Elenco parziale di siti .it con problemi su /portal_memberdata/portraits/

Questo e' un parziale elenco di siti .it , oltre a quelli gia visiti in precedenza, che presentano problemi legati alla pagina hostata su /portal_memberdata/portraits/ che redirige tramite script su siti malware o comunque poco affidabili.

La prima colonna indica il risultato della ricerca effettuata tramite le parole chiave inurl:memberdata inurl:.it mentre la seconda colonna il link corrispondente alla pagina trovata.

Quando nell'elenco troviamo. ad esempio. per la chiave di ricerca un testo che appare con contenuti porno e sulla rispettiva colona delle URL un link a dominio di tutt'altro genere es. comune, associazione, universita' ecc... quasi sicuramente siamo di fronte ad un link a pagina con script pericoloso hostato sul dominio indicato.


Non e' comunque detto che in tutti i casi se passiamo il link cosi' come lo vediamo in elenco ad un browser si apra la pagina malware dato che spesso viene usato un referer per fare accedere al sito pericoloso solo se proveniamo da una pagina di ricerche internet. (google, yahoo, msn live search)

Aggiornamenti:

In un commento al post Andrea scrive

.............Sono tutti siti con una versione di Zope vulnerabile: http://www.securityfocus.com/bid/23084/info ..............

In effetti molti dei siti in elenco presentano una versione del server Zope ma alcuni mi pare siano server differenti

Riporto un breve elenco di URL di siti Amministrazione Pubblica con il problema alla url : portal_memberdata/portraits
--------------------------------------------------------------------------------------------------
www.comune.lastra-a-signa.fi.it/news/portal_memberdata/portraits/pbevis

The server returned the following response headers:
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
X-Powered-By: ASP.NET

--------------------------------------------------------------------------

www.comune.moncucco.asti.it/portal_memberdata/portraits/TraacyJJameess

The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 01:54:50 GMT
Server: Zope/(Zope 2.7.4-0, python 2.3.5, linux2) ZServer/1.1 Plone/2.0.5
Content-Length: 4995
Content-Language:
Content-Encoding: gzip
Expires: Sat, 1 Jan 2000 00:00:00 GMT
Vary: Accept-Encoding
Pragma: no-cache
Content-Type: text/html;charset=utf-8
X-Cache: MISS from comune.moncucco.asti.it
Connection: close
Query complete.

--------------------------------------------------------------

www.comune.zanica.bg.it/portal_memberdata/portraits/bmilanesi


The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 01:55:55 GMT
Server: Zope/(Zope 2.7.4-0, python 2.4.4, linux2) ZServer/1.1 Plone/2.0.5
Content-Length: 6071
Content-Language:
Content-Encoding: gzip
Expires: Sat, 01 Jan 2000 00:00:00 GMT
Vary: Accept-Encoding
Pragma: no-cache



----------------------------------------------------------------------

www.comune.montesarchio.bn.it/portal_memberdata/portraits/hohman


The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 01:57:46 GMT
Server: Apache/2.0.54 (Linux/SUSE)
X-Powered-By: PHP/4.4.0
Set-Cookie: ba497941a589d85f3c1e48be36bb5616=-; path=/
Expires: Mon, 26 Jul 1997 05:00:00 GMT
Last-Modified: Mon, 18 Feb 2008 01:57:47 GMT
Cache-Control: no-store, no-cache, must-revalidate
Cache-Control: post-check=0, pre-check=0
Pragma: no-cache

-------------------------------------------------------------------
http://plone.comune.sancolombanoallambro.mi.it/portal_memberdata/portraits/gblamer


The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 01:59:45 GMT
Server: Zope/(Zope 2.7.9-final, python 2.3.5, freebsd6) ZServer/1.1 Plone/2.0.5
Content-Length: 7180
Content-Language:
Content-Encoding: gzip
Expires: Sat, 1 Jan 2000 00:00:00 GMT
Vary: Accept-Encoding
Pragma: no-cache

----------------------------------------------------------------------

http://www.comune.grottammare.ap.it/userimages/free


The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 02:05:51 GMT
Server: Apache/1.3.36 (Unix) mod_ssl/2.8.27 OpenSSL/0.9.7e-p1
Connection: close
Transfer-Encoding: chunked
Content-Type: text/html; charset=ISO-8859-1
Query complete.


-------------------------------------------------------------------


www.comune.aradeo.le.it/certif/regkey+R-studio.jsp

[Connected] Requesting the server's default page.
The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 02:02:55 GMT
Server: Apache/2.0.52 (CentOS)
Last-Modified: Thu, 14 Oct 2004 17:53:05 GMT
ETag: "304e13-212-fb788240"
Accept-Ranges: bytes
Content-Length: 530
Connection: close
Content-Type: text/html
Query complete.


------------------------------------------------------------

www.comune.porto-torres.ss.it/web/UserFiles/File/asa497/porn.html

The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 02:39:15 GMT
Server: Apache/2.0.55 (Win32) PHP/4.4.2
Accept-Ranges: bytes
Content-Length: 562
Connection: close
Content-Type: text/html; charset=ISO-8859-1
Query complete.

Come si puo' notare, anche se la maggior parte dei server usa ZOPE ce ne sono alcuni differenti.
Puo' comunque essere che oltre a vulnerabilita Zope se ne siano sfruttate anche altre o forse si siano usati altri sistemi per inserire il codice pericoloso.


Edgar