Una scansione effettuata utilizzando il tool e nuovi nomi di dominio Asprox botnet (advabnr(dot)com, adsitelo(dot)com, bigadnet(dot)com advertbnr(dot)com, bannerupd(dot)com cookieadw(dot)com) dimostra che siamo ancora in presenza di un elevato numero di pagine colpite piu' o meno pesantemente, in data recente.
Ecco il parziale report generato con alcuni siti veramente saturi di script
ed ecco come si presentano alcune homepages o pagine interne ai siti colpiti
I vari domini Asprox al momento sono online e utilizzano sempre fastflux.
Edgar
2 commenti:
da aggiungere clsidw(dot)com, che è comparso dopo aver ripulito il DB SQLServer ieri da tutti i record "infetti".
Almeno uno sito, ospitato su un server farm (cluster IIS shared+SQL Server 2000) presso BT-Albacom/Roma (il loro Esercizio IDC del centro Torre Spaccata) è stato infetto.
Le ultime pagine Asprox sono, a quanto vedo in giro, updatebnr(dot)com, datajto(dot)com ed anche clsidw(dot)com come anche tu hai segnalato;
Al momento non mi pare siano ancora presenti su molti server IT ma
vedremo cosa succede nelle prossime ore.
Interessante il fatto che mi confermi e cioe' '.......dopo aver ripulito il DB SQLServer ieri da tutti i record "infetti"... e comparso .clsidw(dot)com" il che confermerebbe un continuo tentativo di sql injection per attaccare il maggior numero di pagine possibile, anche in queste ore.
Posta un commento