sabato 26 aprile 2008

Prosegue la scansione del range e vengono rilevati nuovi siti compromessi

Altri 5 siti .it con javascript offuscato

A questo punto sembra chiaro che ci saranno sicuramente anche altri siti con codice simile inserito al loro interno oltre a quelli visti adesso.

Comunque al momento dalle scansioni effettuate la percentuale e' ancora abbastanza bassa, si parla di una decina di siti su una scansione di un migliaio e piu'.

Cio' non toglie che il problema ci sia e possa anche estendersi.

Maverik in un suo commento mi informa che il maware dovrebbe essere Mbr rootkit!

Per quanto si riferisce a Sbronzo di Riace che chiede se il sito Chicche di Cala e' bonificato posso confermare che a me. al momento, risulta pulito. Guarda di non avere la vecchia pagina magari in cache del browser...

Edgar

8 commenti:

Juninho85 ha detto...

confermo,si tratta di MBR Rootkit.
Tra l'altro lo script reindirizza sempre ai soliti domini presenti su 71.6.151.188

Sbronzo di Riace ha detto...

non metto in dubbio che sia pulito

è proprio che l'url è finita nella black list di Avira e nelle impostazioni di Antivir 8 Premium c'è un opzione che blocca gli url ritenuti dannosi

Juninho85 ha detto...

a questo punto consiglierei un controlo anche suel range 64.149.138.0-64.149.159.255,sempre di proprietà della Technorail...per ora non ho trovato nulla

Juninho85 ha detto...

come non detto
IP:62.149.140.11
barracudarecords.it:
javascript offuscato con reindirizzamento a nark0diler.ru,IP 58.22.101.122

unknow.it/portal/

oltre non riesco ad andare per via di webscanner...comunque è la conferma che bisogna passare al setaccio anche questo range

Juninho85 ha detto...

62.149.140.12
forumartimarziali.com infetto dal solito checkrate.info

62.149.140.13
www.custommania.com(qui è pari/pari allo script presente su chicchedicala.it)

62.149.140.14
supermaestro.org iframe reindirizza a http://124.217.252.62/~admin/count.php?o=3(già noto)

62.149.140.15
mrprofit.it(già trovato da te)
http://www.onepieceplanet.com/
www.rome-hotels-reservation.com(redirect a http://77.221.133.150/.sp3/check.cgi?e)

Juninho85 ha detto...

62.149.140.20
comunevillaga.vi.it/ javascript che reindirizza a
http://81.95.148.42/stat1/index.php

ebaylogia.com/

62.149.140.21
http://www.sevenpress.com/(redirect identico a eaofir.com,MBR rootkit)

Juninho85 ha detto...

62.149.140.23
bbfragolina.it(redirect a 77.221.133.150)
fasterage.net(redirect a eofir.com)
photofeet.net(idem come sopra)


la situazione per technorail è veramente ALLARMANTE
tenete conto che ho analizzato soltanto le prime parti del range,non oso immaginare cosa salterebbe fuori se dovessi continuare fino all'ultimo IP

Juninho85 ha detto...

62.149.140.25
ottimizzare.com
friulanialseguito.it

entrambi reindirizzano a Hnoafir.com,hostato sul solito 71.6.151.188

62.149.140.27
qui segnalo http://www.bonsairecording.it/...sembrerebbe uno script diverso da quelli incontrati finora,non son riuscito a decriptarlo