Facendo qualche ricerca in rete, un poco piu' approfondita del solito, ho trovato un dominio che ospita un sito di amministrazione pubblica, che ci propone una situazione di una certa gravita' in fatto di sicurezza.
Fino ad ora abbiamo sempre visto problemi legati a forum, guest books .. ecc.. mal gestiti che permettevano a visitatori anonimi di postare link a siti porno o comunque di dubbia affidabilita' con relativi pericoli per i visitatori di questi siti di scaricare malware sul pc...
Questa volta siamo invece di fronte ad un dominio di un comune che hosta al suo interno una pagina che linka in maniera random a siti porno, rogue application, malware tutti aggiornati e perfettamente efficienti.
Iniziamo esaminando i dati del sito in questione:
Si tratta del sito del comune di Zanica, un comune della provincia di Bergamo, situato a sud del capoluogo orobico, da cui dista circa 6 chilometri.
Il sito risulta aggiornato regolarmente visto che viene proposta una info su una rassegna 2008.
E questo e' un whois del sito
Esaminiamo ora la ricerca Google che ha portato alla scoperta della pagina pericolosa inclusa nel sito
Come si nota c'e' un discreto 'contrasto, tra il risultato della ricerca e l'url che la linka !!!
In relata' digitalpornmovies e' anche il titolo della falsa pagina hostata nel server zanica.bg.it
Supponiamo ora di avere gli script disabilitati con NOSCRIPT (per chi usa Firefox).
Questo e' quello che vediamo caricando il link
Se fosse solo per una pagina testuale il problema sarebbe di poco conto ma in realta' all'interno del codice abbiamo le istruzione che permettono il link in automatico ai siti porno, rogue applications, malware.... ecc...
In particolare e' presente il link a hxxp://jslib2.info/in/ che carica random pagine di diverso tipo (falsi antivirus e cleaners, siti di filmati porno, ecc...)
Ed ecco cosa succede se il codice viene eseguito
Abbiamo il caricamento random di siti di tutti i generi ma sempre pericolosi...
Malware crush
che parrebbe essere non solo rogue application ma anche scaricare malware....
Da notare che il link in questione al variare del numero presente nell'url carica diversi layout di pagina ... http://scan.malwarecrush.com/5/440/ (cambiando 5 con altro numero avremo differente pagina ma sempre di rogue application o anche con contenuto malware .... )
Altra pagina random questo PornoTribune (layout tipo quotidiano con link a siti porno)
o ancora un sito a movies porno
o un falso sito che promette di ripulire il pc da immagini porno
ma la lista sarebbe molto lunga...
Effettuando una ricerca sul sito del comune effettivamente abbiamo come risultato la presenza di una pagina denominata bmilanesi come quella vista sopra con i codici pericolosi ma il link sembrerebbe non funzionare.
In ogni caso, anche se la pagina che ci collega a questa serie random di siti pericolosi fosse non linkabile direttamente dal sito del comune , il fatto che il dominio ospiti anche questo tipo di contenuti mi pare sia una cosa abbastanza grave.
Probabilmente l'host sul sito comunale risulta comunque utile a chi ha creato la pagina per nascondersi a ricerche piu' o meno approfondite.
Il Comune e' stato avvisato via email, vedremo se provvederanno a risolvere il problema.
Edgar
Fino ad ora abbiamo sempre visto problemi legati a forum, guest books .. ecc.. mal gestiti che permettevano a visitatori anonimi di postare link a siti porno o comunque di dubbia affidabilita' con relativi pericoli per i visitatori di questi siti di scaricare malware sul pc...
Questa volta siamo invece di fronte ad un dominio di un comune che hosta al suo interno una pagina che linka in maniera random a siti porno, rogue application, malware tutti aggiornati e perfettamente efficienti.
Iniziamo esaminando i dati del sito in questione:
Si tratta del sito del comune di Zanica, un comune della provincia di Bergamo, situato a sud del capoluogo orobico, da cui dista circa 6 chilometri.
Il sito risulta aggiornato regolarmente visto che viene proposta una info su una rassegna 2008.
E questo e' un whois del sito
Esaminiamo ora la ricerca Google che ha portato alla scoperta della pagina pericolosa inclusa nel sito
Come si nota c'e' un discreto 'contrasto, tra il risultato della ricerca e l'url che la linka !!!
In relata' digitalpornmovies e' anche il titolo della falsa pagina hostata nel server zanica.bg.it
Supponiamo ora di avere gli script disabilitati con NOSCRIPT (per chi usa Firefox).
Questo e' quello che vediamo caricando il link
Se fosse solo per una pagina testuale il problema sarebbe di poco conto ma in realta' all'interno del codice abbiamo le istruzione che permettono il link in automatico ai siti porno, rogue applications, malware.... ecc...
In particolare e' presente il link a hxxp://jslib2.info/in/ che carica random pagine di diverso tipo (falsi antivirus e cleaners, siti di filmati porno, ecc...)
Ed ecco cosa succede se il codice viene eseguito
Abbiamo il caricamento random di siti di tutti i generi ma sempre pericolosi...
Malware crush
che parrebbe essere non solo rogue application ma anche scaricare malware....
Da notare che il link in questione al variare del numero presente nell'url carica diversi layout di pagina ... http://scan.malwarecrush.com/5/440/ (cambiando 5 con altro numero avremo differente pagina ma sempre di rogue application o anche con contenuto malware .... )
Altra pagina random questo PornoTribune (layout tipo quotidiano con link a siti porno)
o ancora un sito a movies porno
o un falso sito che promette di ripulire il pc da immagini porno
ma la lista sarebbe molto lunga...
Effettuando una ricerca sul sito del comune effettivamente abbiamo come risultato la presenza di una pagina denominata bmilanesi come quella vista sopra con i codici pericolosi ma il link sembrerebbe non funzionare.
In ogni caso, anche se la pagina che ci collega a questa serie random di siti pericolosi fosse non linkabile direttamente dal sito del comune , il fatto che il dominio ospiti anche questo tipo di contenuti mi pare sia una cosa abbastanza grave.
Probabilmente l'host sul sito comunale risulta comunque utile a chi ha creato la pagina per nascondersi a ricerche piu' o meno approfondite.
Il Comune e' stato avvisato via email, vedremo se provvederanno a risolvere il problema.
Edgar
Nessun commento:
Posta un commento