giovedì 20 marzo 2008

Parole chiave -> porn inurl:.it.

La quantita' di siti italiani compromessi che ospitano al loro interno malware sotto forma, in genere, di link a siti porno contenenti un vasto campionario di files pericolosi, da quanto risulta da ricerche effettuate in rete, sembra in continuo aumento.

A questo punto, non ci si deve neanche sforzare ad effettuare ricerche utilzzando complicate opzioni o stringhe di ricerca ma bastano due semplici parole chiave : inurl:.it porn.

Il numero di link trovati arriva e supera tranquillamente le 930.000 (novecentotrentamila) pagine su dominio .it.

Anche se non tutti i link trovati chiaramente corrispondono a siti con problemi, e' evidente che il numero di pagine e' elevato.

Qui di seguito alcuni esempi di siti con problemi, senza entrare nei dettagli di come possa essere stato compromesso il sito:

Un sito di Bred and Breakfast



ed una pagina contenuta nello stesso che punta a questo sito con malware zlob



Un sito di consulenze sul lavoro

e relativo forum chiaramente oggetto di attacco con molti links a siti porno e con malware


Un portale di una ditta che esegue stampe ed editoria



e la relativa pagina con javascript offuscato


Un portale di una associazione di editori di software videoludico


e la “solita' pagina del fake Pornotube con link di solito a varianti del malware zlob ( poco riconosciuto dai software antivirus) a cui punta una pagina del sito


ed il whois della pagina Pornotube che punta ad un server in paese dell 'Est Europa.

E tanto per rendere la cosa un po divertente il sito aggiornato usato da un Istituto italiano di ricerca di Frascati

che hosta il link a questa pagina; che si tratti di un nuovo tipo di esperimenti ...?


Come si vede il fake pornotube imperversa....


Lo sopo di questa enorme quantita' di pagine con links, inserite all'interno di normali siti internet , e' sicuramente quello di aumentare la probabilita' che una ricerca in rete porti a linkare chi la ha eseguita a pagine pericolose contenenti ogni genere di malware ed inoltre con questo sistema i malintenzionati hanno sempre la disponibilta' di links apparentemente provenienti da siti affidabili e che per questo possono ingannare chi naviga in rete.

Tra l'altro se non verifica periodicamente e con attenzione il contenuto completo dell'intero sito , e' anche probabile che chi lo gestisce ignori completamente l'esistenza di queste pagine inserite ma non direttamente visibili consultando il sito web compromesso.

Questa e' la situazione attuale, a causa del probabile alto numero di server web e di siti vulnerabili made in Italy, e sembra ormai essere praticamente al di fuori di ogni possibile controllo in quanto anche filtrando per data le ricerche solo nelle ultime 24 ore i links trovati sono sull'ordine del migliaio (per la precisione piu' di 3000 ma per sicurezza possiamo considerare solo una parte come possibile numero di pagine di siti o servers web compromessi) ottenendo comunque numeri veramente elevati.

Continua

Edgar

2 commenti:

maverick ha detto...

I malware di porntube (in genere Zlob) sono ospitati quasi tutti nel range di inhoster in ucraina. Basterebbe bloccare quello anche se il problema degli hack dei siti italiani rimane.

Edgar Bangkok ha detto...

Si, sto comunque continuando a fare un po di ricerche, e devo dire che la pagina porntube e' estremamente diffusa, su siti italiani compromessi.Su 10 che ne trovi almeno la meta' se non di piu' linkano a porntube, che, di solito ha il malware zlob ben aggiornato come variante e poco riconosciuto dagli AV