Questo e' un parziale elenco di siti .it , oltre a quelli gia visiti in precedenza, che presentano problemi legati alla pagina hostata su /portal_memberdata/portraits/ che redirige tramite script su siti malware o comunque poco affidabili.
La prima colonna indica il risultato della ricerca effettuata tramite le parole chiave inurl:memberdata inurl:.it mentre la seconda colonna il link corrispondente alla pagina trovata.
Quando nell'elenco troviamo. ad esempio. per la chiave di ricerca un testo che appare con contenuti porno e sulla rispettiva colona delle URL un link a dominio di tutt'altro genere es. comune, associazione, universita' ecc... quasi sicuramente siamo di fronte ad un link a pagina con script pericoloso hostato sul dominio indicato.
Non e' comunque detto che in tutti i casi se passiamo il link cosi' come lo vediamo in elenco ad un browser si apra la pagina malware dato che spesso viene usato un referer per fare accedere al sito pericoloso solo se proveniamo da una pagina di ricerche internet. (google, yahoo, msn live search)
Aggiornamenti:
In un commento al post Andrea scrive
In effetti molti dei siti in elenco presentano una versione del server Zope ma alcuni mi pare siano server differenti
Riporto un breve elenco di URL di siti Amministrazione Pubblica con il problema alla url : portal_memberdata/portraits
--------------------------------------------------------------------------------------------------
www.comune.lastra-a-signa.fi.it/news/portal_memberdata/portraits/pbevis
The server returned the following response headers:
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
X-Powered-By: ASP.NET
--------------------------------------------------------------------------
www.comune.moncucco.asti.it/portal_memberdata/portraits/TraacyJJameess
The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 01:54:50 GMT
Server: Zope/(Zope 2.7.4-0, python 2.3.5, linux2) ZServer/1.1 Plone/2.0.5
Content-Length: 4995
Content-Language:
Content-Encoding: gzip
Expires: Sat, 1 Jan 2000 00:00:00 GMT
Vary: Accept-Encoding
Pragma: no-cache
Content-Type: text/html;charset=utf-8
X-Cache: MISS from comune.moncucco.asti.it
Connection: close
Query complete.
--------------------------------------------------------------
www.comune.zanica.bg.it/portal_memberdata/portraits/bmilanesi
The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 01:55:55 GMT
Server: Zope/(Zope 2.7.4-0, python 2.4.4, linux2) ZServer/1.1 Plone/2.0.5
Content-Length: 6071
Content-Language:
Content-Encoding: gzip
Expires: Sat, 01 Jan 2000 00:00:00 GMT
Vary: Accept-Encoding
Pragma: no-cache
----------------------------------------------------------------------
www.comune.montesarchio.bn.it/portal_memberdata/portraits/hohman
The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 01:57:46 GMT
Server: Apache/2.0.54 (Linux/SUSE)
X-Powered-By: PHP/4.4.0
Set-Cookie: ba497941a589d85f3c1e48be36bb5616=-; path=/
Expires: Mon, 26 Jul 1997 05:00:00 GMT
Last-Modified: Mon, 18 Feb 2008 01:57:47 GMT
Cache-Control: no-store, no-cache, must-revalidate
Cache-Control: post-check=0, pre-check=0
Pragma: no-cache
-------------------------------------------------------------------
http://plone.comune.sancolombanoallambro.mi.it/portal_memberdata/portraits/gblamer
The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 01:59:45 GMT
Server: Zope/(Zope 2.7.9-final, python 2.3.5, freebsd6) ZServer/1.1 Plone/2.0.5
Content-Length: 7180
Content-Language:
Content-Encoding: gzip
Expires: Sat, 1 Jan 2000 00:00:00 GMT
Vary: Accept-Encoding
Pragma: no-cache
----------------------------------------------------------------------
http://www.comune.grottammare.ap.it/userimages/free
The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 02:05:51 GMT
Server: Apache/1.3.36 (Unix) mod_ssl/2.8.27 OpenSSL/0.9.7e-p1
Connection: close
Transfer-Encoding: chunked
Content-Type: text/html; charset=ISO-8859-1
Query complete.
-------------------------------------------------------------------
www.comune.aradeo.le.it/certif/regkey+R-studio.jsp
[Connected] Requesting the server's default page.
The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 02:02:55 GMT
Server: Apache/2.0.52 (CentOS)
Last-Modified: Thu, 14 Oct 2004 17:53:05 GMT
ETag: "304e13-212-fb788240"
Accept-Ranges: bytes
Content-Length: 530
Connection: close
Content-Type: text/html
Query complete.
------------------------------------------------------------
www.comune.porto-torres.ss.it/web/UserFiles/File/asa497/porn.html
The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 02:39:15 GMT
Server: Apache/2.0.55 (Win32) PHP/4.4.2
Accept-Ranges: bytes
Content-Length: 562
Connection: close
Content-Type: text/html; charset=ISO-8859-1
Query complete.
Come si puo' notare, anche se la maggior parte dei server usa ZOPE ce ne sono alcuni differenti.
Puo' comunque essere che oltre a vulnerabilita Zope se ne siano sfruttate anche altre o forse si siano usati altri sistemi per inserire il codice pericoloso.
Edgar
La prima colonna indica il risultato della ricerca effettuata tramite le parole chiave inurl:memberdata inurl:.it mentre la seconda colonna il link corrispondente alla pagina trovata.
Quando nell'elenco troviamo. ad esempio. per la chiave di ricerca un testo che appare con contenuti porno e sulla rispettiva colona delle URL un link a dominio di tutt'altro genere es. comune, associazione, universita' ecc... quasi sicuramente siamo di fronte ad un link a pagina con script pericoloso hostato sul dominio indicato.
Non e' comunque detto che in tutti i casi se passiamo il link cosi' come lo vediamo in elenco ad un browser si apra la pagina malware dato che spesso viene usato un referer per fare accedere al sito pericoloso solo se proveniamo da una pagina di ricerche internet. (google, yahoo, msn live search)
Aggiornamenti:
In un commento al post Andrea scrive
.............Sono tutti siti con una versione di Zope vulnerabile: http://www.securityfocus.com/bid/23084/info ..............
In effetti molti dei siti in elenco presentano una versione del server Zope ma alcuni mi pare siano server differenti
Riporto un breve elenco di URL di siti Amministrazione Pubblica con il problema alla url : portal_memberdata/portraits
--------------------------------------------------------------------------------------------------
www.comune.lastra-a-signa.fi.it/news/portal_memberdata/portraits/pbevis
The server returned the following response headers:
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
X-Powered-By: ASP.NET
--------------------------------------------------------------------------
www.comune.moncucco.asti.it/portal_
The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 01:54:50 GMT
Server: Zope/(Zope 2.7.4-0, python 2.3.5, linux2) ZServer/1.1 Plone/2.0.5
Content-Length: 4995
Content-Language:
Content-Encoding: gzip
Expires: Sat, 1 Jan 2000 00:00:00 GMT
Vary: Accept-Encoding
Pragma: no-cache
Content-Type: text/html;charset=utf-8
X-Cache: MISS from comune.moncucco.asti.it
Connection: close
Query complete.
--------------------------------------------------------------
www.comune.zanica.bg.it/portal_memberdata/portraits/bmilanesi
The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 01:55:55 GMT
Server: Zope/(Zope 2.7.4-0, python 2.4.4, linux2) ZServer/1.1 Plone/2.0.5
Content-Length: 6071
Content-Language:
Content-Encoding: gzip
Expires: Sat, 01 Jan 2000 00:00:00 GMT
Vary: Accept-Encoding
Pragma: no-cache
----------------------------------------------------------------------
www.comune.montesarchio.bn.it/portal_memberdata/portraits/hohman
The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 01:57:46 GMT
Server: Apache/2.0.54 (Linux/SUSE)
X-Powered-By: PHP/4.4.0
Set-Cookie: ba497941a589d85f3c1e48be36bb5616=-; path=/
Expires: Mon, 26 Jul 1997 05:00:00 GMT
Last-Modified: Mon, 18 Feb 2008 01:57:47 GMT
Cache-Control: no-store, no-cache, must-revalidate
Cache-Control: post-check=0, pre-check=0
Pragma: no-cache
-------------------------------------------------------------------
http://plone.comune.sancolombanoallambro.mi.it/portal_memberdata/portraits/gblamer
The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 01:59:45 GMT
Server: Zope/(Zope 2.7.9-final, python 2.3.5, freebsd6) ZServer/1.1 Plone/2.0.5
Content-Length: 7180
Content-Language:
Content-Encoding: gzip
Expires: Sat, 1 Jan 2000 00:00:00 GMT
Vary: Accept-Encoding
Pragma: no-cache
----------------------------------------------------------------------
http://www.comune.grottammare.ap.it/userimages/free
The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 02:05:51 GMT
Server: Apache/1.3.36 (Unix) mod_ssl/2.8.27 OpenSSL/0.9.7e-p1
Connection: close
Transfer-Encoding: chunked
Content-Type: text/html; charset=ISO-8859-1
Query complete.
-------------------------------------------------------------------
www.comune.aradeo.le.it/certif/regkey+R-studio.jsp
[Connected] Requesting the server's default page.
The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 02:02:55 GMT
Server: Apache/2.0.52 (CentOS)
Last-Modified: Thu, 14 Oct 2004 17:53:05 GMT
ETag: "304e13-212-fb788240"
Accept-Ranges: bytes
Content-Length: 530
Connection: close
Content-Type: text/html
Query complete.
------------------------------------------------------------
www.comune.porto-torres.ss.it/web/UserFiles/File/asa497/porn.html
The server returned the following response headers:
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2008 02:39:15 GMT
Server: Apache/2.0.55 (Win32) PHP/4.4.2
Accept-Ranges: bytes
Content-Length: 562
Connection: close
Content-Type: text/html; charset=ISO-8859-1
Query complete.
Come si puo' notare, anche se la maggior parte dei server usa ZOPE ce ne sono alcuni differenti.
Puo' comunque essere che oltre a vulnerabilita Zope se ne siano sfruttate anche altre o forse si siano usati altri sistemi per inserire il codice pericoloso.
Edgar
1 commento:
Sono tutti siti con una versione di Zope vulnerabile: http://www.securityfocus.com/bid/23084/info
http://www.ufimo.it/ - Server: Zope/(Zope 2.7.0, python 2.4.4, linux2) ZServer/1.1 Plone/2.0.3
http://multiscale-school.unimore.it/ - Server: Zope/(Zope 2.7.5-final, python 2.3.5, linux2) ZServer/1.1 Plone/2.0.4
http://www.del.univpm.it - Server: Zope/(Zope 2.8.9.1-final, python 2.3.6, linux2) ZServer/1.1 Plone/2.1.4
http://www.ilboccione.it/ - Server: Zope/(Zope 2.7.7-final, python 2.3.5, linux2) ZServer/1.1 Plone/2.0.5
http://www.silviorosso.it/ - Server: Zope/(Zope 2.7.4-0, python 2.3.4, linux2) ZServer/1.1 Plone/2.0.5
...
Ciao,
Andrea
Posta un commento