Mi riferisco al sito del Comune di Grugliasco che era stato uno dei primi ad essere segnalati durante l'attacco del 10 maggio scorso, nuovamente compromesso dopo la probabile bonifica degli script qualche giorno fa, ribonificato e oggi ancora colpito dal massiccio upload sulle sue pagine di nuovi scripts che linkano a dota11(dot)cn.
Da una analisi della struttura del sito e delle pagine coinvolte su alcune siamo a livelli da “guinness dei primati' come numero di scripts scaricati che appaino in piu' di 2500 (duemilacinquecento scripts) !!!
Proprio una di queste pagine pesantemente attaccate presenta a differenza di altre, gli script non visibili in chiaro
ma nascosti nel codice.
Mentre al homepage e' nuovamente invasa dagli scripts che ne modificano il layout.
Il link indicato negli scripts e' attivo e carica m.js di cui vediamo il codice
Interessante notare che questa volta anche per chi carica lo script su computer con browser in lingua cinese viene attivato un link contrariamente ad uno script precedente (denominato sempre m.js) dove chi utilizzava linguaggio cinese non veniva coinvolto nel caricamento di pagine con exploit.
I links portano alle solite pagine contenenti exploit assortiti e probabilmente anche quello che sfrutta vulnerabilita' di adobe flash palyer anche se non nell'utima versione rilasciata.
Il dubbio che sorge e' che a questo punto, il tentativo di scaricare script java pericolosi sul sito , sia sempre attivo ed approfitti di vulnerabilita' non ancora patchate per 'aggiornare' nuovamente le pagine gia' colpite.
In pratica chi esegue gli attacchi potrebbe essersi creato un database di urls vulnerabili e ciclicamente provare a 'riaggiornarle' con un nuovo upload di javascript che linkano a malware
Aggiornamento 29 maggio ore 18.46 (13.46 in Italia)
Il sito e' stato bonifcato dagli scripts che puntavano a dota11.
Edgar
Da una analisi della struttura del sito e delle pagine coinvolte su alcune siamo a livelli da “guinness dei primati' come numero di scripts scaricati che appaino in piu' di 2500 (duemilacinquecento scripts) !!!
Proprio una di queste pagine pesantemente attaccate presenta a differenza di altre, gli script non visibili in chiaro
ma nascosti nel codice.
Mentre al homepage e' nuovamente invasa dagli scripts che ne modificano il layout.
Il link indicato negli scripts e' attivo e carica m.js di cui vediamo il codice
Interessante notare che questa volta anche per chi carica lo script su computer con browser in lingua cinese viene attivato un link contrariamente ad uno script precedente (denominato sempre m.js) dove chi utilizzava linguaggio cinese non veniva coinvolto nel caricamento di pagine con exploit.
I links portano alle solite pagine contenenti exploit assortiti e probabilmente anche quello che sfrutta vulnerabilita' di adobe flash palyer anche se non nell'utima versione rilasciata.Il dubbio che sorge e' che a questo punto, il tentativo di scaricare script java pericolosi sul sito , sia sempre attivo ed approfitti di vulnerabilita' non ancora patchate per 'aggiornare' nuovamente le pagine gia' colpite.
In pratica chi esegue gli attacchi potrebbe essersi creato un database di urls vulnerabili e ciclicamente provare a 'riaggiornarle' con un nuovo upload di javascript che linkano a malware
Aggiornamento 29 maggio ore 18.46 (13.46 in Italia)
Il sito e' stato bonifcato dagli scripts che puntavano a dota11.
Edgar
Nessun commento:
Posta un commento