sabato 26 aprile 2008

Recente javascript presente su altre pagine .it

La presenza del javascript pericoloso sul sito “Le chicche di Cala” , peraltro prontamente bonificato, ha posto il dubbio che esistessero altre pagine in rete con il medesimo problema.
Il test e' stato fatto eseguendo una ricerca con il mio tool Webscanner sul medesimo IP del sito di Cala.

La ricerca ha individuato un altro sito vvv.mrprofit.it che contiene nella pagina di avvio lo script pericoloso.
Come si vede dai risultati chi si connette al sito non puo' vedere lo script in quanto la pagina iniziale redirige su magazine/default.php appena viene caricata.


Nello screenshot potete vedere il frammento di codice javascript che ho utilizzato per la ricerca confrontato con quello che era presente sul sito di Cala.
Sarebbe ora interessante estendere la ricerca al altri range IP, magari del medesimo hoster italiano, per verificare se esistono altri siti con il problema visto.

Aggiornamento
Sto estendendo la scansione del range IP ed al momento parrebbero essere compromessi altri 6 siti ma c'e' da rilevare che per ora siamo solo ad una piccola percentuale di pagine analizzate sul totale hostato nel range , che penso raggiunga qualche migliaio di siti.

Questi i siti che danno positivita', al frammento di codice javascript visto prima, nel parziale report di Webscanner, tra cui ad esempio abbiamo il sito della
cantante e showgirl italiana Sabrina Salerno

Inoltre, visto che sembra di essere come a pesca, nella rete di Webscanner, e rimasto anche 'impigliato' questo sito vvv.fondiesicav.info che presenta codice offuscato definito dal NOD32 come trojan downloader.

Per chi volesse analizzare gli script raccomando sempre la massima attenzione in quanto si tratta di codici potenzialmente pericolosi.

Edgar

13 commenti:

Sbronzo di Riace ha detto...

tu dici che è bonificato ma la web guard di Antivir 8 continua ad impedirmi di accedere al sito

Juninho85 ha detto...

proprio ieri mi è passata in mente la stessa cosa,però arrivato ad un certo punto su un solo IP webscanner si "piantava" in ricerca fino a trovare 83000 domini,per cui ho lasciato perdere :D
grazie dell'info,tienici aggiornati:)

Juninho85 ha detto...

non so se fosse csì anche quando hai fatto te il controllo,ora deegees risulta in manutenzione,ma ugualmente col codice maligno

maverick ha detto...

Mbr rootkit!
avvertire tutti i webmaster per la bonifica al piu presto.

Juninho85 ha detto...

questo è il punto in cui si pianta webscanner...si verifica in particolare quando analizza un ip in cui sono presenti svariati domini...come puoi vedere in questo sito:http://www.myipneighbors.com/ i domini hostati si fermano a 500 circa,webscanner si pianta in ricerca a 1250...
http://img222.imageshack.us/my.php?image=webscannerpi2.jpg

Juninho85 ha detto...

Sbronzo di Riace a quale sito ti riferisci?webguard ora permette l'accesso al sito chicchedicala

Edgar Bangkok ha detto...

Per websacnner il problema e' che adesso il motore di ricerca su cui si appoggia webscanner per il reverse ip genera migliaia di link riferiti a un unico ip e quindi webscanner viene messo in tilt dal numero enorme di links
LA soluzione e' o una modifica al codice di webscanner per introdurre l opzione del limite di links da caricare oppure al momento utilizzare un sito di reverse IP e fare un copia e incolla su file di testo delle url.
Anche qui sorge il problema che il sito di reverse ip che usavo non e' piu' online e l unico sito OK rilascia una lista che oltre agli indirizzi mostra una scritta di opzione per visualizzare la pagina su ogni riga del risultato.
Soluzione: da notepad fare un sostituisci della sringa con un blank ed eliminarla su tutte le righe
Il file potra' essere letto da webscanner ora senza problemi.

Juninho85 ha detto...

...non roba per me comune mortale insomma!:D
vabbeh aspetto con ansia la nuova release :)

ShArK ha detto...

Ciao a tutti, putroppo il mio sito ogni tanto è infettato da questi script sempre uguali più o meno...
Oggi mi sono accorto che sono stato di nuovo infettato, questa volta cerca di "contattare" il sito eaoafir.com

Volevo sapere come posso procedere per la bonifica, perchè altre volte ho sempre cercato a caso "phpfake" e termini che avevo già incontrato, e pur con difficoltà cancellavo la parte di codice. Questa volta invece non riesco a trovare nulla, potreste aiutarmi? E soprattutto: c'è un modo per tutelarsi definitivamente?

Edgar Bangkok ha detto...

Credo che un modo definitvo per impedire che compromettano un sito non esista in quanto si scoprono sempre nuove vulnerabilita'. Comunque se aggiorni con le ultime versioni il software che gestsce il tuo sito dovresti renderlo abbastanza sicuro.
Un sito o viene compromesso per vulnerabilita' al software che gestisce il server web o per problemi al software ed al linguaggio con cui e' stato scritto.
Non so pero' di che sito stai parlando, se mi passi il link guardo un attimo se presenta ancora lo script malevolo.
Comunque vedo che alcuni che hanno subito il problema avevano versioni non aggiornate del software di gestione del sito stesso.

ShArK ha detto...

Io parlavo di tutelarmi definitivamente da QUESTO particolare script malevolo. ;)

Il sito è www.nextrl.it

Durante i periodi di "infezione"(sono 3 compresa questa), raramente firefox mi segnala(o meglio,lo vedo io in basso a sinistra) che sta cercando di contattare il sito in questione(in questo caso eaoafir.com e noto un sensibile rallentamento. Questa cosa si nota anche visivamente, perchè nella parte più alta del sito, sopra il grande banner, si va a creare uno spazio vuoto.

Io, utilizzando firefox, noto solo questo. Molti utenti e parte dello staff, invece, mi dicono di aver proprio problemi con antivirus & no-script vari.
Il software di gestione è IPB 2.1.7. Ho in mente di aggiornarlo entro il mese prossimo, intanto però vorrei proprio capire come fare per localizzare il codice incriminato in modo da farlo fuori.

Edgar Bangkok ha detto...

L'uso di noscript per chi usa firefox, secondo me' e indispensabile, perche' ormai su qualunque sito, anche il piu' conosciuto, potrebbe eserci la sorpresa script. e con noscript si e' un attimo piu' protetti da eventuali azioni pericolose del codice.
Vedo comunque che la versione che usi di IPB se e' questa INVISION POWER BOARD 2.1.7 ha vulnerabilita' di ACTIVE XSS/SQL INJECTION e quindi ti consiglio al piu' presto di aggiornarla se vuoi evitare altri problemi.
Non conosco se esiste qualcosa di specifico per questa ultima ondata di script aggiunti alle pagine ma non credo.
La cosa migliore e' sempre quella i aggiornare all'ultima versione il software che gestisce il sito ed il forum.

ShArK ha detto...

Capisco. Grazie per l'aiuto!