A questo punto sembra chiaro che ci saranno sicuramente anche altri siti con codice simile inserito al loro interno oltre a quelli visti adesso.Comunque al momento dalle scansioni effettuate la percentuale e' ancora abbastanza bassa, si parla di una decina di siti su una scansione di un migliaio e piu'.
Cio' non toglie che il problema ci sia e possa anche estendersi.
Maverik in un suo commento mi informa che il maware dovrebbe essere Mbr rootkit!
Per quanto si riferisce a Sbronzo di Riace che chiede se il sito Chicche di Cala e' bonificato posso confermare che a me. al momento, risulta pulito. Guarda di non avere la vecchia pagina magari in cache del browser...
Edgar
8 commenti:
confermo,si tratta di MBR Rootkit.
Tra l'altro lo script reindirizza sempre ai soliti domini presenti su 71.6.151.188
non metto in dubbio che sia pulito
è proprio che l'url è finita nella black list di Avira e nelle impostazioni di Antivir 8 Premium c'è un opzione che blocca gli url ritenuti dannosi
a questo punto consiglierei un controlo anche suel range 64.149.138.0-64.149.159.255,sempre di proprietà della Technorail...per ora non ho trovato nulla
come non detto
IP:62.149.140.11
barracudarecords.it:
javascript offuscato con reindirizzamento a nark0diler.ru,IP 58.22.101.122
unknow.it/portal/
oltre non riesco ad andare per via di webscanner...comunque è la conferma che bisogna passare al setaccio anche questo range
62.149.140.12
forumartimarziali.com infetto dal solito checkrate.info
62.149.140.13
www.custommania.com(qui è pari/pari allo script presente su chicchedicala.it)
62.149.140.14
supermaestro.org iframe reindirizza a http://124.217.252.62/~admin/count.php?o=3(già noto)
62.149.140.15
mrprofit.it(già trovato da te)
http://www.onepieceplanet.com/
www.rome-hotels-reservation.com(redirect a http://77.221.133.150/.sp3/check.cgi?e)
62.149.140.20
comunevillaga.vi.it/ javascript che reindirizza a
http://81.95.148.42/stat1/index.php
ebaylogia.com/
62.149.140.21
http://www.sevenpress.com/(redirect identico a eaofir.com,MBR rootkit)
62.149.140.23
bbfragolina.it(redirect a 77.221.133.150)
fasterage.net(redirect a eofir.com)
photofeet.net(idem come sopra)
la situazione per technorail è veramente ALLARMANTE
tenete conto che ho analizzato soltanto le prime parti del range,non oso immaginare cosa salterebbe fuori se dovessi continuare fino all'ultimo IP
62.149.140.25
ottimizzare.com
friulanialseguito.it
entrambi reindirizzano a Hnoafir.com,hostato sul solito 71.6.151.188
62.149.140.27
qui segnalo http://www.bonsairecording.it/...sembrerebbe uno script diverso da quelli incontrati finora,non son riuscito a decriptarlo
Posta un commento