

Aggiornamenti:

In un commento al post Andrea scrive

.............Sono tutti siti con una versione di Zope vulnerabile: http://www.securityfocus.com/bid/23084/info ..............

In effetti molti dei siti in elenco presentano una versione del server Zope ma alcuni mi pare siano server differenti

Riporto un breve elenco di URL di siti Amministrazione Pubblica con il problema alla url : portal_memberdata/portraits
--------------------------------------------------------------------------------------------------
www.comune.lastra-a-signa.fi.it/news/portal_memberdata/portraits/pbevis

The server returned the following response headers:
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
X-Powered-By: ASP.NET

--------------------------------------------------------------------------

www.comune.moncucco.asti.it/portal_memberdata/portraits/TraacyJJameess

The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 01:54:50 GMT
Server: Zope/(Zope 2.7.4-0, python 2.3.5, linux2) ZServer/1.1 Plone/2.0.5
Content-Length: 4995
Content-Language:
Content-Encoding: gzip
Expires: Sat, 1 Jan 2000 00:00:00 GMT
Vary: Accept-Encoding
Pragma: no-cache
Content-Type: text/html;charset=utf-8
X-Cache: MISS from comune.moncucco.asti.it
Connection: close
Query complete.

--------------------------------------------------------------

www.comune.zanica.bg.it/portal_memberdata/portraits/bmilanesi


The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 01:55:55 GMT
Server: Zope/(Zope 2.7.4-0, python 2.4.4, linux2) ZServer/1.1 Plone/2.0.5
Content-Length: 6071
Content-Language:
Content-Encoding: gzip
Expires: Sat, 01 Jan 2000 00:00:00 GMT
Vary: Accept-Encoding
Pragma: no-cache



----------------------------------------------------------------------

www.comune.montesarchio.bn.it/portal_memberdata/portraits/hohman


The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 01:57:46 GMT
Server: Apache/2.0.54 (Linux/SUSE)
X-Powered-By: PHP/4.4.0
Set-Cookie: ba497941a589d85f3c1e48be36bb5616=-; path=/
Expires: Mon, 26 Jul 1997 05:00:00 GMT
Last-Modified: Mon, 18 Feb 2008 01:57:47 GMT
Cache-Control: no-store, no-cache, must-revalidate
Cache-Control: post-check=0, pre-check=0
Pragma: no-cache

-------------------------------------------------------------------
http://plone.comune.sancolombanoallambro.mi.it/portal_memberdata/portraits/gblamer


The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 01:59:45 GMT
Server: Zope/(Zope 2.7.9-final, python 2.3.5, freebsd6) ZServer/1.1 Plone/2.0.5
Content-Length: 7180
Content-Language:
Content-Encoding: gzip
Expires: Sat, 1 Jan 2000 00:00:00 GMT
Vary: Accept-Encoding
Pragma: no-cache

----------------------------------------------------------------------

http://www.comune.grottammare.ap.it/userimages/free


The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 02:05:51 GMT
Server: Apache/1.3.36 (Unix) mod_ssl/2.8.27 OpenSSL/0.9.7e-p1
Connection: close
Transfer-Encoding: chunked
Content-Type: text/html; charset=ISO-8859-1
Query complete.


-------------------------------------------------------------------


www.comune.aradeo.le.it/certif/regkey+R-studio.jsp

[Connected] Requesting the server's default page.
The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 02:02:55 GMT
Server: Apache/2.0.52 (CentOS)
Last-Modified: Thu, 14 Oct 2004 17:53:05 GMT
ETag: "304e13-212-fb788240"
Accept-Ranges: bytes
Content-Length: 530
Connection: close
Content-Type: text/html
Query complete.


------------------------------------------------------------

www.comune.porto-torres.ss.it/web/UserFiles/File/asa497/porn.html

The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 02:39:15 GMT
Server: Apache/2.0.55 (Win32) PHP/4.4.2
Accept-Ranges: bytes
Content-Length: 562
Connection: close
Content-Type: text/html; charset=ISO-8859-1
Query complete.

Come si puo' notare, anche se la maggior parte dei server usa ZOPE ce ne sono alcuni differenti.
Puo' comunque essere che oltre a vulnerabilita Zope se ne siano sfruttate anche altre o forse si siano usati altri sistemi per inserire il codice pericoloso.


Edgar

/portal_memberdata/portraits/ Sono centinaia i siti .IT che hostano pagine con link a malware.

Un breve aggiornamento ai 2 post precedenti

come-i-parassiti-unaltro-sito-ap-con.html

sembrava-solo-un-caso-isolato-invece.html

che consiglio di leggere per maggiori dettagli

Sembrerebbe che /portal_memberdata/portraits/ sia la parte di url che e' comune a moltissimi dei siti con i problemi visti in precedenza
Infatti andando a ricercare per questa parte di url su domini .it si trovano decine se non centinaia di pagine che hostano codici pericolosi.

Chi clicca s uno di questi link presentati dal motore di ricerca, se gli script sul browser sono abilitati, viene direttamente linkato al sito porno malware o con simile contenuto.

A parte i siti dell'Amministrazione Pubblica, quindi, da una sommaria ricerca ho trovato es. siti di Istituti Scolastici, Associazioni, ecc... ma non solo ... che come si vede dagli screenshot della pagina di ricerca collegano con javascript, spesso offuscato a pagine malware.

Stranamente in rete non mi risulta che appaiano molte info al riguardo di questo tipo di compromissione di sito con l'utilizzo del folder /portal_memberdata/portraits/ ed anche per pagine su domini .it

Sembra quindi che questa tecnica sia largamente diffusa e colpisca anche siti italiani di vario tipo.

In ogni caso, a mio avviso, ci troviamo di fronte ad una situazione abbastanza seria dato che potrebbero essere veramente molte le pagine che sono hostate anche su domini .it in maniera del tutto nascosta ed al momento non e' facile quantificarne il numero.

continua

Edgar

Sembrava solo un caso isolato .......... invece ! Siti A.P. compromessi

Anche nell'ultimo post avevo avanzato la possibilita' che ci trovassimo di fronte a siti di Amministrazione Pubblica. compromessi in buon numero da malware ed ora mi sembra che ci siano tutte le conferme che si tratta realmente non di un singolo caso isolato ma di decine di siti che hostano pagine con link a malware all'insaputa di chi li gestisce.
In pratica il sito A.P. e' un tramite tra la ricerca internet e le pagine pericolose, cioe' contiene al suo interno i codici che automaticamente ci portano su siti pericolosi quando tramite una ricerca (es Google) clicchiamo sul riultato; il sito A.P. infatti non presenta per chi lo visita evidenti collegamenti al malware

Continuando nelle ricerche, una volta compresa la chiave per trovare queste pagine pericolose ed i siti che le hostano e' stato relativamente semplice rilevare i codici pericolosi e le relative pagine che li contengono.

Il problema adesso, se mai, sarebbe avvisare chi gestisce questi siti della situazione abbastanza particolare in cui si trovano ma non mi pare semplice per diversi motivi: in primo luogo si tratta non di uno ma di parecchi siti ed inoltre conoscendo come funziona la gestione di queste pagine web nell'amministrazione pubblica non credo sia facile che gli avvertimenti inviati vengano presi in seria considerazione (ad esempio le mails inviate per avvisare del pericolo esistente i siti che ho analizzato precedentemente sono , come pensavo, rimaste semza risposta e il malware continua ad essere hostato nelle pagine)

Dopo questa premessa abbiamo da analizzare un altro caso:

Questa volta si tratta di Comune toscano : Lastra a Signa


Riporto il whois del sito per maggiore completezza.


Qui vedete alcuni risultati di una ricerca eseguita con differente tool rispetto ad una normale ricerca attraverso web page


che comunque viene confermata da una normale ricerca web che ancora una volta ci informa del contenuto pericoloso hostato all'interno del sito

Accedendo a questo link, se gli script sono bloccati (noscript in Firefox), possiamo vedere il seguente codice in parte offuscato

questa e' la decodifica del codice


e questo il risultato quando eseguito


una pagina con bottone GO che praticamente non viene visualizzata in quanto si passa direttamente

al sito porno di falsi video che come di consueto propone il caricamento del software utile alla visualizzazione

che si dimostra un malware poco conosciuto agli antivirus.


Dalle ricerche che sto continuando pare che ci troviamo di fronte a decine di siti in questa situazione e probabilmente non solo di Amministrazione Pubblica ma probabilmente anche con altre tipologie di contenuti.

Continua

Edgar