sabato 10 maggio 2008

Sito Rai TG2 e altri siti .IT sotto attacco - cronologia

Poco fa , 15,30 ora Thai, (10.30 AM in Italia) Chill-Out sul forum Hardware upgrade mi segnalava la presenza di uno script che punta a server cinese sul sito TG2.rai

Provato a connettermi al sito mentre in un primo momento lo script era uno solo dopo qualche minuto venivano evidenziati almeno una decina di script che sarebbero diventati nel giro di pochi minuti piu' di 120 !!!


inoltre la pagina visualizzata con firefox presenta testi e layout non corretti.
In explorer poi ho adirittura un overflow della memoria del pc virtuale... boh...

Ore 10.40 AM Iniziano le conferme anche di altri siti attaccati

comune[dot]grugliasco[dot]to[dot]it



Ore 10.50 Pagina attuale RAI tg2


Un altro dettaglio della pagina RAI deturpata dagli script





Ore 11 Ad esempio sul sito del Comune di grugliasco sono 121 gli script scaricati


125 script sul sito RAI TG2
Non solo la homepage ma anche altre pagine sembrano coinvolte
Questa la pagina della sezione rubriche




Portale Universita' di Milano Scienze Umanistiche



Anche in questo caso molti script che alterano il layout del sito.

2 considerazioni:
la prima e' che sembrerebbe che l'attacco ai siti sia condotto in maniera massiccia , almeno a contare quanti script sono scaricati su ogni singola pagina (piu di 100 solo su una singola pagina Rai TG2), ma nel contempo in maniera abbastanza confusa tanto che i layout delle pagine sono abbondantemente alterati e quindi evidenziano il problema, cosa che senza questa caratteristica avrebbe reso molto piu' pericolosa la presenza anche di un solo script ma nascosto.

La seconda e che essendo stato scelto il giorno di sabato, volutamente o no, con probabilmente chi amministra il sito o gestisce i server, non al lavoro, questo prolunghera' la situazione di 'caos' sulle pagine attaccate per piu' tempo.

A circa un'ora dalla prima segnalazione Google sta indicizzando altri siti su dominio .IT soggetti all'attacco.

Il sito di Rai2 e' ora OFFLINE

Mentre una pagina del sito del Comune di Grugliaso ha raggiunto oltre i 500 !!! script hostati su singola pagina


Google per alcuni siti propone adesso l'allerta sulla natura pericolosa della pagina


Aggiornamento ore 4.30 PM ITA.

Il sito TG2 RAI risulta sempre irragiungibile .

Il sito del Comune di Grugliasco ha raggiunto invece quota 592 script malevoli inseriti in una delle pagine; evidentemente in qualche maniera continuano ad essere uploadati scripts anche se a questo punto su quelle pagine c'e' rimasto ben poco del codice originale.


Aggiornamento 7 PM (ora IT).

Il sito TG2 RAI e' nuovamente online e sembrerebbe completamente bonificato dagli scripts malware.

continua

Edgar

1 commento:

maverick ha detto...

dalla qualita' pessima dell'attacco (palesemente visibile) direi che la mano è cinese.