Questo un codice di un sito attaccato e che presente al suo interno il link a banner82
Si tratta in prevalenza di siti USA mentre al momento non sembrerebbero coinvolti domini .IT
La particolarita' risiede non tanto nell'attacco a cui ormai assistiamo ogni giorno , ma nell'IP di banner82
Infatti se proviamo ad eseguire un nslookup si nota che
Come si vede i TTL (time to live) della cache DNS sono settati a 600 secondi (10 minuti) e questo fa supporre che si tratti questa volta di un dominio che utilizza la tecnologia fast flux per rendere nascosto il reale IP di provenienza, cosa che normalmente non si rileva , in simili siti che distribuiscono malware.Chiaramente, a questo punto, per evitare problemi si puo' bloccare il dominio ma non l'IP in quanto, come visto, dovrebbe cambiare con una certa frequenza.
Edgar
Nessun commento:
Posta un commento