mercoledì 7 maggio 2008

Plone , Zope e ancora siti italiani compromessi.

Dopo qualche mese riprendo l'argomento riguardo alla scoperta di decine di siti, su dominio .IT, compromessi in maniera piu' o meno grave attraverso l'inserimento al loro interno di pagine con contenuti e links di vario genere che in maniera automatica reindirizzano a siti malware, pagine con false applicazioni antivirus ecc..

Lo scopo di questi codici inseriti all'interno di normali siti internet e' chiaramente quello di creare il maggior numero possibile di links da far indicizzare ai motori di ricerca per indirizzare la navigazione in rete verso siti poco affidabili (malware, rogue applications ecc..)

In seguito alla scoperta di questi siti, anche Trend Micro, in un suo post aveva ripreso la notizia....... On Sunday, an Italian blog reported of several compromised sites. ...........” e ed attribuito la presenza di questi problemi ad una vulnerabilita' del software di gestione dei siti esaminati e cioe' Plone.

Sfogliando il sito di Plone in effetti si notano alcuni avvisi al riguardo di vulnerabilita' riscontrate e si consiglia di aggiornare all'ultima versione il software in uso, cosa che probabilmente chi amministra i siti che vedremo, non ha fatto.

A distanza di quasi tre mesi, da quanto rilevato, mi pare che non solo i siti siano segnalati abbiano sempre gli stessi problemi, ma se ne siano aggiunti di nuovi e comunque i link a cui puntano le pagine siano aggiornati a nuovi malware ed a nuove rogue application.

Una ricerca ottenuta , filtrando per data i risultati, dimostra che, ad esempio a partire da marzo 2008 ad oggi ci sono ben 2490 nuovi links a aquesto tipo di pagine, molte delle quali contenenti links pericolosi.

L'utilizzo del mio tool , in fase di test, che sfrutta le urls trovate da un motore di ricerca, per scaricare i sorgenti delle pagine e creare un report , permette di valutare quanto sia esteso il problema.
Questa una parte del report ottenuto interrogando due motori di ricerca tra i piu utilizzati in rete.

I links risultanti sono centinaia e dimostrano che la tipologia di siti colpiti e' delle piu' varie; si va da siti di partiti politici a siti di associazioni, pagine di aziende, comuni, scuole, ecc...

La quantita' e' tale che probabilmente, dato che le pagine sono inserite all'interno del sito stesso senza links evidenti, chi amministra il sito ignora completamente il problema.

In questo primo post vedremo solo la tipologia dei siti compromessi senza analizzare in dettglio le singole pagine aggiunte e i link collegati, cosa che faro' in un prossimo post, vista la grande quantita' di differenti pagine proposte, alcune con sript offuscati, altre con links in chiaro ed alcune adirittura con falsi elenchi di files mp3 da scaricare che in realta' sono eseguibili malware poco riconosciuti dai programmi antivirus.

In questa animazione potete vedere un esempio della tipologia di alcuni siti colpiti attraverso la visualizzazione della immagine della homepage catturata in automatico leggendo alcune delle urls nel report generato dai tools.


Continua

Edgar

Nessun commento: